Como ignorar o processamento de loopback do GPO para alguns usuários?

8

Como você provavelmente sabe, o processamento de loopback é um recurso das Diretivas de Grupo do Active Directory que aplica configurações de usuário em um GPO a qualquer usuário que efetua logon em computadores no escopo do GPO (enquanto o comportamento padrão seria aplicar configurações de usuário apenas se a conta do usuário está realmente localizado no escopo do GPO). Isso é útil quando você deseja que todos os usuários que efetuam logon em um computador específico recebam alguma política de usuário, independentemente de onde suas contas de usuário estejam realmente localizadas no AD.

O problema: quando o processamento de loopback está ativado, um GPO contendo configurações do usuário é aplicado a todos que usam esses computadores, e você não pode ignorar isso usando ACLs no GPO, porque na verdade não é aplicado aos usuários , mas aos computadores .

A pergunta: como o processamento de loopback pode ser ignorado para usuários específicos que precisam fazer logon nesses computadores, mas não devem estar sujeitos a essas configurações de diretiva?

Caso em questão: existem vários servidores de terminal nos quais os GPOs com processamento de loopback são usados ​​para impor restrições pesadas ao usuário em todos os que efetuam logon neles (eles basicamente só devem poder executar vários aplicativos aprovados pela empresa); mas isso se aplica mesmo a administradores de domínio , que são incapazes de iniciar um prompt de comando ou abrir o gerenciador de tarefas. Nesse cenário, como posso dizer ao AD para não impor essas configurações se o logon do usuário pertencer a um grupo específico (como Administradores de Domínio)? Como alternativa, mesmo a solução oposta ("apenas aplique essas configurações a usuários pertencentes a um grupo específico") seria adequada.

Mas, por favor, lembre-se de que estamos falando sobre processamento de loopback aqui. As políticas são aplicadas aos computadores e as configurações do usuário dentro delas são aplicadas aos usuários apenas porque eles estão fazendo logon nesses computadores (sim, eu sei que é confuso, o processamento de loopback é uma das coisas mais complicadas para corrigir as diretivas de grupo).

Massimo
fonte
1
não é possível ignorar as configurações por usuário é exatamente por isso que você usa o loopback.
Jim B
Leia technet.microsoft.com/en-us/library/cc782815(v=ws.10).aspx Eles criam 2 GPO, um com loopback e outro com a configuração de usuário vinculada à UO do servidor de terminal. Eles declaram remover o administrador (removendo usuário autenticado) apenas dos segundos GPOs.
yagmoth555
A política é aplicada aos computadores ... interferir nas permissões do usuário não deve funcionar; no entanto, agora estou mais confuso do que nunca. Alguns testes estão em ordem; Voltarei a esta pergunta depois de verificar como isso realmente funciona.
Massimo
Use uma segunda política aplicada vinculada aos usuários para desfazer as configurações adquiridas no processamento de loopback?
precisa saber é o seguinte

Respostas:

1

Acho que a solução seria a filtragem WMI (foi assim que fiz no meu lugar).

Você cria um filtro WMI que captura as estações de trabalho que deseja.
Você cria um GPO apenas com as configurações do usuário e com filtragem de segurança.
Você coloca os dois juntos e coloca o GPO no contêiner de usuários.

Portanto, a filtragem WMI especifica o computador ao qual se aplica e a segurança que filtra os usuários aos quais se aplica.

E solte o loopback.
Isso lhe dará mais dores de cabeça do que você esperava, pois não se aplica apenas ao GPO especificado em que está configurado, mas a todas as políticas aplicadas aos computadores.

Atualização
Se você tiver o kb3163622 instalado em suas estações de trabalho, poderá fazer o mesmo usando apenas grupos de segurança.
Esta atualização altera a maneira como as políticas do usuário são aplicadas.
A partir de agora, as políticas do usuário são realmente aplicadas no contexto de segurança do computador e do usuário.
Portanto, se você colocar na filtragem de segurança desse GPO os computadores e usuários aos quais deseja aplicar, isso fará o mesmo truque que o WMI (supondo que você não esteja fazendo uma consulta complexa).

EliadTech
fonte
1

A negação da ACE para a permissão de Diretiva de Grupo Apply para as entidades de segurança em questão (Usuário / Grupo) nas diretivas de grupo com as configurações de usuário na UO do computador impedirá a aplicação das diretivas de grupo vinculadas à UO do computador.

No entanto, se o processamento da política de loopback estiver configurado para o modo Substituir, as políticas do grupo de usuários que estão no escopo do local da conta do usuário (e não do computador) serão ignoradas.

Greg Askew
fonte
A política é aplicada a computadores , não usuários ; afeta apenas usos devido ao processamento de loopback. Negar aos usuários o direito de aplicá-lo não tem efeito, porque a política não é realmente aplicada aos usuários.
Massimo
A configuração da política do usuário se aplica aos usuários, e os usuários não podem aplicar as configurações se houver uma ACE decente. Eu confirmei isso nos testes. Loopback significa apenas verificar as políticas do usuário no escopo do computador e Se as políticas do usuário no escopo da conta do usuário devem ser mescladas ou substituídas / ignoradas. Isso não significa que as configurações do usuário se apliquem aos computadores.
Greg Askew
Na verdade, eu tentei isso e não funcionou; talvez eu tenha perdido alguma coisa, vou tentar novamente ...
Massimo
@ Massimo: Não há problema. E você está correto, é confuso. :-)
Greg Askew
@ Massimo Você provavelmente estava perdendo o patch de KB mencionado na outra resposta que foi editada com esse detalhe, esta solução funciona bem, desde que você tenha aplicado. Suponho que você já tenha entendido isso até agora, mas queria mencionar apenas por precaução.
Pimp Juice IT