На нашем DC W2k8-R2 я создаю новый GPO и настраиваю
«Конфигурация компьютера / Политики / Настройки Windows / Административные шаблоны / Система / Вход в систему / запускать эти программы при входе пользователя» в «c: \ windows \ system32 \ notepad.exe» (только для тестирования), это не повлияет на Win 7. SP1, независимо от параметров фильтрации безопасности.
Кажется, что другие настройки (в том же самом GPO) становятся активными, но «запускать эти программы при входе пользователя» из раздела компьютерных политик - нет. Вместо этого я настраиваю тот же параметр в разделе «Политики пользователей» и добавляю «Прошедшие проверку» в Фильтрацию безопасности, программа будет запущена. Но это не то, что мне нужно.
Я могу воспроизвести проблему, вот точные шаги:
Проблема: блокнот не запускается.
То, к чему я стремлюсь, очевидно: в зависимости от членства в group-a я хочу настроить определенные программы, которые должны запускаться всякий раз, когда пользователь входит в систему.
gpresult / R возвращает, что будет применять GPO. (На самом деле это так, но параметр «запускать эти программы при входе пользователя» не применяется.)
Для отладки я запустил MMC / RSoP на одной из машин, на которых должен был быть применен GPO, и обнаружил, что «запускать эти программы при входе пользователя» не установлено (что, по-видимому, является причиной того, что GPO не будет работать на машины).
Поискав в Интернете, я нашел похожие отчеты на технет но решение не было найдено, и вместо этого пользователь использовал обходной путь.
Если я изменю объект групповой политики так, что буду использовать тот же параметр в «конфигурации пользователя» вместо «конфигурации компьютера», он будет работать до тех пор, пока я добавлю «аутентифицированных пользователей» в фильтрацию безопасности. Но затем GPO применяется ко всем пользователям, а не только к тем, кто использует компьютеры, входящие в группу-a. Согласно "www.grouppolicy.biz/2010/05/how-to-apply-a-group-policy-object-to-individual-users-or-computer/" я не должен удалять "аутентифицированных пользователей", а должен изменять безопасность вместо этого, но в Win2k8 я не могу найти параметры безопасности, «применяемые» для «аутентифицированных пользователей», поэтому я не могу удалить этот параметр, есть только «чтение» или «чтение и изменение».
Итак, два вопроса: 1. Почему не работает при использовании «настроек компьютера» 2. А как насчет фильтрации безопасности с удалением «аутентифицированных пользователей» и использованием вместо этого group-a?
Т.
Я согласен с тем, что обработка обратной петли - это ответ, но я понимаю, что это настройка PER GPO, поэтому только соответствующий GPO применяется таким образом.
Я знаю, как это работает в моей среде.
'Эта политика предписывает системе применять набор объектов групповой политики для компьютера к любому пользователю, который входит в систему на компьютере, на который распространяется эта политика. Эта политика предназначена для компьютеров специального назначения, на которых вы должны изменить политику пользователя в зависимости от используемого компьютера. Например, компьютеры в общественных местах, в лабораториях и в классах.'
Та же ссылка, что и выше.
https://support.microsoft.com/en-us/help/231287/loopback-processing-of-group-policy
Добавьте этот параметр в существующий объект групповой политики.
Я столкнулся с той же проблемой. Я отфильтровал объект групповой политики с помощью группы безопасности со всеми компьютерами, к которым я хотел применить этот объект групповой политики. Однако при входе в систему приложение не загружалось. В итоге я понял, что это, вероятно, как-то связано с тем, что я отфильтровываю пользователей, хотя это ничего не устанавливает в пользователях. Я снова добавил аутентифицированных пользователей, и все работает. У меня установлена только компьютерная версия этого параметра групповой политики, но по какой-то причине он требует фильтрации как для компьютеров, так и для пользователей.
То, к чему я стремлюсь, очевидно: в зависимости от членства в group-a я хочу настроить определенные программы, которые должны запускаться всякий раз, когда пользователь входит в систему.
Плохая идея: ваши программы будут запускаться в Local System контекст.
Как предложить выше, вы можете использовать Кольцевая обработка. Но работа этого параметра повлияет на все политики, применяемые к компьютерам - будьте осторожны с этим.
И обратите внимание, что скрипты входа в систему могут обрабатываться со значительной задержкой (до 15 минут).
На мой взгляд правильное решение: используйте GPP для управления ярлыками в папке меню запуска. Просто создайте ярлыки запуска.