GPOユーザーのグループに適用されるコンピューター構成

Question

現在、次の問題に取り組んでいます。私たちの組織では、ほとんどのユーザーがOneDriveにアクセスできないようにしたいと考えています。これを確立するために、コンピューターの構成で次のGPO設定を見つけました：

Administrative Templates/Windows Components/OneDrive/Prevent the usage of OneDrive for file storage

ただし、管理者はOneDriveの使用を許可する必要があるため、すべての管理ユーザーを含むグローバルセキュリティグループ「GRP_ALLOW_OneDrive」を作成しました。

これで、2つのOUができました。1つはユーザーを含み、もう1つはコンピューターを含みます。したがって、これをGPO COMPUTERS OUにリンクし、その特定のユーザーグループのセキュリティ設定に拒否を追加します...

しかし、これは機能していないようです。これは、コンピューターの構成であるため、最初に推測する必要があります...

だから基本的に私の質問はこれに帰着します：

COMPUTERSOUでGPOを正常に作成して、例外グループのユーザーを除いてOneDriveを無効にするにはどうすればよいですか？管理者がログオンするコンピューターは関係ありません。ユーザーは常にアクセスできる必要があります。 OneDrive。他のすべてのユーザーは、ログオンしているコンピューターに関係なく、OneDriveを起動できないようにする必要があります。

ありがとう！

joeqwerty · Accepted Answer

残念ながら、これはできません。コンピューターの構成設定をユーザーに適用またはフィルター処理することはできません。

ユーザー構成設定のソフトウェア制限ポリシーを使用して、OneDrive実行可能ファイルをブロックすることができます。次に、これを特定のユーザーまたはグループに対してGPOでフィルタリングできます。

Dirk Trilsbeek · Answer

コンピューターGPOをユーザーに適用することはできません。各GPOのコンピューター設定は、ユーザーがログオンするかどうかに関係なく、コンピューターレベルで適用されます。コンピューターは独自のドメインコンピューターアカウントを使用してGPOにアクセスするため、ユーザーを含むセキュリティフィルタリンググループは、コンピューターアカウントが最初にGPO場所。セキュリティグループ拒否ユーザーのGPOへのアクセスは、コンピューターアカウントがGPOのComputer Configuration部分にアクセスして適用することを停止しません。

つまり、Computer Configurationの設定を個々のユーザーに実際に一致させることはできません。コンピューター上でグローバルにではなく、ユーザーのOneDriveを無効にするユーザー固有の設定（たとえば、HKEY_CURRENT_USER内のキー）を見つける必要があります。