web-dev-qa-db-ja.com

GPO= 1台のコンピューター上の1人のユーザーにのみ適用する

GPOユーザーに適用する必要があるDOMAIN\DumbGuyを持っていますが、ユーザーがDOMAIN\DumbGuysComputer$にログオンしたときのみです。DOMAIN\NiceReceptionistDOMAIN\DumbGuysComputer$にログオンするときは適用されません。DOMAIN\DumbGuyDOMAIN\ReceptionstsComputer$にログオンするとき適用しないでください。

one personone computerにのみ適用する必要があります。

GPOをユーザーオブジェクトに適用すると、彼のすべてのコンピューターに適用されます。GPOをコンピューターオブジェクトに適用すると、そのコンピュータのすべてのユーザーです。両方に適用すると、さらに広がります。

GPO=を1台のコンピューター上の1人のユーザーにのみ適用するにはどうすればよいですか?

10
Mark Henderson

私の提案は住民のそれに似ています。

その単一のコンピューター専用のサブOUを作成し、GPOを作成してループバックマージモードに設定します。GPO DumbGuyのみに適用する権限があります。2つの異なるGPOを使用する理由はありません。

Mucho重要!グループポリシーサブシステムがGPOそれがユーザーに適用される前に)を読み取る必要があるため、認証されたユーザーからの「読み取り」権限をフィルタリングしないでください

11
pauska

セキュリティフィルタリングと組み合わせて グループポリシーループバック処理 を調べます。グループポリシーループバック機能を使用して、ユーザーがログオンするコンピューターのみに依存するグループポリシーオブジェクト(GPO)を適用できます。

これは実装方法の例です

実際、これをどのように実装しますか:

2つの異なるGPOを作成し、DOMAIN\DumbGuysComputer $に割り当てます。

最初に構成GPO withLoopback Processingset in Replace Mode and Security FilteringDOMAIN\DumbGuyユーザー。

2番目のGPOループバック処理なしで構成し、DOMAIN\NiceReceptionistユーザーのみに適用するようにセキュリティフィルターを構成します。

6
Volodymyr M.

GPOをユーザーが存在するOUにリンクし、セキュリティフィルタリングまたはWMIを使用して、その1人のユーザーにのみ適用されることを確認してから、スクリプト全体をif($ENV:computername -eq whatever){}ブロック。

5
MDMarra

機能しているように見えるWMIフィルターを作成しました。

Select * from WIN32_OperatingSystem where NOT CSName="PCName"

以下を使用して、PowershellでWMIクエリをテストできます。

gwmi -Query 'Select * from WIN32_OperatingSystem...'
0
Mark

GPOは、OU内のユーザーオブジェクト、コンピューターオブジェクト、またはその両方のオブジェクトに適用され、GPOを特定のユーザーがそのコンピューターにログインした場合にのみコンピューターオブジェクトに適用することはできません。ユーザーが特定のコンピューターにログインする場合にのみ、ユーザーオブジェクトに適用されます。

0
Winter Faulk