В настоящее время я борюсь со следующей проблемой: в нашей организации мы хотим запретить большинству пользователей доступ к OneDrive. Я нашел следующий параметр GPO в конфигурации компьютера, чтобы установить это:
Administrative Templates/Windows Components/OneDrive/Prevent the usage of OneDrive for file storage
Однако руководству должно быть разрешено использовать OneDrive, поэтому я создал глобальную группу безопасности, содержащую всех управляющих пользователей, «GRP_ALLOW_ONEDRIVE».
Теперь у нас есть 2 OU: одна содержит пользователя, а другая - компьютеры. Поэтому я связываю этот GPO с КОМПЬЮТЕРНЫМ OU и добавляю отказ в настройках безопасности для этой конкретной группы пользователей ...
Но это, похоже, не работает, о чем я должен был догадаться в первую очередь, потому что это Конфигурация компьютера ...
Итак, в основном мой вопрос сводится к следующему:
Как я могу успешно создать объект групповой политики в подразделении КОМПЬЮТЕРЫ, чтобы отключить OneDrive, за исключением пользователей в группе исключений? Неважно, на каком компьютере выполняется вход в систему, у них всегда должен быть доступ к OneDrive. Все остальные пользователи не должны иметь возможность запускать OneDrive, независимо от того, на каком компьютере они входят.
Спасибо!
К сожалению, это невозможно. Вы не можете применять или фильтровать параметры конфигурации компьютера к пользователям.
Что вы могли бы сделать, так это использовать политики ограниченного использования программ в настройках конфигурации пользователя, чтобы заблокировать исполняемый файл OneDrive. Затем вы можете отфильтровать этот объект групповой политики для определенных пользователей или групп.
вы не можете применить компьютерный объект групповой политики к пользователям. Параметры компьютера каждого объекта групповой политики применяются на уровне компьютера, независимо от входа пользователя в систему. Компьютер использует собственная учетная запись компьютера домена для доступа к GPO, поэтому группы фильтрации безопасности, содержащие пользователей, в первую очередь исключают учетные записи компьютеров от применения GPO. Группы безопасности отрицание доступ к GPO для пользователей не помешает учетной записи компьютера получить доступ и применить Computer Configuration часть GPO.
Вкратце: вы не можете сопоставить настройки в Computer Configuration отдельным пользователям. Вам нужно будет найти некоторые настройки, специфичные для пользователя (например, ключ в HKEY_CURRENT_USER) что отключает OneDrive для пользователя, а не глобально на компьютере.