以前的 IT 部门根据用户的职位将用户划分到不同的 OU(例如:市场、销售等),总共有 4 个 OU。所有 4 个 OU 都应用了组策略对象,其中一个设置包括文件夹重定向。
我不希望任何拥有笔记本电脑的用户进行文件夹重定向,但我想保留 GPO 所应用的其余设置(不想删除它)。
我相信将每台笔记本电脑的计算机对象放在单独的 OU 中,然后应用 GPO 来拒绝文件夹重定向可能是正确的方法,或者将计算机对象添加到组中,然后应用安全过滤器来拒绝文件夹重定向也可能有效。
这是我第一次真正清理这种混乱的情况,所以任何意见都会很感激,请告诉我哪种方法最有效。如果你有更好的方法,请分享!
答案1
文件夹重定向是一种用户配置设置。您无法通过简单地将笔记本电脑对象移入 OU 并拒绝 GPO 或根据计算机对象过滤 GPO 来直接控制它,同样,因为文件夹重定向适用于用户,而不是计算机。
如果您不想对使用笔记本电脑的用户应用文件夹重定向,那么您可以做的是将笔记本电脑的计算机对象移动到单独的 OU,并配置环回策略处理(计算机配置\管理模板\系统\组策略\配置用户组策略环回处理模式-参考文献1;参考文献 2),并将环回策略处理配置为替换模式。这将告知组策略将与笔记本电脑对象所在 OU 链接的 GPO 中的用户配置设置应用于登录到这些计算机的用户,并告知环回策略处理将用户的正常 GPO 设置(来自用户对象管理范围内的 GPO)替换为与计算机对象所在 OU 链接的 GPO 中的用户配置设置。请确保您没有在与笔记本电脑对象所在 OU 链接的 GPO 中配置文件夹重定向,这样登录到这些笔记本电脑的用户的文件夹就不会被重定向。
另请注意,您需要配置所有用户设置做想要应用于此 GPO 中的用户,因为此 GPO 将替换通常应用于这些用户的所有其他用户配置设置。这些用户不会从通常应用于他们的任何其他 GPO 中获得任何设置。您将用此 GPO 中的设置替换所有这些设置。