Soru Belirli bilgisayarlardaki herhangi bir kullanıcıya grup ilkesi geridönüşümünü uygulama


2008 R2 ve Windows 7 ortamındaki bir sunucuda, tüm etki alanı için kullanıcı ayarları ilkesinde ekran koruyucu ayarlarını belirten bir GPO'm var. Ancak, belirli bilgisayarlar için, bu ideal değildir.

Daha yüksek önceliğe sahip ayrı bir GPO oluşturdum, değiştir ayarını etkinleştirdim ve ekran koruyucu kurallarını belirttim. Güvenlik filtresinde, yalnızca GPO'nun uygulanması gereken belirli bilgisayarlar var. Ancak, olduğu gibi, bu politika hiçbir zaman uygulanmaz - gpresult / z bunu GPO'nun kullanıcı ayarları altında gösterir: "Filtreleme: Reddedildi (Güvenlik)".

"Etki alanı kullanıcılarını" güvenlik filtresine eklerseniz GPO herşey Kullanmakta oldukları bilgisayara bakılmaksızın alandaki kullanıcılar.

GPO'yu yalnızca belirli bilgisayarlarda oturum açan herhangi bir kullanıcıya nasıl uygularım?

GPO'ların OU'lara uygulanması, ne yazık ki, bilgisayarların başka şeylere göre çeşitli OU'lara ayrılmasından dolayı bir seçenek değildir.

[değiştir]: Güvenlik filtresinde şunu denedim:

  • yalnızca bilgisayarı güvenlik filtresine ekleme; GPO kullanıcı ayarları altında reddedildi.
  • bilgisayarı güvenlik filtresine ekleyerek ve "etki alanı kullanıcılarını" güvenlik filtresine ekleyerek; Hangi kullanıcının kullanıldığına bakılmaksızın geri döngü GPO'sunun tüm kullanıcılara uygulanmasına neden olur.
  • bilgisayarı bir güvenlik grubuna eklemek, bu güvenlik grubunu eklemek güvenlik filtresine; GPO kullanıcı ayarları altında reddedildi.
  • Bilgisayarı ve "etki alanı kullanıcılarının" aynı güvenlik grubuna eklenmesi ve bu güvenlik grubunun güvenlik filtresine eklenmesi; Hangi bilgisayardan bağımsız olarak geri döngü GPO'sunun tüm kullanıcılara uygulandığıyla sonuçlanır kullanıldı.
  • Bilgisayarı bir güvenlik grubuna eklemek, güvenlik grubunu güvenlik filtresine eklemek ve "etki alanı kullanıcılarını" güvenlik filtresine eklemek; Hangi kullanıcının kullanıldığına bakılmaksızın geri döngü GPO'sunun tüm kullanıcılara uygulanmasına neden olur.

Denemek için başka seçenekler var mı?

Güvenlik filtresindeki öğelerin "veya" yerine "ve" kullanılarak birleştirilip birleştirilemeyeceğini belirtmenin bir yolu var mı?


7
2017-07-02 15:15


Menşei


Şuna bir bak: blogs.technet.com/b/askds/archive/2013/05/21/... - joeqwerty
Gördüm ki, maalesef bu durum için bir çözüm sunmuyor gibi görünüyor. Temel olarak geri döngü politikası için "değiştir" ve "birleştirme" ayarları arasındaki farkların üstesinden gelir. - Force Flow
Bazı ek araştırmalar, Geri Döngü İlkesi işlemeyi kullanırken Bilgisayar nesnesini filtrelemediğinizi ileri sürmektedir. Muhtemelen bu bilgisayarlar için alt OU'lar oluşturmanız ve oraya taşımanız ve ardından bu GPO'yu alt OU'ya bağlamanız gerekecektir. Bunun, bilgisayar nesnesine uygulanabilecek diğer GPO'larda herhangi bir etkisi olmamalıdır. - support.microsoft.com/kb/... - joeqwerty
Gerçekten bunu yapamayacağımı umuyordum. - Force Flow
"Grup ilkesini uygula" ve yalnızca bilgisayar grubunuzun "oku" izinleri için tüm kullanıcı izinlerini vermeyi denediniz mi? Bu biraz hacky, ama işe yarayabilir. İlgili kullanıcı arayüzü gibi bir şey bu - Nitz


Cevaplar:


Bu bilgisayarlar için yeni bir OU oluşturmanız, ardından GPO'yu yeni oluşturulan OU'ya uygulamanız gerekecektir.


2
2017-09-10 15:24





Bunu yapmanın beş yolu vardır:

(OU Ayırma)

Bilgisayarları ve kullanıcıları farklı OU'larla ayırabilir ve bir ilkeyi bilgisayarların OU'suna bağlayabilirsiniz. Geridöngü politikasını kullanmak için, hem kullanıcı hem de bilgisayar, politika için okuma ve izinlere sahip olmalıdır. Bu nedenle, bunları ayırırsanız, güvenliği kolayca 'etki alanı kullanıcıları' ve 'etki alanı bilgisayarları' olarak ayarlayabilirsiniz. Bu politika tüm kullanıcılara uygulanır. OU'larda hangi politikanın bağlı olduğu bilgisayarlarda çalışan

(Bayrak Dosya Tricki)

Alternatif olarak bir numara yapabilirsiniz - GPO'yu uygulamanız için gereken bilgisayarlara 'bayrak dosyası' ekleyebilirsiniz: Ekran koruyucuyu ayarlayan ve yerel bayrak dosyası gibi WMI filtresi kontrolünü kullanarak filtreleyebileceğiniz filtrelenerek filtrelenen, yalnızca kullanıcı tarafından geri alınmayan bir politika oluşturmalısınız. "Select * From CIM_Datafile Where Name = 'C:\\Windows\\spc.screensaver.flag'". Güvenliği ayarlamanız gerekir Domain Users - oku ve uygula. İkincisi, bu dosyayı yaratacak bilgisayarlar için ek bir ilke koymalısınız (bu kolay yapılabilir, açıklamayacaktır). Bu politika geri döngü olmamalıdır ve yalnızca bilgisayar olmalıdır. Güvenlik ayarlanmalıdır Special Screensaver Computers - oku ve uygula

(Ortak Başlangıç ​​Komut Dosyası - Kayıt defteri düzenleme)

Alternatif olarak, ilke olarak bilgisayarlar için ortak başlangıç ​​klasörüne ilke olarak yazmanız gereken bir komut dosyası oluşturabilirsiniz. Special Screensaver Computers grubudur. Herhangi bir kullanıcı bu bilgisayarda oturum açacaksa, bu betik kullanıcı hakları altında çalışacak ve bazı HKCU kayıt defteri anahtarlarını değiştirecektir. Bu yüzden, bu geri döngü politikası değildir.

(WMI filtresindeki hardcode bilgisayar adları)

Alternatif olarak, bilgisayar adlarını WMI filtrelerinde de kodlayabilirsiniz. Aman Tanrım.

(Öğe Düzeyinde Hedefleme - Kayıt Düzenleme Kullanımı)

Alternatif olarak, GPP ile ekran koruyucuyu kurabilirsiniz (bir kayıt defterini değiştirerek). Bu, Öğe Düzeyinde hedeflemeyi destekler ve yalnızca 'Güvenlik grubundaki bilgisayar' ise kayıt defteri değişikliğini uygulamak için bir kural oluşturabilirsiniz. Special Screensaver Computers'- bu durumda güvenlik ayarlı bir geri döngü politikası yapmalısınız. Special Screensaver Computers ve Domain users - Bilgisayarın uygun bir grup içinde olup olmadığını kontrol etmek için Öğe Düzeyinde hedeflemeyi etkinleştirerek kullanıcı yapılandırması altında bir kayıt düzeltmesi yapın, uygulayın ve uygulayın. GPP'nin KB943729 yüklü XP SP2 \ 3'e uygulanabileceğini unutmayın. Öğe Düzeyinde Hedeflemenin XP SP2'de çalışıp çalışmadığından emin değil

(---)

Bu ayarı bilgisayar başına yapmanız gerektiğinden ve ilkenin bu bilgisayarlardaki tüm kullanıcılara uygulanması gerektiğinden, güvenliği Domain Users bu politika için. Kullanıcı oturum açtığında, kullanıcının yerleştirildiği OU'ya atanan tüm politikaları okur. Şu anda politikalar tarafından desteklenen yalnızca üç filtre türü vardır: OU ayrımı (genellikle değil), WMI filtreleme ve Öğe Düzeyinde Hedefleme


1
2018-01-30 23:35





Denedin mi WMI filtreleme?

Organizasyonumda birçok döngüsel GPO vardı ve onlar bir karışıklıktı.
Tüm bu GPO'ları 'Bilgisayar ilkesi' ve 'Kullanıcı politikası' olarak ayırdım, bu nedenle 'Bilgisayar ilkesi' ilgili bilgisayarlar için geçerlidir (burada sorun yok) ve 'Kullanıcı ilkesi' tüm kullanıcılar için geçerlidir, ancak bir WMI filtresi içerir. Politika sadece belirli bilgisayarlarda geçerlidir.

Tabii ki, WMI üzerinden ilgili istasyonları tanımlamak için bir yol gereklidir.
Kullanabilirsiniz WMIExplorer Hangi seçeneklerin mevcut olduğunu bulmak için

Onları doğru bir şekilde tanımlamanın bir yolu yoksa, ayrılmış OU'lara başvurmanız gerekir.

Burada biraz daha örnek WMI filtrelerinin


0
2017-12-25 20:25





Bu eski bir soru olduğu için, zaten her şeyi OU'lara yeniden organize ettim ve daha önce önerildiği gibi geri döngü politikası kullandım.


0
2018-02-02 15:02