Eu tenho um GPO que preciso aplicar ao usuário DOMAIN\DumbGuy , mas apenas quando ele faz logon em DOMAIN\DumbGuysComputer$ . Quando DOMAIN\NiceReceptionist efetua logon em DOMAIN\DumbGuysComputer$ , ele não deve ser aplicado. Quando DOMAIN\DumbGuy fizer logon em DOMAIN\ReceptionstsComputer$ , isso não deve se aplicar.
Ele precisa ser aplicado somente a uma pessoa em um computador .
Se eu aplicar o GPO ao objeto Usuário, ele será aplicado a todos os computadores dele. Se eu aplicar o GPO ao objeto Computador, ele será aplicado a todos os usuários nesse computador. Se eu aplicá-lo a ambos, ele se espalha ainda mais.
Como posso aplicar um GPO a apenas um usuário em apenas um computador?
Minha sugestão é semelhante à do habitante ..
Crie uma sub-UO apenas para esse único computador, crie um GPO e configure-o para o modo de mesclagem de loopback. Use a filtragem de segurança no GPO para que somente DumbGuy tenha permissões para aplicá-lo. Não vejo nenhum motivo para usar dois GPOs diferentes.
Mucho importante! Não filtre os direitos de "leitura" dos usuários autenticados, pois o subsistema da diretiva de grupo precisa ler o GPO antes de aplicá-lo ao usuário
Eu examinaria o Processamento de loopback da política de grupo em conjunto com a Filtragem de segurança. Você pode usar o recurso de loopback de Diretiva de Grupo para aplicar GPOs (Objetos de Diretiva de Grupo) que dependem apenas de qual computador o usuário faz logon.
Este é um exemplo de como isso pode ser implementado .
Na verdade, como eu implementaria isso:
Crie dois GPO diferentes e atribua-os a DOMAIN \ DumbGuysComputer $.
Configure o primeiro GPO com Processamento de loopback definido no Modo de substituição e configure Filtragem de segurança para aplicar somente a < em> usuário DOMAIN \ DumbGuy .
Configure o segundo GPO sem o processamento de loopback e configure o filtro de segurança para aplicar somente aos usuários DOMAIN \ NiceReceptionist .
Provavelmente, basta vincular o GPO à UO em que o usuário está e usar o filtro de segurança ou o WMI para garantir que ele se aplique a esse único usuário e, em seguida, encapsular o script inteiro em um bloco if($ENV:computername -eq whatever){} .
O GPO aplica-se ao éter o objeto de usuário, objeto de computador ou ambos os objetos em uma unidade organizacional e você não pode fazer o GPO se aplicar somente a um objeto de computador somente se um determinado usuário efetuar login nesse computador ou aplicar somente a um objeto de usuário se esse usuário fizer login em um determinado computador.
Eu criei um filtro WMI que parece funcionar:
Select * from WIN32_OperatingSystem where NOT CSName="PCName"
Você pode testar as consultas do WMI no powershell usando:
gwmi -Query 'Select * from WIN32_OperatingSystem...'