GPO= 1台のコンピューター上の1人のユーザーにのみ適用する
GPOユーザーに適用する必要があるDOMAIN\DumbGuyを持っていますが、ユーザーがDOMAIN\DumbGuysComputer$にログオンしたときのみです。DOMAIN\NiceReceptionistがDOMAIN\DumbGuysComputer$にログオンするときは適用されません。DOMAIN\DumbGuyがDOMAIN\ReceptionstsComputer$にログオンするとき適用しないでください。
one personone computerにのみ適用する必要があります。
GPOをユーザーオブジェクトに適用すると、彼のすべてのコンピューターに適用されます。GPOをコンピューターオブジェクトに適用すると、そのコンピュータのすべてのユーザーです。両方に適用すると、さらに広がります。
GPO=を1台のコンピューター上の1人のユーザーにのみ適用するにはどうすればよいですか?
私の提案は住民のそれに似ています。
その単一のコンピューター専用のサブOUを作成し、GPOを作成してループバックマージモードに設定します。GPO DumbGuyのみに適用する権限があります。2つの異なるGPOを使用する理由はありません。
Mucho重要!グループポリシーサブシステムがGPOそれがユーザーに適用される前に)を読み取る必要があるため、認証されたユーザーからの「読み取り」権限をフィルタリングしないでください
セキュリティフィルタリングと組み合わせて グループポリシーループバック処理 を調べます。グループポリシーループバック機能を使用して、ユーザーがログオンするコンピューターのみに依存するグループポリシーオブジェクト(GPO)を適用できます。
実際、これをどのように実装しますか:
2つの異なるGPOを作成し、DOMAIN\DumbGuysComputer $に割り当てます。
最初に構成GPO withLoopback Processingset in Replace Mode and Security FilteringをDOMAIN\DumbGuyユーザー。
2番目のGPOループバック処理なしで構成し、DOMAIN\NiceReceptionistユーザーのみに適用するようにセキュリティフィルターを構成します。
GPOをユーザーが存在するOUにリンクし、セキュリティフィルタリングまたはWMIを使用して、その1人のユーザーにのみ適用されることを確認してから、スクリプト全体をif($ENV:computername -eq whatever){}ブロック。
機能しているように見えるWMIフィルターを作成しました。
Select * from WIN32_OperatingSystem where NOT CSName="PCName"
以下を使用して、PowershellでWMIクエリをテストできます。
gwmi -Query 'Select * from WIN32_OperatingSystem...'
GPOは、OU内のユーザーオブジェクト、コンピューターオブジェクト、またはその両方のオブジェクトに適用され、GPOを特定のユーザーがそのコンピューターにログインした場合にのみコンピューターオブジェクトに適用することはできません。ユーザーが特定のコンピューターにログインする場合にのみ、ユーザーオブジェクトに適用されます。