У меня есть запрос на применение изменений компьютерной политики к определенной группе пользователей. Например, я хочу, чтобы конкретная функция Windows (Разрешить Кортану) была доступна членам группы безопасности (CortanaUsers).
Мой первый поиск в Интернете показал мне примеры того, как настроить OU и прикрепить объект групповой политики, который применяется только к этому OU, к включенным политикам компьютера. Я обнаружил, что компьютеры необходимо вручную добавлять в OU (поскольку добавление группы компьютеров не раскрывает политику через принудительное обновление или пользователей, запускающих gpupdate на этих компьютерах). Это решение не было хорошо принято, поскольку компьютер может существовать только в OU одновременно.
Впоследствии я нашел совет добавить группу безопасности с компьютерами в корневое подразделение и применить политику в последнюю очередь. Это тоже не было хорошо воспринято, поскольку требовало предварительной информации о том, какие компьютеры будут использовать пользователи.
Наконец, мне порекомендовали выполнить сценарий входа в систему (с разрешениями локального администратора), который изменяет параметры политики компьютера, проверяя, является ли зарегистрированный пользователь членством в группе безопасности. Таким образом, функция будет включена или отключена в зависимости от того, кто на каком компьютере вошел в систему. Я не эксперт в том, как работают перемещаемые профили или подобные скрипты.
Я хочу иметь возможность применять компьютерные политики для группы пользователей безопасности. Как лучше всего это сделать?
Не совсем понятно, о чем вы спрашиваете.
Политика, на которую вы ссылаетесь, «разрешить Кортану» - это политика компьютера. Описание:
Этот параметр политики указывает, разрешена ли Кортана на устройстве. Если вы включите или не настроите этот параметр, Кортана будет разрешена на устройстве. Если вы отключите этот параметр, Кортана будет отключена. Когда Кортана отключена, пользователи по-прежнему смогут использовать поиск для поиска вещей на устройстве и в Интернете.
Как уже говорилось, этот параметр определяет, будет ли Кортана разрешена «на устройстве».
Во-первых, компьютерные политики применяются к компьютерам. К пользователям применяются политики пользователей. Их не смешивают. Компьютерные политики влияют на всех пользователей одного компьютера. Политики пользователей влияют на одного пользователя на любом компьютере.
Если вы хотите применить политику пользователя ко всем пользователям определенного компьютера, используйте так называемую «кольцевую обработку групповой политики». Вы применяете «пользовательскую» политику к определенному подразделению, содержащему компьютеры. В этой политике вы включаете режим кольцевой обработки групповой политики. Любой пользователь, который входит на эти компьютеры, получит политику пользователя.
Если вы хотите отфильтровать политику, которая применяется ко всему подразделению, но ограничить политику определенным подмножеством пользователей или компьютеров в этом подразделении, вы используете параметры безопасности или фильтрацию WMI. Чтобы политика применялась к пользователю или компьютеру, оба должны иметь разрешения на «чтение» и «применение» политики. С помощью фильтрации WMI вы можете ограничить политику так, чтобы она применялась только к очень конкретному набору пользователей или компьютеров на основе практически любой переменной, о которой вы можете подумать: версии ОС, объема ОЗУ, стиля корпуса, ключа реестра и т. Д.
Кроме того, если это политика «предпочтений групповой политики», вы можете включить таргетинг на уровне элементов и отфильтровать приложение политики на основе многих из тех же параметров, с которыми работает фильтрация WMI.
Я дал вам все необходимые термины, чтобы найти информацию о том, что вы хотите делать. Но, как я уже сказал, компьютерные политики влияют на всех пользователей компьютера. Если вы намерены применить политику компьютера, которая затрагивает всех пользователей, например, отключение брандмауэра, но вы хотите, чтобы она применялась только к подгруппе пользователей этого компьютера, вы не можете этого сделать. Вы неправильно смотрите на свою проблему и пытаетесь решить ее неправильно. Вы не можете отключить Кортану «на устройстве», а затем ожидать, что она будет работать для некоторых пользователей.