Примените групповую политику к определенным пользователям (в подразделении) на определенных компьютерах (не в подразделении)

Это беспокоило меня некоторое время. Вот настройки:

  • У нас ~20 серверов Win2k8r2. Они разделены на различные подразделения, которые я не могу изменить. Я создал группу безопасности "DevHostsSG", в которой находятся компьютеры, к которым должна применяться эта политика.
  • У нас ~40 пользователей. Существует специальная OU "DevUsersOU", которая содержит дюжину пользователей, к которым я хочу применить политику. Я также создал группу безопасности DevUsersSG, которая содержит тех же пользователей.

Мне нужен конкретный GPO перенаправления папок, применяемый только к пользователям в DevUsersOU и только на серверах в группе безопасности DevHostsSG. У пользователей DevUsersOU не должно быть политики перенаправления, применяемой на других серверах, и у других пользователей не должно быть перенаправления при входе на сервер в группе безопасности DevHostsSG.

Мой прогресс до сих пор:

  • У меня установлена ​​петлевая обработка, поэтому перенаправление должно применяться
  • Когда я устанавливаю политику в DevUsersOU, а затем добавляю DevHostsSG к фильтрации безопасности (с чтением и применением), она нигде не работает (что я предполагаю, потому что в этом OU нет компьютеров...?)
  • Когда я устанавливаю политику для домена и затем использую фильтрацию безопасности для включения DevUsersSG и DevHostsSG, политика применяется, даже когда DevUsers входят в систему не-DevHosts
  • Когда я применяю групповую политику только к DevHostsSG, она вообще не работает (что заставляет задуматься, не работает ли петлевая обработка)
  • Когда я создаю группу безопасности, которая содержит указанных пользователей и компьютеры, она применяется ко всем хостам

На данный момент у меня заканчиваются идеи и отчасти просто гадание на материале, и, кажется, становится все хуже, по какой-то причине у меня есть один хост в DevHostsSG, где работает перенаправление, два хоста, где он не работает, и один хост, который работает не в DevHostsSG, где включено перенаправление. Я делал несколько gpupdate /force вместе с выходами из системы и gpresult /R каждый раз, когда я вносил изменения, и я ни к чему не привел.

Любая помощь будет принята с благодарностью!

---- дальнейшее тестирование ----

В попытке упростить ситуацию я попробовал следующее:

  • Очистить группы в фильтрах безопасности
  • Добавлен один конкретный пользователь в фильтр безопасности
  • Добавлен один конкретный хост в фильтр безопасности
  • Запустил gpupdate на этом хосте от имени этого пользователя: перенаправление включено (ОК)
  • Запустил gpupdate на этом хосте как другой пользователь: перенаправление не включено (ОК)

  • Запустил gpupdate на другом хосте от имени этого пользователя: перенаправление включено (НЕ ОК)

  • Отключение петлевой обработки не имеет значения

---- Отзывы ----

joequerty:

  1. По сути, я запускаю gpupdate на четырех хостах после каждого изменения в управлении групповой политикой: два хоста в группе DevHostsSG и два не в группе, и на каждом я вхожу в систему как пользователь в DevUsersOU и как пользователь не в OU.
  2. Необходимость перезагрузки звучит для меня странно... Я просто ссылаюсь на вкладку "members"/"member" в свойствах AD (например, в DevHostsSG членами являются DevHost1, DevHost2 и т. Д.)
  3. Было бы здорово, если бы политика не была связана со всем доменом, но я не знаю, что еще делать
  4. В этом-то и проблема. Я не могу заставить фильтр безопасности GPO делать "И", фильтры безопасности всегда делают "ИЛИ" (т. Е. DevUser1 ИЛИ DevHost1, а не DevUser1 И DevHost1)

Текущая конфигурация вернулась к пункту 1 выше, в котором GP должен применяться к DevUsersOU с группой безопасности, установленной в список хостов, к которым должен применяться GP. Я перезагружал один из хостов с момента последнего изменения, и перенаправление папок больше не работает (это было в прошлый раз, когда я проверял вчера). Когда я запускаю gpresult /R I, я не вижу GP, перечисленный в разделе "COMPUTER SETTINGS", но я вижу следующее в "USER SETTINGS":

The following GPOs were not applied because they were filtered out
-------------------------------------------------------------------
    Local Group Policy
        Filtering:  Not Applied (Empty)

    Default Domain Policy
        Filtering:  Not Applied (Empty)

    Folder Redirect
        Filtering:  Denied (Security)

Я предполагаю, что это не удалось, потому что я не включаю DevUsersSG явно как отдельную запись в раздел фильтрации безопасности GP или включаю их в группу безопасности, в которой находятся хосты, но из моих тестов кажется, что если я сделаю один из те, GP применяется ко всем хостам, в которые входят эти пользователи... Так что я почти вернулся к тому, с чего начал.

Источник

1 ответ

  1. Где вы запускали gpupdate? Обработка политики обратной связи - это параметр конфигурации компьютера, поэтому для его применения к рассматриваемым серверам необходимо обновить групповую политику на этих серверах.

  2. Изменение членства в учетной записи компьютера требует перезагрузки этого компьютера AFAIK.

  3. Не рекомендуется использовать обработку политики Loopback на уровне домена.

  4. Если вы должны использовать его на уровне домена, убедитесь, что ваша фильтрация безопасности имеет только определенных пользователей и группы компьютеров, которые вы создали.

Я не вижу причин, по которым обработка политики Loopback в GPO, связанном с доменом с соответствующей фильтрацией безопасности, не будет работать, но я когда-либо использовал ее только в определенных OU, а не на уровне домена. При этом я подозреваю, что ваша проблема с пунктом 2.

Источник
Другие вопросы по тегам