Я использую VBScript в моем сценарии входа в систему для сопоставления сетевых дисков. Я знаю, что групповая политика должна применяться к учетным записям отдельных пользователей и компьютеров путем связывания (GPO) с контейнерами Active Directory (OU). Я не знаю, как применить групповую политику к OU, в котором нет ничего, кроме групп?
Правильный способ добавить объект групповой политики в группу безопасности:
Настройте группу, добавив в нее предполагаемых участников (учетные записи компьютеров или пользователей)
Создайте свой GPO и свяжите его достаточно высоко, чтобы он мог применяться ко всем предполагаемым объектам
Удалите «Прошедших проверку пользователей» с панели «Область действия» в GPMC и добавьте группу, которая должна его применить. Для этого вам не обязательно использовать расширенный раздел безопасности, и он менее опасен (нет возможности заблокировать себя).
Если вы связываете объект групповой политики в верхней части домена, убедитесь, что вы установили фильтрацию перед редактированием объекта групповой политики, чтобы он не применялся везде.
Если это компьютерная политика, компьютеры должны быть перезагружены после добавления в группу, иначе при обновлении GPO компьютер еще не аутентифицирован в новой группе, и GPO не будет применен.
Вы не можете применять GPO к группам - как вы сказали, вы применяете их к компьютерам и пользовательским объектам.
И ваш компьютер, и пользовательские объекты будут где-то в структуре Active Directory, поэтому вам следует просто применить GPO непосредственно к подразделениям, в которых находятся объекты.
Если все ваши пользовательские и компьютерные объекты находятся только в своих контейнерах по умолчанию, это может быть хорошей возможностью добавить немного структуры в вашу Active Directory с дополнительными OU.
Если вы хотите наложить какие-то ограничения на объекты групповой политики в зависимости от того, членом каких групп безопасности является пользователь / компьютер, вы можете изменить свойства безопасности каждого объекта групповой политики и добавить соответствующую группу (т. Е. Можно сменить заставку) и установите Читать Разрешение на Отрицать.