GPO không áp dụng cho OU


7

Chúng tôi có một tệp bó ( logon.bat ) ánh xạ ổ đĩa bất cứ khi nào người dùng đăng nhập.

Kịch bản này được Chính sách nhóm áp dụng cho toàn bộ miền.

Ban đầu, điều này hoạt động hoàn hảo, vì chúng tôi luôn muốn kịch bản này được áp dụng. Tuy nhiên, bây giờ chúng tôi có PC tại một trang web từ xa truy cập tên miền thông qua liên kết VPN. Các PC này có thể mất tới 5 phút để đăng nhập do sự kết hợp giữa tập lệnh ánh xạ ổ đĩa và liên kết VPN chậm. Tôi đã thử nghiệm bằng cách xóa "logon.bat" khỏi GPO "Chính sách miền mặc định" và người dùng tại trang web từ xa có thể đăng nhập nhanh hơn vài phút. Điều này là hoàn hảo - Tôi có thể ánh xạ ổ đĩa theo cách thủ công tại trang web từ xa cho số lượng nhỏ người dùng cần truy cập mạng ở đó.

Sau đó, điều tôi đã cố gắng làm là tạo ra hai OU: "Văn phòng chính " (nơi chúng tôi muốn tiếp tục sử dụng tập lệnh ánh xạ ổ đĩa) và " Off-site " (cho trang web từ xa và cả máy tính xách tay là miền- đã tham gia).

Vấn đề duy nhất là, khi tôi xóa tham chiếu đến "logon.bat" khỏi GPO "Chính sách miền mặc định" và thêm nó vào "Ổ đĩa bản đồ khi đăng nhập" được áp dụng cho "Văn phòng chính", nó không còn được áp dụng đến văn phòng chính. Tôi không thể chọn lọc chỉ áp dụng ánh xạ ổ đĩa cho người dùng tại trang web chính.

Chúng tôi không thể tiếp tục sử dụng cách tiếp cận toàn bộ hoặc không có gì với tập lệnh đăng nhập này nữa vì ảnh hưởng hiệu suất của nó đối với người dùng làm việc từ xa.

Có ai có ý tưởng tại sao ánh xạ ổ đĩa ngừng hoạt động khi tôi cố gắng lấy một GPO khác để xử lý nó không?

nhập mô tả hình ảnh ở đây

nhập mô tả hình ảnh ở đây

Câu trả lời:


9

Như đã đề cập, bạn có cài đặt chính sách người dùng được đặt thành tài khoản máy tính. Theo mặc định, điều này sẽ không hoạt động.

Bạn có thể làm cho nó hoạt động theo cách này bằng cách cho phép xử lý chế độ Loopback trên chính sách bạn đang tạo để xử lý cài đặt cho người dùng đăng nhập vào các máy tính đó. Xử lý Loopback sẽ cho phép các cài đặt chính sách người dùng được áp dụng trên chính sách được áp dụng cho tài khoản máy tính.

Xin lưu ý rằng việc bật chế độ loopback sẽ kích hoạt nó trên tất cả các chính sách trong OU đó được áp dụng sau khi chính sách kích hoạt chế độ loopback.


Cảm ơn. Tôi hơi ngạc nhiên khi cài đặt người dùng chỉ được áp dụng nếu bạn gán GPO cho người dùng (và tương tự cài đặt máy tính cho GPO được gán cho máy tính). Tôi đã giả định rằng cả cài đặt người dùng và máy tính sẽ được áp dụng cho bất kỳ người dùng hoặc máy tính nào mà GPO được chỉ định. Hình như tôi đã hoàn toàn sai về điều đó. Vì vậy, làm những gì tôi đã lên kế hoạch (chỉ áp dụng chính sách người dùng cho một số máy tính nhất định) sẽ không đơn giản như tôi nghĩ.
Austin '' Nguy hiểm '' Quyền hạn

2
Nó vẫn còn khá đơn giản. Sửa đổi chính sách hiện tại để cho phép xử lý chế độ loopback (cấu hình máy tính / Mẫu quản trị / Hệ thống / GroupPolicy / Chính sách lặp lại - cho phép cài đặt và cho bạn, có thể đặt thành hợp nhất) hoặc tạo chính sách mới với cài đặt này và có chính sách mới áp dụng trước chính sách ánh xạ ổ đĩa của bạn.
Rex

Cảm ơn. Tôi thấy video này thực hiện công việc tuyệt vời khi giải thích Chính sách nhóm Xử lý vòng lặp cho bất kỳ ai sử dụng lần đầu tiên: youtube.com/watch?v=2bZGMtOCXN0
Austin '' Nguy hiểm '' Powers

Nếu bạn đã áp dụng GPO cho OU máy tính và chỉ cần đặt chế độ xử lý loopback thành chế độ "thay thế" (nhưng thực tế không xác định bất kỳ cài đặt người dùng nào trong GPO đó để nó không thực sự xung đột với bất kỳ cài đặt người dùng nào), liệu nó có còn ngăn tất cả các cài đặt người dùng (được xác định bởi các GPO khác và được áp dụng cho người dùng đăng nhập vào máy tính này) không được áp dụng?
Austin '' Nguy hiểm '' Powers

1
Nếu bạn đặt chế độ chính sách thành "thay thế", nó sẽ bỏ cài đặt chính sách người dùng đã được áp dụng trong OU khác với bất kỳ cài đặt chính sách người dùng nào được xác định trong các đối tượng chính sách được áp dụng trong OU hiện tại sau khi áp dụng chính sách loopback. Có nghĩa là, nếu bạn có một đối tượng chính sách thứ hai trong OU máy tính với các cài đặt người dùng được áp dụng sau chính sách cho phép chính sách loopback ở chế độ thay thế, các cài đặt đó sẽ vẫn được áp dụng. Tuy nhiên, mọi cài đặt chính sách từ OU người dùng sẽ không được áp dụng.
Rex

6

Bạn có chính sách người dùng bị ràng buộc với OU máy tính . Các cài đặt cần khớp với nội dung của OU mà chúng bị ràng buộc.


Vì vậy, ngược lại, nếu tôi có GPO với các chính sách máy tính được áp dụng cho OU người dùng , chính sách máy tính cũng sẽ không được áp dụng?
Austin '' Nguy hiểm '' Quyền hạn

1
@Austin Đúng. Nếu một chính sách có cả hai yếu tố, nó cần được áp dụng cho nơi tồn tại loại đối tượng. Ngoại lệ duy nhất là xử lý loopback như Rex đề cập.
Tim Brigham

Tốt để biết. Hầu hết các GPO của chúng tôi cho đến nay đã được áp dụng ở cấp tên miền, vì vậy chúng tôi chưa bao giờ phải xem xét điều đó trước đây. Cảm ơn đã làm rõ.
Austin '' Nguy hiểm '' Powers

3

Một kịch bản đăng nhập là một chính sách người dùng. Nó sẽ không áp dụng cho các máy tính mà bạn đặt trong OU đó, vì nó áp dụng cho người dùng .


2

Như các câu trả lời khác đã nêu, chính sách người dùng không áp dụng cho máy tính, nhưng bạn có thể sử dụng chế độ xử lý loopback để cho phép điều này.

Bạn có bao nhiêu băng thông giữa các trang web và có bao nhiêu người dùng / máy tính ở trang web từ xa?

Tôi nghi ngờ sự chậm trễ mà bạn đang thấy không phải do các chính sách bạn đang áp dụng, mà thực sự là do bạn đang ánh xạ các ổ đĩa mạng qua một liên kết WAN chậm.


Tôi không thể nói chi tiết trong câu hỏi của bạn, nhưng nếu bạn chưa có, bạn sẽ thấy một sự cải thiện lớn nếu bạn đã cài đặt bộ điều khiển miền tại trang web từ xa của mình, định cấu hình trang web & mạng con AD và thiết lập DFSR thành nhân rộng chia sẻ mạng của bạn giữa hai trang web.

Chúng tôi đã chạy một thiết lập tương tự từ khoảng năm 2006, sao chép khoảng 500 GB dữ liệu giữa hai máy chủ tệp có băng thông không lớn hơn tối đa lý thuyết là 384Kb / giây. Tùy thuộc vào lượng dữ liệu / băng thông bạn có, tôi khuyên bạn nên khởi động sao chép ban đầu với máy chủ trang web từ xa đặt tại văn phòng chính, nếu không bạn có thể chờ đợi quá trình đồng bộ hóa ban đầu trong một thời gian dài.


Tôi rất thích thiết lập một máy chủ khác, nhưng đó là một tổ chức phi lợi nhuận với ngân sách eo hẹp và tôi không nghĩ họ có thể biện minh cho chi phí ... đặc biệt là xem xét việc này đã hoạt động rất tốt (ngoài việc đăng nhập bị trì hoãn). Tôi rất vui khi thử nghiệm xử lý vòng lặp GP tối nay (có thể là "hợp nhất" thay vì "thay thế") vì có vẻ như nó có thể giải quyết vấn đề cuối cùng mà họ gặp phải với cấu hình này.
Austin '' Nguy hiểm '' Quyền hạn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.