Применить изменения компьютерной политики при входе в систему / Применить компьютерную политику для определенных пользователей [закрыто]
У меня есть просьба применить изменения компьютерной политики к определенной группе пользователей. Например, я хочу, чтобы определенная функция Windows (Разрешить Кортану) была доступна членам группы безопасности (CortanaUsers).
Мой первый поиск в Интернете показал мне примеры того, как настроить OU и прикрепить объект групповой политики, который применяется только к этому OU, чтобы включить компьютерные политики. Я обнаружил, что компьютеры необходимо вручную добавлять в OU (поскольку добавление группы компьютеров не раскрывает политику через принудительное обновление или пользователей, запускающих gpupdate на этих компьютерах).Это решение не было хорошо принято, потому что компьютер может существовать только в OU одновременно.
Впоследствии я нашел совет добавить группу безопасности с компьютерами в корневую OU и применить политику в последнюю очередь. Это тоже не было хорошо воспринято, потому что требовалось заранее знать, какие компьютеры будут использовать пользователи.
Наконец, мне порекомендовали выполнить сценарий входа в систему (с разрешениями локального администратора), который изменял параметры политики компьютера, проверяя, является ли вошедший в систему пользователь членством в группе безопасности. Таким образом, функция будет включена или отключена в зависимости от того, кто на каком компьютере вошел в систему. Я не разбираюсь в том, как работают перемещаемые профили или подобные скрипты.
Я хочу иметь возможность применять компьютерные политики для группы безопасности пользователей. Как лучше всего это сделать?
Непонятно, о чем вы спрашиваете.
Политика, на которую вы ссылаетесь, «разрешить Кортану» - это политика компьютера. Описание:
Этот параметр политики указывает, разрешена ли Кортана на устройство. Если вы включите или не настроите этот параметр, Кортана будет разрешено на устройстве. Если вы отключите этот параметр, Кортана будет выключено. Когда Кортана выключена, пользователи по-прежнему смогут использовать поиск, чтобы найти объекты на устройстве и в Интернете.
Как уже говорилось, этот параметр определяет, будет ли Кортана разрешена «на устройстве».
Во-первых, компьютерные политики применяются к компьютерам. К пользователям применяются политики пользователей. Их не смешивают. Компьютерные политики влияют на всех пользователей одного компьютера. Пользовательские политики влияют на одного пользователя на любом компьютере.
Если вы хотите применить пользовательскую политику ко всем пользователям определенного компьютера, вы используете так называемую «кольцевую обработку групповой политики». Вы применяете «пользовательскую» политику к определенному подразделению, содержащему компьютеры. В этой политике вы включаете режим кольцевой обработки групповой политики. Любой пользователь, который входит в систему на этих компьютерах, получит политику пользователя.
Если вы хотите отфильтровать политику, которая применяется ко всему OU, но ограничить политику определенным подмножеством пользователей или компьютеров в этом OU, тогда вы используете настройки безопасности или фильтрация WMI. Чтобы политика могла применяться к пользователю или компьютеру, оба должны иметь разрешения на «чтение» и «применение» политики. С помощью фильтрации WMI вы можете ограничить политику так, чтобы она применялась только к очень конкретному набору пользователей или компьютеров на основе практически любой переменной, о которой вы можете подумать: версии ОС, объема ОЗУ, стиля корпуса, ключа реестра и т. Д.
Кроме того, если политика является политикой «предпочтений групповой политики», вы можете включить таргетинг на уровне элементов и фильтровать приложение политики на основе многих из тех же параметров, с которыми работает фильтрация WMI.
Я дал вам все термины, которые вы нужно найти информацию, чтобы делать то, что вы хотите делать. Но, как я уже сказал, компьютерные политики влияют на всех пользователей компьютера. Если вы намерены применить политику компьютера, которая влияет на всех пользователей, например, отключение брандмауэра, но вы хотите, чтобы она применялась только к подгруппе пользователей этого компьютера, вы не можете этого сделать. Вы неправильно смотрите на свою проблему и пытаетесь решить ее неправильно. Вы не можете отключить Кортану «на устройстве», тогда она будет работать у некоторых пользователей.