Mar*_*son 11 active-directory group-policy
我有一个 GPO 需要向用户申请DOMAIN\DumbGuy,但仅当他登录到DOMAIN\DumbGuysComputer$. 当DOMAIN\NiceReceptionist登录到DOMAIN\DumbGuysComputer$它应该不适用。当DOMAIN\DumbGuy登录到DOMAIN\ReceptionstsComputer$它应该不适用。
它只需要在一台计算机上仅适用于一个人。
如果我将 GPO 应用于用户对象,它将应用于他的所有计算机。如果我将 GPO 应用于计算机对象,它将应用于该计算机上的所有用户。如果我将它应用于两者,它会传播得更广。
如何将 GPO 仅应用于一台计算机上的一个用户?
pau*_*ska 12
我的建议类似于居民的..
只为那台计算机创建一个子 OU,在其中创建一个 GPO 并将其设置为环回合并模式。在 GPO 上使用安全筛选,以便只有DumbGuy权限应用它。我看不出有任何理由使用两个不同的 GPO。
很重要!不要过滤经过身份验证的用户的“读取”权限,因为组策略子系统需要在将 GPO 应用于用户之前读取它
我会结合安全过滤来研究组策略环回处理。您可以使用组策略环回功能来应用仅取决于用户登录的计算机的组策略对象 (GPO)。
实际上,我将如何实现这一点:
创建两个不同的 GPO 并将它们分配给 DOMAIN\DumbGuysComputer$。
使用设置为替换模式的环回处理配置第一个 GPO,并将安全过滤配置为仅应用于DOMAIN\DumbGuy用户。
配置不带环回处理的第二个 GPO,并将安全过滤配置为仅应用于DOMAIN\NiceReceptionist用户。
我可能只是将 GPO 链接到用户所在的 OU 并使用安全过滤或 WMI 来确保它仅适用于该用户,然后将整个脚本包装在一个if($ENV:computername -eq whatever){}块中。
| 归档时间: |
|
| 查看次数: |
37700 次 |
| 最近记录: |