Aplicando o loopback da política de grupo a qualquer usuário em computadores específicos

7

Em um ambiente de servidor 2008 R2 e Windows 7, tenho um GPO que especifica configurações de proteção de tela na política de configurações do usuário para todo o domínio. No entanto, para computadores específicos, isso não é ideal.

Eu criei um GPO separado com maior precedência, habilitei o loopback com a configuração replace e especifiquei as regras do protetor de tela. No filtro de segurança, há apenas os computadores específicos aos quais o GPO deve ser aplicado. No entanto, como está, essa diretiva nunca é aplicada - gpresult / z indica isso em configurações do usuário para o GPO: "Filtrando: Negado (Segurança)".

Se eu adicionar os "usuários do domínio" ao filtro de segurança, o GPO será aplicado a todos usuários no domínio, independentemente de qual computador eles estejam usando.

Como posso aplicar o GPO a qualquer usuário que faça login em apenas computadores específicos?

A aplicação do GPO às UOs não é uma opção, infelizmente, já que os computadores já estão classificados em várias UOs para outras coisas.

[edit]: No filtro de segurança, tentei:

  • adicionando apenas o computador ao filtro de segurança; resulta no GPO negado nas configurações do usuário.
  • adicionando o computador ao filtro de segurança e adicionando "usuários do domínio" ao filtro de segurança; resulta no GPO de loopback aplicado a todos os usuários, independentemente de qual computador é usado.
  • adicionando o computador a um grupo de segurança, adicionando esse grupo de segurança para o filtro de segurança; resulta no GPO negado nas configurações do usuário.
  • adicionando o computador e os "usuários do domínio" ao mesmo grupo de segurança e adicionando esse grupo de segurança ao filtro de segurança; resulta no GPO de loopback aplicado a todos os usuários, independentemente de qual computador é usado.
  • adicionando o computador a um grupo de segurança, adicionando esse grupo de segurança ao filtro de segurança e adicionando "usuários do domínio" ao filtro de segurança; resulta no GPO de loopback aplicado a todos os usuários, independentemente de qual computador é usado.

Quais outras opções ainda restam para experimentar?

Existe uma maneira de especificar se os itens no filtro de segurança podem ser combinados usando "e" em vez de "ou"?

    
por Force Flow 02.07.2014 / 17:15

4 respostas

2

Você precisará criar uma nova unidade organizacional para esses computadores e aplicar o GPO a essa unidade organizacional recém-criada.

    
por 10.09.2014 / 17:24
1

Existem cinco maneiras de fazer isso:

(Separação da UO)

Você pode separar computadores e usuários por UOs diferentes e vincular uma política à UO dos computadores. Para usar a política de loopback, tanto o usuário quanto o computador devem ter permissões de leitura e aplicação para a política, portanto, se você as separar, poderá definir facilmente a segurança para 'usuários de domínio' e 'computadores de domínio' - a política será aplicada a todos os usuários que trabalham em computadores nos quais a política está vinculada a

(Flag-File Trick)

Como alternativa, você pode criar um truque - você pode adicionar um "arquivo de sinalização" nos computadores necessários para aplicar o GPO: Você deve criar uma política de não-loopback somente para usuário que defina a proteção de tela e filtre-a com a existência de verificação do filtro WMI do arquivo de sinalizador local como "Select * From CIM_Datafile Where Name = 'C:\Windows\spc.screensaver.flag'" . Você deve definir a segurança como Domain Users - leia e aplique. Em segundo lugar, você deve fazer uma política adicional para os computadores que criarão esse arquivo (isso pode ser feito facilmente, não explicará). Essa política não deve ser de loopback e deve ser somente de computador. A segurança deve ser definida como Special Screensaver Computers - leia e aplique

(script de inicialização comum - edição de registro)

Como alternativa, você pode criar um script que deve ser colocado por meio da diretiva na pasta de inicialização comum para computadores do Special Screensaver Computers group. Quando qualquer usuário fizer logon neste computador, este script será executado sob os direitos do usuário e alterará algumas chaves de registro HKCU etc. Então, novamente, isso não é política de loopback

(nomes de computador com código de hardware no filtro WMI)

Como alternativa, você pode codificar nomes de computadores em filtros WMI. Oh Deus.

(usar segmentação em nível de item - edição de registro)

Como alternativa, você pode configurar o protetor de tela com o GPP (criando uma política de substituição do registro). Isso oferece suporte à segmentação no nível de item e você pode criar uma regra para aplicar a alteração do registro somente se 'Computador no grupo de segurança Special Screensaver Computers ' - nesse caso, você deve criar uma diretiva de loopback com segurança definida como Special Screensaver Computers e Domain users - ler , aplique e faça uma correção de registro na configuração do usuário com a ativação da segmentação no nível do item para verificar se o computador está em um grupo adequado de segurança. Observe que o GPP é aplicável ao XP SP2 \ 3 com o KB943729 instalado. Não tenho certeza se a segmentação no nível do item está funcionando no XP SP2

(---)

Como você precisa definir essa configuração por computador, e a política deve ser aplicada a todos os usuários desses computadores, você precisa definir a segurança como Domain Users para essa política. E quando o usuário faz log-in, ele lê todas as políticas atribuídas à UO onde o usuário é colocado. Atualmente, existem apenas três tipos de filtragem suportados por diretivas - separação de unidades organizacionais (geralmente butthurt), filtragem de WMI e segmentação por nível de item

    
por 31.01.2015 / 00:35
0

Já experimentou Filtragem WMI ?

Eu tinha em minha organização muitos GPOs de loopback e eles eram uma bagunça.
Separei todos esses GPOs como 'Política do computador' e 'Política do usuário', portanto a 'Política do computador' aplica-se aos computadores relevantes (sem problemas aqui) e a 'Política do usuário' aplica-se a todos os usuários, mas inclui um filtro WMI. política aplica-se apenas a determinados computadores.

Naturalmente, uma maneira de identificar as estações relevantes por meio do WMI é necessária.
Você pode usar o WMIExplorer para descobrir quais opções estão disponíveis.

Se não houver como identificá-los corretamente, você terá que recorrer a UOs separadas.

Aqui estão mais alguns exemplos de filtros WMI.

    
por 25.12.2014 / 21:25
0

Como essa era uma questão antiga, eu já acabei reorganizando tudo em UOs e usei uma política de loopback, como sugerido anteriormente.

    
por 02.02.2015 / 16:02