Назад | Перейти на главную страницу

Применение GPO к пользовательской группе AD при использовании компьютеров в определенном OU

У нас есть сценарий входа в систему, который копирует несколько файлов remoteapp.rdp на рабочие столы некоторых пользователей. Однако этим пользователям иногда также приходится напрямую подключаться к нашему серверу терминалов через подключение к удаленному рабочему столу, чтобы использовать определенное программное обеспечение. Когда они подключаются к удаленному рабочему столу, мы не хотим, чтобы туда копировались файлы remoteapp.rdp. Все конкретные пользователи являются членами группы безопасности AD. Затем у нас есть организационная единица со всеми клиентскими компьютерами организации.

Итак, что я хотел бы сделать, так это применить GPO со сценарием входа к пользователям в группе пользователей AD, если они входят в систему на клиентском компьютере в клиентском OU. GPO и сценарий входа в систему зависят от пользователя.

Я создал GPO, который применяется к группе пользователей AD и связан с OU клиентского компьютера. Кажется, это не работает, по крайней мере, файлы не копируются. Я думаю, что проблема может заключаться в том, что настройки GPO зависят от пользователя, а связанное подразделение содержит только компьютеры. Есть ли предложения по другому подходу, который заставит GPO работать должным образом?

Вы ищете Обработка петли групповой политики. Это гарантирует, что User Settings политики, применяемой к компьютеру, применяется к учетной записи пользователя, входящей в систему, даже если эта политика не применяется напрямую к данной учетной записи пользователя.

Совместите это с фильтрацией безопасности, чтобы гарантировать, что только члены группы AD, для которой вы хотите получить настройки, будут применять GPO, и все будет в порядке.

  1. Создайте фильтр WMI, который возвращает TRUE при запуске на любом компьютере Кроме как ваш терминальный сервер: SELECT * FROM Win32_ComputerSystem WHERE NAME <> 'COMPUTER_NAME_HERE'
  2. Создайте GPO только для сценария входа в систему с копированием файлов и примените фильтр WMI к GPO.
  3. Замените группу аутентифицированных пользователей GPO по умолчанию в фильтре безопасности на группу безопасности, содержащую ваших целевых пользователей.
  4. Свяжите GPO с OU, которое содержит пользователь аккаунты, которые будут затронуты.

Это приведет к запуску GPO, когда целевые пользователи войдут в систему на любом компьютере в домене, кроме вашего сервера терминалов.

Этот подход не вызывает типичных непредвиденных побочных эффектов, столь характерных для Loopback Processing. В вашем случае, если вы используете Loopback Processing, каждый пользователь (не только члены вашей группы безопасности AD) будут применять все пользовательские настройки GP при входе на ваш сервер терминалов, превращая ваши усилия по применению только настройки копирования файлов в ситуацию, когда несвязанные настройки применяются к несвязанным пользователям.