使用 GPMC 的安全筛选

安全筛选是一种精确表明哪些用户和计算机将接收和应用组策略对象 (GPO) 的一种方法。使用安全筛选，您可以指定只有与 GPO 链接的某个容器中的某些安全主体才应用 GPO。安全组筛选将确定 GPO 是否作为整体应用到组、用户或计算机；不能在 GPO 中的不同设置上有选择地使用它。

为使 GPO 应用于给定用户或计算机，该用户或计算机必须通过组成员身份对 GPO 具有明确或有效的“读取”和“应用组策略 (AGP)”权限。

默认情况下，所有的 GPO 对经过身份验证用户组都具有“读取”、“AGP”的“允许”权限。经过身份验证用户组包括用户和计算机。这就是所有经过身份验证用户在新的 GPO 设置应用于组织单位、域或站点时对它们进行接收的方式。但是，您可以更改这些权限，进而将范围限制到组织单位、域或站点中用户、组或计算机的特定集合。

组策略管理用来将这些权限作为一个单元进行管理，并在“GPO 作用域”选项卡上显示 GPO 的安全筛选。使用组策略管理控制台 (GPMC)，您可以添加和删除用作每个 GPO 的安全筛选器的组、用户和计算机。此外，用于执行安全筛选的安全主体还以“读取（来自安全筛选）”显示在 GPO 的“委派”选项卡中，因为这些安全主体具有对 GPO 的读取访问权限。

要修改安全筛选，可在 GPO“作用域”上的“安全筛选”部分中添加或删除组。实际上，您不必设置两个访问控制项 (ACE)，因为 GPMC 将在您设置安全筛选时为您设置它们。有关分步操作过程，请参阅使用安全组进行筛选。

此外，“读取”和“AGP”权限分别显示，并且可以通过访问控制列表 (ACL) 编辑器独立设置。在 GPMC 中，GPO“作用域”选项卡的“安全筛选”部分仅显示是否应用 GPO。如果要分别查看权限，可以通过单击 GPO“委派”选项卡上的“高级”按钮，打开 ACL 编辑器。

注意

• GPO 无法直接链接到用户、计算机或安全组。它们只能链接到站点、域和组织单位。但是，通过使用安全筛选，您可以缩小 GPO 的作用域，以使其仅应用于单个组、用户或计算机。
  
  
• 授予“读取”和“AGP”权限并不足以确保为用户或计算机处理 GPO。GPO 还必须直接或通过继承方式链接到包含用户或计算机的站点、域或组织单位。
  
  
• 具有“读取”和“AGP”权限安全筛选设置的 GPO 不一定要应用于具备安全筛选的所有安全主体。仅在用户或计算机对象都位于与 GPO 链接的容器中或子容器中时，它才应用于它们。
  
  
• Active Directory 中的安全组的位置与安全组筛选无关，而且通常也与组策略处理无关。
  
  

概念