Anwenden eines Gruppenrichtlinienobjekts auf einen Benutzer nur auf einem Computer

Ich habe ein Gruppenrichtlinienobjekt, das ich auf den Benutzer anwenden muss DOMAIN\DumbGuy, aber nur, wenn er sich anmeldet DOMAIN\DumbGuysComputer$. Wenn Sie sich DOMAIN\NiceReceptionistanmelden, DOMAIN\DumbGuysComputer$sollte dies nicht zutreffen. Wenn Sie sich DOMAIN\DumbGuyanmelden, DOMAIN\ReceptionstsComputer$sollte dies nicht zutreffen.

Es muss nur für eine Person auf einem Computer gelten .

Wenn ich das Gruppenrichtlinienobjekt auf das Benutzerobjekt anwende, gilt es für alle seine Computer. Wenn ich das Gruppenrichtlinienobjekt auf das Computerobjekt anwende, gilt es für alle Benutzer auf diesem Computer. Wenn ich es auf beide anwende, breitet es sich noch weiter aus.

Wie kann ich ein Gruppenrichtlinienobjekt auf nur einen Benutzer auf nur einem Computer anwenden?

Mein Vorschlag ähnelt dem des Bewohners.

Erstellen Sie eine Unter-Organisationseinheit nur für diesen einzelnen Computer, erstellen Sie ein Gruppenrichtlinienobjekt und stellen Sie den Loopback-Zusammenführungsmodus ein. Verwenden Sie die Sicherheitsfilterung für das Gruppenrichtlinienobjekt, damit nur DumbGuyBerechtigungen zum Anwenden vorhanden sind. Ich sehe keinen Grund für die Verwendung von zwei verschiedenen Gruppenrichtlinienobjekten.

Mucho wichtig! Filtern Sie nicht die "Leserechte" der authentifizierten Benutzer, da das Gruppenrichtlinien-Subsystem das Gruppenrichtlinienobjekt lesen muss, bevor es für den Benutzer gilt

Ich würde mir die Gruppenrichtlinien-Loopback-Verarbeitung in Verbindung mit der Sicherheitsfilterung ansehen. Mit der Gruppenrichtlinien-Loopback-Funktion können Sie Gruppenrichtlinienobjekte (Group Policy Objects, GPOs) anwenden, die nur davon abhängen, auf welchem ​​Computer sich der Benutzer anmeldet.

Dies ist ein Beispiel dafür, wie es implementiert werden kann .

Wie würde ich das eigentlich umsetzen:

Erstellen Sie zwei verschiedene Gruppenrichtlinienobjekte und weisen Sie sie DOMAIN \ DumbGuysComputer $ zu.

Konfigurieren Sie das erste Gruppenrichtlinienobjekt mit der im Ersetzungsmodus festgelegten Loopback-Verarbeitung und konfigurieren Sie die Sicherheitsfilterung so , dass sie nur für DOMAIN \ DumbGuy- Benutzer gilt.

Konfigurieren Sie das zweite Gruppenrichtlinienobjekt ohne Loopback-Verarbeitung und konfigurieren Sie die Sicherheitsfilterung so, dass sie nur für Benutzer von DOMAIN \ NiceReceptionist gilt .

Ich würde wahrscheinlich nur das Gruppenrichtlinienobjekt mit der Organisationseinheit verknüpfen, in der sich der Benutzer befindet, und Sicherheitsfilterung oder WMI verwenden, um sicherzustellen, dass es nur für diesen einen Benutzer gilt, und dann das gesamte Skript in einen if($ENV:computername -eq whatever){}Block einschließen.

Das Gruppenrichtlinienobjekt wird auf das Benutzerobjekt, das Computerobjekt oder beide Objekte in einer Organisationseinheit angewendet, und Sie können das Gruppenrichtlinienobjekt nicht nur auf ein Computerobjekt anwenden, wenn sich ein bestimmter Benutzer bei diesem Computer anmeldet, oder nur auf ein Benutzerobjekt, wenn dieser Benutzer meldet sich bei einem bestimmten Computer an.

Ich habe einen WMI-Filter erstellt, der zu funktionieren scheint:

Select * from WIN32_OperatingSystem where NOT CSName="PCName"

Sie können WMI-Abfragen in Powershell testen, indem Sie:

gwmi -Query 'Select * from WIN32_OperatingSystem...'