你可能知道,环回处理是 Active Directory 组策略的一项功能,适用于用户GPO 中的设置适用于登录到电脑在 GPO 的范围内(而标准行为是仅当用户帐户实际位于 GPO 的范围内时才应用用户设置)。当您希望所有登录到特定计算机的用户都接收某些用户策略时,这很有用,无论他们的用户帐户实际位于 AD 中的什么位置。
问题:当启用环回处理时,包含用户设置的 GPO 将应用于每个人使用这些计算机,并且您无法通过使用 GPO 上的 ACL 来绕过此问题,因为它实际上并未应用于用户,但电脑。
问题是:对于需要登录这些计算机但不受这些策略设置约束的特定用户,如何绕过环回处理?
举个例子:有几台终端服务器使用带环回处理的 GPO 对登录的每个人都实施严格的用户限制(它们基本上只能运行一堆公司批准的应用程序);但这甚至适用于域管理员,因此甚至无法启动命令提示符或打开任务管理器。在这种情况下,如果登录的用户属于特定组(例如域管理员),我该如何告诉 AD 不要强制执行这些设置?或者,即使是相反的解决方案(“仅将这些设置应用于属于特定组的用户”)也可以。
但请记住,我们正在谈论环回处理此处。这些政策适用于电脑,其中的用户设置将应用于用户只是因为他们登录了那些电脑(是的,我知道这很令人困惑,环回处理是组策略中最棘手的事情之一)。
答案1
我认为解决方案是 WMI 过滤(这就是我在我的位置上所做的)。
您创建一个 WMI 筛选器来捕获您想要的工作站。
您创建一个仅包含用户设置并具有安全筛选功能的 GPO。
您将两者结合起来,并将 GPO 放在用户容器上。
因此,WMI 过滤指定其适用的计算机,安全过滤指定其适用的用户。
并放弃环回。
这会给你带来比你预想的更多的麻烦,因为它不仅适用于配置它的指定 GPO,还适用于应用于计算机的所有策略。
更新
如果你有kb3163622安装在工作站上,您可以仅使用安全组来执行相同操作。
此更新改变了用户策略的应用方式。
从现在开始,用户策略实际上在计算机和用户安全上下文中应用。
因此,如果您将要应用该 GPO 的计算机和用户的安全过滤放入其中,这将与 WMI 执行相同的操作(假设您不打算进行某些复杂的查询)。
答案2
在具有计算机 OU 中的用户设置的组策略上,对相关安全主体(用户/组)的应用组策略权限的拒绝 ACE 将阻止应用在计算机 OU 上链接的用户组策略。
但是,如果为替换模式配置了环回策略处理,则会忽略用户帐户位置范围内(而不是计算机范围内)的用户组策略。