web-dev-qa-db-ja.com

特定のコンピューターのユーザーベースのグループポリシーを拒否するにはどうすればよいですか?

したがって、GPOセットアップでは、「マイドキュメント」をドメイン内のすべてのユーザーのサーバーの場所にリダイレクトするように設定されています(ルート「ユーザー」OUにリンクされています)。これは問題なく機能しますが、このポリシーを継承する必要のない多数のユーザーがログインする2つの特別なワークステーションがあります。フォルダーリダイレクトポリシーがユーザーベースであることは理解していますが、どのように処理するのかわかりませんdenyingこのユーザーAD内の特定のコンピューターオブジェクトのポリシー。これらのユーザーはネットワーク上のこれらの「特別な」システムと通常のシステムの間を行き来しているため、特定のユーザーをルートポリシーから単純に除外することはできません。

これら2つのシステムが存在するOUのループバック処理ポリシー(「replace」に設定)を作成し、個別の「Disable My Documents redirection」をリンクしましたGPOこのOUに、ただしルートレベルユーザーベースのリダイレクトポリシーはまだwins(または、「ユーザー設定の適用」でテストユーザーアカウントのログインが永久にハングアップします。)できる方法はありますかこれを上書きしますか?

3
Matthew Flook

ルートOUにユーザーポリシーをすべてのユーザーとコンピューターオブジェクトに適用するのは私自身の責任だったため、現時点で誰の答えが正しいのか正確にはわかりません。テストする時間がもっとあれば、セキュリティフィルタリングと継承/優先順位の構成のスマートな組み合わせでこれを回避できたと思いますが、実際の修正は、GPOをルートから移動して、特別なコンピュータOUのポリシーとループバック処理を妨害しなくなりました。

1
Matthew Flook

ルートポリシーがテストGPOに勝っているというコメントは、GPO優先順位の問題です。優先順位を切り替えるか、GPOを設定する必要があります。これを行うには、GPMC内の左側のツリーリストで、ポリシーがリンクされているOUを選択します。これにより、右側に、編集可能なGPOの優先順位が表示されます。

1
edusysadmin

ログイン時にプログラムOutlookを起動するように設計されたポリシーで同様の問題がありました。ポリシーがコンピューターに設定されているため、ループバックを有効にしていたため、comp\adminT\systemの下に配置し、adminsグループにgpoの拒否のアクセス許可を設定しました。それはうまくいきません。私はそれを切り替えてuser\adminT\systemを実行しましたが、期待どおりに処理されました。

0
Occamschainsaw

私はこれがうまくいくと完全に確信しているわけではありません-理論だけではありませんが、GPO Security Filtering for thisを使用できませんでしたか?

GPOはユーザーOUにリンクされており、セキュリティフィルタリングはデフォルトですべての認証済みユーザーに適用されます。したがって、ユーザーOU内の認証済みユーザーはこれを取得しますGPO =それらに適用されます。

セキュリティフィルタリングをさらに拡張するには、ポリシーを適用してすべてを作成するすべてのcomputersに対してセキュリティグループを作成します(グループアルファと呼びましょう)。それは、これら2つの「特別な」システムを除いて、グループAlphaの通常のシステムメンバーです。次に、セキュリティフィルターにグループAlphaを追加して、GPOを変更します。

もう一度考えてみましょう。ただし、理論的には、GPOは、Group Alphaのメンバーであるコンピューターを使用するUsers OU内の認証されたユーザーにのみ適用されます。

もちろん、セキュリティフィルターの動作を完全に誤解している可能性があるため、実験する必要があります。 :-)機能しても、このポリシーを適用するすべてのシステムが、今後Group Alphaのメンバーであることを確認する必要があります。

上記が機能しなかったので、ここに代替の提案があります:

これをGPO=コンピューター自体に適用することは可能ですか?その場合、エヴァンの提案を試して、リダイレクトから除外するコンピューターを独自のOUに入れ、継承をブロックすることができます。少しファンキーですが、機能する可能性があります。

0
Cypher

2つのマシンにポリシーを適用して、ローカルプロファイルのみを強制します。ここでポリシーを見つけることができます:コンピューターの構成\管理用テンプレート\システム\ログオン\ローカルユーザープロファイルのみを許可

0
edusysadmin