组策略应用与组的结合

我们知道，组策略只能在站点、域和OU的级别上应用，但是某些时候，我们需要为某些特殊的对象做一些特殊的服务，比如领导不希望自己的壁纸也设置成跟普通员工的一样，这样我们就需要将领导这个对象排除在GPO的应用范围之外。下面让我来看看怎么实现吧。

1、我们在GPMC里新建一个GPO，在用户配置--策略--配置模板-桌面下配置相关选项：

 2、其中桌面墙纸的设置如下：目录共享，并赋予authticate users读取权限。

3、GPO设置完成后，需要将GPO连接到相应的站点、域和OU。这里将它链接到北京办事处的OU上，但是希望北京办事处的各部门领导不受该组策略的限制（难伺候）。所以我们将个部门的领导用户都添加到一个全局安全组，命名为“部门领导”（这个组微软称之为影子组）。然后在GPO的属性--安全--高级里设置该组拒绝应用该策略。

 

 5、设置完之后，在域内客户端上用领导账户登录，运行GPUPDATE /FORCE强制刷新组策略，查看结果。（也可以使用GPRESULT和RSOP工具来查看结果集）。