Mas*_*imo 8 active-directory group-policy
您可能知道,环回处理是 Active Directory 组策略的一项功能,它将GPO 中的用户设置应用于登录GPO 范围内计算机的任何用户(而标准行为是仅当用户帐户实际上位于 GPO 的范围内)。当您希望登录到特定计算机的所有用户接收某些用户策略时,这非常有用,而不管他们的用户帐户实际位于 AD 中的哪个位置。
问题:当启用环回处理时,包含用户设置的 GPO 将应用于使用这些计算机的每个人,并且您无法通过在 GPO 上使用 ACL 来绕过它,因为它实际上不是应用于用户,而是应用于计算机。
问题是:对于需要登录到这些计算机但不应受这些策略设置约束的特定用户,如何绕过环回处理?
举个例子:有几个终端服务器,其中带有环回处理的 GPO 用于对登录到它们的每个人实施严格的用户限制(它们基本上应该只能运行一堆公司批准的应用程序);但这甚至适用于Domain Admins,因此它们甚至无法启动命令提示符或打开任务管理器。在这种情况下,如果登录的用户属于特定组(例如域管理员),我如何告诉 AD 不强制执行这些设置?或者,即使是相反的解决方案(“仅将这些设置应用于属于特定组的用户”)也可以。
但是请记住,我们在这里讨论的是环回处理。策略应用于计算机,并且其中的用户设置仅应用于用户,因为他们正在登录这些计算机(是的,我知道这令人困惑,环回处理是正确处理组策略的最棘手的事情之一)。
我认为解决方案是 WMI 过滤(这就是我在我的地方所做的)。
您创建一个 WMI 过滤器来捕获您想要的工作站。
您可以仅使用用户设置和安全筛选来创建 GPO。
您将两者放在一起,并将 GPO 放在 users 容器上。
因此,WMI 过滤指定了它适用的计算机,以及它适用的用户的安全过滤。
并删除环回。
它会给您带来比您预想的更多的麻烦,因为它不仅适用于配置它的指定 GPO,还适用于应用于计算机的所有策略。
更新
如果您的工作站上安装了kb3163622,则可以仅使用安全组执行相同的操作。
此更新更改了应用用户策略的方式。
从现在开始,用户策略实际上应用在计算机和用户安全上下文中。
因此,如果您将该 GPO 的安全过滤放入您想要应用的计算机和用户中,那么这将起到与 WMI 相同的作用(假设您不进行某些复杂的查询)。
| 归档时间: |
|
| 查看次数: |
3555 次 |
| 最近记录: |