Примените GPO к пользователю группа AD при использовании компьютеров в определенном OU
У нас есть сценарий входа в систему, который копирует много remoteapp.rdp-файлов в некоторые пользовательские рабочие столы. Однако эти пользователи иногда также должны соединиться непосредственно с нашим терминальным сервером посредством соединения удаленного рабочего стола для использования определенного программного обеспечения. Когда они соединяются с к удаленному рабочему столу, мы не хотим, чтобы remoteapp.rdp-файлы были скопированы там. Определенные пользователи являются всеми членами AD группы безопасности. Затем у нас есть OU со всеми организационными клиентскими компьютерами.
Таким образом, то, что я хотел бы сделать, применяют GPO со сценарием входа в систему пользователям в AD группе пользователей, если они входят в систему клиентского компьютера в клиенте OU. GPO и сценарий входа в систему являются определенными для пользователя.
Я создал GPO, который относится к пользователю группа AD, и это связано с клиентским компьютером OU. Это, кажется, не работает, никакие файлы не копируются, по крайней мере. Я думаю, что проблема могла бы состоять в том, что настройки GPO являются определенными для пользователя, в то время как связанный OU только содержит компьютеры. Какие-либо предложения на другом подходе, который заставит GPO работать, как предназначено?
- Создайте WMI-фильтр, который возвращает TRUE при запуске на любой машине , кроме вашего терминального сервера:
SELECT * FROM Win32_ComputerSystem WHERE NAME <> 'COMPUTER_NAME_HERE' - Создайте GPO только для вашего скрипта входа в систему и применяйте WMI фильтр к GPO.
- Замените стандартную группу аутентифицированных пользователей GPO в Security Filtering на группу безопасности, содержащую ваших целевых пользователей.
- Соедините GPO с OU, содержащей учетные записи пользователей , на которые будет оказано влияние.
Это приведет к тому, что GPO будет запущен, когда целевые пользователи войдут на любой компьютер в домене, кроме вашего терминального сервера.
Этот подход не вводит типичные непреднамеренные побочные эффекты, так часто встречающиеся в Loopback Processing. В вашем случае, если вы используете Loopback Processing, каждый пользователь (а не только члены вашей AD Security Group) будет иметь все свои пользовательские GP настройки, применяемые при входе в ваш терминальный сервер, превращая ваши усилия по применению только параметров копирования файлов в ситуацию, когда несвязанные настройки применяются к несвязанным пользователям
. Вы ищете Обработку шлейфа групповой политики . Это гарантирует, что User Settings политики, применяемой к компьютеру, применяется к учетной записи пользователя, даже если эта политика не применяется непосредственно к данной учетной записи пользователя.
Сочетание этого с фильтрацией безопасности гарантирует, что только члены AD группы, которые вы хотите получить параметры, будут применять GPO, и вы можете приступать к работе.
.