GPO para definir papel de parede por computador em vez de por usuário

3

Eu gostaria de poder configurar um GPO para definir papéis de parede do computador em vez de por usuário. No entanto, lendo a documentação e os fóruns, não consegui descobrir o que parece ser uma coisa simples de fazer.

Isso é para um ambiente de domínio do Windows Server 2008 R2.

Desde já, obrigado.

active-directory windows-server-2008-r2 group-policy Windows Ninja
fonte
Qual é o problema que você está realmente tentando resolver aqui? Definir o papel de parede em uma base 'por usuário' para todos os usuários deve ter o mesmo efeito que definir o papel de parede para cada computador.
Rob Moir
Seria, mas eu não quero que os papéis de parede sejam definidos quando as pessoas acessam seus laptops, apenas quando elas acessam estações de trabalho compartilhadas. Posso definir o papel de parede localmente nessas estações de trabalho, mas estava tentando fazer isso no nível do GPO.
Windows Ninja

Respostas:

9

A única maneira de fazer isso ("este" ser "definindo algo na política do usuário com base em qual computador o usuário efetuou login") é o Loopback Processing , onde (no modo de mesclagem) os GPOs vinculados do objeto de computador são verificados quanto à política do usuário, bem como o objeto de usuário.

O processamento de loopback pode adicionar muita complexidade ao seu ambiente de GPO e muitas políticas indesejadas sendo aplicadas - certifique-se de entender completamente o que ele fará e testar os possíveis impactos antes de ativá-lo.

Shane Madden
fonte
Se for esse o caso, não vale a pena apenas definir um papel de parede por computador. Deixarei isso em aberto por um tempo e, se não houver respostas melhores, forneça seu Cheque adequadamente. Obrigado Shane.
Windows Ninja
11
Não é extremamente complexo. Se você adicionar uma única política (esse é o seu caso) ao seu GPO e configurar a mesclagem de loopback, ele fará o trabalho perfeitamente.
5306 Charlie Wilson
@CharlieWilson Em um ambiente limpo, sim - mas na maioria dos ambientes que vi, há uma confusão de GPOs vinculados à UO em que o objeto do computador está onde provavelmente existem configurações do usuário (devido à vinculação nas UOs do usuário ou políticas acidentais construídas no árvore incorreta quando a política estava sendo criada) que seria aplicada repentinamente (com prioridade sobre os GPOs vinculados do contêiner do usuário, potencialmente revertendo os controles de segurança!) se a mesclagem de auto-retorno estivesse ativada. Essa é a razão do aviso.
Shane Madden
11
@ShaneMadden Objeção sua honra, especulativo! Entendo o seu argumento, mas ele está pedindo uma solução para esse problema em particular, ao qual você respondeu. Se ele precisará ou não reestruturar seu GPO não é relevante para essa questão em particular.
Charlie Wilson
@CharlieWilson Seu argumento parece ser que não deve haver um aviso "isso é diferente da configuração padrão do GPO, entenda antes de usar" em uma resposta de 2 anos que recomenda o loopback? Bem, minha resposta é que o aviso está sendo mantido. O loopback pode ter efeitos imprevisíveis (que eu me limpei em vários ambientes, e quero dizer especificamente erros de loopback por não entender o recurso), e um aviso como esse é justificado sempre que a aplicação de um GPO mudará o comportamento de qualquer outro GPO, muito menos todo GPO aplicado a todos os computadores nos quais o GPO de mesclagem se baseia .
Shane Madden
1

Embora isso seja possível, não há uma maneira óbvia de fazer isso, porque um papel de parede NÃO pode ser implantado em um GPO de "Computador" ... apenas em um GPO de "Usuário"

Foi assim que eu fiz, Crete, edite um novo GPO e vá para:
Configuração do Usuário \ Diretivas \ Modelos Administrativos \ Área de Trabalho \ Área de Trabalho
Aqui você ativa a opção "Papel de parede da área de trabalho" ..... e, em seguida, digite o local, em ordem para simplificar, você pode implantá-lo aqui:
C: \ Windows \ Web \ Wallpaper \ Windows \ NewWallpaper.jpg

Agora, você também precisa copiar a imagem do papel de parede localmente; portanto, no mesmo GPO que estiver editando, vá para: Configuração do Usuário \ Preferências \ Configurações do Windows \ Arquivos
Em seguida, crie uma nova entrada "Arquivo"
Ação: Substituir
arquivo (s) de origem : \ yourfileserverUNC \ Share \ NewWallpaper.jpg
Arquivo de destino: C: \ Windows \ Web \ Wallpaper \ Windows \ NewWallpaper.jpg

Então você aplica esse GPO à raiz do seu domínio, eu sei que agora você está se perguntando: como limite o GPO para que ele funcione apenas em determinados computadores ?? .. esse é o molho secreto, meu amigo, WMI Filters !!!. você pode criar um filtro WMI que limite a execução do GPO a um determinado número de endereços IP ou a um intervalo de endereços IP, vá para a seção Filtros WMI e crie um novo filtro do tipo "root \ CIMv2" e no diretório Tipo de campo "Consulta":

selecione * em Win32_IP4RouteTable where (Nome como "10.1.3.%" OU Nome como "10.122.77.29" OU Nome como "10.122.77.30")

Salve o filtro WMI e, em seguida, volte ao GPO e, na guia "Escopo", você verá uma opção WMI Filtering "na parte inferior, selecione o filtro WMI criado, que limitará a execução do GPO àqueles máquinas ou variedade de máquinas especificada pelos endereços IP .. funciona muito bem nos meus sistemas .. espero que ajude .. Obrigado!

Jose Rojo
fonte
Fácil de configurar, funciona perfeitamente bem, mas se você não tem um IP estático, use esta em vez disso: SELECT * FROM Win32_ComputerSystem onde nome como "COMPUTERNAME%"
Zurd