Как убедиться, что мой объект групповой политики применяется в правильном порядке

Question

Как убедиться, что мой объект групповой политики применяется в правильном порядке

Я развертываю проигрыватель VMware через объект групповой политики и хотел бы применить определенные ACL-списки к папке установки и к папке D:\VMWARE, которую я создаю во время установки проигрывателя. Я также должен добавить учетную запись пользователя vmware, которая может "локально входить". Для этого я создал объект групповой политики, область действия которого совпадает с областью установки моего проигрывателя Vmware. Этот объект групповой политики работает хорошо, НО, когда он применяется одновременно с моим объектом развертывания, кажется, что он применяется до развертывания объекта групповой политики, а затем: - Не удается найти учетную запись пользователя vmware - Не удается найти папку c:\program files\vmware - Не удается найти папку D:\vmware, поскольку ни одна из них не была создана при установке проигрывателя vmware. И единственный способ применить свой GPO для безопасности - вручную выполнить команду gpudate /force, которую я не хочу использовать (это должна быть автоматическая установка).

Я проверил порядок обработки gpo, мой GPO безопасности должен применяться ПОСЛЕ моей установки GPO (GPO безопасности - номер 1, GPO развертывания - номер), но, похоже, это не так.

У кого-нибудь появилась идея решить эту проблему?

0

group-policy deployment vmware-player

Источник

Florent Courtay 26 мар '10 в 07:53

1 ответ

Решение

Другие вопросы по тегам group-policy deployment vmware-player

mafudge 30 мар '10 в 13:33 2010-03-30 13:33 · Accepted Answer · 2010-03-30 13:33

Похоже, здесь есть проблема времени. На смену порядку обработки объекта групповой политики приходят две три вещи

1) Вы можете изменить порядок ссылок объекта GPO, чтобы настроить порядок его обработки. Перейдите в подразделение, содержащее данный gpo, в консоли управления групповыми политиками.

2) Вы всегда можете запустить GPO последним при обработке, принудительно применяя его. Таким образом, в вашем случае вы бы обеспечить безопасность GPO

3) Используйте фильтр WMI, чтобы сделать объект безопасности GPO зависимым от объекта установки GPO. Установите в качестве условия выполнения для объекта групповой политики безопасности установку фильтра WMI для добавления / удаления программ (я полагаю, win32_applications) для плеера Vmware.

Чтобы гарантировать, что это работает должным образом, я бы выполнил эту задачу немного по-другому, используя один из двух методов:

1) реализация всего процесса в сценарии, который развертывается через объект групповой политики. Таким образом, вы можете гарантировать порядок обработки внутри скрипта. Недостатком является то, что вы не можете удалить vmware player, отключив GPO. (Если вы не устанавливаете через MSI, это не проблема). Это был бы мой предпочтительный метод.

2) Перепакуйте MSI-плеер vmware, чтобы включить необходимые изменения ACL и создание учетной записи пользователя. Я избегаю перепаковки MSI любой ценой, потому что это становится головной болью обслуживания.