60、活动目录环境中组策略的使用与管理

活动目录环境中组策略的使用与管理

1. 组策略权限与过滤

1.1 IT 管理安全组权限

IT 管理安全组被授予对对象的“读取”和“应用组策略”权限，这使得该组的成员能够查看和处理对象内的策略设置。不过，仅这些权限并不足以让成员处理策略对象，成员必须在与该组策略对象（GPO）关联的容器上下文中登录。例如，只有位于“IT 经理”容器中的“IT 经理”安全组成员才能处理 GPO，因为在域的根容器中，“管理工具策略”对象被禁用。

1.2 WMI 过滤器

WMI 过滤器可用于进一步限制谁能访问和处理 GPO。通过在 GPO 属性窗口的“WMI 过滤器”选项卡中设置，使用 WMI 查询语言（WQL）编写过滤器，常用于异常处理。例如，可根据特定条件筛选出符合要求的计算机或用户来应用 GPO，这是对安全设置的进一步补充。

1.3 委派管理控制

默认情况下，只有域管理员、企业管理员和“组策略创建者所有者”组的成员可以在目录中创建和管理 GPO。若要授予非管理员用户创建和管理 GPO 的能力，需完成以下两个步骤：
1. 加入组策略创建者所有者组 ：用户需成为“组策略创建者所有者”组的成员，这样他们就能在具有访问权限的目录区域创建 GPO。创建新策略对象时，用户将成为对象的所有者，并通过该组的权限对对象拥有完全控制权。
2. 授予容器权限 ：通过委派控制，为用户授予其将管理组策略的目录容器的权限。具体操作如下：
- 打开“Active Directory 用户和计算机”。
- 右键单击控制台列表中的指定容器，选择“委