Yalnızca bir bilgisayarda bir kullanıcıya GPO uygulama

10

Kullanıcıya başvurmam gereken bir GPO'm var DOMAIN\DumbGuy, ancak yalnızca oturum açtığında DOMAIN\DumbGuysComputer$. Ne zaman DOMAIN\NiceReceptionistoturum açar DOMAIN\DumbGuysComputer$bunun geçerli olmamalıdır. Ne zaman DOMAIN\DumbGuyoturum açar DOMAIN\ReceptionstsComputer$bunun geçerli olmamalıdır.

Sadece tek uygulamak gerekiyor bir kişi üzerinde bir bilgisayardan .

GPO'yu Kullanıcı nesnesine uygularsam, tüm bilgisayarlarına uygulanır. GPO'yu Computer nesnesine uygularsam, o bilgisayardaki tüm kullanıcılar için geçerli olur. Her ikisine de uygularsam, daha da genişler.

GPO'yu tek bir bilgisayarda yalnızca bir kullanıcıya nasıl uygulayabilirim?

active-directory  group-policy 
Mark Henderson
kaynak
Bunlar sadece kullanıcı ayarları mı?
pauska
Evet, bu bir oturum açma komut dosyası
Mark Henderson

Yanıtlar:

11

Benim önerim sakinlerinkine benzer ..

Yalnızca tek bir bilgisayar için bir alt OU oluşturun, içinde bir GPO oluşturun ve geri döngü birleştirme moduna ayarlayın. GPO'daki güvenlik filtrelemesini yalnızca DumbGuyuygulama izinlerine sahip olacak şekilde kullanın. İki farklı GPO kullanmak için herhangi bir neden göremiyorum.

Mucho önemli! Grup ilkesi alt sisteminin kullanıcı için geçerli olmadan önce GPO'yu okuması gerektiğinden, kimliği doğrulanmış kullanıcılardan "okuma" haklarına filtre uygulama

pauska
kaynak
Bunu bu sabah yaptım ve işe yaradı. Bir Sub-OU oluşturdu, bilgisayarını içine koydu, GPO'yu OU'ya koydu ve kullanıcı adına filtreledi. Mükemmel.
Mark Henderson
+1 - Ben de nasıl yapacağımı.
Evan Anderson
1
PS Son ipucu için de teşekkürler; Güvenlik filtrelemesinden "Kimliği Doğrulanmış Kullanıcılar" ın kaldırılmasının, yetki verme izinlerini de kaldırdığını her zaman unutuyorum.
Mark Henderson
6

Güvenlik Filtreleme ile birlikte Grup İlkesi Geri Döngü İşlemi'ne bakarım . Yalnızca kullanıcının oturum açtığı bilgisayara bağlı olan Grup İlkesi Nesneleri'ni (GPO) uygulamak için Grup İlkesi geri döngü özelliğini kullanabilirsiniz.

Bu, nasıl uygulanabileceğinin bir örneğidir .

Aslında bunu nasıl uygularım:

İki farklı GPO oluşturun ve DOMAIN \ DumbGuysComputer $ 'a atayın.

İlk GPO'yu Değiştirme Modunda ayarlanmış Geri Döngü İşlemi ile yapılandırın ve Güvenlik Filtrelemesini yalnızca DOMAIN \ DumbGuy kullanıcısına uygulanacak şekilde yapılandırın .

Geri Döngü İşlemi olmadan ikinci GPO'yu yapılandırın ve Güvenlik Filtrelemesini yalnızca DOMAIN \ NiceReceptionist kullanıcılarına uygulanacak şekilde yapılandırın .

Volodymyr M.
kaynak
5

Muhtemelen sadece GPO, kullanıcının içinde bulunduğu OU'ya bağlar ve yalnızca bir kullanıcı için geçerli olduğundan emin olmak için güvenlik filtrelemesi veya WMI kullanır, ardından tüm komut dosyasını bir if($ENV:computername -eq whatever){}blokta sarar .

MDMarra
kaynak
Bu çok akıllı! Pauska'nın çözümü biraz daha temizdi, ancak bilgisayarın OU'sunu hareket ettiremezsem bunu yapacağım.
Mark Henderson
0

GPO, bir OU'daki kullanıcı nesnesini, bilgisayar nesnesini veya her iki nesneyi eter uygulamak için geçerlidir ve GPO'yu yalnızca belirli bir kullanıcı o bilgisayarda oturum açarsa veya bir kullanıcı nesnesine yalnızca o kullanıcı için başvurduğunda bir bilgisayar nesnesine uygulayamazsınız. belirli bir bilgisayarda oturum açar.

Kış Faulk
kaynak
Standart filtreleme ile bunu yapamayacağınız anlaşılıyor, ancak bunun için geçici çözümler var
Mark Henderson
0

Çalışıyor gibi görünen bir WMI filtresi oluşturdum:

Select * from WIN32_OperatingSystem where NOT CSName="PCName"

PowerShell'deki WMI sorgularını aşağıdakileri kullanarak test edebilirsiniz:

gwmi -Query 'Select * from WIN32_OperatingSystem...'
işaret
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.