组策略筛选(例外排除)

easy

在《在域中使用组策略》里通过 "Forbidden" 这个 GPO 的“用户配置”禁止组织单位“研发中心”内所有用户运行 IE 浏览器，但也可以不让此 GPO 应用到特定用户，如这个人正好是你的部门经理 tony ，他仍然可以运行 IE 。这个例外排除的操作称之为“组策略筛选”(Group Policy Filtering)。


默认情况下，组织单位“研发中心”内的用户都会应用组织单位内的 GPO 设置，因为他们对这些 GPO 都具有“读取” 与 ”应用组策略“ 的权限。这个可以通过单击”Forbidden" 中的 "委派“ 标签，然后单击”高级“按钮，然后查看 Authenticated Users 这个用户组，可以看到它具有上述的两个权限：




如果不想将此 GPO 设置应用到 Tony 的话，那么只要单击”添加“按钮，选择”tony“，然后将 ”tony“ 这两个权限设置为”拒绝“ 即可：