我正在尝试应用用户策略来锁定 Windows 主题的更改。
但是我只希望将此策略应用于一台计算机(它是运行 Server 2012 的终端服务器),我们称之为ServerX。
有问题的服务器与其他服务器位于同一个 OU 中,我不想更改该 OU 结构。
我已经创建了一个新Global Security Group组Terminal Servers,并且该策略的安全过滤下列出的唯一内容是新组Terminal Servers。
本群组仅有ServerX一名成员。
我已确保Authenticated Users拥有该政策的读取委托权限。
Loop back processing对于(计算机)策略也已打开,设置为merge。
现在,当我gpresult在 ServerX 上运行时,它告诉我它已成功应用此策略的计算机设置(这将是环回处理),但是用户设置(即锁定 Windows 主题的策略)被拒绝。
gpresult说:Filtering: Denied(Security)在用户策略部分下
我搜索了一段时间,大多数解决方案最终都说只针对经过身份验证的用户过滤策略,并使用 OU 层次结构来执行计算机定位。
但是,由于我不想重新安排 OU 结构,所以目前这不是一个选择。
我究竟做错了什么?
答案1
我对此采取了不同的方法,认为使用此方法的唯一方法是以某种方式利用 OU。
这是我做的:
- 根据目标用户而不是单个目标计算机对 GPO 进行安全过滤。在本例中,我唯一的安全过滤器是
Domain Users - 我创建了一个 WMI 过滤器来匹配我所针对的服务器的计算机名称:
Select * from Win32_ComputerSystem where Name like "SERVERX%"
结果是,该策略被映射到所有登录的计算机Domain Users,但是,除非计算机的名称是 ServerX,否则它将因 WMI 过滤器而被拒绝
基本上,似乎环回处理模式必须让登录到指定计算机的用户对该策略具有“应用此策略”委派权限,否则我们会根据安全过滤收到被拒绝的错误。
一切都归结为使用这种形式的结构:
- 使用 OU 结构过滤计算机,然后使用安全过滤过滤用户
但是,如果 GPO 在层次结构中链接得更高(而不是链接到仅包含受影响计算机的最具体 OU),则需要额外的过滤来过滤掉所有排除计算机。我通过 WMI 过滤器执行此操作。