Кажется, я застрял. Я вырос в основном из POSIX и глубоко погрузился в этот вопрос, поэтому учусь по ходу дела - так что не уверен, нет ли решения или это мой собственный Даннинг-Крюгер.
Настроить:
(Попытка сохранить как можно больше внутреннего FLOSS, а не FLOSS только там, где невозможно убежать)
Пока все выглядит нормально: получил базовую, стабильную настройку в соответствии с документами, отправил некоторые базовые объекты групповой политики в сеть (например, создал файл в% TEMP% или что-то подобное), поэтому можно подтвердить, что создание базовых объектов групповой политики и разрешения в порядке.
gpupudate и др. все в порядке.
Что мне теперь нужно сделать, так это лучше нацелить объект групповой политики и протестировать влияние на меньшее подмножество рабочих столов перед развертыванием во всей организации.
То, что я могу собрать (и именно здесь пределы моих знаний о w32 резко выделяются), это достигается путем создания и применения фильтра WMI к указанному объекту групповой политики.
Из того, что я понял, это кажется довольно ванильным SQL или SQL-подобным синтаксисом, и предлагаемый способ создания таких операторов - использовать WMI Explorer для исследования пространств имен и построения указанных целевых запросов. (на самом деле довольно приятно)
Очевидно, что инструмент может опрашивать пространства имен localhost абсолютно нормально, но когда я пытаюсь подключить его к DC, я терплю неудачу, так как в Linux / POSIX нет WMI или RPC, о которых можно было бы говорить (что кажется очевидным, но стараюсь не делать слишком много предположений).
Это оставляет меня в шатком положении - мне нужно делать то, что кажется вполне нормальной работой системного администратора, но Samba, похоже, не поддерживает WMI (и вики, похоже, это подтверждают), и окна, похоже, сильно зависят от и широко используют оф.
Но мне все еще нужно найти хороший / стабильный способ применения более целенаправленного и тонкого подхода к развертыванию элементов управления на большом количестве хостов, а предполагаемые / предлагаемые ресурсы далеко не соответствуют требованиям.
Наряду с предложением использовать организационные единицы для нацеливания на объекты групповой политики, вы также можете использовать фильтрацию безопасности в соответствующих объектах групповой политики, чтобы они применялись только к определенным компьютерам и / или пользователям. Вы бы просто удалили прошедших проверку пользователей из фильтра безопасности объекта групповой политики и добавили соответствующие учетные записи компьютеров или пользователей, или, что более предпочтительно, группы безопасности, членами которых являются требуемые учетные записи компьютеров или пользователей. Это намного проще, понятнее и интуитивно понятнее, чем использование фильтров WMI.
Я не уверен, что вы смотрите на это под правильным углом. AFAIK каждый рабочий стол извлекает фильтр из каталога, а затем проверяет, следует ли применять GPO или нет. Дело не в том, что сервер активно выделяет объекты групповой политики только ограниченному числу рабочих столов. Так что это не похоже на проблему Samba. И то, что вы не можете использовать WMI для запроса машины Linux, должно быть совершенно ясно.
Кстати, вы также можете создать подмножество ноутбуков вручную, поместив их в отдельное подразделение - не нужно возиться с фильтрами WMI.