Como ignorar o processamento de loopback do GPO para alguns usuários?

7

Como você provavelmente sabe, o processamento de loopback é um recurso das Políticas de Grupo do Active Directory que se aplica user configurações em um GPO para qualquer usuário que faça logon em computadores no escopo do GPO (considerando que o comportamento padrão seria aplicar as configurações do usuário somente se a conta do usuário estiver realmente localizada dentro do Escopo do GPO). Isso é útil quando você deseja que todos os usuários que efetuam login em um computador específico recebam alguma política do usuário, independentemente de onde suas contas de usuário estejam realmente localizadas no AD.

O problema: quando o processamento de loopback está habilitado, um GPO contendo configurações de usuário é aplicado a todos usando esses computadores, e você não pode ignorar isso usando ACLs no GPO, porque na verdade não é aplicado a usuários , mas a computadores .

A pergunta: como o processamento de loopback pode ser ignorado para usuários específicos que precisam fazer logon nesses computadores, mas não devem estar sujeitos a essas configurações de política?

Nesse caso: há vários servidores de terminal nos quais os GPOs com processamento de loopback são usados para impor restrições pesadas de usuários em todos que fazem logon (basicamente, devem ser capazes de executar apenas um monte de aplicativos aprovados pela empresa); mas isso se aplica até mesmo a Admins. do Domínio , que, portanto, tornam-se incapazes de iniciar um prompt de comando ou abrir o gerenciador de tarefas. Nesse cenário, como posso informar ao AD para não aplicar essas configurações se o logon do usuário pertencer a um grupo específico (como Admins. Do Domínio)? Alternativamente, até mesmo a solução oposta ("somente aplique essas configurações a usuários pertencentes a um grupo específico") estaria bem.

Mas, por favor, lembre-se de que estamos falando de processamento de loopback aqui. As políticas são aplicadas a computadores e as configurações de usuário dentro delas são aplicadas aos usuários apenas porque estão fazendo logon nesses computadores (sim, eu sei que é confuso, processamento de loopback é uma das coisas mais complicadas para se acertar nas Políticas de Grupo).

    
por Massimo 30.06.2016 / 20:05

2 respostas

1

Eu acho que a solução seria o filtro WMI (foi assim que eu fiz no meu lugar).

Você cria um filtro WMI que captura as estações de trabalho desejadas.
Você cria um GPO somente com as configurações do usuário e com a filtragem de segurança.
Você coloca os dois juntos e coloca o GPO no container de usuários.

Portanto, a filtragem WMI especifica o compilador ao qual ela se aplica e a filtragem de segurança aos usuários aos quais ela se aplica.

e solte o loopback.
Isso lhe dará mais dores de cabeça do que esperava, pois não se aplica apenas ao GPO especificado em que está configurado, mas a todas as políticas aplicadas aos computadores.

Atualizar
Se você tiver kb3163622 instalado em suas estações de trabalho, poderá fazer o mesmo usando somente grupos de segurança.
Esta atualização altera a maneira como as políticas do usuário são aplicadas.
De agora em diante, as diretivas de usuário são realmente aplicadas sob o contexto de segurança do computador e do usuário. Portanto, se você colocar na filtragem de segurança desse GPO os computadores e usuários aos quais deseja aplicar, isso fará o mesmo truque que o WMI (supondo que você não esteja indo para alguma consulta complexa).

    
por 25.09.2016 / 00:26
0

A negação da permissão ACE for Apply Group Policy para as entidades de segurança em questão (Usuário / Grupo) nas políticas de grupo com as configurações do usuário na UO do computador impedirá que as políticas de grupo de usuários vinculadas na UO do computador sejam aplicadas.

No entanto, se o processamento de diretivas de loopback estiver configurado para o modo de Substituição, as diretivas de grupo de usuários que estiverem no escopo para o local da conta do usuário (e não para o computador) serão ignoradas.

    
por 25.09.2016 / 18:09