У меня есть объект групповой политики, который мне нужно применить к пользователю DOMAIN\DumbGuy, но только когда он входит в DOMAIN\DumbGuysComputer$. когда DOMAIN\NiceReceptionist входит в DOMAIN\DumbGuysComputer$ это не должно применяться. когда DOMAIN\DumbGuy входит в DOMAIN\ReceptionstsComputer$ это не должно применяться.
Его нужно применять только к одна персона на один компьютер.
Если я применяю GPO к объекту User, он будет применяться ко всем его компьютерам. Если я применяю GPO к объекту «Компьютер», он будет применяться ко всем пользователям на этом компьютере. Если применить его к обоим, он распространится еще шире.
Как я могу применить GPO только к одному пользователю на одном компьютере?
Мое предложение похоже на предложение обывателя ..
Создайте подчиненное подразделение только для этого одного компьютера, создайте в нем объект групповой политики и установите для него режим слияния с обратной связью. Используйте фильтрацию безопасности для объекта групповой политики, чтобы только DumbGuy есть разрешение на его применение. Я не вижу причин для использования двух разных GPO.
Mucho importante! Не фильтруйте права "чтения" от аутентифицированных пользователей, поскольку подсистеме групповой политики необходимо прочитать объект групповой политики, прежде чем он будет применен к пользователю.
Я бы посмотрел на Обработка петли групповой политики в сочетании с Security Filtering. Вы можете использовать функцию обратной связи групповой политики для применения объектов групповой политики (GPO), которые зависят только от того, на каком компьютере пользователь входит в систему.
Это пример того, как это можно реализовать.
Собственно, как бы это реализовать:
Создайте два разных GPO и назначьте их DOMAIN \ DumbGuysComputer $.
Настройте первый объект групповой политики с помощью Кольцевая обработка установить в режиме замены и настроить Фильтрация безопасности применять только к ДОМЕН \ DumbGuy пользователь.
Настройте второй объект групповой политики без кольцевой обработки и настройте фильтрацию безопасности для применения только к ДОМЕН \ NiceReceptionist пользователей.
Я бы, вероятно, просто связал GPO с OU, в котором находится пользователь, и использовал бы фильтрацию безопасности или WMI, чтобы убедиться, что он применяется только к этому одному пользователю, а затем обернул бы весь сценарий в if($ENV:computername -eq whatever){} блок.
GPO применяется к эфирному объекту пользователя, объекту-компьютеру или обоим объектам в OU, и вы не можете применить GPO только к объекту-компьютеру, только если определенный пользователь входит в систему на этом компьютере, или применить к объекту пользователя только в том случае, если этот пользователь входит в определенный компьютер.
Я создал фильтр WMI, который, кажется, работает:
Select * from WIN32_OperatingSystem where NOT CSName="PCName"
Вы можете тестировать запросы WMI в PowerShell, используя:
gwmi -Query 'Select * from WIN32_OperatingSystem...'