场景描述
在某些情况下,当我们需要对Lync/Skype/Teams/Exchange/Office 365的组策略(GPO)进行测试时,在将GPO应用给正式环境的所有终端之前,我们需要尽可能的在小范围进行测试,此时我们就需要通过将组策略(GPO)分发给计算机组来达到小范围测试的目的。
实现方法
计算机GPO配置
我们以如下GPO为例,此GPO将限制计算机的Office 365客户端自动更新,我们先对GPO进行如下配置:
计算机准备
两台测试的计算机都位于OU DisableO365ClientUpdate内:
挂载GPO
将GPO “Disable Office 365 Client Auto Update”挂载至OU DisableO365ClientUpdate上:
创建计算机组
- 创建一个计算机安全组
Tips: 该组不需要位于组策略挂载的OU下。
在Active Directory用户和计算机控制台上打开OU,右键单击空白区域,然后选择“新建”>“组”以创建名为DisableO365ClientUpdate的安全组。
- 将测试计算机添加至该计算机组:
双击组名称以打开其属性。选择“成员”选项卡,然后单击“添加”按钮将测试计算机添加到组中。
修改组策略(GPO)安全筛选(Security Filtering)
- 切换到组策略管理控制台。选择要修改的策略对象,然后选择“范围”选项卡。
- 在“安全筛选”部分,选择“已验证用户”组,然后单击“删除”按钮。确保Authenticated Users组被删除:
- 然后仍然在安全筛选下上,单击添加按钮以添加安全组DisableO365ClientUpdate。
- 验证组已经被添加上:
- 修改GPO委派
为了确保策略有效,经过身份验证的用户(Authenticated Users)仍然需要至少具有对策略的读取访问权限。在同一策略对象中,转到“委派”选项卡,然后单击“添加”按钮。
结果验证
我们可以检查该策略是否已正确应用。在客户端计算机上,打开提升的命令提示符,然后使用命令:
gpresult /r /SCOPE computer在属于DisableO365ClientUpdate组并且在OU DisableO365ClientUpdate内的计算机上,将显示该策略应用正常。
不在组DisableO365ClientUpdate内,但仍然在OU DisableO365ClientUpdate中的计算机上,结果将显示该策略已被过滤掉(filtered out)。
测试总结
若要将GPO应用于计算机安全组,需要满足以下条件:
- 需要将计算机添加到安全组中。
- 计算机需要位于GPO挂载的OU中。
服务器托管,北京服务器托管,服务器租用 http://www.fwqtg.net
机房租用,北京机房租用,IDC机房托管, http://www.e1idc.net
