GPO:不同PC上不同用户的不同GPO
我想问你,如何在不同的PC上为不同的用户实现不同的GPO。我对这件事还有点陌生。它正在运行Windows 2012 R2。
为了理解我们的OU结构,下面是一个图像:欧结构
例如,我将讨论禁用任务管理器。问题是,来自OU部门的用户登录到他们自己的工作站和RDS服务器。我需要允许他们将任务管理器放在他们的工作站上,而不是在RDS上。远程用户也是如此,它们主要登录到RDS,不应该有任务管理器。但是也有超级用户,他们应该在工作站和RDS上都有任务管理器。但我也需要他们运行一个脚本,如果他们登录到工作站,而不是RDS。
我知道在部门OU的RDS上禁用任务管理器--我可以使用回溯处理,但我很困惑如何为超级用户实现不同的GPO。我是否需要将它们放在单独的安全组中,使用回溯处理生成两个GPO,并使用安全筛选将它们分开?还是有别的办法?
谢谢。
回答 3
Server Fault用户
发布于 2016-10-05 01:33:19
当使用以用户配置为目标的GPO时,为了防止其应用于某种类型的操作,可以采用比使用WMI过滤器的回送处理更简单的方法来实现。
使用WMI过滤器。
SELECT * FROM Win32_OperatingSystem WHERE ProductType = 3若要将查询仅限于客户端或服务器,请添加包含ProductType参数的子句。若要仅对客户端操作系统(如Windows7或Windows )进行筛选,请只使用ProductType="1“。对于非域控制器的服务器操作系统,请使用ProductType="3“。仅对域控制器,使用ProductType="2“。这是一个有用的区别,因为您通常希望防止将GPO应用于网络上的域控制器。
从那里将GPO链接到您的用户所在的OU和/或删除已验证的用户,并选择一个安全组。
WMI过滤器将创建一个条件,如果它返回true,那么如果用户处于正确的OU中,则应用GPO,如果您设置一个OU,则GPO在安全组中。
Server Fault用户
发布于 2016-10-04 20:32:05
你的例子有点混乱,但也许我能帮上几个忙。GPO是按顺序应用的,所以无论GPO最后被应用到哪里,都会获胜。也就是说,如果你在一个策略中打开它,在另一个策略中关闭它,最后一个被应用的策略就是即将生效的策略。GPO可以是机器的,也可以是基于用户的。因此,如果您应用了任务管理器策略(我相信它是基于用户的),那么首先需要将策略应用于所有标准用户以关闭它,然后再为您的超级用户打开它。希望这能有所帮助。
Server Fault用户
发布于 2016-10-04 20:55:30
简单地,创建一个新的安全组,将用户添加到组中,然后创建一个GPO并将新组添加为工作站上的本地用户(检查下面的链接以将安全组添加到特定的本地组) http://www.expta.com/2011/02/adding-users-to-local-security-groups.html
在同一个GPO上,添加以下内容(按注册表键)以启用任务管理器,并将新的GPO分配给工作站OU。
要启用任务管理器:
REG添加HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f
创建另一个GPO (按注册表键)以禁用任务管理器,并将新的GPO分配给RDS OU。若要禁用任务管理器,请执行以下操作:
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 1 /f
https://serverfault.com/questions/806704
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号