Назад | Перейти на главную страницу

Применение групповой политики к определенным пользователям (в OU) на определенных компьютерах (не в OU)

Это меня уже давно беспокоит. Вот установка:

Мне нужен объект групповой политики перенаправления конкретной папки, применяемый только к пользователям в DevUsersOU и только на серверах в группе безопасности DevHostsSG. Пользователи в DevUsersOU не должны применять политику перенаправления на каких-либо других серверах, и никакие другие пользователи не должны иметь перенаправление при входе на сервер в группе безопасности DevHostsSG.

Мой прогресс на данный момент:

На данный момент у меня заканчиваются идеи, и я отчасти просто догадываюсь о вещах, и мне кажется, что ситуация ухудшается, по какой-то причине у меня есть один хост в DevHostsSG, где работает перенаправление, два хоста, где он не работает, и один хост, который не в DevHostsSG, где разрешено перенаправление .. Я делал несколько gpupdate / force вместе с выходами из системы и gpresult / R каждый раз, когда делаю изменения, и я ничего не добился.

Любая помощь будет принята с благодарностью!

---- Дальнейшее тестирование ----

В попытке упростить ситуацию я пробовал следующее:

---- Ответы ----

Жокерти:

  1. В основном я запускал gpupdate на четырех хостах после каждого изменения в управлении групповой политикой: два хоста в группе DevHostsSG и два не в группе, и на каждом из них я вхожу в систему как пользователь в DevUsersOU и как пользователь не в OU.
  2. Необходимость перезагрузки звучит для меня странно ... Я просто имею в виду вкладку "members" / "member of" в свойствах AD (например, в DevHostsSG участниками являются DevHost1, DevHost2 и т. Д.)
  3. Было бы здорово, если бы политика не была привязана ко всему домену, но я не знаю, что еще делать
  4. Вот в чем проблема .. Я не могу заставить фильтр безопасности GPO выполнять «И», фильтры безопасности всегда выполняют «ИЛИ» (т.е. DevUser1 ИЛИ DevHost1, а не DevUser1 И DevHost1)

Текущая конфигурация возвращается к пункту 1 выше, в котором GP применяется к DevUsersOU с группой безопасности, установленной на список хостов, к которым должен применяться GP. Я перезагрузил один из хостов с момента последнего изменения, и перенаправление папок больше не работает (вчера я проверял это в последний раз). Когда я запускаю gpresult / R, я вообще не вижу GP в списке НАСТРОЙКИ КОМПЬЮТЕРА, но я вижу следующее в НАСТРОЙКИ ПОЛЬЗОВАТЕЛЯ:

The following GPOs were not applied because they were filtered out
-------------------------------------------------------------------
    Local Group Policy
        Filtering:  Not Applied (Empty)

    Default Domain Policy
        Filtering:  Not Applied (Empty)

    Folder Redirect
        Filtering:  Denied (Security)

Я предполагаю, что это не удалось, потому что я явно не включаю DevUsersSG в качестве отдельной записи в разделе фильтрации безопасности GP или включаю их в группу безопасности, в которой находятся хосты, но из моих тестов кажется, что если я сделаю одно из те, GP применяется ко всем хостам, на которые эти пользователи входят ... Так что я почти вернулся с того места, где начал ..

  1. Где вы запускали gpupdate? Обработка политики петли - это параметр конфигурации компьютера, поэтому для применения к рассматриваемым серверам на этих серверах необходимо обновить групповую политику.

  2. Для изменения членства в группе учетной записи компьютера требуется перезагрузка этого компьютера AFAIK.

  3. Не рекомендуется использовать обработку политики Loopback на уровне домена.

  4. Если вы должны использовать его на уровне домена, убедитесь, что в вашей фильтрации безопасности используются только определенные группы пользователей и компьютеров, которые вы создали.

Я не вижу причин, по которым обработка политики Loopback в GPO, связанном с доменом с соответствующей фильтрацией безопасности, не будет работать, но я когда-либо использовал ее только в определенных OU, а не на уровне домена. При этом я подозреваю, что ваша проблема связана с пунктом № 2.