Aplicar un GPO a un usuario en una sola computadora

10

Tengo un GPO que necesito aplicar al usuario DOMAIN\DumbGuy, pero solo cuando inicia sesión DOMAIN\DumbGuysComputer$. Cuando DOMAIN\NiceReceptionistinicie sesión, DOMAIN\DumbGuysComputer$no debería aplicarse. Cuando DOMAIN\DumbGuyinicie sesión, DOMAIN\ReceptionstsComputer$no debería aplicarse.

Solo debe aplicarse a una persona en una computadora .

Si aplico el GPO al objeto Usuario, se aplicará a todas sus computadoras. Si aplico el GPO al objeto Computer, se aplicará a todos los usuarios de esa computadora. Si lo aplico a ambos, se extiende aún más.

¿Cómo puedo aplicar un GPO a un solo usuario en una sola computadora?

active-directory group-policy Mark Henderson
fuente
¿Son solo configuraciones de usuario?
pauska
Sí, es un script de inicio de sesión
Mark Henderson

Respuestas:

11

Mi sugerencia es similar a la del habitante ..

Cree una sub-OU solo para esa única computadora, cree un GPO en ella y configúrela en modo de fusión de bucle invertido. Use el filtro de seguridad en el GPO para que solo DumbGuytenga permisos para aplicarlo. No veo ninguna razón para usar dos GPO diferentes.

Mucho importante! No filtre los derechos de "lectura" de los usuarios autenticados, ya que el subsistema de política de grupo necesita leer el GPO antes de que se aplique al usuario

pauska
fuente
Lo hice esta mañana y funcionó bien. Creó un Sub-OU, colocó su computadora en él, colocó el GPO en el OU y lo filtró a su nombre de usuario. Perfecto
Mark Henderson el
+1 - Exactamente cómo lo haría yo también.
Evan Anderson el
1
PD: Gracias por el último consejo también; Siempre olvido que eliminar "Usuarios autenticados" del filtro de seguridad también elimina sus permisos de delegación.
Mark Henderson el
6

Me gustaría ver el procesamiento de bucle invertido de la directiva de grupo junto con el filtrado de seguridad. Puede usar la función de bucle invertido de la Política de grupo para aplicar Objetos de política de grupo (GPO) que dependen solo de la computadora en la que el usuario inicia sesión.

Este es un ejemplo de cómo se puede implementar .

En realidad, ¿cómo implementaría esto?

Cree dos GPO diferentes y asígnelos a DOMAIN \ DumbGuysComputer $.

Configure el primer GPO con el procesamiento de bucle invertido establecido en el modo Reemplazar y configure el filtrado de seguridad para que se aplique solo al usuario DOMINIO \ DumbGuy .

Configure el segundo GPO sin procesamiento de bucle invertido y configure el filtrado de seguridad para que se aplique solo a los usuarios DOMAIN \ NiceReceptionist .

Volodymyr M.
fuente
5

Probablemente solo vincularía el GPO a la unidad organizativa en la que se encuentra el usuario y usaría el filtrado de seguridad o WMI para asegurarme de que solo se aplica a ese usuario, y luego envolvería todo el script en un if($ENV:computername -eq whatever){}bloque.

MDMarra
fuente
¡Esto es muy inteligente! La solución de Pauska fue un poco más ordenada, pero si alguna vez no puedo mover la unidad organizativa de la computadora, lo haré.
Mark Henderson el
0

GPO se aplica al éter el objeto de usuario, el objeto de la computadora o ambos objetos en una unidad organizativa y no puede hacer que el GPO se aplique solo a un objeto de la computadora solo si un determinado usuario inicia sesión en esa computadora o se aplica a un objeto de usuario solo si ese usuario inicia sesión en una determinada computadora.

Faulk de invierno
fuente
Parece que no puede hacer esto con el filtrado estándar, pero hay soluciones para ello
Mark Henderson
0

Creé un filtro WMI que parece funcionar:

Select * from WIN32_OperatingSystem where NOT CSName="PCName"

Puede probar consultas WMI en powershell usando:

gwmi -Query 'Select * from WIN32_OperatingSystem...'
marca
fuente