Applicazione di un oggetto Criteri di gruppo a un utente su un solo computer

Ho un oggetto Criteri di gruppo che devo applicare all'utente DOMAIN\DumbGuy, ma solo quando accede DOMAIN\DumbGuysComputer$. Quando si DOMAIN\NiceReceptionistaccede ad DOMAIN\DumbGuysComputer$esso non dovrebbe applicarsi. Quando si DOMAIN\DumbGuyaccede ad DOMAIN\ReceptionstsComputer$esso non dovrebbe applicarsi.

Deve applicarsi solo a una persona su un computer .

Se applico l'oggetto Criteri di gruppo all'oggetto Utente, si applicherà a tutti i suoi computer. Se applico l'oggetto Criteri di gruppo all'oggetto Computer, verrà applicato a tutti gli utenti su quel computer. Se lo applico a entrambi, si diffonde ancora di più.

Come posso applicare un oggetto Criteri di gruppo a un solo utente su un solo computer?

Il mio suggerimento è simile a quello dell'abitante.

Crea un'unità organizzativa secondaria solo per quel singolo computer, crea un oggetto Criteri di gruppo e impostalo in modalità unione loopback. Utilizzare il filtro di sicurezza sull'oggetto Criteri di gruppo in modo da DumbGuydisporre solo delle autorizzazioni per applicarlo. Non vedo alcun motivo per utilizzare due diversi oggetti Criteri di gruppo.

Molto importante! Non filtrare i diritti di "lettura" dagli utenti autenticati, poiché il sottosistema dei criteri di gruppo deve leggere l'oggetto Criteri di gruppo prima che si applichi all'utente

Vorrei esaminare l' elaborazione di loopback dei criteri di gruppo insieme al filtro di sicurezza. È possibile utilizzare la funzionalità di loopback di Criteri di gruppo per applicare Oggetti Criteri di gruppo (GPO) che dipendono solo dal computer a cui l'utente accede.

Questo è un esempio di come può essere implementato .

In realtà, come dovrei implementarlo:

Creare due oggetti Criteri di gruppo diversi e assegnarli a DOMAIN \ DumbGuysComputer $.

Configura il primo oggetto Criteri di gruppo con Elaborazione loopback impostato in Modalità Sostituisci e configura Filtro sicurezza in modo che si applichi solo all'utente DOMAIN \ DumbGuy .

Configurare il secondo oggetto Criteri di gruppo senza elaborazione di loopback e configurare il filtro di sicurezza in modo che si applichi solo agli utenti DOMAIN \ NiceReceptionist .

Probabilmente collegherei l'oggetto Criteri di gruppo all'unità organizzativa in cui si trova l'utente e utilizzerei il filtro di sicurezza o WMI per assicurarmi che si applichi solo a quell'utente, quindi avvolgo l'intero script in un if($ENV:computername -eq whatever){}blocco.

L'oggetto Criteri di gruppo si applica all'etere l'oggetto utente, l'oggetto computer o entrambi gli oggetti in un'unità organizzativa e non è possibile applicare l'oggetto Criteri di gruppo solo a un oggetto computer solo se un determinato utente accede a quel computer o si applica a un oggetto utente solo se quell'utente accede a un determinato computer.

Ho creato un filtro WMI che sembra funzionare:

Select * from WIN32_OperatingSystem where NOT CSName="PCName"

È possibile testare le query WMI in PowerShell usando:

gwmi -Query 'Select * from WIN32_OperatingSystem...'