Применить объект групповой политики к группе пользователей AD при использовании компьютеров в определенном подразделении
У нас есть logon-скрипт, который копирует несколько remoteapp.rdp-файлов на рабочие столы некоторых пользователей. Однако этим пользователям иногда также приходится подключаться напрямую к нашему терминальному серверу через подключение к удаленному рабочему столу, чтобы использовать определенное программное обеспечение. Когда они подключаются к удаленному рабочему столу, мы не хотим, чтобы туда были скопированы файлы remoteapp.rdp. Все определенные пользователи являются членами группы безопасности AD. Затем у нас есть подразделение со всеми клиентскими компьютерами организации.
Поэтому я хотел бы применить объект групповой политики со сценарием входа к пользователям в группе пользователей AD, если они войдут в систему на клиентском компьютере в клиентском подразделении. Объект групповой политики и сценарий входа в систему зависят от пользователя.
Я создал объект групповой политики, который применяется к пользовательской группе AD и связан с подразделением клиентского компьютера. Кажется, это не работает, по крайней мере, файлы не копируются. Я думаю, что проблема может заключаться в том, что параметры объекта групповой политики зависят от пользователя, в то время как связанный OU содержит только компьютеры. Какие-нибудь предложения по другому подходу, которые заставят GPO работать так, как задумано?
2 ответа
- Создайте фильтр WMI, который возвращает TRUE при запуске на любом компьютере, кроме вашего сервера терминалов:
SELECT * FROM Win32_ComputerSystem WHERE NAME <> 'COMPUTER_NAME_HERE' - Создайте объект групповой политики только для сценария входа в систему с копированием файлов и примените фильтр WMI к объекту групповой политики.
- Замените группу "Аутентифицированные пользователи" по умолчанию для объекта групповой политики в разделе "Фильтрация безопасности" группой безопасности, содержащей целевых пользователей.
- Свяжите объект групповой политики с подразделением, содержащим учетные записи пользователей, на которые нужно повлиять.
Это приведет к запуску объекта групповой политики, когда целевые пользователи войдут в систему на любом компьютере в домене, кроме вашего сервера терминалов.
Этот подход не вводит типичные непреднамеренные побочные эффекты, столь распространенные в Loopback Processing. В вашем случае, если вы используете Loopback Processing, каждому пользователю (ане только членам вашей группы безопасности AD) будут применяться все настройки его пользовательских GP при входе на ваш сервер терминалов, что приведет к тому, что вы попытаетесь применить только копирование файлов. в ситуации, когда несвязанные настройки применяются к несвязанным пользователям.
Вы ищете групповую политику Loopback Processing. Это гарантирует, что User Settings политики, применяемой к компьютеру, применяется для входа в учетную запись пользователя, даже если эта политика не применяется напрямую к рассматриваемой учетной записи пользователя.
Объедините это с фильтрацией безопасности, чтобы гарантировать, что только члены группы AD, для которых вы хотите получить настройки, будут применять объект групповой политики, и вы должны быть в порядке.