冲突组策略

Question

我有5个服务器，我需要锁定他们，所以作为标准，只有只读访问的C驱动器和其他几个服务器，其中充分的管理访问一直是需要的。但是，需要在所有时间被锁定的5台服务器中，用户可以请求访问，并将它们移动到该服务器的经过批准的安全组中。

我为每个服务器创建了一个OU组，在该OU内部有一个已批准和拒绝的策略，以及一个已批准的安全组和一个被拒绝的安全组。我已经从每个策略中删除了经过身份验证的用户，并且只应用了与策略和服务器相关的安全组。

我面临的问题是，

如果我将一个用户分配给服务器1的拒绝组和服务器2的已批准的安全组--服务器2的已批准权限也应用于服务器1。不管用户在多少个受限组中，如果我对所有服务器都应用了一个已批准的组，那么它也适用于所有服务器。

我已将每个策略设置为执行和链接，并按以下顺序列出了它们。

• Server1Denied
• Server2Denied
• 等等。
• Server1Approved
• Server2Approved
• 等等。

希望这是一件简单的事情，非常抱歉，如果这是一件愚蠢的事情-可悲的是，我已经有一段时间的感觉，我做了任何关于团体政策的事情。

谢谢

Answer 1

我猜您使用的是组策略，这样您就不需要在每个服务器上单独设置组成员身份了？例如。您可以通过为每个服务器创建一个“管理”全局组和为每个服务器创建一个“非管理”组来实现您想要做的事情。然后，可以在构建时将管理组放在服务器上的administrators本地组中，并在构建时将非管理组放在服务器上的本地用户组中。然后，可以为两个组分配“允许本地登录”特权。

但是，如果您使用GPO首选项和“本地用户和组”选项，我会亲自创建五个GPO首选项策略，每个策略都带有一个WMI筛选器，确保该策略仅适用于给定的服务器。

然后，您可以实现上面的内容，但从一个中心位置，没有“在构建时”的限制.

希望这能有所帮助。