在我们的 W2k8-R2 DC 上我创建一个新的 GPO 并配置
“计算机配置/策略/Windows 设置/管理模板/系统/登录/在用户登录时运行这些程序”到“c:\windows\system32\notepad.exe”(仅用于测试)它不会在 Win 7 SP1 上生效,无论安全过滤选项是什么。
似乎其他设置(在同一个 GPO 中)已激活,但计算机策略部分中的“在用户登录时运行这些程序”未激活。我在“用户策略”部分配置了完全相同的设置,并将“经过身份验证的用户”添加到安全过滤中,该程序将启动。但这不是我需要的。
我可以重现该问题,具体步骤如下:
- 创建新组“group-a”用于以后的安全过滤
- 创建新的 GPO
- 将“计算机配置/策略/Windows 设置/管理模板/系统/登录/在用户登录时运行这些程序”设置为“c:\windows\system32\notepad.exe”
- 为了设置范围,请从安全过滤中删除“经过身份验证的用户”,然后添加“group-a”
- 将 GPO 链接到域根目录
- 使“测试计算机”成为“group-a”的成员
- 在“测试计算机”上运行“gpupdate /force”,重新启动,登录
问题:记事本未启动。
我的目标很明显:根据 group-a 的成员身份,我想要配置每当用户登录时就应该启动的某些程序。
gpresult /R 返回它将应用 GPO。(实际上确实如此,但未应用“在用户登录时运行这些程序”设置。)
为了调试,我在一台应该应用 GPO 的机器上启动了 MMC / RSoP,发现没有设置“在用户登录时运行这些程序”(这似乎是 GPO 无法在机器上运行的原因)。
在网上搜索我发现了类似的报告在技术网但没有找到解决方案,用户使用了变通方法。
如果我更改 GPO,以便在“用户配置”而不是“计算机配置”中使用完全相同的设置,只要我将“经过身份验证的用户”添加到安全筛选中,它就会起作用。但随后 GPO 将应用于所有用户,而不仅仅是使用属于 group-a 成员的计算机的用户。根据“www.grouppolicy.biz/2010/05/how-to-apply-a-group-policy-object-to-individual-users-or-computer/”,我不应该删除“经过身份验证的用户”,而应该更改安全设置,但在 Win2k8 下,我找不到针对“经过身份验证的用户”的“应用”安全设置,因此我无法删除该设置,只有“读取”或“读取和修改”。
所以有两个问题:1. 为什么使用“计算机设置”时不起作用2. 删除“经过身份验证的用户”并改用组 a 的安全过滤怎么样?
T。
答案1
我同意环回处理是答案,但我的理解是它是一个 PER GPO 设置,因此只有有问题的 GPO 才以这种方式应用。
我知道在我的环境中它就是这样运作的。
‘此策略指示系统将计算机的 GPO 集应用于登录受此策略影响的计算机的任何用户。此策略适用于特殊用途的计算机,您必须根据正在使用的计算机修改用户策略。例如,公共区域、实验室和教室中的计算机。‘
与上面相同的链接。
https://support.microsoft.com/en-us/help/231287/loopback-processing-of-group-policy
将此设置添加到您现有的 GPO。
答案2
我刚刚遇到了同样的问题。我使用安全组过滤了 GPO,其中包含了我想要应用此 GPO 的所有计算机。但是,登录时应用程序无法加载。我最终意识到这可能与我过滤掉用户有关,即使它没有在用户中设置任何内容。我重新添加了经过身份验证的用户,一切正常。我只设置了此组策略设置的计算机版本,但出于某种原因,它需要同时过滤计算机和用户。
答案3
我的目标很明显:根据 group-a 的成员身份,我想要配置每当用户登录时就应该启动的某些程序。
Local System这是个坏主意:你的程序将在上下文中启动。
如何使用上面的建议,你可以使用环回处理。但此设置的作用将影响所有适用于计算机的策略 - 请小心使用。
请注意,登录脚本的处理可能会有相当长的延迟(最多 15 分钟)。
我认为正确的解决方案:使用 GPP 管理启动菜单文件夹中的快捷方式。只需创建一个启动快捷方式即可。