Como nego uma Política de Grupo baseada em usuário para um computador específico?

3

Portanto, temos uma configuração de GPO para redirecionar "Meus Documentos" para um local de servidor para todos os usuários no domínio (ele está vinculado à UO "Usuários" raiz). Isso funciona muito bem, mas temos duas estações de trabalho especiais que vários usuários fazem login para que NÃO precisem herdar essa política. Eu entendo que as diretivas de redirecionamento de pasta são baseadas no usuário, mas eu não entendo como iríamos negar essa política de usuário para objetos de computador específicos no AD. Como esses usuários estão indo e voltando entre esses sistemas "especiais" e sistemas regulares na rede, não podemos simplesmente excluir usuários específicos da política raiz.

Eu criei uma política de processamento de loopback (definida como "substituir") para a UO em que esses dois sistemas residem e vinculei um GPO separado "Desativar Meus Documentos" a essa UO, mas a diretiva de redirecionamento baseada em usuário de nível raiz ainda ganha (ou faz com que o login da minha conta de usuário de teste fique pendente para sempre em "aplicar configurações pessoais"). Existe uma maneira que eu possa substituir isso?

    
por Matthew Flook 15.10.2010 / 01:36

5 respostas

1

Não sei exatamente qual é a resposta certa nesse momento, pois foi culpa minha ter uma política de usuário na UO raiz aplicável a todos os usuários e objetos de computador. Eu acho que uma combinação inteligente de configuração de filtragem de segurança e herança / precedência poderia ter contornado isso se eu tivesse mais tempo para testar, mas a correção real era mover o GPO para fora da raiz para que ele não interfira mais com as políticas e processamento de loopback na UO computadores especiais.

    
por 21.10.2010 / 02:40
1

Seu comentário de que a política raiz está ganhando em relação ao seu GPO de teste, isso é um problema de precedência do GPO. Você precisa mudar a precedência ou definir o GPO para ser aplicado. Para fazer isso: na listagem de árvore à esquerda no GPMC, selecione a UO onde sua política está vinculada, isso exibirá à direita uma ordem de precedência para seus GPOs que podem ser editados.

    
por 20.10.2010 / 03:51
0

Aplique uma política nas duas máquinas para forçar apenas os perfis locais. Você pode encontrar a diretiva aqui: Configuração do Computador \ Modelos Administrativos \ Sistema \ Logon \ Permitir somente perfis de usuários locais

    
por 15.10.2010 / 04:39
0

Não estou totalmente certo de que isso funcione - mais apenas teoria, mas você não pode usar a Filtragem de segurança de GPOs para isso?

O GPO está vinculado à UO Usuários, e a Filtragem de Segurança, por padrão, se aplica a todos os Usuários Autenticados. Portanto, qualquer usuário autenticado na UO de usuários receberá esse GPO aplicado a eles.

Para estender um pouco mais a Filtragem de Segurança, você pode criar um grupo de segurança (vamos chamá-lo de Grupo Alfa) para todos os computadores que você quer que a política aplique e faça com que todos, como você diz, membros regulares do sistema do Grupo Alpha, com exceção desses dois sistemas "especiais". Em seguida, modifique seu GPO adicionando o grupo Alpha ao filtro de segurança.

Novamente, apenas um pensamento - mas, em teoria, isso faria com que seu GPO se aplicasse apenas a usuários autenticados na UO Users usando computadores que são membros do grupo Alpha.

É claro que posso interpretar mal o modo como o Filtro de Segurança funciona, então você terá que experimentar. :-) E mesmo que funcione, você terá que garantir que todos os seus sistemas aos quais você deseja que esta política se aplique sejam membros do Grupo Alpha.

Aqui está uma sugestão alternativa, pois o acima não funcionou:

É possível aplicar esse GPO aos próprios computadores? Nesse caso, você poderia tentar a sugestão de Evan e colocar os computadores que deseja isentar do redirecionamento em sua própria UO e bloquear a herança nessa UO. Um pouco funky, mas pode funcionar.

    
por 15.10.2010 / 02:17
0

Eu tive um problema semelhante com uma política projetada para iniciar um programa, uma perspectiva e um login. Eu tive loopback habilitado, desde que a política foi definida para um computador ou eu colocá-lo em comp \ adminT \ system e defina o negar aplicar gpo permissão para o grupo de administradores. Não funcionaria. Eu troquei e fiz o user \ adminT \ system e processei exatamente como esperado.

    
por 18.09.2015 / 19:03