将组策略环回应用于特定计算机上的任何用户

您需要为这些计算机创建一个新的 OU，然后将 GPO 应用于新创建的 OU。

有五种方法可以实现此目的：

（OU 分离）

您可以通过不同的 OU 来区分计算机和用户，并将策略链接到计算机的 OU。要使用环回策略，用户和计算机都必须具有策略的读取和应用权限，因此，如果您将它们分开，则可以轻松地将安全性设置为“域用户”和“域计算机” - 该策略将应用于在策略所链接的 OU 中的计算机上工作的所有用户

（标记文件技巧）

或者，您可以耍个花招 - 您可以在需要应用 GPO 的计算机上添加“标志文件”：您应该创建一个仅限用户的非环回策略，该策略设置屏幕保护程序，并使用 WMI 过滤器对其进行过滤，检查是否存在本地标志文件，例如"Select * From CIM_Datafile Where Name = 'C:\\Windows\\spc.screensaver.flag'"。您应该将安全性设置为Domain Users- 读取和应用。其次，您应该为将创建此文件的计算机制定附加策略（这很容易做到，不会解释）。此策略不能是环回的，并且必须是仅限计算机的。安全性必须设置为Special Screensaver Computers- 读取和应用

（常见启动脚本-注册表编辑）

或者，您可以编写一个脚本，通过策略将其放入Special Screensaver Computers组中计算机的通用启动文件夹中。当任何用户登录此计算机时，此脚本将在用户权限下执行并更改一些 HKCU 注册表项等。因此，再次强调，这不是环回策略

（在 WMI 过滤器中对计算机名称进行硬编码）

或者，您可以在 WMI 过滤器中对计算机名称进行硬编码。天哪。

（使用项目级定位 - 注册表编辑）

或者，您可以使用 GPP 设置屏幕保护程序（制定注册表替换策略）。这支持项目级定位，您可以制定规则，仅在“计算机在安全组中Special Screensaver Computers”时应用注册表更改 - 在这种情况下，您应该制定一个将安全性设置为的环回策略Special Screensaver Computers-Domain users在用户配置下读取、应用并进行注册表修复，启用项目级定位以检查计算机是否在安全合适的组中。请注意，GPP 适用于安装了 KB943729 的 XP SP2\3。不确定项目级定位是否适用于 XP SP2

（---）

因为您需要针对每台计算机进行此设置，并且该策略必须应用于此计算机上的所有用户，所以您必须Domain Users为此策略设置安全性。当用户登录时，它会读取分配给用户所在 OU 的所有策略。目前，策略仅支持三种类型的过滤 - OU 分离（通常很麻烦）、WMI 过滤和项目级定位

你有没有尝试过WMI 筛选WMI Filtering？

我的组织中有许多环回 GPO，它们很乱。
我将所有这些 GPO 分为“计算机策略”和“用户策略”，因此“计算机策略”适用于相关计算机（这里没有问题），而“用户策略”适用于所有用户，但包含 WMI 过滤器，因此该策略仅适用于某些计算机。

当然，需要一种通过 WMI 识别相关站点的方法。
您可以使用WMI资源管理器查找有哪些可用选项。

如果没有办法正确识别它们，您将不得不求助于分离的 OU。

以下是更多例子WMI 过滤器。

由于这是一个老问题，我已经将所有内容重新组织成 OU，并使用了环回策略，正如之前建议的那样。