Итак, у меня есть объект групповой политики, который запускает сценарий быстрого запуска для удаления локально установленных IP-принтеров со всех компьютеров в нашем домене AD во время запуска компьютера. Это отлично работает ... проблема возникает, когда мы пытаемся освободить от этого несколько машин (несколько небольших офисов без серверов печати).
Я создал глобальную группу безопасности и поместил в нее учетные записи компьютеров (поскольку это запуск, а не сценарий входа). Затем я установил разрешения для объекта групповой политики, чтобы запретить доступ этой группе. По какой-то причине это не действует. Это также не повлияет, если я установлю для этой группы права запрета в самом скрипте.
Интересно, однако, что если я вырезал группу и установил разрешения deny для объекта групповой политики или сценария непосредственно для учетной записи компьютера, в разрешениях будет отказано должным образом.
Эти проблемы сохраняются при выполнении нескольких команд gpupdate / force, а также при перезагрузках.
Мне что-то не хватает о том, как учетные записи компьютеров группируют группы sid? Почему не работают разрешения на отказ на основе группы?
Фильтрация групповой политики: вы делаете это неправильно (или, по крайней мере, делаете это жестко).
Создайте группу безопасности для компьютеров, к которым вы НЕОБХОДИМО применять политику.
Добавьте в группу соответствующие учетные записи компьютеров.
На вкладке «Область» объекта групповой политики в разделе «Фильтрация безопасности» удалите все сущности и добавьте группу безопасности, созданную на шаге 1.
Готово.
Я все время делаю то, что ты делаешь. Когда вы говорите: «Затем я установил разрешения для объекта групповой политики, чтобы запретить доступ к этой группе», непонятно, что вы делаете. Вот мой рабочий процесс для отказа группе в праве на применение GPO:
Редактор разрешений в консоли управления групповой политикой уступает редактору объектов групповой политики. Вы не увидите фактический ACL в управлении групповой политикой, если не нажмете кнопку «Дополнительно» на вкладке «Делегирование». Я "олдскульный" и привык к изменению разрешений GPO еще до появления консоли управления групповыми политиками, поэтому до сих пор делаю это так, как описал выше. А теперь слезай с моей лужайки! > улыбка <
Если вас беспокоит, что компьютер не «подбирает» членство в группах, выполните на компьютере команду «whoami / all» от имени СИСТЕМЫ и просмотрите результат. Это покажет вам, что на самом деле включает в себя токен безопасности компьютера. У меня не было опыта с компьютерами, не «распознающими» членство в группах.
Я не совсем уверен, потому что у меня нет возможности протестировать здесь, но насколько я помню, вы не сможете объединять компьютеры в группы и запрещать группу. Вы должны поставить каждый компьютер и запретить каждому ....
Может, найдешь что-нибудь с помощью GPP.