应用于用户组的 GPO 计算机配置

应用于用户组的 GPO 计算机配置

我目前正在努力解决以下问题:在我们的组织中,我们希望阻止大多数用户访问 OneDrive。我在计算机配置中找到了以下 GPO 设置来建立此功能:

Administrative Templates/Windows Components/OneDrive/Prevent the usage of OneDrive for file storage

但是管理层应该被允许使用 OneDrive,所以我创建了一个包含所有管理用户“GRP_ALLOW_ONEDRIVE”的全局安全组。

现在我们有 2 个 OU:一个包含用户,一个包含计算机。因此,我将这个 GPO 链接到 COMPUTERS OU,并在该特定用户组的安全设置中添加拒绝...

但这似乎不起作用,我应该首先猜到,因为它是计算机配置......

所以基本上我的问题归结为:

如何在 COMPUTERS OU 中成功创建 GPO 以禁用除例外组中的用户之外的 OneDrive?无论管理层登录到哪台计算机,他们都应该始终可以访问 OneDrive。所有其他用户都无法启动 OneDrive,无论他们登录到哪台计算机。

谢谢!

答案1

遗憾的是,这无法实现。您无法将计算机配置设置应用或过滤给用户。

您可以做的是使用用户配置设置下的软件限制策略来阻止 OneDrive 可执行文件。然后,您可以针对特定用户或组过滤此 GPO。

答案2

您不能将计算机 GPO 应用于用户。每个 GPO 的计算机设置都应用于计算机级别,与登录计算机的用户无关。计算机使用自己的域计算机帐户访问 GPO,因此包含用户的安全筛选组将首先排除计算机帐户应用 GPO。安全组否认用户对 GPO 的访问不会阻止计算机帐户访问和应用Computer ConfigurationGPO 的部分。

简而言之:您无法真正将设置Computer Configuration与单个用户相匹配。您需要找到一些用户特定的设置(例如 中的键HKEY_CURRENT_USER),这些设置OneDrive针对用户禁用,而不是在计算机上全局禁用。

相关内容