我想问你,如何在不同的PC上为不同的用户OU实现不同的GPO。 我对这个还是有点新的 它正在运行Windows Server 2012 R2。
为了理解我们的OU结构,下面是一个图像: OU结构
作为一个例子,我将讨论禁用任务pipe理器。 问题是,部门OU的用户正在login到他们自己的工作站以及RDS服务器。 我需要让他们在他们的工作站上有任务pipe理器,但不能在RDS上。 远程用户也是如此,他们主要login到RDS,不应该有任务pipe理器。 但是那里有Power用户,他们的工作站和RDS都应该有任务pipe理器。 但是我也需要他们运行脚本,如果他们login到工作站,而不是RDS。
我知道要禁用RDS上的任务pipe理器的部门OU我可以使用环回处理,但我很困惑如何实现具有不同的GPO的高级用户。 我是否需要将它们分开安全组,使用两个GPO进行环回处理,并使用安全筛选将它们分开? 还是有另一种方法?
谢谢。
在使用以用户configuration为目标的GPO时,为防止它适用于某种types的操作,可以通过一个比WMIfilter的回送处理更简单的方法来实现。
使用WMIfilter。
SELECT * FROM Win32_OperatingSystem WHERE ProductType = 3 要将查询限制为仅限客户端或仅限服务器,请添加包含ProductType参数的子句。 要仅筛选客户端操作系统(如Windows 7或Windows Vista),请仅使用ProductType =“1”。 对于不是域控制器的服务器操作系统,请使用ProductType =“3”。 仅限于域控制器,请使用ProductType =“2”。 这是一个有用的区别,因为您经常希望防止将您的GPO应用于networking上的域控制器。
从那里将GPO链接到您的用户所在的OU,和/或删除已validation的用户并select一个安全组。
WMI筛选器将生成一个条件,如果它返回true ,那么如果用户在正确的OU中,并且在设置了安全组的情况下在安全组中,则应用GPO。
那里有一些参考
你的例子有点混乱,但也许我可以帮助一些规则。 GPO是按顺序应用的,所以无论GPO获得最后的胜利。 IE如果你在一个策略中打开它,而在另一个策略中closures的策略是要生效的策略。 GPO可以是机器或基于用户的。 因此,如果您应用任务pipe理器策略(我认为这是基于用户的策略),则需要先将策略应用于所有标准用户才能closures该策略,然后再制定另一个策略为您的高级用户恢复策略。 希望这可以帮助。
简单地说,创build一个新的安全组,将用户添加到组中,然后创build一个GPO并将新组添加为工作站上的本地用户(检查以下链接以将安全组添加到特定本地组) 。 expta.com/2011/02/adding-users-to-local-security-groups.html
在同一GPO上,添加以下(按registry项)以启用任务pipe理器并将新的GPO分配给Workstations OU。
启用任务pipe理器:
REG添加HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System / v DisableTaskMgr / t REG_DWORD / d 0 / f
创build另一个GPO(按registry项)禁用任务pipe理器并将新的GPO分配给RDS OU。 禁用任务pipe理器:
REG添加HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System / v DisableTaskMgr / t REG_DWORD / d 1 / f