我们需要将某些用户锁定到终端服务器上非常受限的桌面,并且只为他们提供一个会自动启动的应用程序。我为每个需求设置了一个 GPO,但无法弄清楚如何将这些 GPO 仅应用于我们需要强制执行此操作的特定用户。
在没有深入研究组策略环回(这可能会导致我们当前的 AD 结构和相关 GPO 出现问题)的情况下,我首先想到的是 WMI 过滤器。我的问题是编写 WQL 语句以满足我的需求。
我尝试了 [SELECT * FROM W32.ComputerSystem WHERE UserName = 'domain\username'],但此查询始终返回错误。我猜测是因为终端服务器环境,但我不确定。我稍微查看了一下 W32.TSAccount 类,但也没有发现任何有用的东西。
有谁有想法或文献可以参考,以便我可以进一步深入研究这个问题?任何帮助都将不胜感激,因为我不是 AD/GPO 专家。
答案1
您不需要执行 WMI 筛选器,只需在 GPO 上设置安全筛选器即可。我的建议是先创建一个包含所有要应用筛选的用户的组。然后,在 GPMC 中(如果您没有,我强烈建议您将其内置到 Windows 7 和 2008 中,适用于旧版 Windows 的 MS 下载)选择您想要应用安全过滤器的策略,然后在范围选项卡中的安全过滤部分(链接下方,WMI 过滤上方)删除“经过身份验证的用户”并添加您的组。