Windows-Server-2008

將系統資料庫或 ADM 應用於組策略以登錄特定伺服器

  • July 2, 2009

我有一些執行共享應用程序的 Windows 2008 Server 終端服務伺服器。不幸的是,為了正確執行該應用程序有一些 HKEY_CURRENT_USER 設置需要在每個使用者登錄時寫入他們的系統資料庫。這些設置會隨著時間而改變,所以我不想編輯 C:\Users\Default\NTUser.dat; 我希望它們通過 Active Directory 應用。

我已經確定了適當的條目並將它們導出為系統資料庫文件,並將它們另外轉換為 ADM。我想配置 Active Directory 組策略的某些部分,以僅將 .REG 或 ADM 作為登錄腳本(適用於所有使用者)載入到這些伺服器(伺服器位於它們自己的 OU 中)。

我怎樣才能做到這一點?我在 OU 中創建了一個策略,但在其他方面被難住了;我試圖將 ADM 載入到 GPO 管理編輯器中,但它似乎沒有做任何事情……

也許它是“活動設置”(為所有現有使用者和所有新使用者添加 HKCU 鍵和值的最佳方式?)和環回處理(http://support.microsoft.com/kb/231287)的某種組合,但我知道GPO 非常有限。

您是說只有在使用者登錄某些電腦時才希望將使用者設置應用於使用者?聽起來很難吧?這一點都不難。這聽起來像是環回組策略處理的工作!

假設如下:

[Domain] mydomain.com.org.net.local
 |
 |--[OU] Special Computers
 |   |
 |   |-- [Computer] COMPUTER 1
 |   |
 |   |-- [Computer] COMPUTER 2
 |   ...
 |
 |--[OU] User Accounts
     |
     |--[User] Bob
     |
     |--[User] Alice
     ...

您希望為登錄到“特殊電腦”OU 中電腦的所有使用者應用使用者設置(例如執行登錄腳本或應用其他類型的 GPO 使用者設置) 。但是,當他們登錄到位於其他 OU 中的電腦時,您不希望應用這些特殊設置。

創建 GPO 並將其連結到“特殊電腦”OU。在該 GPO 中指定要應用的所有與使用者相關的設置。

(“但是等等,Evan!使用者的帳戶對像不在“特殊電腦”OU 中!”是的。我知道。和我在一起。我遇到的大多數 AD 管理員不了解環回策略處理和害怕。我見過可怕的黑客攻擊,比如創建輔助使用者帳戶供使用者在使用“特殊電腦”時登錄等等……>顫抖<)

在您創建的 GPO 中,進入 COMPUTER“管理模板”、“系統”、“組策略”,找到設置“使用者組策略環回處理模式”。啟用此設置。如果您希望忽略所有使用者的“正常”組策略設置並且僅應用此新 GPO 中的使用者策略設置,請在“模式”框中選擇“替換”。如果您希望 GPO 中的使用者設置在其所有正常使用者設置都已應用後應用,請選擇“合併”。

我的觀點是,這比登錄腳本中涉及“If computer == blah”的“hacks”要乾淨得多。


我對您的建議是使用組策略首選項 (GPP) 系統資料庫設置而不是登錄腳本來執行您正在執行的操作。它將應用一次,將預設設置保留在使用者的系統資料庫中,但使用者將來可以自由更改設置,而不會在每次登錄時“破壞”它們。

如果這些是 Windows Server 2008 機器,就像你的標籤說的那樣,那麼真的沒有理由不使用 GPP 系統資料庫設置。請查看下面的文章以了解更多詳細資訊。這是 W2K8 的一個非常好的功能,您應該利用它。

http://www.microsoft.com/downloads/details.aspx?FamilyID=42e30e3f-6f01-4610-9d6e-f6e0fb7a0790&DisplayLang=en

http://blogs.technet.com/grouppolicy/archive/2008/03/04/gp-policy-vs-preference-vs-gp-preferences.aspx

引用自:https://serverfault.com/questions/34743