Active-Directory

使用特定 OU 中的電腦時將 GPO 應用於使用者 AD 組

  • August 11, 2014

我們有一個登錄腳本,它將許多 remoteapp.rdp 文件複製到一些使用者的桌面。然而,這些使用者有時也必須通過遠端桌面連接直接連接到我們的終端伺服器才能使用某些軟體。當他們連接到遠端桌面時,我們不希望將 remoteapp.rdp 文件複製到那裡。特定使用者都是 AD 安全組的成員。然後我們有一個包含所有組織客戶端電腦的 OU。

因此,如果 AD 使用者組中的使用者登錄到客戶端 OU 中的客戶端電腦,我想做的是將帶有登錄腳本的 GPO 應用到他們。GPO 和登錄腳本是使用者特定的。

我創建了一個適用於使用者 AD 組並連結到客戶端電腦 OU 的 GPO。這似乎不起作用,至少沒有文件被複製。我認為問題可能在於 GPO 設置是特定於使用者的,而連結的 OU 僅包含電腦。關於使 GPO 按預期工作的不同方法的任何建議?

  1. 創建一個 WMI 過濾器,在終端伺服器 以外的任何機器上執行時返回 TRUE :SELECT * FROM Win32_ComputerSystem WHERE NAME <> 'COMPUTER_NAME_HERE'
  2. 僅為您的文件複製登錄腳本創建一個 GPO,並將 WMI 篩選器應用於 GPO。
  3. 將安全篩選中 GPO 的預設 Authenticated Users 組替換為包含目標使用者的安全組。
  4. 將 GPO 連結到包含要受影響的使用者帳戶的 OU。

這將導致 GPO 在目標使用者登錄域中除終端伺服器之外的任何電腦時執行。

這種方法不會引入環回處理中常見的典型意外副作用。在您的情況下,如果您使用環回處理,每個使用者(不僅僅是您的 AD 安全組的成員)在登錄到您的終端伺服器時都將應用他們的所有使用者 GP 設置,從而使您的努力只應用文件複製設置為將不相關設置應用於不相關使用者的情況。

引用自:https://serverfault.com/questions/618652