Применить изменения политики компьютера при входе в систему / Применить политику компьютера для определенных пользователей

Question

Применить изменения политики компьютера при входе в систему / Применить политику компьютера для определенных пользователей

У меня есть запрос на применение изменений политики компьютера для определенного набора пользователей. Например, я хочу, чтобы конкретная функция Windows (Разрешить Cortana) была доступна членам группы безопасности (CortanaUsers).

Мой первый поиск в Интернете показал примеры того, как настроить подразделение и присоединить объект групповой политики, который применяется только к этому подразделению, к включенным политикам компьютера. Я обнаружил, что компьютеры должны быть добавлены в OU вручную (так как добавление группы компьютеров не раскрывает политику посредством принудительного обновления или пользователей, запускающих gpupdate на этих компьютерах). Это решение не было принято хорошо, потому что компьютер может существовать только в OU одновременно.

Впоследствии я нашел совет добавить группу безопасности с компьютерами в корневое подразделение и применить политику в последнюю очередь. Это тоже не было хорошо принято, потому что требовалось заранее знать, какие компьютеры будут использовать пользователи.

Наконец, мне было рекомендовано выполнить сценарий входа в систему (с разрешением локального администратора), который изменил параметры политики компьютера, проверив, входит ли зарегистрированный пользователь в группу безопасности. Таким образом, функция будет включена или отключена в зависимости от того, кто вошел в систему с какого компьютера. Я не эксперт в том, как работают перемещаемые профили или такие скрипты.

Я хочу иметь возможность применять компьютерные политики для группы безопасности пользователей. Каков наилучший способ сделать это?

1

active-directory group-policy windows-server-2012 azure-active-directory

Источник

Micromuncher 25 дек '18 в 01:38

1 ответ

Решение

Другие вопросы по тегам active-directory group-policy windows-server-2012 azure-active-directory

Appleoddity 25 дек '18 в 04:56 2018-12-25 04:56 · Accepted Answer · 2018-12-25 04:56

Не очень понятно, о чем ты спрашиваешь.

Политика, на которую вы ссылаетесь "Разрешить Cortana", является компьютерной политикой. Описание:

Этот параметр политики указывает, разрешено ли использование Cortana на устройстве. Если вы включите или не настроите этот параметр, Cortana будет разрешена на устройстве. Если вы отключите эту настройку, Cortana будет отключена. Когда Cortana выключен, пользователи по-прежнему смогут использовать поиск для поиска объектов на устройстве и в Интернете.

Как уже говорилось, этот параметр определяет, будет ли разрешен Cortana "на устройстве".

Во-первых, политики компьютеров применяются к компьютерам. Политики пользователя применяются к пользователям. Там нет смешивания двух. Политики компьютера влияют на всех пользователей на одном компьютере. Политики пользователя влияют на одного пользователя на любом компьютере.

Если вы хотите применить политику пользователя ко всем пользователям определенного компьютера, то вы используете так называемую "групповую обработку петлевой политики". Вы применяете политику "пользователя" к определенной OU, содержащей компьютеры. В этой политике вы включаете режим петлевой обработки групповой политики. Любой пользователь, который входит на эти компьютеры, получит политику пользователя.

Если вы хотите отфильтровать политику, которая применяется ко всему подразделению, но ограничить политику определенным подмножеством пользователей или компьютеров в этом подразделении, используйте параметры безопасности или фильтрацию WMI. Чтобы политика применялась к пользователю или компьютеру, оба должны иметь разрешения "читать" и "применять" к политике. С помощью фильтрации WMI вы можете ограничить политику так, чтобы она применялась только к очень конкретному набору пользователей или компьютеров на основе практически любой переменной, которую вы можете себе представить: версия ОС, объем ОЗУ, стиль шасси, раздел реестра и т. Д.

Кроме того, если политика является политикой "предпочтения групповой политики", вы можете включить таргетирование на уровне элементов и отфильтровать приложение политики на основе многих из тех же параметров, с которыми работает фильтрация WMI.

Я дал вам все условия, которые вам нужны, чтобы найти информацию, чтобы делать то, что вы хотите сделать. Но, как я уже сказал, компьютерные политики влияют на всех пользователей компьютера. Если вы намереваетесь применить политику компьютера, которая затрагивает всех пользователей, например, отключение брандмауэра, но вы хотите, чтобы она применялась только к подмножеству пользователей этого компьютера, вы не сможете. Вы неправильно смотрите на свою проблему и пытаетесь решить ее неправильно. Вы не можете отключить Cortana "на устройстве", тогда ожидайте, что он будет работать для некоторых пользователей.