在 Server 2008 R2 和 Windows 7 环境中,我有一个 GPO,它在整个域的用户设置策略中指定屏幕保护程序设置。但是,对于特定计算机来说,这并不理想。
我创建了一个具有更高优先级的单独 GPO,使用替换设置启用了环回,并指定了屏幕保护程序规则。在安全过滤器中,只有应该应用 GPO 的特定计算机。但是,按原样,此策略从未应用过 - gpresult /z 在 GPO 的用户设置下指示了这一点:“过滤:拒绝(安全)”。
如果我将“域用户”添加到安全过滤器,则 GPO 将应用于全部域中的用户,无论他们使用哪台计算机。
如何将 GPO 应用于仅登录特定计算机的任何用户?
遗憾的是,将 GPO 应用于 OU 不是一个选择,因为计算机已经根据其他用途被分类到各种 OU 中。
[编辑]:在安全过滤器中,我尝试过:
- 仅将计算机添加到安全过滤器;导致 GPO 在用户设置下被拒绝。
- 将计算机添加到安全过滤器,并将“域用户”添加到安全过滤器;导致环回 GPO 应用于所有用户,无论使用哪台计算机。
- 将计算机添加到安全组,将该安全组添加到安全过滤器;导致 GPO 在用户设置下被拒绝。
- 将计算机和“域用户”添加到同一个安全组,并将该安全组添加到安全过滤器;导致环回 GPO 应用于所有用户,无论使用哪台计算机。
- 将计算机添加到安全组,将该安全组添加到安全过滤器,并将“域用户”添加到安全过滤器;导致环回 GPO 应用于所有用户,无论使用哪台计算机。
还有什么其他选择可以尝试?
有没有办法指定安全过滤器中的项目是否可以使用“与”而不是“或”进行组合?
答案1
您需要为这些计算机创建一个新的 OU,然后将 GPO 应用于新创建的 OU。
答案2
有五种方法可以实现此目的:
(OU 分离)
您可以通过不同的 OU 来区分计算机和用户,并将策略链接到计算机的 OU。要使用环回策略,用户和计算机都必须具有策略的读取和应用权限,因此,如果您将它们分开,则可以轻松地将安全性设置为“域用户”和“域计算机” - 该策略将应用于在策略所链接的 OU 中的计算机上工作的所有用户
(标记文件技巧)
或者,您可以耍个花招 - 您可以在需要应用 GPO 的计算机上添加“标志文件”:您应该创建一个仅限用户的非环回策略,该策略设置屏幕保护程序,并使用 WMI 过滤器对其进行过滤,检查是否存在本地标志文件,例如"Select * From CIM_Datafile Where Name = 'C:\\Windows\\spc.screensaver.flag'"
。您应该将安全性设置为Domain Users
- 读取和应用。其次,您应该为将创建此文件的计算机制定附加策略(这很容易做到,不会解释)。此策略不能是环回的,并且必须是仅限计算机的。安全性必须设置为Special Screensaver Computers
- 读取和应用
(常见启动脚本-注册表编辑)
或者,您可以编写一个脚本,通过策略将其放入Special Screensaver Computers
组中计算机的通用启动文件夹中。当任何用户登录此计算机时,此脚本将在用户权限下执行并更改一些 HKCU 注册表项等。因此,再次强调,这不是环回策略
(在 WMI 过滤器中对计算机名称进行硬编码)
或者,您可以在 WMI 过滤器中对计算机名称进行硬编码。天哪。
(使用项目级定位 - 注册表编辑)
或者,您可以使用 GPP 设置屏幕保护程序(制定注册表替换策略)。这支持项目级定位,您可以制定规则,仅在“计算机在安全组中Special Screensaver Computers
”时应用注册表更改 - 在这种情况下,您应该制定一个将安全性设置为的环回策略Special Screensaver Computers
-Domain users
在用户配置下读取、应用并进行注册表修复,启用项目级定位以检查计算机是否在安全合适的组中。请注意,GPP 适用于安装了 KB943729 的 XP SP2\3。不确定项目级定位是否适用于 XP SP2
(---)
因为您需要针对每台计算机进行此设置,并且该策略必须应用于此计算机上的所有用户,所以您必须Domain Users
为此策略设置安全性。当用户登录时,它会读取分配给用户所在 OU 的所有策略。目前,策略仅支持三种类型的过滤 - OU 分离(通常很麻烦)、WMI 过滤和项目级定位
答案3
你有没有尝试过WMI 筛选WMI Filtering?
我的组织中有许多环回 GPO,它们很乱。
我将所有这些 GPO 分为“计算机策略”和“用户策略”,因此“计算机策略”适用于相关计算机(这里没有问题),而“用户策略”适用于所有用户,但包含 WMI 过滤器,因此该策略仅适用于某些计算机。
当然,需要一种通过 WMI 识别相关站点的方法。
您可以使用WMI资源管理器查找有哪些可用选项。
如果没有办法正确识别它们,您将不得不求助于分离的 OU。
以下是更多例子WMI 过滤器。
答案4
由于这是一个老问题,我已经将所有内容重新组织成 OU,并使用了环回策略,正如之前建议的那样。