正如您可能知道的那样, 回送处理是Active Directory组策略的一项function,它将GPO中的用户设置应用于任何loginGPO范围内的计算机的用户(而标准行为仅适用于用户帐户实际上位于GPO的范围内)。 当您希望所有login到特定计算机的用户都可以接收某些用户策略时,这非常有用,无论他们的用户帐户实际位于AD中。
问题是:启用了回送处理时,包含用户设置的GPO将应用于使用这些计算机的所有人 ,并且您无法通过在GPO上使用ACL来绕过此操作,因为它实际上并未应用于用户 ,而是应用于计算机 。
问题:如何避免回送处理被特定的用户需要login到这些计算机,但不应受制于这些策略设置?
例如,有几台terminal服务器,在这些服务器上,使用环回处理的GPO被用来对所有login到其上的用户实施严格的用户限制(他们基本上只能运行一大堆公司批准的应用程序)。 但这甚至适用于域pipe理员 ,因此无法启动命令提示符或打开任务pipe理器。 在这种情况下,如果用户login属于特定组(如Domain Admins),如何告诉AD不执行这些设置? 或者,即使是相反的解决scheme(“仅将这些设置应用于属于特定组的用户”)也可以。
但是,请记住,我们正在讨论这里的环回处理 。 这些策略适用于计算机 ,并且其内部的用户设置仅适用于用户, 因为他们正在login到这些计算机 (是的,我知道这是混乱的,回环处理是正确地使用组策略的最棘手的事情之一)。
我认为这个解决scheme是WMI过滤(我是这么做的)。
您可以创build一个WMI筛选器来捕获所需的工作站。
您只能使用用户设置创buildGPO,并使用安全筛选。
将两者放在一起,然后将GPO放在用户容器上。
所以WMI过滤指定了它应用于的comptuer,以及安全过滤它所应用的用户。
并放弃回送。
这会给你带来更多麻烦,因为它不仅适用于configuration的指定GPO,而且适用于应用于计算机的所有策略。
更新
如果您的工作站上安装了kb3163622 ,则只能使用安全组来执行相同操作。
此更新改变了用户策略的应用方式。
从现在起,用户策略实际上在计算机和用户安全上下文中都被应用。
因此,如果您将该GPO的安全筛选放入您希望应用的计算机和用户,那么将执行与WMI相同的技巧(假设您不打算进行某些复杂的查询)。
针对有问题的安全主体(用户/组)使用计算机OU中的用户设置拒绝对组策略应用组策略权限将阻止在计算机OU上链接的用户组策略应用。
但是,如果为replace模式configuration了环回策略处理,则将忽略用户帐户位置(而不是计算机)范围内的用户组策略。