Должна ли фильтрация безопасности GPO соответствовать ЛЮБОМУ или ВСЕМ правилам в фильтре?
ОТВЕТ НА ВОПРОС: Логическое «ИЛИ» - объект групповой политики будет применяться, если любой из фильтров безопасности соответствует.
РЕШЕНИЕ ДЛЯ СИТУАЦИИ: Настройте режим обработки обратной связи групповой политики пользователя
- Создайте групповую политику КОМПЬЮТЕРА под OU желаемого компьютера (ов)
Отредактируйте новый объект групповой политики и перейдите в:
Конфигурация компьютера / Административные шаблоны / Система / Групповая политика
Включите «Настроить режим обработки обратной связи групповой политики пользователя» и установите для нее значение «Объединить»
Добавьте любые политики ПОЛЬЗОВАТЕЛЯ, которые вы хотите включить, в эту же политику КОМПЬЮТЕРА (петля делает это законным)
Убедитесь, что новый GPO имеет безопасность фильтры для проверки нужных пользователей и компьютеров, на которые вы подаете заявку.
Петля в основном применяет «пользовательскую» политику к определенному компьютеру.
Он работает так же, как вы добавляете ACL в права доступа к файлу / папке. В типичных сценариях, когда не используется запись «запретить», и вы добавляете несколько групп разрешений или разрешений, любая группа получает объект групповой политики.
edit //: Однако добавление компьютеров в вашу фильтрацию выиграло Это совсем не поможет, потому что у вас есть GPO, настраиваемый пользователем. Учетная запись компьютера здесь не имеет значения. Loopback, вероятно, больше подходит для того, чего вы хотите достичь,но я не уверен, сработает ли шлейф на компьютерах + фильтрация безопасности пользователей.