Назад | Перейти на главную страницу

Как запретить групповую политику на основе пользователей для определенного компьютера?

Итак, у нас есть настройка GPO для перенаправления «Мои документы» на сервер для всех пользователей в домене (он связан с корневым подразделением «Пользователи»). Это отлично работает, но у нас есть 2 специальные рабочие станции, на которые входят многочисленные пользователи, которым НЕ нужно наследовать эту политику. Я понимаю, что политики перенаправления папок основаны на пользователях, но я не понимаю, как мы будем действовать отрицание эта политика пользователя для определенных компьютерных объектов в AD. Поскольку эти пользователи перемещаются между этими «особыми» системами и обычными системами в сети, мы не можем просто исключить определенных пользователей из корневой политики.

Я создал политику обработки обратной петли (установленную на «заменить») для подразделения, в котором находятся эти две системы, и связал отдельный объект групповой политики «Отключить перенаправление моих документов» с этим подразделением, но политика перенаправления на уровне пользователя на корневом уровне все еще выигрывает (или заставляет мою тестовую учетную запись пользователя навсегда зависать при «применении личных настроек»). Есть ли способ отменить это?

Ваш комментарий о том, что корневая политика выигрывает у вашего тестового GPO, это проблема приоритета GPO. Вам нужно изменить приоритет или установить принудительное применение GPO. Для этого: в списке дерева слева в GPMC выберите подразделение, к которому привязана ваша политика, справа отобразится порядок приоритета для ваших GPO, который можно редактировать.

Не совсем уверен, чей ответ верен на данный момент, поскольку это была моя собственная ошибка в том, что политика пользователя в корневом подразделении применяется ко всем пользователям и объектам компьютеров. Я думаю, что разумная комбинация фильтров безопасности и конфигурации наследования / приоритета могла бы обойти это, если бы у меня было больше времени для тестирования, но реальное решение заключалось в перемещении объекта групповой политики из корня, чтобы он больше не мешал политикам и обработке обратной связи. на специальных компьютерах ОУ.

Примените политику на двух машинах, чтобы принудительно использовать только локальные профили. Вы можете найти политику здесь: Конфигурация компьютера \ Административные шаблоны \ Система \ Вход \ Разрешить только локальные профили пользователей

Я не совсем уверен, что это сработает - это скорее теория, но нельзя ли использовать для этого фильтрацию безопасности GPO?

Объект групповой политики связан с подразделением «Пользователи», а фильтрация безопасности по умолчанию применяется ко всем прошедшим проверку пользователям. Таким образом, любой прошедший проверку пользователь в рамках подразделения Users получит этот объект групповой политики.

Чтобы немного расширить фильтрацию безопасности, вы можете создать группу безопасности (назовем ее Group Alpha) для всех компьютеры что вы хотите, чтобы политика применялась и делала все ваши, как вы выразились, обычные системы членами Группы Альфа, за исключением этих двух «особых» систем. Затем измените свой GPO, добавив Group Alpha в фильтр безопасности.

Опять же, это просто мысль, но теоретически это приведет к тому, что ваш объект групповой политики будет применяться только к аутентифицированным пользователям в рамках подразделения Users, использующего компьютеры, которые являются членами Group Alpha.

Конечно, я мог полностью неверно истолковать принцип работы фильтра безопасности, поэтому вам придется поэкспериментировать. :-) И даже если это сработает, вам нужно будет убедиться, что все ваши системы, к которым вы хотите применить эту политику, являются членами Group Alpha в будущем.

Вот альтернативное предложение, поскольку вышеуказанное не сработало:

Можно ли применить этот GPO к самим компьютерам? Если это так, вы можете попробовать предложение Эвана и поместить компьютеры, которые вы хотите исключить из перенаправления, в их собственное OU и заблокировать наследование в этом OU. Немного круто, но может сработать.

У меня была аналогичная проблема с политикой, предназначенной для запуска программы Outlook при входе в систему. У меня был включен loopback, так как политика была установлена ​​для компьютера, или я поместил ее в comp \ adminT \ system и установил разрешение deny apply gpo для группы администраторов. Это не сработает. Я переключил его и сделал user \ adminT \ system, и он обработал точно так, как ожидалось.