Aplicando um GPO a um usuário apenas em um computador

10

Eu tenho um GPO que preciso aplicar ao usuário DOMAIN\DumbGuy, mas somente quando ele fizer logon DOMAIN\DumbGuysComputer$. Quando o DOMAIN\NiceReceptionistlogon DOMAIN\DumbGuysComputer$não deve ser aplicado. Quando o DOMAIN\DumbGuylogon DOMAIN\ReceptionstsComputer$não deve ser aplicado.

Ele precisa se aplicar apenas a uma pessoa em um computador .

Se eu aplicar o GPO ao objeto Usuário, ele será aplicado a todos os seus computadores. Se eu aplicar o GPO ao objeto Computador, ele será aplicado a todos os usuários nesse computador. Se eu aplicá-lo a ambos, ele se espalha ainda mais.

Como posso aplicar um GPO a apenas um usuário em apenas um computador?

active-directory group-policy Mark Henderson
fonte
Essas são apenas configurações do usuário?
pauska
Sim, é um script de logon
Mark Henderson

Respostas:

11

Minha sugestão é semelhante à do habitante ..

Crie uma sub-OU apenas para esse computador único, crie um GPO nele e defina-o no modo de mesclagem de loopback. Use segurança filtragem no GPO para que apenas DumbGuytem permissões para aplicá-lo. Não vejo nenhuma razão para usar dois GPOs diferentes.

Mucho importante! Não filtre os direitos de "leitura" dos usuários autenticados, pois o subsistema de diretiva de grupo precisa ler o GPO antes que ele se aplique ao usuário

pauska
fonte
Eu fiz isso esta manhã e funcionou bem. Criou uma subunidade organizacional, colocou o computador nele, colocou o GPO na unidade organizacional e filtrou-o para o nome de usuário. Perfecto.
Mark Henderson
+1 - Exatamente como eu faria isso também.
Evan Anderson
1
PS Obrigado por essa última dica também; Eu sempre esqueço que a remoção de "Usuários autenticados" da filtragem de segurança também remove as permissões de delegação.
Mark Henderson
6

Eu examinaria o processamento de loopback da diretiva de grupo em conjunto com a filtragem de segurança. Você pode usar o recurso de loopback da Diretiva de Grupo para aplicar GPOs (Objetos de Diretiva de Grupo) que dependem apenas de qual computador o usuário faz logon.

Este é um exemplo de como isso pode ser implementado .

Na verdade, como eu implementaria isso:

Crie dois GPO diferentes e atribua-os a DOMAIN \ DumbGuysComputer $.

Configure o primeiro GPO com o processamento de loopback definido no modo Substituir e configure a filtragem de segurança para aplicar apenas ao usuário DOMAIN \ DumbGuy .

Configure o segundo GPO sem processamento de loopback e configure a Filtragem de segurança para aplicar apenas a usuários DOMAIN \ NiceReceptionist .

Volodymyr M.
fonte
5

Provavelmente, apenas vincularia o GPO à UO em que o usuário está e usaria a filtragem de segurança ou o WMI para garantir que ele se aplicasse apenas a esse usuário e, em seguida, agrupasse o script inteiro em um if($ENV:computername -eq whatever){}bloco.

MDMarra
fonte
Isso é muito inteligente! A solução de Pauska foi um pouco mais clara, mas se eu não conseguir mover a UO do computador, farei isso.
Mark Henderson
0

O GPO se aplica ao éter do objeto de usuário, do computador ou de ambos os objetos em uma UO e você não pode fazer com que o GPO se aplique apenas a um objeto de computador apenas se um determinado usuário efetuar login no computador ou se aplicar a um objeto de usuário apenas se esse usuário entra em um determinado computador.

Winter Faulk
fonte
Parece que você não pode fazer isso com a filtragem padrão, mas há soluções alternativas para isso
Mark Henderson
0

Eu criei um filtro WMI que parece funcionar:

Select * from WIN32_OperatingSystem where NOT CSName="PCName"

Você pode testar as consultas WMI no PowerShell usando:

gwmi -Query 'Select * from WIN32_OperatingSystem...'
Marca
fonte