Применение GPO одному пользователю на одном компьютере только
Зеркальное отражение данных окажет некоторое влияние, но то влияние может уже выйти. Запись файлов журнала подвергается потере производительности для обеспечения целостности БД и восстанавливаемости.
Горячее резервное копирование, заполненное от файлов журнала, использовалось в течение долгого времени. Будет маленькая загрузка для передачи файла удаленному сайту. В зависимости от размера файла журнала и количества Вы могли бы получить некоторое блокирование при высокой загрузке. На обновлениях будет задержка. Это может быть значительно в зависимости от того, когда и как данные логов копируется. В случае аварии Вы, вероятно, освободите данные из периода ожидания.
Мое предложение аналогично предложению жителя ..
Создайте под-OU только для этого единственного компьютера, создайте на нем GPO и установите его в режим слияния с обратной связью. Используйте фильтрацию безопасности для объекта групповой политики, чтобы только DumbGuy имел разрешения на его применение. Я не вижу причин для использования двух разных GPO.
Mucho importante! Не фильтруйте права "чтения" от аутентифицированных пользователей, поскольку подсистема групповой политики должна прочитать GPO, прежде чем он будет применен к пользователю
Я бы, вероятно, просто связал объект групповой политики с подразделением, в котором находится пользователь, и использовал бы фильтрацию безопасности или WMI, чтобы убедиться, что он применяется только к этому одному пользователю, а затем заключил бы весь сценарий в if ($ ENV: computername -eq независимо) блок {} .
GPO apply to ether the user object, computer object or both objects in a OU and you can't make the GPO apply only to a computer object only if a certain user logs in to that computer or apply to a user object only if that user logs into a certain computer.
I would look at Group Policy Loopback Processing in conjunction with Security Filtering. You can use the Group Policy loopback feature to apply Group Policy Objects (GPOs) that depend only on which computer the user logs on to.
This is an example of how it can be implemented.
Actually, how would I implement this:
Create two different GPO and assign them to DOMAIN\DumbGuysComputer$.
Configure first GPO with Loopback Processing set in Replace Mode and configure Security Filtering to apply only to DOMAIN\DumbGuy user.
Configure second GPO without Loopback Processing and configure Security Filtering to apply only to DOMAIN\NiceReceptionist users.
Я создал фильтр WMI, который, кажется, работает:
Select * from WIN32_OperatingSystem where NOT CSName="PCName"
Вы можете тестировать запросы WMI в PowerShell, используя:
gwmi -Query 'Select * from WIN32_OperatingSystem...'