在服务器2008 R2和Windows 7环境中,我有一个GPO,用于指定整个域的用户设置策略中的屏幕保护程序设置。 但是,对于特定的电脑,这并不理想。
我创build了具有更高优先级的单独GPO,使用replace设置启用了环回,并指定了屏幕保护程序规则。 在安全filter中,只有GPO应该应用到的特定计算机。 但是,这个政策从来就不适用 – gpresult / z在GPO的用户设置下显示:“Filtering:Denied(Security)”。
如果将“域用户”添加到安全筛选器,那么GPO将应用于域中的所有用户,而不pipe他们正在使用哪台计算机。
如何将GPO应用于只login特定计算机的用户?
不幸的是,将GPO应用于OU不是一种select,因为计算机已经被分类到各种OU中用于其他事情。
在安全filter中,我尝试过:
还有什么其他的select呢?
有没有一种方法来指定是否可以使用“和”而不是“或”来组合安全filter中的项目?
您需要为这些计算机创build一个新的OU,然后将GPO应用于新创build的OU。
有五种方法可以做到这一点:
(OU分离)
您可以通过不同的OU分隔计算机和用户,并将策略链接到计算机的OU。 要使用环回策略,用户和计算机都必须具有策略的读取和适当权限,因此,如果将它们分开,则可以轻松地将安全性设置为“域用户”和“域计算机” – 策略将应用于所有用户谁在计算机上工作,这是政策链接到的OU
(国旗文件诀窍)
或者,您也可以制作一个技巧 – 您可以在需要应用GPO的计算机上添加“标志文件”:您应该创build一个仅限用户的非环回策略,用于设置屏幕保护程序并使用WMI筛选器检查是否存在本地标志像"Select * From CIM_Datafile Where Name = 'C:\\Windows\\spc.screensaver.flag'" 。 您应该为Domain Users设置安全性 – 读取并应用。 其次,你应该为那些将创build这个文件的计算机制定一个额外的策略(这可以做到easilly,不会解释)。 此策略不得回送,并且必须是仅限计算机的。 安全性必须设置为Special Screensaver Computers – 读取和应用
(通用启动脚本 – registry编辑)
或者,您可以制作一个脚本,您应该通过策略将Special Screensaver Computers组中的计算机的通用启动文件夹。 当任何用户login这台计算机时,这个脚本将在用户权限下执行并更改一些HKCUregistry项等。因此,这不是环回策略
(WMIfilter中的硬编码计算机名称)
或者,您可以在WMIfilter中硬编码计算机的名称。 天啊。
(使用项目级目标 – registry编辑)
或者,您可以设置与GPP的屏幕保护程序(使registryreplace政策)。 这支持项目级别定位,并且只有在“安全组Special Screensaver Computers ” – 在这种情况下,您应该制定安全设置为Special Screensaver Computers和Domain users的环回策略的情况下,才能应用registry更改的规则 – 读取,应用并在用户configuration下进行registry修复,启用项目级别目标以检查计算机是否处于安全适合的组中。 请注意,GPP适用于安装了KB943729的XP SP2 \ 3。 不确定Item-Level Targeting是否在XP SP2上工作
(—)
由于您需要对每台计算机进行此设置,并且必须将策略应用于此计算机上的所有用户,因此您必须为此策略将安全性设置为Domain Users 。 当用户login时,它会读取分配给用户所在OU的所有策略。 目前,策略支持的过滤只有三种types – OU分离(通常是粗略的),WMI过滤和项目级别目标
你有没有尝试过WMI过滤 ?
我在我的组织中有许多回环GPO,他们是一团糟。
我将所有这些GPO分离为“计算机策略”和“用户策略”,因此“计算机策略”适用于相关计算机(这里没有问题),“用户策略”适用于所有用户,但包含WMI筛选器,政策只适用于某些电脑。
当然,要通过WMI来识别相关电台。
您可以使用WMIExplorer来查找可用的选项。
如果没有办法正确识别它们,你将不得不求助于分离的OU。
这里有一些 WMIfilter的例子 。
由于这是一个老问题,我已经把所有的事情都重新组织成了OU,并且像前面所说的那样使用了一个回环策略。