将组策略应用于特定计算机（不在 OU 中）上的特定用户（在 OU 中）

这个问题困扰了我一段时间。设置如下：

• 我们有大约 20 台 Win2k8r2 服务器。它们被分成不同的 OU，我无法更改。我创建了一个安全组“DevHostsSG”，其中包含应应用此策略的计算机。
• 我们有大约 40 个用户。有一个特定的 OU“DevUsersOU”，其中包含十几个我想应用策略的用户。我还创建了一个包含相同用户的安全组 DevUsersSG。

我需要一个仅适用于 DevUsersOU 中的用户的特定文件夹重定向 GPO和仅在 DevHostsSG 安全组中的服务器上。DevUsersOU 中的用户不应在任何其他服务器上应用重定向策略，并且其他用户在登录 DevHostsSG 安全组中的服务器时不应进行重定向。

我目前的进展：

• 我已经设置了环回处理，因此重定向应该适用
• 当我将策略设置为 DevUsersOU，然后将 DevHostsSG 添加到安全过滤（使用读取和应用）时，它在任何地方都不起作用（我假设这是因为该 OU 中没有任何计算机..？）
• 当我将策略设置为域，然后使用安全过滤来包含 DevUsersSG 和 DevHostsSG 时，即使 DevUsers 登录到非 DevHosts，该策略也会适用
• 当我将组策略仅应用于 DevHostsSG 时，它似乎根本不起作用（这让我怀疑环回处理是否不起作用）
• 当我创建包含指定用户和计算机的安全组时，它似乎适用于所有主机

在这一点上，我已经没有主意了，部分只是在猜测一些东西，而且情况似乎越来越糟，出于某种原因，我在 DevHostsSG 中有一个主机重定向正常，两个主机不工作，还有一个不在 DevHostsSG 中的主机启用了重定向.. 每次我做出改变时，我都会执行几次 gpupdate /force 以及 logoffs 和 gpresult /R，但并没有任何进展。

任何帮助将不胜感激！

---- 进一步测试 ----

为了简化情况，我尝试了以下方法：

• 清除安全过滤器中的组
• 将一个特定用户添加到安全过滤器
• 将一个特定主机添加到安全过滤器
• 以该用户身份在该主机上运行 gpupdate：已启用重定向（确定）
• 以另一个用户身份在该主机上运行 gpupdate：未启用重定向（确定）

• 以该用户身份在另一台主机上运行 gpupdate：已启用重定向（不正常）

• 关闭环回处理没有什么不同

---- 回应 ----

joequerty：

1. 基本上，每次我在组策略管理中进行更改后，我都在四台主机上运行 gpupdate：DevHostsSG 组中的两台主机和不在该组中的两台主机，并且在每个主机上，我都以 DevUsersOU 中的用户和不在该 OU 中的用户身份登录。
2. 需要重新启动对我来说听起来很奇怪..我只是指的是 AD 属性下的“成员”/“成员”选项卡（例如，在 DevHostsSG 中，成员是 DevHost1、DevHost2 等）
3. 如果该政策不与整个域相关联就好了，但我不知道还能做什么
4. 这就是问题所在。我似乎无法让 GPO 安全过滤器执行“AND”，安全过滤器总是执行“OR”（即 DevUser1 OR DevHost1 而不是 DevUser1 AND DevHost1）

当前配置已恢复到上面的第 1 点，即让 GP 应用于 DevUsersOU，并将安全组设置为 GP 应应用的主机列表。自上次更改以来，我重新启动了其中一台主机，文件夹重定向现在不再起作用（这是我昨天最后一次检查的）。当我运行 gpresult /RI 时，在计算机设置下根本看不到列出的 GP，但在用户设置下确实看到了以下内容：

The following GPOs were not applied because they were filtered out
-------------------------------------------------------------------
    Local Group Policy
        Filtering:  Not Applied (Empty)

    Default Domain Policy
        Filtering:  Not Applied (Empty)

    Folder Redirect
        Filtering:  Denied (Security)

我认为这失败了，因为我没有明确地将 DevUsersSG 作为 GP 安全过滤部分中的单独条目包括在内，也没有将它们包括在主机所在的安全组中，但从我的测试来看，如果我执行其中任何一项，GP 适用于这些用户登录的所有主机...所以我几乎回到了原点..