Как правильно применять различные параметры групповой политики для нескольких групп пользователей?

Question

Как правильно применять различные параметры групповой политики для нескольких групп пользователей?

Пример сценария: Windows server 2008, домен "CompanyName". Предположим, что все пользователи переключаются между всеми ПК с перемещаемым профилем.

GP = групповая политика, GPO = объект групповой политики, OU = организационная единица.

У меня есть два подразделения внутри моего основного подразделения пользователей, как показано ниже:

CompanyName Users
    Standard Users
        UserA
        UserB
    Power Users
        UserC
        UserD

Для обычных пользователей я хочу отключить панель управления. Что я могу добиться, применяя GPO к этому OU.

Для опытных пользователей я хочу, чтобы фон был настроен на определенную картинку. Я также могу добиться хорошо.

Здесь возникает проблема: и UserA, и UserC используют программу, требующую определенных настроек брандмауэра, которые я хотел бы применить через GP. Полагаю, что помещение этого объекта групповой политики в основное подразделение (пользователи CompanyName) и фильтрация пользователей, к которым он может применяться, будет работать. Однако это правильный способ сделать это?

Какой правильный / лучший способ сделать это? Есть ли лучший способ организовать мои OU?

Answer 1

Это не сложно, так как вы думаете, что в первую очередь вам нужно создать отдельные группы для пользователей A, B, C, D и добавить каждого пользователя в соответствующую группу, следующее, что вам нужно сделать, это создать объект групповой политики под нужным вам подразделением. применять и назначать политику для определенных групп. Удалите аутентифицированных пользователей, которые приходят по умолчанию и к которым применен GP, и добавьте соответствующую группу в выбранный объект групповой политики. Таким образом, GP будет применяться к группе, которую вы только добавили, он будет игнорировать всех, кто не входит в добавленные вами группы. , Например, если вы создали политику, ограничивающую доступ к панели управления, и применили ее к группе A, если группа B присоединится, она не будет ограничена, поскольку она не применяется к ней объектом групповой политики, поскольку вы добавили только группу A.