2023年11月27日发(作者:)

组策略⾸选项中的三种筛选⽅式:安全筛选,WMI筛选,项⽬

级定位

问题:如果我们需要微调GP应⽤程序以仅将OU中的对象⼦集作为⽬标,该怎么办?我们是否需要重新设计整个OU概念?

答:不⼀定,默认情况下,组策略会带来两种可⽤于调整GP应⽤范围的⼯具:安全过滤和项⽬级定位。

安全性筛选:这只是调整组策略对象上⼀部分⽬标的权限(⽬标=策略范围内的⽤户和计算机)。⽤户和计算机需要对对象具有“读

取”和“应⽤组策略”权限,才能成功应⽤GPO。如果我们有⼀个“ LockDown” GP将桌⾯限制到最⼩,并且将其应⽤于“

ManufacturingOU”,则该OU中的所有对象都会受到影响。要将LockDown-GP仅应⽤于多个⽬标,我们可以创建⼀个Active

现在,有了“组策略⾸选项”,还有另⼀种⽅法可以过滤⽬标上的策略。称为“ 项⽬级定位 ”。顾名思义,您现在可以为在GP偏好设置中

配置的每个设置定义过滤器。您没有看错:对于每种设置。安全筛选和WMI筛选⽤于按GPO筛选–项级别的⽬标是按设置进⾏的。这样⼀

来,您就可以配置⼀个具有多个GP⾸选项的GPO,但仅根据过滤器及其评估应⽤其中的⼀部分。您将在哪⾥添加这些过滤器?检

查GPP的“公⽤”选项卡:

您需要勾选“项⽬级定位”复选框以启⽤该按钮。打开“定位…”后,您将看到以下编辑器:

我已经为您打开“新建项⽬”菜单,因此您可以看到GPP中可以过滤的所有选项。没错,您可以过滤GPP项(在具有其他GPP和GP设置

的GPO中)仅在以下情况下适⽤:例如……⽤户位于 “帮助台”中,并且为“ XP-00233”,是在上午8点到下午5点

安全组计算机名称

之间(),并且⽤户处于,在Windows XP(作为上具有特定的会话名称,并且在系统分区上具有20GB的

时间范围终端会话上操作系统)

可⽤。好吧,从理论上讲,您可以。如果这确实有⽤,则取决于您。

磁盘空间

项⽬级定位编辑器使您可以根据屏幕快照中显⽰的“新项⽬”条件形成过滤器。您可以使⽤布尔逻辑(“与”,“或”,“不”)来组合过

在可以在⽂本框中输⼊字符串的任何地⽅,都可以按F3键以获得GPP可以理解的已知的列表。这样可以更轻松地(例如)创建⽂件匹配规