將使用者組策略應用到單台機器
我正在嘗試應用使用者策略來鎖定 Windows 主題的更改。
但是我只希望將此策略應用於一台電腦(它是執行 Server 2012 的終端伺服器),我們稱之為
ServerX
.有問題的伺服器與其他伺服器位於 OU 中,我不想更改 OU 結構。
我創建了一個新
Global Security Group
名稱Terminal Servers
,並且在策略的安全過濾下列出的唯一內容是新組Terminal Servers
。這個組只有
ServerX
一個成員。我已確保
Authenticated Users
擁有該政策的讀取委託特權。
Loop back processing
也為(電腦)策略打開,設置為merge
.現在,當我
gpresult
在 ServerX 上執行時,它告訴我它成功地應用了該策略的電腦設置(這將是環回處理)但是使用者設置(這是鎖定 Windows 主題的策略)被拒絕。
gpresult
說:Filtering: Denied(Security)
在使用者政策部分我已經搜尋了一段時間,大多數解決方案最終都說僅在經過身份驗證的使用者上過濾策略並使用 OU 層次結構來執行電腦定位。
但是,由於我不想重新安排 OU 結構,因此在現階段這不是一個選項。
我究竟做錯了什麼?
我對此採取了不同的方法,認為使用這種方法的唯一方法是以一種或另一種方式利用 OU。
這就是我所做的:
- 安全性 根據目標使用者而不是單個目標電腦過濾 GPO。在這種情況下,我唯一的安全過濾器是
Domain Users
- 我創建了一個 WMI 過濾器來匹配我所針對的伺服器的電腦名稱:
Select * from Win32_ComputerSystem where Name like "SERVERX%"
結果是該策略被映射到
Domain Users
登錄到的所有電腦,但是由於 WMI 過濾器,它將被拒絕,除非電腦的名稱是 ServerX基本上,環回處理模式似乎必須讓使用者登錄到具有對該策略“應用此策略”委派權限的指定電腦,否則我們會根據安全過濾得到拒絕錯誤。
這一切都歸結為使用這種形式的結構:
- 使用 OU 結構過濾電腦,然後使用安全過濾來過濾使用者
但是,如果 GPO 在層次結構中連結到更高的位置(而不是連結到僅包含受影響電腦的最具體的 OU),則需要額外的過濾來過濾掉所有排除電腦。我通過 WMI 過濾器在上面執行此操作。