我想问您,如何实现不同 PC 上不同用户 OU 拥有不同 GPO。我对此还不太熟悉。它运行的是 Windows Server 2012 R2。
为了理解我们的 OU 结构,请参阅以下图像: OU 结构
举个例子,我将讨论如何禁用任务管理器。问题是,来自 Departments OU 的用户正在登录到他们自己的工作站以及 RDS 服务器。我需要允许他们在自己的工作站上使用任务管理器,但不要在 RDS 上使用。远程用户也是如此,他们主要登录到 RDS,不应该有任务管理器。但是还有高级用户,他们应该在自己的工作站和 RDS 上都有任务管理器。但如果他们登录的是工作站而不是 RDS,我还需要他们运行一个脚本。
我知道要禁用 RDS 上 Departments OU 的任务管理器,我可以使用环回处理,但我不知道如何为高级用户实现不同的 GPO。我是否需要将它们放入单独的安全组中,使用环回处理创建两个 GPO,然后使用安全过滤将它们分开?或者还有其他方法吗?
谢谢。
答案1
使用针对用户配置,以防止其应用于某种类型的操作,可以使用比使用 WMI 过滤器的环回处理更简单的方法来实现。
使用 WMI 过滤器。
SELECT * FROM Win32_OperatingSystem WHERE ProductType = 3
要将查询限制为仅客户端或服务器,请添加包含 ProductType 参数的子句。要仅筛选客户端操作系统(如 Windows 7 或 Windows Vista),请仅使用 ProductType="1"。对于非域控制器的服务器操作系统,请使用 ProductType="3"。对于仅域控制器,请使用 ProductType="2"。这是一个有用的区别,因为您经常希望防止 GPO 应用于网络上的域控制器。
从那里将 GPO 链接到您的用户所在的 OU 和/或删除经过身份验证的用户并选择一个安全组。
如果 WMI 过滤器返回真的,则如果用户位于正确的 OU 中并且位于安全组中(如果您设置了一个安全组),则会应用 GPO。
答案2
你的例子有点令人困惑,但也许我可以帮助制定一些规则。GPO 按顺序应用,因此最后应用的 GPO 获胜。例如,如果您在一个策略中将其打开,而在另一个策略中将其关闭,则最后应用的策略将生效。GPO 可以基于机器或用户。因此,如果您应用任务管理器策略(我相信它是基于用户的),您需要首先将该策略应用于所有标准用户以将其关闭,然后再使用另一个策略为您的高级用户将其重新打开。希望这对您有所帮助。
答案3
简单,创建一个新的安全组,将用户添加到该组,然后创建一个 GPO 并将新组添加为工作站上的本地用户(检查以下链接以将安全组添加到特定的本地组)http://www.expta.com/2011/02/adding-users-to-local-security-groups.html
在同一个 GPO 上,添加以下内容(通过注册表项)以启用任务管理器并将新的 GPO 分配给工作站 OU。
启用任务管理器:
REG 添加 HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f
创建另一个 GPO(通过注册表项)以禁用任务管理器,并将新 GPO 分配给 RDS OU。要禁用任务管理器:
REG 添加 HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 1 /f