Group Policy Object(GPO)组策略用于对 OU 的限制
GPO 会继承。在 Group Policy Inheritance 面板查看。可以在子 OU 上禁止继承 GPO。在父 OU 上 Enforced 开启 Yes,就可以强制子 OU 继承 GPO
点击 GPO 时,可以查看 Scope 选项卡,里面展示了 GPO 链接到哪些 OU 上。
设置完 GPO 后,机器不会立即生效,会定时自动从域控 sysvol 共享中读取策略更新。
想立即生效要在目标机器上强制更新 GPO。
gpupdate /force
这个 sysvol 共享在域控目录。
%SystemRoot%\SSVOL\sysvol
组策略中以 AppLocker 限制为案例,限制 PowerShell 运行
“Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Application Control Policies -> AppLocker”
域账户自动添加进本地 Administrators 组
有时候加域后使用普通域账户登录,就是普通用户权限,没有权限对本地计算机有管理权,比如以管理员运行就会弹出 UAC 框,要么输入域管理员账户 <Domain>\<UserName>
,不然就是本地管理员 .\<UserName>
。
有两种解决方案,一个是手动将当前登录的用户加入本地 Administrators 管理员组。加入后需注销重新登录才能获取权限。
net localgroup Administrators <Domain>\<UserName> /add
另一个是手动添加组策略,将某些用户添加到本地管理员组。
文章链接:https://www.ooize.com/group-policy-object-gpo-is-used-to-restrict-ou.html