Chỉ áp dụng GPO cho một người dùng trên một máy tính

10

Tôi có GPO mà tôi cần áp dụng cho người dùng DOMAIN\DumbGuy, nhưng chỉ khi anh ấy đăng nhập DOMAIN\DumbGuysComputer$. Khi DOMAIN\NiceReceptionistđăng nhập vào DOMAIN\DumbGuysComputer$nó không nên áp dụng. Khi DOMAIN\DumbGuyđăng nhập vào DOMAIN\ReceptionstsComputer$nó không nên áp dụng.

Nó chỉ cần áp dụng cho một người trên một máy tính .

Nếu tôi áp dụng GPO cho đối tượng Người dùng, nó sẽ áp dụng cho tất cả các máy tính của anh ta. Nếu tôi áp dụng GPO cho đối tượng Máy tính, nó sẽ áp dụng cho tất cả người dùng trên máy tính đó. Nếu tôi áp dụng nó cho cả hai, nó sẽ lan rộng hơn nữa.

Làm cách nào tôi có thể áp dụng GPO cho chỉ một người dùng trên một máy tính?

active-directory  group-policy 
Mark Henderson
nguồn
Đây chỉ là cài đặt người dùng?
pauseka
Vâng, đó là một kịch bản đăng nhập
Mark Henderson

Câu trả lời:

11

Đề nghị của tôi tương tự như cư dân ..

Tạo một OU phụ chỉ cho một máy tính đó, tạo GPO trong đó và đặt nó ở chế độ hợp nhất loopback. Sử dụng lọc bảo mật trên GPO để chỉ DumbGuycó quyền áp dụng nó. Tôi không thấy bất kỳ lý do nào cho việc sử dụng hai GPO khác nhau.

Quan trọng là nhiều! Không lọc quyền "đọc" từ người dùng được xác thực, vì hệ thống con chính sách nhóm cần đọc GPO trước khi áp dụng cho người dùng

tạm dừng
nguồn
Tôi đã làm sáng nay và nó hoạt động tốt. Tạo một Sub-OU, đặt máy tính của anh ta vào đó, đặt GPO trên OU và lọc nó vào tên người dùng của anh ta. Hoàn hảo.
Mark Henderson
+1 - Chính xác là tôi cũng sẽ làm như vậy.
Evan Anderson
1
PS Cảm ơn vì lời khuyên cuối cùng là tốt; Tôi luôn quên rằng việc xóa "Người dùng được xác thực" khỏi bộ lọc bảo mật cũng loại bỏ quyền ủy quyền của họ.
Mark Henderson
6

Tôi sẽ xem xét Xử lý vòng lặp chính sách nhóm kết hợp với Lọc bảo mật. Bạn có thể sử dụng tính năng quay vòng Chính sách nhóm để áp dụng Đối tượng chính sách nhóm (GPO) chỉ phụ thuộc vào máy tính mà người dùng đăng nhập vào.

Đây là một ví dụ về cách nó có thể được thực hiện .

Trên thực tế, làm thế nào tôi thực hiện điều này:

Tạo hai GPO khác nhau và gán chúng cho DOMAIN \ DumbGuysComputer $.

Định cấu hình GPO đầu tiên với Bộ xử lý lặp lại được đặt trong Chế độ thay thế và định cấu hình Lọc bảo mật để chỉ áp dụng cho người dùng DOMAIN \ DumbGuy .

Định cấu hình GPO thứ hai mà không xử lý Loopback và định cấu hình Lọc bảo mật để chỉ áp dụng cho người dùng DOMAIN \ NiceRecellectist .

Volodymyr M.
nguồn
5

Tôi có lẽ chỉ cần liên kết GPO với OU mà người dùng đang sử dụng và sử dụng bộ lọc bảo mật hoặc WMI để đảm bảo rằng nó chỉ áp dụng cho một người dùng đó, sau đó bọc toàn bộ tập lệnh trong một if($ENV:computername -eq whatever){}khối.

MDMarra
nguồn
Điều này rất thông minh! Giải pháp của Pauska gọn gàng hơn một chút, nhưng nếu tôi không thể di chuyển OU của máy tính, tôi sẽ làm điều này.
Mark Henderson
0

GPO áp dụng cho ether đối tượng người dùng, đối tượng máy tính hoặc cả hai đối tượng trong OU và bạn không thể tạo GPO chỉ áp dụng cho đối tượng máy tính nếu một người dùng nào đó đăng nhập vào máy tính đó hoặc chỉ áp dụng cho đối tượng người dùng nếu người dùng đó đăng nhập vào một máy tính nhất định.

Mùa đông Faulk
nguồn
Có vẻ như bạn không thể làm điều này với bộ lọc tiêu chuẩn, nhưng có cách giải quyết cho nó
Mark Henderson
0

Tôi đã tạo bộ lọc WMI có vẻ hoạt động:

Select * from WIN32_OperatingSystem where NOT CSName="PCName"

Bạn có thể kiểm tra các truy vấn WMI trong powershell bằng cách sử dụng:

gwmi -Query 'Select * from WIN32_OperatingSystem...'
dấu
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.