Active-Directory

在登錄時應用電腦策略更改/為特定使用者應用電腦策略

  • December 25, 2018

我請求將電腦策略更改應用於一組特定使用者。例如,我希望安全組 (CortanaUsers) 的成員可以使用特定的 Windows 功能(允許 Cortana)。

我的第一次網際網路搜尋向我展示瞭如何設置 OU 並將僅應用於該 OU 的組策略對象附加到啟用的電腦策略的範例。我發現需要手動將電腦添加到 OU(因為添加一組電腦不會通過推送更新或在這些電腦上執行 gpupdate 的使用者公開策略)。由於電腦一次只能存在於 OU 中,因此該解決方案並不受歡迎。

隨後,我找到了將帶有電腦的安全組添加到根 OU 的建議,並最後應用該策略。這也沒有得到很好的接受,因為它需要預先了解使用者將使用哪些電腦。

最後,建議我執行一個登錄腳本(具有本地管理員權限),通過查看登錄使用者是否具有安全組的成員身份來修改電腦策略設置。這樣,該功能將根據誰使用什麼電腦登錄而啟用或禁用。我不是漫遊配置文件或此類腳本如何工作的專家。

我希望能夠為一組安全使用者應用電腦策略。最好的方法是什麼?

不是很清楚你在問什麼。

您引用的策略“允許 Cortana”是一項電腦策略。描述是:

此策略設置指定設備上是否允許 Cortana。如果啟用或未配置此設置,則設備上將允許 Cortana。如果禁用此設置,Cortana 將被關閉。關閉 Cortana 後,使用者仍然可以使用搜尋在設備和 Internet 上查找內容。

如前所述,此設置決定是否允許“在設備上”使用 Cortana。

首先,電腦策略適用於電腦。使用者政策適用於使用者。兩者沒有混合。電腦策略會影響一台電腦上的所有使用者。使用者策略會影響任何電腦上的單個使用者。

如果要將使用者策略應用於特定電腦的所有使用者,則使用所謂的“組策略環回處理”。您將“使用者”策略應用於包含電腦的特定 OU。在該策略中,您啟用組策略環回處理模式。任何登錄到這些電腦的使用者都將獲得使用者策略。

如果要過濾適用於整個 OU 的策略,但將策略限制為該 OU 內的特定使用者或電腦子集,則可以使用安全設置或 WMI 過濾。為了將策略應用於使用者或電腦,都必須對策略具有“讀取”和“應用”權限。使用 WMI 過濾,您可以限制策略,使其僅適用於基於您能想到的任何變數的非常特定的使用者或電腦集:作業系統版本、RAM 數量、機箱樣式、系統資料庫項等。

此外,如果該策略是“組策略首選項”策略,您可以啟用項目級目標並根據 WMI 過濾使用的許多相同設置過濾策略的應用程序。

我已經給了你所有你需要的條件來找到資訊來做你想做的事。但是,就像我說的,電腦策略會影響電腦上的所有使用者。如果您打算應用影響所有使用者的電腦策略,例如關閉防火牆,但您希望它僅適用於該電腦的一部分使用者,則不能。你錯誤地看待你的問題並試圖以錯誤的方式解決它。您不能“在設備上”禁用 Cortana,然後期望它適用於某些使用者。

引用自:https://serverfault.com/questions/946542