将用户组策略应用于单个计算机
我试图应用用户策略来锁定windows主题的更改。
但是,我只希望将此策略应用于一台计算机(它是运行服务器2012的终端服务器),我们将其命名为ServerX。
所讨论的服务器与其他服务器处于OU中,我不想更改OU结构。
我已经创建了一个名为Global Security Group的新Terminal Servers,在安全过滤项下唯一列出的策略是新组Terminal Servers。
此组仅以ServerX作为成员。
我已经确保Authenticated Users获得了这项政策的授权证书。
对于(计算机)策略,Loop back processing也是打开的,设置为merge。
现在,当我在gpresult上运行ServerX时,它告诉我,它成功地应用了此策略的计算机设置(这将是回送处理),但是拒绝用户设置(这是锁定windows主题的策略)。
gpresult说:Filtering: Denied(Security)在“用户策略”部分下
我已经搜索了一段时间,大多数解决方案最后都说,只在经过身份验证的用户上过滤策略,并使用OU层次结构来执行计算机目标。
但是,由于我不想重新安排OU结构,所以在这个阶段这不是一个选项。
我做错了什么?
回答 1
Server Fault用户
发布于 2013-06-18 10:28:40
我对此采取了一种不同的方法,认为使用这种方法的唯一方法是以某种方式使用OU。
这就是我所做的:
- 安全过滤基于目标用户而不是单一目标计算机的GPO。在这种情况下,我唯一的安全过滤器是
Domain Users。 - 我创建了一个WMI过滤器,以匹配我所针对的服务器的计算机名称:
Select * from Win32_ComputerSystem where Name like "SERVERX%"
结果是,该策略被映射到Domain Users登录到的所有计算机,但是,除非计算机的名称是ServerX,否则它将因WMI筛选器而被拒绝。
基本上,环回处理模式似乎必须让用户登录到指定的计算机上,对该策略具有“应用此策略”委托权限,否则就会基于安全筛选得到拒绝错误。
这一切归结为使用这种形式的结构:
- 使用OU结构过滤计算机,然后使用安全过滤来过滤用户
但是,如果GPO在层次结构中链接得更高(而不是连接到只包含受影响计算机的最具体OU ),那么需要额外的过滤来过滤掉所有排除计算机。我在上面通过WMI过滤器做了这件事。
https://serverfault.com/questions/516560
复制相似问题
腾讯云开发者
