Как вы, наверное, знаете, кольцевая обработка это функция групповых политик Active Directory, которая применяется пользователь настройки в GPO для любого пользователя, который входит в компьютеры в области действия объекта групповой политики (тогда как стандартным поведением было бы применение параметров пользователя только в том случае, если учетная запись пользователя фактически находится в области действия объекта групповой политики). Это полезно, когда вы хотите, чтобы все пользователи, входящие в систему на определенном компьютере, получали какую-либо политику пользователя, независимо от того, где их учетные записи фактически расположены в AD.
Проблема: при включенной петлевой обработке объект групповой политики, содержащий пользовательские настройки, применяется к все используя эти компьютеры, и вы не можете обойти это, используя списки ACL в GPO, потому что это фактически не применяется к пользователи, но компьютеры.
Вопрос: как можно обойти обработку обратной связи для определенных пользователей, которым необходимо войти в систему на этих компьютерах, но на которые не должны распространяться эти параметры политики?
Показательный пример: существует несколько терминальных серверов, на которых объекты групповой политики с обработкой обратной связи используются для обеспечения жестких пользовательских ограничений для всех, кто входит в них (в основном они должны иметь возможность запускать только набор приложений, одобренных компанией); но это относится даже к Администраторы домена, которые, таким образом, не могут даже запустить командную строку или открыть диспетчер задач. В этом сценарии, как я могу сказать AD не применять эти параметры, если входящий в систему пользователь принадлежит определенной группе (например, администраторам домена)? В качестве альтернативы подойдет даже противоположное решение («применять эти настройки только к пользователям, принадлежащим к определенной группе»).
Но помните, что мы говорим о кольцевая обработка Вот. Политики применяются к компьютеры, и пользовательские настройки внутри них применяются к пользователям только потому, что они входят в систему на этих компьютерах (да, я знаю, что это сбивает с толку, обработка обратной петли - одна из самых сложных вещей, которые нужно понять в отношении групповых политик).
Запретить ACE для разрешения «Применение групповой политики» для рассматриваемых субъектов безопасности (пользователя / группы) в групповых политиках с пользовательскими настройками в компьютерном OU предотвратит применение групповых политик пользователей, связанных в компьютерном OU.
Однако, если обработка политики обратной связи настроена для режима замены, групповые политики пользователей, которые находятся в области для расположения учетной записи пользователя (а не для компьютера), будут игнорироваться.
Думаю, решением будет фильтрация WMI (так я и сделал на своем месте).
Вы создаете фильтр WMI, который ловит те рабочие станции, которые вам нужны.
Вы создаете объект групповой политики только с пользовательскими настройками и с фильтрацией безопасности.
Вы складываете их вместе и помещаете объект групповой политики в контейнер пользователей.
Таким образом, фильтрация WMI определяет компьютер, к которому она применяется, и фильтрацию безопасности пользователей, к которой она применяется.
И отбросьте шлейф.
Это доставит вам больше головной боли, чем вы ожидали, поскольку он применяется не только к указанному объекту групповой политики, в котором он настроен, но и ко всем политикам, применяемым к компьютерам.
Обновить
Если у вас есть kb3163622 установлен на ваших рабочих станциях, вы можете сделать то же самое, используя только группы безопасности.
Это обновление изменяет способ применения политик пользователей.
С этого момента пользовательские политики фактически применяются как в контексте безопасности компьютера, так и в контексте безопасности пользователя.
Поэтому, если вы включите фильтрацию безопасности этого объекта групповой политики для компьютеров и пользователей, к которым он должен применяться, это будет делать тот же трюк, что и WMI (при условии, что вы не собираетесь выполнять какой-то сложный запрос).