我想知道是否有办法让WMI查询检查login用户的OU。 我想要一个GPO(链接到Citrix服务器OU)只适用于用户,如果用户在一个特定的OU – 这是Citrix的,所以太明显的答案 – 只是链接到用户所在的OU不适用。 这也不能使用安全组来完成,因为很久以前,那些开始被用作通讯组的用户也变得太多了,这些都是很不准确的。 最后,我需要将其应用于整个GPO,因为不仅包含组策略首选项,还不能使用项目级目标function。 但我的OU是准确的,所以我想尽可能使用这些。 我想要一个WMI查询filter来说,如果用户是OU'x'的成员,应用GPO
那可行?
组策略适用于OU。 可以通过组或wmi查询来应用过滤。 在你的情况下,解决你的问题的最好办法是创build另一个组,其中包含您想通过此策略影响的用户。 你可以通过wmi获得你想要的信息,但这不是微不足道的。 请参阅映射Active Directory类
如果处理“映射活动目录类”让你感到恐惧,还有另一种方法。 如果您可以在用户移动和GPO适用于他们之间生活一段时间,那么创build一个批处理过程来维护一系列指示哪些用户在哪个OU中的组。 例如。
grp.ou-members.acct.receivable
将包含/ Acct / Receivable OU中的所有用户。 然后,您可以使用组filter而不是复杂的WMIfilter。 这不是实时的,除非你有一些你可以运用的身份pipe理系统钩子,但是它可以完成这项工作。 使用PowerShell脚本来创build和维护这些组是相当容易的。