以下内容摘自笔者编著的《网管员必读——网络管理》(第2版)一书:

 

7.3.2  安全筛选器创建与管理

全筛选用于精确定义哪些用户和计算机将接收,并应用GPO中的设置,也就是GPO的应用对象更进一步细化。因为GPO无法直接链接到用户、计算机或安全组,只能将其链接到站点、域和部门。但是,通过使用安全筛选,您可以缩小GPO的作用域,使其只应用于单个组、用户或计算机。使用安全筛选,您可以指定只有GPO链接到的“Active Directory用户和计算机”管理单元某个容器中的特定安全主体才可应用该GPO。安全组筛选确定该GPO是否作为一个整体应用到组、用户或计算机,但它仍无法选择性地应用于GPO中的不同设置。
为了使GPO应用于给定的用户或计算机,该用户或计算机必须具有该GPO上的“只读”和“应用组策略(AGP)”权限(这些权限可以是显式定义的,也可以是通过组成员关系有效继承的)。默认情况下,对于所有GPO的“只读”和“AGP”权限,经过身份验证的用户组(Authenticated Users的设置都是“允许”。Authenticated Users包括用户和计算机。这就是说当新GPO应用到部门、域或站点时,所有经过身份验证的用户接收该新GPO设置的方式。但是,您可以更改这些权限以便将作用域限制为部门、域或站点内的用户、组或计算机的特定集合。GPMC将这些权限作为单个单元进行管理,并在GPO的“作用域”选项卡上显示该GPO的安全筛选,如图7-13所示。使用GPMC,您可以添加和删除要用做各个GPO的安全筛选器的组、用户和计算机。此外,用于安全筛选的安全主体也会在GPO的“委派”选项卡上显示为具有“只读(来自安全筛选)”权限,因为它们具有对该GPO的只读权限,如图7-14所示。
要修改安全筛选,可以在GPO的“作用域”选项卡上的“安全筛选”部分中添加或修改组。在实际操作中,您不必设置那两个访问控制项(ACE),因为在设置安全筛选时,GPMC将为您设置这两项。修改安全筛选的方法是在如图7-13所示窗口中单击添加按钮,打开如图7-15所示对话框。在其中输入要添加的安全组对象,可以是用户、组、计算机或其他内置安全主体,然后单击确定按钮完成安全筛选对象的添加。但因为系统默认添加的Authenticated Users已包括了所有的用户、组和安全主体,所以一般情况下无须在不删除默认添加的Authenticated Users组情况下,另外添加新的对象。如果确实要使GPO仅应用于所添加的对象,则一定要删除Authenticated Users组。
安全筛选器创建与管理_第1张图片
7-13 “作用域”选项卡中的“安全筛选”选项
安全筛选器创建与管理_第2张图片
7-14 “委派”选项卡中显示的“安全筛选”用户或计算机
此外,“只读”和“AGP”权限是分别可见的,可以通过访问控制列表(ACL)编辑器分别加以设置。在GPMC中,GPO的“作用域”选项卡上的“安全筛选”部分只显示该GPO是否会应用。如果您想分别查看这些权限,那么可以通过单击该GPO的“委派”选项卡(参见图7-14)上的高级按钮来打开ACL编辑器,如图7-16所示。在其中就可以对所有已委派的对象的权限进行重新设置。
              安全筛选器创建与管理_第3张图片    安全筛选器创建与管理_第4张图片
7-15 “选择用户、计算机或组”对话框        7-16  GPO 安全设置对话框“安全”选项卡
GPO中的设置只应用于包含在链接GPO的域或部门中的用户和计算机,“安全筛选”中指定的用户和计算机,或作为“安全筛选”指定的组成员的用户和计算机。可以在单个GPO的安全筛选中指定多个组、用户或计算机。
注意
要确保为某个用户或计算机处理 GPO ,仅授予“只读”和“ AGP ”权限是不够的。 GPO 还必须直接或通过继承方式链接到包含该用户或计算机的站点、域或部门。安全筛选已设置为“只读”和“ AGP ”的 GPO 不一定会应用到所有具有安全筛选的安全主体。只有当这些用户或计算机对象处于链接到 GPO 的容器或子容器中时,该 GPO 才应用到它们。但 Active Directory 中安全组的位置与安全组筛选无关,更一般地讲,是与组策略处理无关。