การใช้ GPO กับผู้ใช้หนึ่งรายบนคอมพิวเตอร์เครื่องเดียวเท่านั้น

10

ฉันมี GPO ที่ฉันต้องการนำไปใช้กับผู้ใช้DOMAIN\DumbGuyแต่เฉพาะเมื่อเขาเข้าสู่DOMAIN\DumbGuysComputer$ระบบ เมื่อDOMAIN\NiceReceptionistเข้าสู่ระบบDOMAIN\DumbGuysComputer$มันไม่ควรใช้ เมื่อDOMAIN\DumbGuyเข้าสู่ระบบDOMAIN\ReceptionstsComputer$มันไม่ควรใช้

มันต้องใช้เฉพาะเพียงเพื่อคนคนหนึ่งบนคอมพิวเตอร์เครื่องหนึ่ง

ถ้าฉันใช้วัตถุนโยบายกลุ่มกับวัตถุผู้ใช้วัตถุนั้นจะมีผลกับคอมพิวเตอร์ทุกเครื่องของเขา ถ้าฉันใช้ GPO กับวัตถุคอมพิวเตอร์วัตถุนั้นจะนำไปใช้กับผู้ใช้ทุกคนในคอมพิวเตอร์เครื่องนั้น หากฉันนำไปใช้กับทั้งสองอย่างมันก็จะยิ่งกว้างขึ้น

ฉันจะใช้ GPO กับผู้ใช้เพียงคนเดียวในคอมพิวเตอร์เครื่องเดียวได้อย่างไร

active-directory group-policy

— มาร์คเฮนเดอร์สัน
แหล่งที่มา

นี่เป็นเพียงการตั้งค่าผู้ใช้หรือไม่

— pauska

ใช่มันเป็นสคริปต์การเข้าสู่ระบบ

— Mark Henderson

11

คำแนะนำของฉันคล้ายกับที่อาศัยอยู่ใน ..

สร้าง sub-OU สำหรับคอมพิวเตอร์เครื่องเดียวสร้าง GPO ในนั้นและตั้งเป็นโหมดวนย้อนกลับ ใช้การกรองความปลอดภัยบน GPO เพื่อให้DumbGuyมีสิทธิ์ใช้งานเท่านั้น ฉันไม่เห็นเหตุผลที่จะใช้ GPO สองแบบที่แตกต่างกัน

สำคัญมาก! อย่ากรองสิทธิ์ "อ่าน" จากผู้ใช้ที่ได้รับการรับรองความถูกต้องเนื่องจากระบบย่อยของนโยบายกลุ่มจำเป็นต้องอ่าน GPO ก่อนที่จะนำไปใช้กับผู้ใช้

— pauska
แหล่งที่มา

ฉันทำเมื่อเช้านี้และมันก็ใช้ได้ดี สร้าง Sub-OU, ใส่คอมพิวเตอร์ของเขา, ใส่ GPO ใน OU และกรองไปยังชื่อผู้ใช้ของเขา Perfecto

— Mark Henderson

+1 - เหมือนกันฉันจะทำยังไง

— Evan Anderson

1

PS ขอบคุณสำหรับเคล็ดลับสุดท้ายเช่นกัน; ฉันลืมเสมอว่าการลบ "ผู้ใช้ที่ได้รับการรับรองความถูกต้อง" จากการกรองความปลอดภัยจะลบสิทธิ์การมอบหมายของพวกเขาด้วย

— Mark Henderson

6

ฉันจะดูการประมวลผลลูปนโยบายกลุ่มร่วมกับการกรองความปลอดภัย คุณสามารถใช้คุณลักษณะวนรอบนโยบายกลุ่มเพื่อใช้วัตถุนโยบายกลุ่ม (GPO) ที่ขึ้นอยู่กับคอมพิวเตอร์ที่ผู้ใช้เข้าสู่ระบบเท่านั้น

นี่คือตัวอย่างของวิธีที่จะสามารถดำเนินการ

จริงๆแล้วฉันจะใช้สิ่งนี้อย่างไร:

สร้าง GPO ที่แตกต่างกันสองรายการและกำหนดให้กับ DOMAIN \ DumbGuysComputer $

กำหนดค่า GPO แรกด้วยการประมวลผลลูปแบ็คตั้งค่าในโหมดแทนที่และกำหนดค่าการกรองความปลอดภัยเพื่อใช้กับผู้ใช้DOMAIN \ DumbGuyเท่านั้น

กำหนดค่าวัตถุนโยบายกลุ่มที่สองโดยไม่ต้องดำเนินการวนรอบและกำหนดค่าการกรองความปลอดภัยเพื่อใช้กับผู้ใช้DOMAIN \ NiceReceptistเท่านั้น

— Volodymyr M.
แหล่งที่มา

5

ฉันอาจจะเพียงแค่เชื่อมโยง GPO กับ OU ที่ผู้ใช้อยู่และใช้การกรองความปลอดภัยหรือ WMI เพื่อให้แน่ใจว่าจะใช้กับผู้ใช้รายนั้นเท่านั้นจากนั้นรวมสคริปต์ทั้งหมดในif($ENV:computername -eq whatever){}บล็อก

— MDMarra
แหล่งที่มา

มันฉลาดมาก! วิธีแก้ปัญหาของ Pauska นั้นค่อนข้างเล็ก แต่ถ้าฉันไม่สามารถย้าย OU ของคอมพิวเตอร์ฉันจะทำสิ่งนี้

— Mark Henderson

0

วัตถุนโยบายกลุ่มวัตถุคอมพิวเตอร์หรือวัตถุทั้งสองใน OU และคุณไม่สามารถทำให้วัตถุนโยบายกลุ่มนำไปใช้กับวัตถุคอมพิวเตอร์เฉพาะเมื่อผู้ใช้บางอย่างเข้าสู่ระบบคอมพิวเตอร์นั้นหรือนำไปใช้กับวัตถุผู้ใช้เฉพาะเมื่อผู้ใช้นั้น บันทึกลงในคอมพิวเตอร์บางเครื่อง

— ฤดูหนาว Faulk
แหล่งที่มา

ดูเหมือนว่าคุณจะไม่สามารถทำได้ด้วยการกรองแบบมาตรฐาน แต่มีวิธีแก้ไขปัญหานี้

— Mark Henderson

0

ฉันสร้างตัวกรอง WMI ที่ดูเหมือนว่าจะทำงาน:

Select * from WIN32_OperatingSystem where NOT CSName="PCName"

คุณสามารถทดสอบแบบสอบถาม WMI ใน PowerShell โดยใช้:

gwmi -Query 'Select * from WIN32_OperatingSystem...'

— เครื่องหมาย
แหล่งที่มา