我们有一个登录脚本,它将一些 remoteapp.rdp 文件复制到某些用户桌面。但是这些用户有时也必须通过远程桌面连接直接连接到我们的终端服务器才能使用某些软件。当他们连接到远程桌面时,我们不希望将 remoteapp.rdp 文件复制到那里。特定用户都是 AD 安全组的成员。然后我们有一个包含所有组织客户端计算机的 OU。
因此,我想要做的是,如果 AD 用户组中的用户登录到客户端 OU 中的客户端计算机,则将带有登录脚本的 GPO 应用于这些用户。GPO 和登录脚本是特定于用户的。
我创建了一个适用于用户 AD 组并链接到客户端计算机 OU 的 GPO。这似乎不起作用,至少没有复制任何文件。我认为问题可能是 GPO 设置是用户特定的,而链接的 OU 仅包含计算机。有没有关于使 GPO 按预期工作的其他方法的建议?
答案1
- 创建一个在任何机器上运行时返回 TRUE 的 WMI 过滤器以外您的终端服务器:
SELECT * FROM Win32_ComputerSystem WHERE NAME <> 'COMPUTER_NAME_HERE' - 为您的文件复制登录脚本创建一个 GPO,并将 WMI 过滤器应用于该 GPO。
- 将安全过滤中 GPO 的默认经过身份验证的用户组替换为包含目标用户的安全组。
- 将 GPO 链接到包含用户受影响的帐户。
当目标用户登录域中除终端服务器之外的任何计算机时,这将导致 GPO 运行。
这种方法不会引入使用环回处理时常见的典型意外副作用。就您而言,如果您使用环回处理,则每个用户 (不仅仅是 AD 安全组的成员) 将在他们登录到您的终端服务器时应用其所有用户 GP 设置,从而使您原本只应用文件复制设置的努力变成了将不相关的设置应用于不相关用户的情况。
答案2
您正在寻找组策略环回处理。这可确保User Settings应用于计算机的策略也应用于登录的用户帐户,即使该策略不直接应用于相关的用户帐户。
将其与安全过滤相结合,以确保只有您想要获取设置的 AD 组成员才会应用 GPO,这样您就可以开始了。