Jaka jest poprawna metoda zastosowania różnych ustawień zasad grupy do wielu grup użytkowników?

Przykład scenariusza: Windows Server 2008, domena „CompanyName”. Załóżmy, że wszyscy użytkownicy przełączają się między wszystkimi komputerami z profilem mobilnym.

GP = zasady grupy, GPO = obiekt zasad grupy, OU = jednostka organizacyjna.

Mam dwie jednostki organizacyjne w mojej głównej jednostce organizacyjnej użytkowników, jak następuje:

CompanyName Users
    Standard Users
        UserA
        UserB
    Power Users
        UserC
        UserD

Dla użytkowników standardowych chcę wyłączyć Panel sterowania. Co mogę osiągnąć w porządku, stosując GPO do tej jednostki organizacyjnej.

Dla zaawansowanych użytkowników chcę, aby tło było ustawione na określony obraz. Mogę również osiągnąć grzywnę.

Tutaj pojawia się problem, zarówno UserA, jak i UserC używają programu, który wymaga pewnych ustawień zapory, które chciałbym zastosować przez GP. Umieszczenie tego obiektu zasad grupy w głównej jednostce organizacyjnej (Użytkownicy nazwy firmy), a następnie filtrowanie użytkowników, do których może się zastosować, zakładam, że zadziałałoby. Czy jest to jednak właściwy sposób?

Jaki jest najlepszy / najlepszy sposób na to? Czy istnieje lepszy sposób na zorganizowanie moich jednostek organizacyjnych?

Putting this GPO in the main OU (CompanyName Users) then filtering the users it can apply to, I presume would work. However is this the correct way to do it?

Tak. Jak myślisz, dlaczego tak nie jest?

— ᴇcʜιᴇ007

Możesz także dodać podrzędną jednostkę organizacyjną i zastosować tam zasady. Po włączeniu dziedziczenia użytkownicy w jednostce organizacyjnej otrzymają oba zestawy zasad. Użytkownicy w nadrzędnej jednostce organizacyjnej otrzymają tylko zasady najwyższego poziomu. Jest to mój preferowany sposób, ponieważ łatwiej jest go przeglądać.

— Jens Ehrich,

Nie jest to trudne, ponieważ uważasz, że przede wszystkim musisz utworzyć osobne grupy dla użytkowników A, B, C, D i dodać każdego użytkownika do odpowiedniej grupy. Następnie musisz utworzyć obiekt zasad grupy w ramach jednostki organizacyjnej, której potrzebujesz złożyć wniosek i przypisać zasady do określonych grup. Usuń uwierzytelnionych użytkowników, którzy domyślnie przychodzą i stosują GP, i dodaj odpowiednią grupę do wybranego obiektu GPO, w ten sposób GP zastosuje się do grupy, którą tylko dodałeś, zignoruje każdą inną osobę, która nie jest w dodanych grupach . Na przykład, jeśli utworzyłeś zasadę ograniczającą dostęp do panelu sterowania i zastosowałeś ją do grupy A, jeśli grupa B dołączy, nie zostanie ograniczona, ponieważ nie jest do niej stosowana przez obiekt zasad grupy, ponieważ dodałeś tylko grupę A.

— Elie
źródło