Windows server 2012组

Question

问个简短的问题。我在一家大公司工作，我一直被告知，如果一个用户需要通过电话访问他的电子邮件，他必须是一个特定组的成员(当然，除了激活交换控制台中的活动同步之外)，或者如果用户需要特定的互联网浏览权限，必须是另一个组的成员，或者用户需要的任何资源或许可，都有一个组。

所以，我也一直在看Gpo，但是我没有看到Gpo和组之间的任何关系，那么它们如何使特定组的成员能够访问他们想要用户访问的东西呢？

Answer 1

GPO包含应用于用户和计算机的设置。您可以应用影响Internet访问等内容的设置。可以使用组来过滤GPO。为了使GPO应用于您的用户帐户或计算机帐户，用户或计算机将同时需要读取和应用GPO权限。如果你否认其中任何一个，那么GPO将不适用。如果您同时授予这两种权限，则GPO将应用到OU (或链接到父OU / Domain)。

我们所能做的就是使用组来过滤GPO，假设您希望将一定级别的internet访问授予一组您可以创建GPO的用户，创建一个名为G_InternetAccess的组，然后确保该组具有读取权限和应用权限。将该组链接到包含您的用户的OU，它将工作。或者，如果您有一组人，而您没有这样做，GPO应用了什么，以确保他们没有读取和应用权限。

请注意，任何新GPO的默认权限都是AuthenticatedUsers读取和应用，因此在默认情况下，GPO在链接到OU或域时适用于所有用户和计算机。

若要编辑GPO的权限，请转到其“委托”选项卡，单击“高级”，您可以看到当前列出的所有权限。

Answer 2

在组和组策略之间没有真正的关系。回顾过去，组策略可能不是最佳的名字选择。组策略是一种集中管理需要应用于用户和计算机的设置和安全策略的机制。如果有其他人可能需要这样做，他们只需要添加到组中，并且从审计和合规的角度来看，请求成为组成员的活动要简单得多。

Answer 3

组策略适用于容器结构(组织单位)。作为OU成员的用户和计算机将得到该策略的应用。