Применение обратной петли групповой политики любому пользователю на определенных компьютерах
В сервере 2 008 R2 и среда Windows 7, у меня есть GPO, который указывает настройки экранной заставки в пользовательской политике настроек для всего домена. Однако для определенных компьютеров, это не идеально.
Я создал отдельный GPO с более высоким приоритетом, включил обратную петлю с установкой замены и указал правила экранной заставки. В фильтре защиты существуют только определенные компьютеры, к GPO нужно относиться. Однако как есть эта политика никогда не применяется - gpresult/z, указывает на это при пользовательских настройках для GPO: "Фильтрация: Отклоненный (безопасность)".
Если я добавляю "пользователей домена" к фильтру защиты, то GPO применяется ко всем пользователям в домене, независимо от которого компьютера они используют.
Как я могу применить GPO к какому-либо пользователю, который входит только в определенные компьютеры?
Применение GPO к OUs не является опцией, к сожалению, так как компьютеры уже отсортированы в различный OUs для других вещей.
[править]: В фильтре защиты я попробовал:
- добавление только компьютера к фильтру защиты; результаты в GPO отклонены при пользовательских настройках.
- добавление компьютера к фильтру защиты и добавление "пользователей домена" к фильтру защиты; результаты в обратной петле GPO, применяемый ко всем пользователям, независимо от которых используется компьютер.
- добавление компьютера к группе безопасности, добавление, что группа безопасности к фильтру защиты; результаты в GPO отклонены при пользовательских настройках.
- добавление компьютера и "пользователей домена" к той же группе безопасности, и добавление, что группа безопасности к фильтру защиты; результаты в обратной петле GPO, применяемый ко всем пользователям, независимо от которых используется компьютер.
- добавление компьютера к группе безопасности, добавление, что группа безопасности к фильтру защиты, и добавляющий "пользователей домена" к фильтру защиты; результаты в обратной петле GPO, применяемый ко всем пользователям, независимо от которых используется компьютер.
Что другие опции там оставляют попробовать?
Существует ли способ указать, могут ли объекты в фильтре защиты быть объединены с помощью "и" а не "или"?
Вам нужно будет создать новое подразделение для этих компьютеров, а затем применить объект групповой политики к этому вновь созданному подразделению.
Вы пробовали фильтрацию WMI ?
В моей организации было много объектов групповой политики с обратной связью, и они были в беспорядке.
Я разделил все эти GPO на «Политику компьютера» и «Политика пользователя», поэтому «Политика компьютера» применяется к соответствующим компьютерам (здесь нет проблем), а «Политика пользователя» применяется ко всем пользователям, но включает фильтр WMI, поэтому политика применяется только на определенных компьютерах.
Конечно, необходим способ идентификации соответствующих станций через WMI.
Вы можете использовать WMIExplorer , чтобы узнать, какие параметры доступны.
Если нет возможности правильно их идентифицировать, вам придется прибегнуть к разделенным OU.
Вот еще несколько примеров фильтров WMI.
Это можно сделать пятью способами:
(Разделение OU)
Вы можете разделить компьютеры и пользователей по разным OU и связать политику с OU компьютеров. Чтобы использовать политику обратной связи, и пользователь, и компьютер должны иметь разрешения на чтение и применение для политики, поэтому, если вы разделите их, вы легко можете установить безопасность для «пользователей домена» и «компьютеров домена» - политика будет применяться ко всем пользователям. которые работают на компьютерах, которые входят в организационные единицы, политика которых связана с
(Уловка с файлом флагов)
В качестве альтернативы вы можете сделать уловку - вы можете добавить «файл-флаг» на компьютеры, на которых нужно применить GPO:
Вы должны создать только для пользователя политику без обратной связи, которая устанавливает заставку и фильтрует ее с помощью WMI-фильтра, проверяющего наличие локального файла флага, например "Выберите * From CIM_Datafile, где Name = 'C: \\ Windows \\ spc.screensaver .flag '". Вы должны установить безопасность на Пользователи домена - прочтите и примените. Во-вторых,вам следует сделать дополнительную политику для тех компьютеров, которые будут создавать этот файл (это легко сделать, не буду объяснять). Эта политика не должна быть обратной петлей и должна применяться только для компьютера. Безопасность должна быть установлена на Special Screensaver Computers - прочтите и примените
(Common Startup Script - Registry Editor)
В качестве альтернативы вы можете создать сценарий, который вы должны поместить через политику в общую папку автозагрузки для компьютеров. из группы Специальные скринсейверы . Когда какой-либо пользователь входит в систему на этом компьютере, этот сценарий будет выполняться с правами пользователя и изменять некоторые ключи реестра HKCU и т. Д. Итак, опять же, это не политика обратной связи
(жестко запрограммированные имена компьютеров в фильтре WMI)
В качестве альтернативы, вы может жестко закодировать имена компьютеров в фильтрах WMI. О Боже.
(Использовать таргетинг на уровне элементов - редактирование реестра)
В качестве альтернативы вы можете настроить хранитель экрана с помощью GPP (создание политики замены реестра). Это поддерживает таргетинг на уровне элементов, и вы можете создать правило для применения изменений реестра, только если «Компьютер в группе безопасности Компьютеры специальной заставки » - в этом случае вы должны создать политику обратной связи с установкой безопасности на Специальные скринсейверы Компьютеры и Пользователи домена - прочтите, примените и внесите исправление в реестр в конфигурации пользователя с включением таргетинга на уровне элементов, чтобы проверить, входит ли компьютер в группу, подходящую для безопасности. Обратите внимание, что GPP применим к XP SP2 \ 3 с установленным KB943729. Не уверен, что таргетинг на уровень элементов работает в XP SP2
(---)
Поскольку вам нужно сделать этот параметр для каждого компьютера, а политика должна применяться ко всем пользователям на этих компьютерах, вы должны установите для этой политики безопасность Пользователи домена . И когда пользователь входит в систему, он считывает все политики, назначенные подразделению, в котором находится пользователь. В настоящее время политиками поддерживаются только три типа фильтрации - разделение подразделений (обычно это происходит в обе стороны), фильтрация WMI и таргетинг на уровне элементов
Поскольку это был старый вопрос, я уже закончил реорганизацию всего в подразделения и использовал политику обратной связи, как было предложено ранее.