排坑，域控中将组策略下发到安全组（group）

1、先说说为啥不通过OU，而是通过group下发策略

额，公司战略。（这样说方便提升一下档次，哈哈）开个玩笑啊。主要是公司现在各个应用系统和管理系统都有自己的一套账户体系，管理麻烦，用户也会混乱，所以才会有这么个想法去把用户体系建立在AD上，这样就方便统一管理，但是每个应用（开源之类）都有自己同步用户的规则，为了方便，最终决定把组织结构拍平，所有用户都在一个OU下，所以这就导致了这样一个问题（还得写脚本导入用户，苦逼啊），原先我的用户都有自己的OU，策略的下发都是作用在OU上的，以前好像也记得策略是没办法在group上生效的，这个咋整？没办法，只能找资料呗，然后我就找啊找，就找到以下两篇，不废话，直接上网址：

http://bbs.51cto.com/thread-1415164-1-1.html

https://docs.microsoft.com/en-us/windows/access-protection/windows-firewall/assign-security-group-filters-to-the-gpo

2、有前辈经验，那就自己实验起来

在实际开始做之前，其实还是被网络上不能这么操作的声音影响的，因为包括很多大神都说不行，说最小单元只能是OU，然后只有微弱的声音说可以，我只能一脸懵逼，我能怎么办，我也只是个小菜鸟。

找到了这两篇文档，尤其是微软的这篇官方文档，那就说明没问题，肯定是可以的（PS：所以还是得看官方的说法，其他都不靠谱），撸起袖子加油干。

3、不啰嗦，干货开始（测试）

（1）新建一条测试策略，testgroup，设置如下（只是测试，随便定义的）

（2）填写作用域和筛选

严重注意！！！成败关键！！！！一定要将策略链接到你的域！！！！！

（3）到客户机上刷新策略（gpupdate ／froce），查看组策略作用结果（gpresult  -r）或者通过rsop.msc查看

（4）这样就成功了，无论你的账户，计算机在哪个OU下，你只要关注，哪个策略对应哪个安全组就行了

4、一些感想

先说说为啥会把这个写出来，第一是觉得这个坑了自己，而网络上相关的比较少，所以为了大家少走坑；第二个就是，前段时间看一篇文章，是不是关于李笑来的，忘了，说：还是应该学会写文章，哪怕再烂都应该写出来，对自己的自信心，逻辑上，组织上等都有潜移默化的帮助。这是我写这个的原因

另一个要注意的事，看东西一定要仔细，我就是直到今天再回看那边文章的时候才发现一定要作用到域上，前几天就一直不成功，所以，还是得提醒自己仔细点。

本人是小菜，有啥问题可以探讨（虽然一不定懂）

2017/9/21

重要补充！！！

今天又踩到坑，近些天发现，按照这个方法实施组策略，然后策略竟然没有生效。。。。。

找了一圈网上资料，没有相关的信息，只能自己测试研究，哎

最后发现：如果策略只是针对用户，并不是在筛选中添加对应的用户和组就OK了，还要添加该策略生效的用户可能登录的计算机，也要添加到筛选里来。

就这么浪费了一天时间去折腾这个。。。。。。。。贴出来让大家少踩坑