ローカル システムをドメインに入れようとしたとき。特定のドメイン グループ ポリシーがローカル システムに適用され、ローカル グループ ポリシー設定が上書きされます。では、ドメイン GPO がシステムに適用されないようにするにはどうすればよいでしょうか。
7720 次
3 に答える
1
ドメイン コントローラの管理者でない場合は、できません。
その GPO のセキュリティ フィルタリングで PC またはドメイン ユーザーのいずれかに一致する GPO はすべて、PC に適用されます。ユーザーアカウント。
通常、非常に広範なユーザー/コンピューターのグループに一致する GPO があり、新しく追加されたマシンに自動的に一致します。これは、たとえば、Authenticated Users グループです。
Authenticated Users には、すべてのドメイン ユーザー、グループ (定義済みおよび AD の一部)、およびドメインに参加しているコンピューターを含む、Active Directory に対するすべての認証済みオブジェクトが含まれます。
したがって、唯一の方法は、GPO 自体のセキュリティ フィルタリングを変更して、マシンを除外することです。たとえば、Authenticated Users グループをセキュリティ フィルタリングから削除し、除外する必要のある他のすべての PC のリストのみを含む特定のセキュリティ グループを追加します。
ブルート フォースの方法は、Windows ファイアウォールを有効にして、ドメイン コントローラーまたは GPO 通信に必要なポートへの接続をブロックすることです。ただし、これではそもそも PC をドメインに追加するという目的が無効になります。
于 2015-06-05T21:19:47.283 に答える
0
ブロック ポリシーの継承またはオーバーライドの概念なしを使用するのはどうですか?
于 2015-06-10T03:27:54.577 に答える