Я создал тестовый домен с двумя виртуальными машинами, чтобы поэкспериментировать и попытаться получить некоторые знания с помощью Server 2008 (+ GPO, OU, ADUC и т. Д.), Но я немного застрял.
Я создал подразделение под названием User Policies и связал GPO внутри этого OU под названием Menu Lock Down. Идея состоит в том, чтобы просто создать «тестовое» подразделение, которое блокирует меню «Пуск», чтобы пользователи в этом подразделении не могли использовать различные параметры, такие как «Запуск» и настройки сети.
Вот где я застрял. Я создал группу безопасности в User Policies (Через ADUC) и добавил несколько пользователей в группу (Гость), но по какой-либо причине политики этой группы не будут применяться к соответствующим пользователям. Они применяются только к пользователям, когда они сами находятся в OU через ADUC.
Мой вопрос: есть ли способ связать группу безопасности с OU, чтобы, если я хочу, чтобы новый пользователь имел такой же ограниченный доступ к меню «Пуск», мне просто нужно было добавить этого пользователя в группу безопасности?
Вы не можете применять групповые политики напрямую к группам безопасности. Вы можете фильтровать группу безопасности, но не применять к ней.
Итак, вы видите нормальное поведение. Чтобы пользователь мог получить политику, которую вы применяете (в вашей текущей конфигурации), его объект User должен быть в User Policies ОУ.
Однако, если вы хотите настроить его так, чтобы эти параметры получали только пользователи в группе, вы можете связать эту политику на уровне домена. Затем вы можете использовать фильтрацию безопасности, чтобы удалить значение по умолчанию. Authenticated Users, и добавьте в созданную вами группу.
Это сделает так, что ваша политика будет применяться к любому объекту пользователя в вашем домене, но только к тем, которые находятся в настроенной вами группе.