我有一个域,我们称之为internal.domain.com,它有 36 个业务部门(以 分隔OUs)。我想要一个策略来映射业务的驱动器,该驱动器通过成为安全组的成员进行过滤(因为我们使用基于位置的文件服务器,而不是面向业务的文件服务器)。
现在,我们假设股票为\\bus1-fs\data和\\bus2-fs。因为两家公司都是技术上唯一的,两个共享都有唯一的安全组,规定谁可以访问该共享。
在登录时,我知道我可以使用命令来映射驱动器(或 GPO 中的内置驱动器选项)运行ps1或脚本,这不是问题。问题是我缺乏从 Active Directory 中提取数据的技能,无法扩展单个脚本以使用命令(或类似命令)查找用户成员资格并映射文件夹。batchnet useIF
据我所知,文件夹重定向 GPO 实际上允许多个安全组将数据本机指向不同的 UNC 路径(无需脚本) - 如果有方法可以运行类似的 GPO 来运行某些脚本,那是理想的 - IE 我不想制作 36 个在登录时应用于映射驱动器的唯一 GPO,我希望单个 GPO 来执行此操作。
为了确保这一点易于遵循,以下路径被映射到安全组下明确地- 这意味着我需要再次复制这个 GPO。
现在我知道这可以通过某种形式的脚本(例如带有 LDAP 的 VBScript)来实现,但是我正在寻找一种简单的方法,让用户(例如我自己)能够频繁查看和编辑脚本/GPO。
答案1
使用项目级定位
项目级定位是组策略首选项设置(包括驱动器映射 GPP)的一项功能。它公开了大量标准来确定具体的应应用驱动器映射,包括安全组成员身份:
因此,您可以拥有单身的包含组织所需的所有可能的驱动器映射 GPP 项的组策略对象。项级定位分别应用于每个驱动器映射首选项;当满足所需条件时,将映射驱动器,当不满足所需条件时,将跳过驱动器。