Назад | Перейти на главную страницу

GPO: разные GPO для разных пользователей на разных ПК

Я хотел бы спросить вас, как добиться разных GPO для разных пользовательских OU на разных компьютерах. Я все еще новичок в этом. Он работает под управлением Windows Server 2012 R2.

Чтобы понять нашу структуру OU, вот изображение: Структура OU

В качестве примера я расскажу об отключении диспетчера задач. Дело в том, что пользователи из OU Departments регистрируются на своих рабочих станциях, а также на сервере RDS. Мне нужно разрешить им иметь диспетчер задач на своих рабочих станциях, но не на RDS. То же самое касается удаленных пользователей, которые регистрируются в основном в RDS и не должны иметь диспетчера задач. Но есть и опытные пользователи, у которых должен быть диспетчер задач как на своей рабочей станции, так и на RDS. Но также мне нужно, чтобы они запускали сценарий, если они входят в рабочую станцию, а не RDS.

Я знаю, что для отключения диспетчера задач в RDS для OU Departments я мог бы использовать Loopback-обработку, но я очень запутался, как добиться разных GPO для опытных пользователей. Нужно ли мне помещать их в отдельные группы безопасности, создавать два объекта групповой политики с обработкой петли и разделять их с помощью фильтрации безопасности? Или есть другой подход?

Спасибо.

Просто создайте новую группу безопасности, добавьте пользователей в группу, затем создайте объект групповой политики и добавьте новую группу в качестве локальных пользователей на рабочих станциях (проверьте следующую ссылку, чтобы добавить группы безопасности в определенные локальные группы) http://www.expta.com/2011/02/adding-users-to-local-security-groups.html

В том же объекте групповой политики добавьте следующее (по ключу реестра) для включения диспетчера задач и назначьте новый объект групповой политики для подразделения рабочих станций.

Чтобы включить диспетчер задач:

REG добавить HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System / v DisableTaskMgr / t REG_DWORD / d 0 / f

Создайте еще один объект групповой политики (по ключу реестра), чтобы отключить диспетчер задач, и назначьте новый объект групповой политики для RDS OU. Чтобы отключить диспетчер задач:

REG добавить HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System / v DisableTaskMgr / t REG_DWORD / d 1 / f

Ваш пример немного сбивает с толку, но, возможно, я смогу помочь с несколькими правилами. GPO применяются по порядку, поэтому побеждает любой GPO, примененный последним. I.E. Если вы включите его в одной политике и отключите в другой, то политика, которая когда-либо применялась последней, вступит в силу. Объекты групповой политики могут быть как машинными, так и пользовательскими. Поэтому, если вы применяете политику диспетчера задач, которая, как я полагаю, основана на пользователях, вам нужно сначала применить политику ко всем стандартным пользователям, чтобы отключить ее, а затем иметь другую политику, чтобы снова включить ее для опытных пользователей. Надеюсь это поможет.

При использовании объекта групповой политики, нацеленного Пользователь конфигурации, чтобы предотвратить ее применение к какому-либо типу операций, ее можно достичь более простым способом, чем обработка обратной петли с помощью фильтра WMI.

Используйте фильтр WMI.

SELECT * FROM Win32_OperatingSystem WHERE ProductType = 3

Чтобы ограничить запрос только клиентами или только серверами, добавьте предложение, которое включает параметр ProductType. Для фильтрации только клиентских операционных систем, таких как Windows 7 или Windows Vista, используйте только ProductType = "1". Для серверных операционных систем, не являющихся контроллерами домена, используйте ProductType = "3". Только для контроллеров домена используйте ProductType = "2". Это полезное различие, потому что вы часто хотите предотвратить применение ваших GPO к контроллерам домена в вашей сети.

Оттуда свяжите объект групповой политики с подразделением, в котором находится ваш пользователь, и / или удалите аутентифицированного пользователя и выберите группу безопасности.

Фильтр WMI создаст условие, если он вернет правда, то объект групповой политики применяется, если пользователь находится в правильном подразделении и входит в группу безопасности, если вы ее задали.

Некоторая ссылка там