我想要实现的目标
我们仅在一个办公室使用集中打印,因此我需要确保当用户登录到终端服务器时,该办公室中存在相关的网络打印机,并防止任何本地打印机被重定向
问题
我有 2 个 GPO,我希望仅当登录到特定 OU 中任何终端服务器的用户属于某个安全组时才应用这些 GPO。我已通过安全过滤添加了该组,但 GPO 并未应用,GP 建模显示“访问被拒绝(安全过滤)”。
根据科技网但事实不应该如此——
如果计算机帐户或用户帐户不符合安全过滤标准,则整个 GPO 在该客户端上将被拒绝。
我对上述内容的理解是,用户帐户满足安全过滤标准(即用户是指定的安全组的成员),因此不应拒绝 GPO。
我正在尝试应用的设置
以下是我目前正在执行的步骤。每次用户登录 OU 中的终端服务器时,都会应用 GPO DD Terminal Servers。
第一项策略应应用以下设置 -
- 电脑 -
- 管理模板\系统\组策略 -
- 组策略慢速链接检测(已禁用)
- 脚本策略处理(已启用、已禁用、已启用)
- 用户组策略环回处理模式(替换)
- 管理模板\系统\组策略 -
- 用户 -
- Windows 设置\脚本\登录
- 一个脚本
add_network_printers.vbs
- 一个脚本
- Windows 设置\脚本\登录
第二项策略应应用此设置(回想起来,它可以纳入上述策略,因为它应该影响相同的用户)-
- 电脑 -
- 管理模板\Windows 组件/终端服务/客户端/服务器数据重定向 -
- 不允许客户端打印机重定向(已启用)
- 管理模板\Windows 组件/终端服务/客户端/服务器数据重定向 -
图片
以下图片显示了 GPO 权限和相关测试用户的组成员身份。请注意,我已确保该对象DD\Sherborne具有Apply Group Policy权限,即使此处未显示 -
有人能帮我理解为什么这些 GPO 被拒绝吗?谢谢。
答案1
第二项策略应应用此设置(回想起来,它可以纳入上述策略,因为它应该影响相同的用户)-
计算机 - 管理模板\Windows 组件/终端服务/客户端/服务器数据重定向 - 不允许客户端打印机重定向(已启用)
这是您的解决方案的核心问题。上述策略是机器范围的配置 - 无法基于每个用户应用。您可以配置终端服务器,也可以不配置。您选择的策略没有中间方案。
其次,第一项策略(Loopback Stuff 和 vbs 脚本)应该是两项独立的策略。
第一个应该只包含计算机配置内容,理想情况下应该应用于“经过身份验证的用户”,或者至少应用于终端服务器帐户/组。
第二项策略将是您的用户配置设置,并且仅适用于您希望拥有该打印机的用户。
答案2
我不知道这怎么可能行得通。您需要计算机处理计算机配置设置,以便进行环回策略处理,这样当安全组中的用户登录到此计算机时,您的用户配置设置就会应用于他们,但您拒绝了计算机读取和应用组策略对象所需的权限。您有点进退两难。您需要设置安全筛选以允许计算机读取和应用此 GPO。
看这里: