我有一个将计算机策略更改应用于特定用户组的请求。例如,我希望安全组 (CortanaUsers) 的成员可以使用特定的 Windows 功能 (允许 Cortana)。
我第一次上网搜索时看到了一些示例,说明如何设置 OU 并将仅适用于该 OU 的组策略对象附加到启用的计算机策略中。我发现需要手动将计算机添加到 OU(因为添加一组计算机不会通过推送更新或用户在这些计算机上运行 gpupdate 来公开策略)。这种解决方案并不受欢迎,因为一台计算机一次只能存在于一个 OU 中。
后来我发现有人建议将包含计算机的安全组添加到根 OU,并最后应用该策略。这也没有得到很好的接受,因为它需要预先了解用户将使用哪些计算机。
最后,有人建议我执行一个登录脚本(具有本地管理员权限),通过查看登录用户是否具有安全组成员身份来修改计算机策略设置。这样,该功能将根据谁使用哪台计算机登录来启用或禁用。我不是漫游配置文件或此类脚本如何工作的专家。
我希望能够为安全用户组应用计算机策略。最好的方法是什么?
答案1
你问的是什么不是很清楚。
您引用的策略“允许 Cortana”是一项计算机策略。描述如下:
此策略设置指定是否允许 Cortana 在设备上使用。如果启用或未配置此设置,将允许 Cortana 在设备上使用。如果禁用此设置,将关闭 Cortana。关闭 Cortana 后,用户仍可使用搜索功能在设备和 Internet 上查找内容。
如上所述,此设置决定是否允许 Cortana“在设备上”。
首先,计算机策略适用于计算机。用户策略适用于用户。两者不能混用。计算机策略影响一台计算机上的所有用户。用户策略影响任何计算机上的单个用户。
如果您想要将用户策略应用于特定计算机的所有用户,则可以使用所谓的“组策略环回处理”。您可以将“用户”策略应用于包含计算机的特定 OU。在该策略中,您可以启用组策略环回处理模式。登录到这些计算机的任何用户都将获得用户策略。
如果您想要过滤适用于整个 OU 的策略,但又想将策略限制在该 OU 内的特定用户或计算机子集,则可以使用安全设置或 WMI 过滤。要将策略应用于用户或计算机,用户和计算机都必须对该策略具有“读取”和“应用”权限。使用 WMI 过滤,您可以根据您能想到的几乎任何变量来限制策略,使其仅适用于一组非常特定的用户或计算机:操作系统版本、RAM 数量、机箱样式、注册表项等。
此外,如果该策略是“组策略首选项”策略,您可以启用项目级定位,并根据 WMI 过滤所使用的许多相同设置过滤策略的应用程序。
我已经为你提供了所有你需要的术语,以便你找到做你想做的事情所需的信息。但是,就像我说的,计算机策略会影响计算机上的所有用户。如果你打算应用影响所有用户的计算机策略,例如关闭防火墙,但你希望它只适用于该计算机的一小部分用户,那么你就做不到。你错误地看待你的问题,并试图以错误的方式解决问题。你不能“在设备上”禁用 Cortana,然后期望它对某些用户有效。