Menerapkan GPO ke satu pengguna di satu komputer saja

10

Saya memiliki GPO yang harus saya terapkan kepada pengguna DOMAIN\DumbGuy, tetapi hanya ketika dia masuk DOMAIN\DumbGuysComputer$. Saat DOMAIN\NiceReceptionistmasuk ke DOMAIN\DumbGuysComputer$situ seharusnya tidak berlaku. Saat DOMAIN\DumbGuymasuk ke DOMAIN\ReceptionstsComputer$situ seharusnya tidak berlaku.

Itu hanya perlu berlaku untuk satu orang di satu komputer .

Jika saya menerapkan GPO ke objek Pengguna, itu akan berlaku untuk semua komputernya. Jika saya menerapkan GPO ke objek Komputer, itu akan berlaku untuk semua pengguna di komputer itu. Jika saya menerapkannya pada keduanya, itu menyebar bahkan lebih luas.

Bagaimana saya bisa menerapkan GPO hanya ke satu pengguna di satu komputer?

active-directory group-policy Mark Henderson
sumber
Apakah ini hanya pengaturan pengguna?
pauska
Ya, ini adalah logon script
Mark Henderson

Jawaban:

11

Saran saya mirip dengan penghuni ..

Buat sub-OU hanya untuk komputer tunggal itu, buat GPO di dalamnya dan atur ke mode penggabungan loopback. Gunakan pemfilteran keamanan pada GPO sehingga hanya DumbGuymemiliki izin untuk menerapkannya. Saya tidak melihat alasan untuk menggunakan dua GPO yang berbeda.

Banyak yang penting! Jangan memfilter hak "baca" dari pengguna yang diautentikasi, karena subsistem kebijakan grup perlu membaca GPO sebelum berlaku untuk pengguna

pauska
sumber
Saya sudah melakukan ini pagi ini dan itu bekerja dengan baik. Membuat Sub-OU, memasukkan komputer ke dalamnya, meletakkan GPO di OU dan memfilternya ke nama pengguna. Perfecto.
Mark Henderson
+1 - Persis bagaimana saya akan melakukannya juga.
Evan Anderson
1
PS Terima kasih atas tip terakhirnya juga; Saya selalu lupa bahwa menghapus "Pengguna yang Diotentikasi" dari pemfilteran keamanan juga menghapus izin delegasi mereka.
Mark Henderson
6

Saya akan melihat Pemrosesan Kebijakan Loopback Grup bersama dengan Penyaringan Keamanan. Anda dapat menggunakan fitur loopback Kebijakan Grup untuk menerapkan Objek Kebijakan Grup (GPO) yang hanya bergantung pada komputer yang digunakan pengguna untuk masuk.

Ini adalah contoh cara penerapannya .

Sebenarnya, bagaimana saya menerapkan ini:

Buat dua GPO yang berbeda dan tetapkan ke DOMAIN \ DumbGuysComputer $.

Konfigurasikan GPO pertama dengan Pemrosesan Loopback yang diatur dalam Mode Ganti dan konfigurasikan Pemfilteran Keamanan hanya berlaku untuk pengguna DOMAIN \ DumbGuy .

Konfigurasikan GPO kedua tanpa Loopback Memproses dan mengonfigurasi Penyaringan Keamanan hanya berlaku untuk pengguna DOMAIN \ NiceReceptionist .

Volodymyr M.
sumber
5

Saya mungkin hanya akan menautkan GPO ke OU bahwa pengguna berada dan menggunakan pemfilteran keamanan atau WMI untuk memastikan bahwa itu hanya berlaku untuk satu pengguna, kemudian bungkus seluruh skrip dalam satu if($ENV:computername -eq whatever){}blok.

MDMarra
sumber
Ini sangat pintar! Solusi Pauska sedikit lebih rapi, tetapi jika saya tidak bisa memindahkan OU komputer saya akan melakukan ini.
Mark Henderson
0

GPO berlaku untuk eter objek pengguna, objek komputer atau kedua objek dalam OU dan Anda tidak dapat membuat GPO hanya berlaku untuk objek komputer hanya jika pengguna tertentu masuk ke komputer itu atau berlaku untuk objek pengguna hanya jika pengguna itu login ke komputer tertentu.

Faulk Musim Dingin
sumber
Tampaknya Anda tidak dapat melakukan ini dengan pemfilteran standar, tetapi ada solusi untuk hal itu
Mark Henderson
0

Saya membuat filter WMI yang sepertinya berfungsi:

Select * from WIN32_OperatingSystem where NOT CSName="PCName"

Anda dapat menguji permintaan WMI di PowerShell menggunakan:

gwmi -Query 'Select * from WIN32_OperatingSystem...'
Menandai
sumber