Anwenden eines Gruppenrichtlinien-Loopbacks auf einen Benutzer auf bestimmten Computern

7

In einer Server 2008 R2- und Windows 7-Umgebung habe ich ein Gruppenrichtlinienobjekt, das Bildschirmschonereinstellungen in der Benutzereinstellungsrichtlinie für die gesamte Domäne angibt. Für bestimmte Computer ist dies jedoch nicht ideal.

Ich habe ein separates Gruppenrichtlinienobjekt mit höherer Priorität erstellt, Loopback mit der Einstellung zum Ersetzen aktiviert und die Bildschirmschonerregeln angegeben. Im Sicherheitsfilter gibt es nur die spezifischen Computer, auf die das Gruppenrichtlinienobjekt angewendet werden soll. Diese Richtlinie wird jedoch niemals angewendet. Gpresult / z gibt dies unter den Benutzereinstellungen für das Gruppenrichtlinienobjekt an: "Filterung: Verweigert (Sicherheit)".

Wenn ich die "Domänenbenutzer" zum Sicherheitsfilter hinzufüge, wird das Gruppenrichtlinienobjekt auf alle Benutzer in der Domäne angewendet , unabhängig davon, welchen Computer sie verwenden.

Wie kann ich das Gruppenrichtlinienobjekt auf jeden Benutzer anwenden, der sich nur bei bestimmten Computern anmeldet?

Das Anwenden des Gruppenrichtlinienobjekts auf Organisationseinheiten ist leider keine Option, da die Computer für andere Zwecke bereits in verschiedene Organisationseinheiten sortiert sind.

[Bearbeiten]: Im Sicherheitsfilter habe ich versucht:

  • Hinzufügen nur des Computers zum Sicherheitsfilter; führt dazu, dass das Gruppenrichtlinienobjekt unter den Benutzereinstellungen verweigert wird.
  • Hinzufügen des Computers zum Sicherheitsfilter und Hinzufügen von "Domänenbenutzern" zum Sicherheitsfilter; Dies führt dazu, dass das Loopback-Gruppenrichtlinienobjekt auf alle Benutzer angewendet wird, unabhängig davon, welcher Computer verwendet wird.
  • Hinzufügen des Computers zu einer Sicherheitsgruppe, Hinzufügen dieser Sicherheitsgruppe zum Sicherheitsfilter; führt dazu, dass das Gruppenrichtlinienobjekt unter den Benutzereinstellungen verweigert wird.
  • Hinzufügen des Computers und der "Domänenbenutzer" zu derselben Sicherheitsgruppe und Hinzufügen dieser Sicherheitsgruppe zum Sicherheitsfilter; Dies führt dazu, dass das Loopback-Gruppenrichtlinienobjekt auf alle Benutzer angewendet wird, unabhängig davon, welcher Computer verwendet wird.
  • Hinzufügen des Computers zu einer Sicherheitsgruppe, Hinzufügen dieser Sicherheitsgruppe zum Sicherheitsfilter und Hinzufügen von "Domänenbenutzern" zum Sicherheitsfilter; Dies führt dazu, dass das Loopback-Gruppenrichtlinienobjekt auf alle Benutzer angewendet wird, unabhängig davon, welcher Computer verwendet wird.

Welche anderen Optionen gibt es noch zu versuchen?

Gibt es eine Möglichkeit anzugeben, ob die Elemente im Sicherheitsfilter mit "und" anstelle von "oder" kombiniert werden können?

windows-server-2008-r2  windows-7  group-policy 
Kraftfluss
quelle
1
joeqwerty
2
Ich habe das gesehen, schien aber leider keine Lösung für diese Situation zu bieten. Es werden hauptsächlich die Unterschiede zwischen den Einstellungen "Ersetzen" und "Zusammenführen" für die Loopback-Richtlinie behandelt.
Force Flow
2
Einige zusätzliche Untersuchungen scheinen darauf hinzudeuten, dass Sie das Computerobjekt bei Verwendung der Loopback-Richtlinienverarbeitung nicht filtern können. Sie müssen wahrscheinlich Unter-Organisationseinheiten für diese Computer erstellen und dorthin verschieben und dieses Gruppenrichtlinienobjekt dann mit der Unter-Organisationseinheit verknüpfen. Dies sollte keine Auswirkungen auf andere Gruppenrichtlinienobjekte haben, die für das Computerobjekt gelten. - support.microsoft.com/kb/…
Joeqwerty
1
Ich hatte wirklich gehofft, dass ich das vermeiden könnte.
Force Flow
1
Haben Sie versucht, allen Benutzern die Berechtigung "Gruppenrichtlinie anwenden" und nur Ihrer Computergruppe "Leseberechtigungen" zu erteilen? Es ist ein bisschen hacky, aber es könnte funktionieren. Die relevante Benutzeroberfläche sieht ungefähr so aus
Nitz

Antworten:

2

Sie müssen eine neue Organisationseinheit für diese Computer erstellen und dann das Gruppenrichtlinienobjekt auf diese neu erstellte Organisationseinheit anwenden.

Alan Lau
quelle
1

Es gibt fünf Möglichkeiten, wie Sie dies tun können:

(OU Trennung)

Sie können Computer und Benutzer nach verschiedenen Organisationseinheiten trennen und eine Richtlinie mit der Organisationseinheit des Computers verknüpfen. Um die Loopback-Richtlinie verwenden zu können, müssen sowohl Benutzer als auch Computer über Lese- und Anwendungsberechtigungen für Richtlinien verfügen. Wenn Sie diese also trennen, können Sie die Sicherheit problemlos auf "Domänenbenutzer" und "Domänencomputer" festlegen. Die Richtlinie wird auf alle Benutzer angewendet die auf Computern arbeiten, die in Organisationseinheiten mit welcher Richtlinie verknüpft sind

(Flag-File-Trick)

Alternativ können Sie einen Trick machen - Sie können eine 'Flag-Datei' auf einem Computer hinzufügen, auf dem Sie das Gruppenrichtlinienobjekt anwenden müssen: Sie sollten eine Nur-Benutzer-Non-Loopback-Richtlinie erstellen, die den Bildschirmschoner festlegt und mit dem WMI-Filter filtert, der das Vorhandensein des lokalen Flags überprüft -Datei wie "Select * From CIM_Datafile Where Name = 'C:\\Windows\\spc.screensaver.flag'". Sie sollten die Sicherheit auf Domain Users- Lesen und Anwenden einstellen . Zweitens sollten Sie eine zusätzliche Richtlinie für die Computer festlegen, die diese Datei erstellen (dies kann problemlos durchgeführt werden, wird nicht erklärt). Diese Richtlinie darf kein Loopback sein und darf nur für Computer gelten. Sicherheit muss auf Special Screensaver Computers- Lesen und Anwenden eingestellt sein

(Allgemeines Startskript - Registrierung bearbeiten)

Alternativ können Sie ein Skript erstellen, das Sie über eine Richtlinie in den allgemeinen Startordner für Computer aus Special Screensaver ComputersGruppen einfügen sollten . Wenn sich ein Benutzer an diesem Computer anmeldet, wird dieses Skript unter Benutzerrechten ausgeführt und ändert einige HKCU-Registrierungsschlüssel usw. Dies ist also wiederum keine Loopback-Richtlinie

(Hardcode-Computernamen im WMI-Filter)

Alternativ können Sie die Computernamen in WMI-Filtern fest codieren. Oh Gott.

(Verwenden Sie Targeting auf Elementebene - Bearbeiten der Registrierung.)

Alternativ können Sie den Bildschirmschoner mit GPP einrichten (eine Richtlinie zum Ersetzen der Registrierung erstellen). Dies unterstützt Elementebene Targeting und Sie können eine Regel machen auf Änderung der Registrierung gilt nur , wenn ‚Computer in Sicherheitsgruppe Special Screensaver Computers‘ - in diesem Fall , dass Sie eine Loopback - Politik mit Sicherheit Satz machen sollten Special Screensaver Computersund Domain users- zu lesen, anwenden und einen Registry Fix machen unter Benutzerkonfiguration mit aktiviertem Targeting auf Objektebene, um zu überprüfen, ob sich der Computer in einer für die Sicherheit geeigneten Gruppe befindet. Beachten Sie, dass GPP auf XP SP2 \ 3 mit installiertem KB943729 anwendbar ist. Ich bin nicht sicher, ob das Targeting auf Objektebene unter XP SP2 funktioniert

(---)

Da Sie diese Einstellung pro Computer vornehmen müssen und die Richtlinie auf alle Benutzer auf diesen Computern angewendet werden muss, müssen Sie die Sicherheit Domain Usersfür diese Richtlinie festlegen . Bei der Benutzeranmeldung werden alle Richtlinien gelesen, die der Organisationseinheit zugewiesen sind, in der sich der Benutzer befindet. Derzeit gibt es nur drei Arten der Filterung, die von Richtlinien unterstützt werden: OU-Trennung (normalerweise Butthurt), WMI-Filterung und Targeting auf Elementebene

filimonisch
quelle
0

Haben Sie WMI-Filterung versucht ?

Ich hatte in meiner Organisation viele Loopback-Gruppenrichtlinienobjekte, und sie waren ein Chaos.
Ich habe alle diese Gruppenrichtlinienobjekte in "Computerrichtlinie" und "Benutzerrichtlinie" unterteilt, sodass die "Computerrichtlinie" für die relevanten Computer gilt (hier kein Problem) und die "Benutzerrichtlinie" für alle Benutzer gilt, jedoch einen WMI-Filter enthält Die Richtlinie gilt nur für bestimmte Computer.

Natürlich ist eine Möglichkeit erforderlich, die relevanten Stationen über WMI zu identifizieren.
Mit WMIExplorer können Sie herausfinden, welche Optionen verfügbar sind.

Wenn es keine Möglichkeit gibt, sie richtig zu identifizieren, müssen Sie auf getrennte Organisationseinheiten zurückgreifen.

Hier einige weitere Beispiele für WMI-Filter.

EliadTech
quelle
0

Da dies eine alte Frage war, habe ich bereits alles in Organisationseinheiten umstrukturiert und eine Loopback-Richtlinie verwendet, wie zuvor vorgeschlagen.

Kraftfluss
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.