我想要将 GPO 限制为登录终端服务器的所有用户。
我是否仅将终端服务器计算机对象定义为范围,然后将我的管理员用户排除在应用该 GPO 之外。
遗憾的是,该对象位于具有许多其他服务器的 OU 中,并且由于其他 GP,将其移出不是一个选择。(不要问)
那么,仅仅创建一个新的 GP 并将其应用于该计算机对象是否足以使其仅适用于登录该对象的用户?
答案1
您不能使用安全过滤器仅将 GPO 应用于终端服务器。这将导致仅处理计算机配置策略,由于用户未包含在策略过滤器中,因此不会应用用户配置。正确的方法是使用如下所示的 WMI 过滤器:
Select * From Win32_ComputerSystem Where Name = "ComputerName"