Zastosowanie obiektu zasad grupy tylko do jednego użytkownika na jednym komputerze

10

Mam obiekt zasad grupy, który muszę zastosować do użytkownika DOMAIN\DumbGuy, ale tylko wtedy, gdy on się zaloguje DOMAIN\DumbGuysComputer$. Po DOMAIN\NiceReceptionistzalogowaniu się DOMAIN\DumbGuysComputer$nie powinno to mieć zastosowania. Po DOMAIN\DumbGuyzalogowaniu się DOMAIN\ReceptionstsComputer$nie powinno to mieć zastosowania.

Musi dotyczyć tylko jednej osoby na jednym komputerze .

Jeśli zastosuję obiekt GPO do obiektu użytkownika, będzie on miał zastosowanie do wszystkich jego komputerów. Jeśli zastosuję obiekt GPO do obiektu Computer, będzie on miał zastosowanie do wszystkich użytkowników na tym komputerze. Jeśli zastosuję to do obu, rozprzestrzeni się jeszcze szerzej.

Jak mogę zastosować GPO tylko do jednego użytkownika na jednym komputerze?

Mark Henderson
źródło
Czy to tylko ustawienia użytkownika?
pauska
Tak, to skrypt logowania
Mark Henderson

Odpowiedzi:

11

Moja sugestia jest podobna do sugestii mieszkańca ..

Utwórz podrzędną jednostkę organizacyjną tylko dla tego jednego komputera, utwórz w niej obiekt zasad grupy i ustaw tryb scalania sprzężenia zwrotnego. Użyj filtrowania zabezpieczeń w obiekcie zasad grupy, aby DumbGuymieć tylko uprawnienia do jego stosowania. Nie widzę powodu, aby używać dwóch różnych obiektów zasad grupy.

Bardzo ważne! Nie filtruj praw do „odczytu” od uwierzytelnionych użytkowników, ponieważ podsystem zasad grupy musi odczytać obiekt zasad grupy, zanim zostanie on zastosowany do użytkownika

Pauska
źródło
Zrobiłem to dziś rano i zadziałało dobrze. Utworzył jednostkę podrzędną, umieścił w niej swój komputer, umieścił obiekt zasad grupy w jednostce organizacyjnej i przefiltrował ją do swojej nazwy użytkownika. Perfecto
Mark Henderson
+1 - Dokładnie tak, jak bym to zrobił.
Evan Anderson
1
PS Dziękuję również za tę ostatnią wskazówkę; Zawsze zapominam, że usunięcie „Uwierzytelnionych użytkowników” z filtrowania zabezpieczeń również usuwa ich uprawnienia do delegowania.
Mark Henderson
6

Chciałbym spojrzeć w Group Policy Loopback Przetwarzanie w połączeniu z filtrowaniem Bezpieczeństwa. Za pomocą funkcji sprzężenia zwrotnego zasad grupy można stosować obiekty zasad grupy (GPO), które zależą tylko od komputera, na którym loguje się użytkownik.

To jest przykład tego, jak można to zaimplementować .

Jak właściwie to zaimplementować:

Utwórz dwa różne obiekty zasad grupy i przypisz je do DOMAIN \ DumbGuysComputer $.

Skonfiguruj pierwszy obiekt zasad grupy z przetwarzaniem sprzężenia zwrotnego ustawionym w trybie zastępowania i skonfiguruj filtrowanie zabezpieczeń, aby dotyczyło tylko użytkownika DOMAIN \ DumbGuy .

Skonfiguruj drugi obiekt zasad grupy bez przetwarzania sprzężenia zwrotnego i skonfiguruj filtrowanie zabezpieczeń, aby dotyczyło tylko użytkowników DOMAIN \ NiceReceptionist .

Volodymyr M.
źródło
5

Prawdopodobnie po prostu połączę obiekt zasad grupy z jednostką organizacyjną, w której znajduje się użytkownik, i użyję filtrowania zabezpieczeń lub WMI, aby upewnić się, że dotyczy on tylko jednego użytkownika, a następnie zawinię cały skrypt w if($ENV:computername -eq whatever){}blok.

MDMarra
źródło
To bardzo sprytne! Rozwiązanie Pauski było nieco starsze, ale jeśli kiedykolwiek nie będę mógł przenieść jednostki organizacyjnej komputera, zrobię to.
Mark Henderson
0

Obiekt GPO stosuje się do eteru obiektu użytkownika, obiektu komputerowego lub obu obiektów w jednostce organizacyjnej i nie można ustawić GPO zastosowania tylko do obiektu komputerowego tylko wtedy, gdy określony użytkownik loguje się na tym komputerze lub stosuje się do obiektu użytkownika tylko wtedy, gdy ten użytkownik loguje się do określonego komputera.

Winter Faulk
źródło
Wygląda na to, że nie można tego zrobić za pomocą standardowego filtrowania, ale istnieją obejścia tego problemu
Mark Henderson
0

Utworzyłem filtr WMI, który wydaje się działać:

Select * from WIN32_OperatingSystem where NOT CSName="PCName"

Możesz testować zapytania WMI w PowerShell za pomocą:

gwmi -Query 'Select * from WIN32_OperatingSystem...'
znak
źródło