В среде server 2008 R2 и Windows 7 у меня есть объект групповой политики, который определяет параметры экранной заставки в политике параметров пользователя для всего домена. Однако для конкретных компьютеров это не идеально.
Я создал отдельный объект групповой политики с более высоким приоритетом, включил возвратную петлю с параметром замены и указал правила заставки. В фильтре безопасности указаны только те компьютеры, к которым должен применяться объект групповой политики. Однако, как есть, эта политика никогда не применяется - gpresult / z указывает это в пользовательских настройках для объекта групповой политики: «Фильтрация: запрещена (безопасность)».
Если я добавлю «пользователей домена» к фильтру безопасности, то объект групповой политики применяется к все пользователей в домене, независимо от того, какой компьютер они используют.
Как я могу применить GPO к любому пользователю, который входит только в определенные компьютеры?
К сожалению, применение GPO к подразделениям невозможно, поскольку компьютеры уже отсортированы по различным подразделениям для других целей.
[править]: В фильтре безопасности я пробовал:
Какие еще варианты есть, чтобы попробовать?
Есть ли способ указать, можно ли объединить элементы в фильтре безопасности, используя «и», а не «или»?
Вам нужно будет создать новое подразделение для этих компьютеров, а затем применить объект групповой политики к этому вновь созданному подразделению.
Это можно сделать пятью способами:
(Разделение OU)
Вы можете разделить компьютеры и пользователей по разным OU и связать политику с OU компьютеров. Чтобы использовать политику обратной связи, и пользователь, и компьютер должны иметь разрешения на чтение и применение для политики, поэтому, если вы разделите их, вы легко можете установить безопасность для «пользователей домена» и «компьютеров домена» - политика будет применяться ко всем пользователям. которые работают на компьютерах, которые входят в подразделения, политика которых связана с
(Уловка с пометкой)
В качестве альтернативы вы можете сделать уловку - вы можете добавить `` файл-флаг '' на компьютеры, на которых вам нужно применить GPO: вы должны создать политику без обратной связи только для пользователя, которая устанавливает заставку и фильтрует ее с помощью фильтра WMI, проверяя наличие локального флага -файл как "Select * From CIM_Datafile Where Name = 'C:\\Windows\\spc.screensaver.flag'". Вы должны установить безопасность на Domain Users - прочтите и примените. Во-вторых, вы должны сделать дополнительную политику для тех компьютеров, которые будут создавать этот файл (это легко сделать, не буду объяснять). Эта политика не должна быть обратной петлей и должна применяться только для компьютера. Безопасность должна быть установлена на Special Screensaver Computers - прочтите и примените
(Обычный сценарий запуска - редактирование реестра)
В качестве альтернативы вы можете создать сценарий, который следует поместить через политику в общую папку автозагрузки для компьютеров из Special Screensaver Computers группа. Когда любой пользователь войдет в систему на этом компьютере, этот сценарий будет выполняться с правами пользователя и изменять некоторые ключи реестра HKCU и т. Д. Итак, опять же, это не политика обратной связи.
(Имена компьютеров в жестком коде в фильтре WMI)
Кроме того, вы можете жестко указать имена компьютеров в фильтрах WMI. О Боже.
(Использовать таргетинг на уровне элементов - редактирование реестра)
В качестве альтернативы вы можете настроить заставку с помощью GPP (создание политики замены реестра). Это поддерживает таргетинг на уровне элементов, и вы можете создать правило для применения изменения реестра, только если 'Компьютер в группе безопасности Special Screensaver Computers'- в этом случае вы должны сделать политику обратной связи с установкой безопасности на Special Screensaver Computers и Domain users - прочитать, применить и внести исправление в реестр в конфигурации пользователя с включением таргетинга на уровне элементов, чтобы проверить, входит ли компьютер в группу, подходящую для безопасности. Обратите внимание, что GPP применим к XP SP2 \ 3 с установленным KB943729. Не уверен, работает ли Target-Level Targeting в XP SP2
(---)
Поскольку вам необходимо установить этот параметр для каждого компьютера, а политика должна применяться ко всем пользователям на этих компьютерах, вам необходимо установить безопасность на Domain Users для этой политики. И когда пользователь входит в систему, он считывает все политики, назначенные подразделению, в котором находится пользователь. В настоящее время политиками поддерживаются только три типа фильтрации - разделение подразделений (обычно это происходит в обе стороны), фильтрация WMI и таргетинг на уровне элементов.
Ты пробовала WMI фильтрация?
В моей организации было много объектов групповой политики с обратной связью, и они представляли собой беспорядок.
Я разделил все эти GPO на «Политику компьютера» и «Политика пользователя», поэтому «Политика компьютера» применяется к соответствующим компьютерам (здесь нет проблем), а «Политика пользователя» применяется ко всем пользователям, но включает фильтр WMI, поэтому политика применяется только на определенных компьютерах.
Конечно, необходим способ идентификации соответствующих станций через WMI.
Ты можешь использовать WMIExplorer чтобы узнать, какие варианты доступны.
Если нет возможности правильно их идентифицировать, вам придется прибегнуть к разделенным OU.
Здесь еще несколько примеров фильтров WMI.
Поскольку это был старый вопрос, я уже закончил реорганизацию всего в подразделения и использовал политику обратной связи, как предлагалось ранее.