Làm cách nào để bỏ qua xử lý loopback GPO cho một số người dùng?

Như bạn có thể biết, xử lý loopback là một tính năng của Chính sách nhóm Active Directory áp dụng cài đặt người dùng trong GPO cho bất kỳ người dùng nào đăng nhập vào máy tính trong phạm vi của GPO (trong khi hành vi tiêu chuẩn sẽ chỉ áp dụng cài đặt người dùng nếu tài khoản người dùng thực sự nằm trong phạm vi của GPO). Điều này hữu ích khi bạn muốn tất cả người dùng đăng nhập vào một máy tính cụ thể nhận được một số chính sách người dùng, bất kể tài khoản người dùng của họ thực sự nằm ở đâu trong AD.

Vấn đề: khi xử lý loopback được bật, GPO chứa cài đặt người dùng được áp dụng cho mọi người sử dụng các máy tính đó và bạn không thể bỏ qua điều này bằng cách sử dụng ACL trên GPO, vì nó không thực sự được áp dụng cho người dùng , mà cho máy tính .

Câu hỏi: làm thế nào có thể bỏ qua xử lý loopback cho những người dùng cụ thể cần đăng nhập vào các máy tính đó nhưng không phải tuân theo các cài đặt chính sách đó?

Trường hợp cụ thể: có một số máy chủ đầu cuối trong đó GPO có xử lý loopback được sử dụng để thực thi các hạn chế người dùng nặng đối với mọi người đăng nhập vào chúng (về cơ bản họ chỉ có thể chạy một loạt các ứng dụng được công ty phê duyệt); nhưng điều này áp dụng ngay cả với Quản trị viên tên miền , do đó được kết xuất thậm chí không thể khởi chạy một dấu nhắc lệnh hoặc mở trình quản lý tác vụ. Trong trường hợp này, làm cách nào tôi có thể yêu cầu AD không thực thi các cài đặt đó nếu người dùng đăng nhập thuộc về một nhóm cụ thể (chẳng hạn như Quản trị viên tên miền)? Ngoài ra, ngay cả giải pháp ngược lại ("chỉ áp dụng các cài đặt đó cho người dùng thuộc một nhóm cụ thể") sẽ ổn.

Nhưng xin vui lòng, hãy nhớ rằng chúng ta đang nói về xử lý loopback ở đây. Các chính sách được áp dụng cho máy tính và cài đặt người dùng bên trong chúng chỉ được áp dụng cho người dùng vì họ đang đăng nhập vào các máy tính đó (vâng, tôi biết đó là điều khó hiểu, xử lý loopback là một trong những điều khó nhất để hiểu đúng về Chính sách nhóm).

Tôi nghĩ giải pháp sẽ là lọc WMI (đó là cách tôi đã thực hiện ở vị trí của mình).

Bạn tạo bộ lọc WMI để bắt những máy trạm mà bạn muốn.
Bạn tạo GPO chỉ với cài đặt người dùng và với tính năng lọc bảo mật.
Bạn đặt hai cái lại với nhau và đặt GPO vào thùng chứa người dùng.

Vì vậy, bộ lọc WMI chỉ định trình biên dịch mà nó áp dụng và bộ lọc bảo mật mà người dùng áp dụng.

Và thả loopback.
Nó sẽ khiến bạn đau đầu hơn bạn mặc cả, vì nó không chỉ áp dụng cho GPO được chỉ định mà nó được định cấu hình, mà cho tất cả các chính sách được áp dụng cho máy tính.

Cập nhật
Nếu bạn đã cài đặt kb3163622 trên máy trạm của mình, bạn chỉ có thể thực hiện tương tự bằng cách sử dụng các nhóm bảo mật.
Bản cập nhật này thay đổi cách áp dụng chính sách người dùng.
Từ giờ trở đi, chính sách người dùng thực sự được áp dụng trong cả bối cảnh bảo mật máy tính và người dùng.
Vì vậy, nếu bạn đưa vào bộ lọc bảo mật của GPO đó cho các máy tính và người dùng mà bạn muốn áp dụng, điều đó sẽ thực hiện thủ thuật tương tự như WMI (giả sử bạn sẽ không truy vấn phức tạp).

Việc từ chối cấp phép Chính sách nhóm áp dụng cho các nguyên tắc bảo mật được đề cập (Người dùng / Nhóm) đối với chính sách nhóm với cài đặt người dùng trong máy tính OU sẽ ngăn các chính sách nhóm người dùng được liên kết tại OU máy tính áp dụng.

Tuy nhiên, nếu xử lý chính sách loopback được định cấu hình cho chế độ Thay thế, các chính sách nhóm người dùng có phạm vi cho vị trí tài khoản người dùng (chứ không phải cho máy tính) sẽ bị bỏ qua.