我有一个GPO,我需要应用到用户DOMAIN\DumbGuy ,但只有当他login到DOMAIN\DumbGuysComputer$ 。 当DOMAIN\NiceReceptionistlogin到DOMAIN\DumbGuysComputer$它不应该应用。 当DOMAIN\DumbGuylogin到DOMAIN\ReceptionstsComputer$它不应用。
它只需要在一台电脑上申请一个人 。
如果我将GPO应用于用户对象,则将适用于他所有的计算机。 如果将GPO应用于计算机对象,则将应用于该计算机上的所有用户。 如果我把它应用到两者,它扩大甚至更广泛。
如何在一台计算机上将GPO应用于一名用户?
我的build议与居民的相似
为该单台计算机创build一个子OU,在其中创build一个GPO并将其设置为环回合并模式。 使用GPO上的安全筛选,以便只有DumbGuy有权应用它。 我没有看到使用两个不同的GPO的任何理由。
Mucho重要! 不要过滤已authentication用户的“读取”权限,因为组策略子系统在应用于用户之前需要读取GPO
我将看看组策略环回处理与安全筛选。 您可以使用组策略回送function来应用只取决于用户login到哪台计算机的组策略对象(GPO)。
这是如何实施的一个例子 。
其实,我将如何实现这一点:
创build两个不同的GPO并将其分配给DOMAIN \ DumbGuysComputer $。
在“replace模式”中configuration第一个带有“ 环回处理”的 GPO,并将“ 安全筛选”configuration为仅应用于DOMAIN \ DumbGuy用户。
configuration没有环回处理的第二个GPO,并将安全筛选configuration为仅应用于DOMAIN \ NiceReceptionist用户。
我可能只是将GPO链接到用户所在的OU,并使用安全筛选或WMI来确保它只适用于该用户,然后将整个脚本包装在if($ENV:computername -eq whatever){}块。
GPO将以太网应用于OU中的用户对象,计算机对象或两个对象,并且只有当特定用户login到该计算机或仅在该用户应用于用户对象时,才能使该GPO仅应用于计算机对象login到某台计算机。
我创build了一个WMIfilter,似乎工作:
Select * from WIN32_OperatingSystem where NOT CSName="PCName"
您可以使用以下命令在PowerShell中testingWMI查询:
gwmi -Query 'Select * from WIN32_OperatingSystem...'