Come bypassare l'elaborazione di loopback dell'oggetto Criteri di gruppo per alcuni utenti?

Come probabilmente saprai, l' elaborazione di loopback è una funzionalità dei Criteri di gruppo di Active Directory che applica le impostazioni utente in un oggetto Criteri di gruppo a qualsiasi utente che accede a computer nell'ambito dell'oggetto Criteri di gruppo (mentre il comportamento standard sarebbe applicare le impostazioni utente solo se l'account utente si trova effettivamente all'interno dell'ambito dell'oggetto Criteri di gruppo). Ciò è utile quando si desidera che tutti gli utenti che accedono a un computer specifico ricevano alcuni criteri utente, indipendentemente da dove si trovano effettivamente i loro account utente in AD.

Il problema: quando l'elaborazione di loopback è abilitata, un oggetto Criteri di gruppo contenente le impostazioni utente viene applicato a tutti coloro che utilizzano tali computer e non è possibile ignorarlo utilizzando ACL sull'oggetto Criteri di gruppo, poiché non è effettivamente applicato agli utenti , ma ai computer .

La domanda: come si può bypassare l'elaborazione di loopback per utenti specifici che devono accedere a quei computer ma non dovrebbero essere soggetti a tali impostazioni dei criteri?

Caso in questione: esistono diversi terminal server in cui gli oggetti Criteri di gruppo con elaborazione di loopback vengono utilizzati per imporre pesanti restrizioni agli utenti a tutti coloro che accedono ad essi (in pratica dovrebbero essere in grado di eseguire solo un gruppo di applicazioni approvate dall'azienda); ma questo vale anche per gli amministratori di dominio , che sono quindi incapaci di avviare un prompt dei comandi o aprire il task manager. In questo scenario, come posso dire a AD di non applicare tali impostazioni se l'utente che accede appartiene a un gruppo specifico (come Domain Admins)? In alternativa, anche la soluzione opposta ("applica solo queste impostazioni agli utenti appartenenti a un gruppo specifico") andrebbe bene.

Ma per favore, ricorda che stiamo parlando dell'elaborazione di loopback qui. I criteri vengono applicati ai computer e le impostazioni dell'utente al loro interno vengono applicate agli utenti solo perché accedono a tali computer (sì, lo so che è confuso, l'elaborazione di loopback è una delle cose più difficili da ottenere sui criteri di gruppo).

Penso che la soluzione sarebbe il filtro WMI (è così che l'ho fatto al posto mio).

Si crea un filtro WMI che cattura le workstation desiderate.
Si crea un oggetto Criteri di gruppo solo con le impostazioni utente e con il filtro di sicurezza.
Metti insieme i due e posiziona l'oggetto Criteri di gruppo sul contenitore degli utenti.

Quindi il filtro WMI specifica il computer a cui si applica e il filtro di sicurezza per gli utenti a cui si applica.

E rilascia il loopback.
Ti darà più mal di testa di quanto ti aspettassi, poiché non si applica solo all'oggetto Criteri di gruppo specificato in cui è configurato, ma a tutti i criteri applicati ai computer.

Aggiornamento
Se kb3163622 è installato sulle workstation, è possibile fare lo stesso utilizzando solo i gruppi di sicurezza.
Questo aggiornamento modifica il modo in cui vengono applicati i criteri utente.
Da ora in poi, i criteri utente vengono effettivamente applicati sia nel contesto di sicurezza del computer che dell'utente.
Quindi, se inserirai il filtro di sicurezza di quell'oggetto Criteri di gruppo nei computer e negli utenti a cui desideri che venga applicato, ciò farà lo stesso trucco del WMI (supponendo che non stai cercando una query complessa).

Un rifiuto ACE per applicare l'autorizzazione Criteri di gruppo per le entità di sicurezza in questione (Utente / Gruppo) sui criteri di gruppo con le impostazioni utente nell'unità organizzativa del computer impedirà l'applicazione dei criteri del gruppo di utenti collegati all'unità organizzativa del computer.

Tuttavia, se l'elaborazione dei criteri di loopback è configurata per la modalità Sostituisci, i criteri del gruppo di utenti che rientrano nell'ambito del percorso dell'account utente (e non per il computer) verranno ignorati.