若要确保 GPO 应用于正确的计算机，请使用 组策略 管理 MMC 管理单元将安全组筛选器分配给 GPO。

重要提示

此部署指南使用方法，在测试完成后，将域计算机组添加到main独立域的成员身份组，并且你已准备好在生产环境中上线。 若要使此方法正常工作，必须阻止属于边界或加密区域的任何计算机为main隔离域应用 GPO。 例如，在main独立域的 GPO 上，拒绝对边界和加密区域的成员资格组的读取和应用组策略权限。

管理凭据

若要完成这些过程，你必须是“域管理员”组的成员，或者被委派了修改相关 GPO 的权限。

本主题内容：

允许组成员应用 GPO

阻止组成员应用 GPO

使用以下过程将组添加到 GPO 上的安全筛选器，该筛选器允许组成员应用 GPO。

打开组策略管理控制台。

在导航窗格中，找到并单击要修改的 GPO。

在详细信息窗格中的“ 安全筛选”下，单击“ 经过身份验证的用户”，然后单击“ 删除”。

注意

必须删除授予所有经过身份验证的用户和计算机的默认权限，才能将 GPO 限制为仅指定的组。 如果 GPO 包含用户设置，并且已删除 “经过身份验证的用户组” ，并且使用仅包含用户帐户的安全组添加新的安全筛选，则 GPO 可能无法应用。 此 Microsoft 博客中提到了详细信息和各种解决方法。

单击添加。

在 “选择用户、计算机或组 ”对话框中，键入成员要应用 GPO 的组的名称，然后单击“ 确定”。 如果不知道名称，可以单击“ 高级 ”浏览域中可用的组列表。

使用以下过程将组添加到 GPO 上的安全筛选器，以防止组成员应用 GPO。 这通常用于防止边界和加密区域的成员为独立域应用 GPO。

打开组策略管理控制台。

在导航窗格中，找到并单击要修改的 GPO。

在详细信息窗格中，单击“ 委派 ”选项卡。

单击高级。

在 “组或用户名” 列表中，单击“ 添加”。

在 “选择用户、计算机或组 ”对话框中，键入要阻止其成员应用 GPO 的组的名称，然后单击“ 确定”。 如果不知道名称，可以单击“ 高级 ”浏览域中可用的组列表。

在“组或用户名”列表中选择组，然后选择“读取”和“应用”组策略的“拒绝”列中的框。

单击“确定”，然后在“Windows 安全中心”对话框中单击“是”。

该组将出现在具有 自定义 权限的列表中。