Active-Directory

按使用者名/使用組在 GPO 中的 WMI 篩選器

  • September 29, 2010

我們需要將某些使用者鎖定到我們終端伺服器上的一個非常嚴格的桌面,並且只為他們提供一個將自動啟動的應用程序。我為每個需求設置了 GPO,但無法弄清楚如何僅將這些 GPO 應用於我們需要對其強制執行的特定使用者。

WMI 過濾器是我沒有深入研究組策略環回的第一個猜測(這可能會導致我們目前的 AD 結構和相關 GPO 出現問題)。我的問題是編寫 WQL 語句以滿足我的需要。

我試過

$$ SELECT * FROM W32.ComputerSystem WHERE UserName = ‘domain\username’ $$但是這個查詢總是提供一個錯誤的返回。我的猜測是因為終端伺服器環境,但我並不積極。稍微查看了 W32.TSAccount 類,但也沒有看到任何有用的東西。 任何人都有想法或文獻,您也可以參考我,以便我可以進一步深入研究?任何幫助將不勝感激,因為我沒有 AD/GPO 大師。

您不需要執行 WMI 過濾器,只需在 GPO 上設置安全過濾器即可。我的建議是創建一個包含您希望首先應用過濾的所有使用者的組。然後,在 GPMC 中(如果你沒有它,我強烈建議你將它內置到 Windows 7 和 2008,MS 下載舊版本的 windows)選擇你想要應用安全過濾器的策略,然後在範圍內選項卡,在安全過濾部分(連結下方,WMI 過濾上方)刪除“經過身份驗證的使用者”並添加您的組。

引用自:https://serverfault.com/questions/160164