我想知道是否有办法让 WMI 查询检查登录用户的 OU。我希望 GPO(链接到 Citrix 服务器 OU)仅在用户位于某个 OU 中时才应用于用户 - 这是针对 Citrix 的,因此过于明显的答案 - 只需将其链接到用户所在的 OU 不适用。这也不能使用安全组来完成,因为很久以前安全组也开始用作分发组,而现在太多的安全组都不准确。最后,我需要将其应用于整个 GPO,因为其中包含的不仅仅是组策略首选项,所以我也不能使用项目级定位功能。但我的 OU 是准确的,所以如果可以的话,我想使用它们。我希望 WMI 查询过滤器说,如果用户是 OU“x”的成员,则应用 GPO
那可行吗?
答案1
组策略应用于 OU。可以通过组或 wmi 查询应用过滤。对于您来说,解决问题的最佳方法是创建另一个组,其中包含您想要通过此策略影响的用户。可以通过 wmi 获取所需的信息,但这并不简单。请参阅映射 Active Directory 类别
答案2
如果处理“映射 Active Directory 类别”让您感到害怕,还有另一种方法。如果您可以忍受用户移动和 GPO 应用于用户之间的一些滞后,请创建一个批处理过程来维护一系列组,这些组指示哪些用户位于哪个 OU 中。例如。
grp.ou-成员.acct.应收账款
将包含 /Acct/Receivable OU 中的所有用户。然后,您可以使用组过滤器而不是复杂的 WMI 过滤器。除非您有一些身份管理系统挂钩可以实现实时性,否则它不会是实时的,但它可以完成工作。使用 PowerShell 脚本可以相当轻松地创建和维护此类组。