Застосування GPO до одного користувача лише на одному комп’ютері

10

У мене є GPO, який мені потрібно застосувати до користувача DOMAIN\DumbGuy, але лише тоді, коли він увійде в систему DOMAIN\DumbGuysComputer$. Коли DOMAIN\NiceReceptionistвхід до DOMAIN\DumbGuysComputer$нього не повинен застосовуватися. Коли DOMAIN\DumbGuyвхід до DOMAIN\ReceptionstsComputer$нього не повинен застосовуватися.

Це потрібно застосовувати лише до однієї людини на одному комп’ютері .

Якщо я застосую груповий об'єкт до об’єкта Користувача, він застосовуватиметься до всіх його комп'ютерів. Якщо я застосую груповий об'єкт до об'єкта Комп'ютер, він застосовуватиметься до всіх користувачів цього комп’ютера. Якщо застосувати його до обох, воно пошириться ще ширше.

Як я можу застосувати GPO лише до одного користувача на одному комп’ютері?

active-directory group-policy

— Марк Хендерсон
джерело

Це лише налаштування користувача?

— pauska

Так, це сценарій для входу

— Марк Хендерсон

11

Моя пропозиція схожа на мешканців ..

Створіть суб-OU тільки для цього одного комп’ютера, створіть в ньому групову групу і встановіть її в режим злиття циклу. Використовуйте фільтрацію безпеки на GPO, щоб DumbGuyмати лише дозволи на його застосування. Я не бачу причин для використання двох різних GPO.

Mucho importante! Не фільтруйте права "читання" від автентифікованих користувачів, оскільки підсистема групової політики повинна читати групову групу, перш ніж вона застосовується до користувача

— пауска
джерело

Я зробив це сьогодні вранці, і це спрацювало добре. Створив Sub-OU, помістив у нього свій комп’ютер, поставив GPO на OU і відфільтрував його до свого імені користувача. Perfecto.

— Марк Хендерсон

+1 - Як саме я це зробив би.

— Еван Андерсон

1

PS Дякую також за останню пораду; Я завжди забуваю, що видалення "Автентифікованих користувачів" із фільтрації безпеки також видаляє дозволи на делегування.

— Марк Хендерсон

6

Я хотів би розглянути обробку групової політики зворотного зв'язку в поєднанні з фільтруванням безпеки. Ви можете використовувати функцію групового зворотного зв’язку для застосування об'єктів групової політики (GPO), які залежать лише від того, на який комп'ютер користувач входить.

Це приклад того, як це можна реалізувати .

Насправді, як би я це здійснив:

Створіть два різних GPO та призначте їх DOMAIN \ DumbGuysComputer $.

Налаштуйте перший GPO за допомогою програми Loopback Processing в режимі заміни та налаштуйте фільтрування безпеки щоб застосовуватись лише до домену DOMAIN \ DumbGuy .

Налаштуйте другий GPO без обробки циклу та налаштуйте фільтрування безпеки, щоб застосовуватись лише до користувачів DOMAIN \ NiceReceptionist .

— Володимир М.
джерело

5

Я, ймовірно, просто пов'язує групову групу з ОУ, в якій знаходиться користувач, і використовує фільтрацію безпеки або WMI, щоб переконатися, що вона застосовується лише до цього одного користувача, а потім загортати весь сценарій у if($ENV:computername -eq whatever){}блок.

— MDMarra
джерело

Це дуже розумно! Рішення Пауски було дещо акуратніше, але якщо я ніколи не зможу перенести НУ комп’ютера, я зроблю це.

— Марк Хендерсон

0

GPO застосовуються до ефірного об’єкта користувача, об’єкта комп'ютера або обох об'єктів в ОУ, і ви не можете змусити GPO застосовуватись лише до комп'ютерного об'єкта, лише якщо певний користувач входить на цей комп'ютер або застосовується до об'єкта користувача, лише якщо цей користувач входить у певний комп'ютер.

— Зимовий Фолк
джерело

Здається, ти не можеш цього зробити зі стандартною фільтрацією, але для цього є обхідні шляхи

— Марк Хендерсон

0

Я створив фільтр WMI, який, здається, працює:

Select * from WIN32_OperatingSystem where NOT CSName="PCName"

Ви можете протестувати WMI-запити в powerhell, використовуючи:

gwmi -Query 'Select * from WIN32_OperatingSystem...'

— Позначити
джерело