如何确保我的 GPO 以正确的顺序应用

如何确保我的 GPO 以正确的顺序应用

我正在通过 GPO 部署 VMware Player,我想将特定 ACL 应用于安装文件夹以及我在安装 Player 期间创建的 D:\VMWARE 文件夹。我还必须添加VMware 用户帐户“可以本地登录”权限。为此,我创建了一个 GPO,其范围与我的 Vmware Player 安装 GPO 相同。此 GPO 运行良好,但当与我的部署 GPO 同时应用时,它似乎在部署 GPO 之前应用,然后:- 找不到VMware 用户帐户 - 找不到 c:\program files\vmware 文件夹 - 找不到 D:\vmware 文件夹,因为 vmware player 安装尚未创建任何文件夹。我应用安全 GPO 的唯一方法是手动执行 gpudate /force 命令,但我不想使用这个命令(它应该是自动安装)

我已经检查了 gpo 处理顺序,我的安全 GPO 应该在安装 GPO 之后应用(安全 GPO 是 1 号,部署 GPO 是 2 号),但事实似乎并非如此。

有人有办法解决这个问题吗?

答案1

似乎这里有一个时间问题。我想到两三件事可以改变 GPO 的处理顺序

1) 您可以更改 GPO 对象的链接顺序来调整其处理顺序。转到 GPMC 中包含相关 GPO 的 OU。

2) 您可以通过强制执行来始终使 GPO 在处理过程中最后运行。因此,在您的案例中,您将强制执行安全 GPO

3) 使用 WMI 筛选器使安全 GPO 依赖于安装程序 GPO。让 WMI 筛选器检查 Vmware Player 的添加/删除程序(我相信是 win32_applications)是否已安装,作为安全 GPO 的执行条件。

为了保证它按预期工作,我将以稍微不同的方式完成此任务,使用以下两种方法之一:

1)在脚本中实现整个过程通过 GPO 部署。这样,您可以保证脚本内的处理顺序。缺点是您无法通过禁用 GPO 来取消部署 vmware player。(如果您不是通过 MSI 安装,这不是问题)。这将是我的首选方法。

2)重新打包 vmware player MSI包括必要的 ACL 更改和用户帐户的创建。我尽量避免 MSI 重新打包,因为这会成为维护上的难题。

相关内容