我目前正在努力解决以下问题:在我们的组织中,我们希望阻止大多数用户访问OneDrive。 我在“计算机configuration”中find了以下GPO设置来build立此项:
Administrative Templates/Windows Components/OneDrive/Prevent the usage of OneDrive for file storage 但是,应该允许pipe理员使用OneDrive,因此我创build了一个包含所有pipe理用户“GRP_ALLOW_ONEDRIVE”的全局安全组。
现在我们有两个OU:一个包含用户,一个包含计算机。 所以我把这个GPO链接到COMPUTERS OU,并在安全设置中为这个特定用户组添加一个拒绝…
但是,这似乎并没有工作,我应该首先猜到,因为它是计算机configuration…
所以基本上我的问题归结为这个:
如何在COMPUTERS OU中成功创buildGPO以禁用除了exception组中用户以外的OneDrive? pipe理员login的计算机无关紧要,他们应该始终可以访问OneDrive。 所有其他用户不应该能够启动OneDrive,无论他们login到哪台计算机。
谢谢!
不幸的是,这是不能做到的。 您无法将计算机configuration设置应用或过滤到用户。
您可以执行的操作是使用“用户configuration”设置下的“软件限制策略”来阻止OneDrive可执行文件。 然后,您可以为特定的用户或组筛选此GPO。
您无法将计算机GPO应用于用户。 每个GPO的计算机设置都应用于计算机级别,与login到计算机的用户无关。 计算机使用自己的域计算机帐户访问GPO,因此包含用户的安全筛选组将首先排除应用GPO的计算机帐户。 拒绝用户访问GPO的安全组不会阻止计算机帐户访问和应用GPO的“ Computer Configuration部分。
简而言之:您无法真正将Computer Configuration中的设置与个人用户相匹配。 您将需要find一些用户特定的设置(例如HKEY_CURRENT_USER内的一个键),禁用该用户的OneDrive ,而不是全局在计算机上。