将组策略应用于特定计算机(不在 OU 中)上的特定用户(在 OU 中)

将组策略应用于特定计算机(不在 OU 中)上的特定用户(在 OU 中)

这个问题困扰了我一段时间。设置如下:

  • 我们有大约 20 台 Win2k8r2 服务器。它们被分成不同的 OU,我无法更改。我创建了一个安全组“DevHostsSG”,其中包含应应用此策略的计算机。
  • 我们有大约 40 个用户。有一个特定的 OU“DevUsersOU”,其中包含十几个我想应用策略的用户。我还创建了一个包含相同用户的安全组 DevUsersSG。

我需要一个仅适用于 DevUsersOU 中的用户的特定文件夹重定向 GPO仅在 DevHostsSG 安全组中的服务器上。DevUsersOU 中的用户不应在任何其他服务器上应用重定向策略,并且其他用户在登录 DevHostsSG 安全组中的服务器时不应进行重定向。

我目前的进展:

  • 我已经设置了环回处理,因此重定向应该适用
  • 当我将策略设置为 DevUsersOU,然后将 DevHostsSG 添加到安全过滤(使用读取和应用)时,它在任何地方都不起作用(我假设这是因为该 OU 中没有任何计算机..?)
  • 当我将策略设置为域,然后使用安全过滤来包含 DevUsersSG 和 DevHostsSG 时,即使 DevUsers 登录到非 DevHosts,该策略也会适用
  • 当我将组策略仅应用于 DevHostsSG 时,它似乎根本不起作用(这让我怀疑环回处理是否不起作用)
  • 当我创建包含指定用户和计算机的安全组时,它似乎适用于所有主机

在这一点上,我已经没有主意了,部分只是在猜测一些东西,而且情况似乎越来越糟,出于某种原因,我在 DevHostsSG 中有一个主机重定向正常,两个主机不工作,还有一个不在 DevHostsSG 中的主机启用了重定向.. 每次我做出改变时,我都会执行几次 gpupdate /force 以及 logoffs 和 gpresult /R,但并没有任何进展。

任何帮助将不胜感激!

---- 进一步测试 ----

为了简化情况,我尝试了以下方法:

  • 清除安全过滤器中的组
  • 将一个特定用户添加到安全过滤器
  • 将一个特定主机添加到安全过滤器
  • 以该用户身份在该主机上运行 gpupdate:已启用重定向(确定)
  • 以另一个用户身份在该主机上运行 gpupdate:未启用重定向(确定)
  • 以该用户身份在另一台主机上运行 gpupdate:已启用重定向(不正常)

  • 关闭环回处理没有什么不同

---- 回应 ----

joequerty:

  1. 基本上,每次我在组策略管理中进行更改后,我都在四台主机上运行 gpupdate:DevHostsSG 组中的两台主机和不在该组中的两台主机,并且在每个主机上,我都以 DevUsersOU 中的用户和不在该 OU 中的用户身份登录。
  2. 需要重新启动对我来说听起来很奇怪..我只是指的是 AD 属性下的“成员”/“成员”选项卡(例如,在 DevHostsSG 中,成员是 DevHost1、DevHost2 等)
  3. 如果该政策不与整个域相关联就好了,但我不知道还能做什么
  4. 这就是问题所在。我似乎无法让 GPO 安全过滤器执行“AND”,安全过滤器总是执行“OR”(即 DevUser1 OR DevHost1 而不是 DevUser1 AND DevHost1)

当前配置已恢复到上面的第 1 点,即让 GP 应用于 DevUsersOU,并将安全组设置为 GP 应应用的主机列表。自上次更改以来,我重新启动了其中一台主机,文件夹重定向现在不再起作用(这是我昨天最后一次检查的)。当我运行 gpresult /RI 时,在计算机设置下根本看不到列出的 GP,但在用户设置下确实看到了以下内容:

The following GPOs were not applied because they were filtered out
-------------------------------------------------------------------
    Local Group Policy
        Filtering:  Not Applied (Empty)

    Default Domain Policy
        Filtering:  Not Applied (Empty)

    Folder Redirect
        Filtering:  Denied (Security)

我认为这失败了,因为我没有明确地将 DevUsersSG 作为 GP 安全过滤部分中的单独条目包括在内,也没有将它们包括在主机所在的安全组中,但从我的测试来看,如果我执行其中任何一项,GP 适用于这些用户登录的所有主机...所以我几乎回到了原点..

答案1

  1. 您在哪里运行 gpupdate?环回策略处理是一项计算机配置设置,因此为了将其应用于相关服务器,这些服务器需要刷新组策略。

  2. 据我所知,更改计算机帐户的组成员身份需要重新启动该计算机。

  3. 不建议在域级别使用环回策略处理。

  4. 如果您必须在域级别使用它,那么请确保您的安全过滤只有您创建的特定用户和计算机组。

我看不出为什么与具有适当安全过滤的域关联的 GPO 中的环回策略处理不起作用,但我只在特定 OU 上使用过它,从未在域级别使用过。话虽如此,我怀疑您的问题出在第 2 项上。

相关内容