因此,我们有一个GPO设置,将“我的文档”redirect到域中所有用户的服务器位置(它链接到根“Users”OU)。 这工作得很好,但我们有2个特殊的工作站,无数用户login到不需要inheritance这个政策。 我明白,文件夹redirect策略是基于用户的,但我不明白我们会如何去拒绝 AD的特定计算机对象的用户策略。 当这些用户在这些“特殊”系统和networking上的常规系统之间来回移动时,我们不能简单地从根策略中排除特定用户。
我为这两个系统所在的OU创build了一个回送处理策略(设置为“replace”),并将单独的“禁用我的文档redirect”GPO链接到此OU,但是根级别基于用户的redirect策略仍然获胜导致我的testing用户帐户login永远挂在“应用个人设置”)。 有没有办法我可以重写这个?
不完全确定谁的答案在这一点上是正确的,因为在根OU中有一个用户策略是我自己的错误,适用于所有用户和计算机对象。 我认为,如果我有更多时间来testing,安全筛选和inheritance/优先级configuration的巧妙结合可以解决这个问题,但真正的解决方法是将GPO从根移开,以便不再干扰策略和回送处理在特殊的电脑OU上。
您的评论说,根策略是针对您的testingGPO而胜出,这是GPO优先级的问题。 您需要切换优先级,或将GPO设置为强制执行。 要做到这一点:在GPMC左边的树列表中select您的政策链接的OU,这将显示在您的GPO的优先顺序可编辑。
在两台机器上应用一个策略,只强制本地configuration文件。 您可以在这里findpolciy:计算机configuration\pipe理模板\系统\login\只允许本地用户configuration文件
我不是完全正面,这将工作 – 更多只是理论,但你不能使用GPO安全筛选?
GPO链接到用户OU,默认情况下安全筛选适用于所有通过身份validation的用户。 因此,用户OU中的任何经过身份validation的用户都将获得此GPO应用于他们。
为了进一步扩展安全过滤,您可以创build一个安全组(我们称之为组阿尔法),让所有想要应用策略的计算机都可以成为安全组阿尔法,除了这两个“特殊”系统。 然后通过将Group Alpha添加到安全筛选器来修改您的GPO。
再一次,只是一个想法 – 但在理论上,这将导致您的GPO只适用于Users OU中使用属于Group Alpha成员的计算机中的Authenticated Users。
当然,我可能完全误解了安全filter的工作方式,所以你必须进行实验。 :-)即使这样做,你也必须确保你所要的这个策略适用的所有系统都是Group Alpha的成员。
这是一个替代的build议,因为上述不起作用:
是否有可能将这个GPO应用于电脑本身? 如果是这样的话,你可以试试Evan的build议,把你想要免于redirect的计算机放到他们自己的OU中,并阻止在这个OU上的inheritance。 有点时髦,但可能工作。
我有一个类似的问题,就是在login时启动一个程序,outlook。 我已经启用了回送function,因为策略已设置为计算机,所以我将其置于comp \ adminT \ system下,并将拒绝应用gpo权限设置为pipe理员组。 这是行不通的。 我切换它,并做user \ adminT \系统,并完全按预期处理。