GPOが適用されないのはなぜですか?
私はGPOこのような階層を持っています:
クライアントマシンでgpresult -rを使用すると、Globalが正常に適用されたことがわかります。ただし、Disable Control.exeはそうではありません。
私が構成しようとしている設定:
スコープとフィルタリング:
VMIフィルタリングはありません。
私は次のことを確認しました:
- リンクは有効です。
- クライアントマシンにログインしたユーザーは、
OU_Oneのメンバーです。 gpupdate/forceで強制的に更新しました。
Globalが適用されているのに、Disable Control.exeが適用されないのはなぜですか?
コメントやチャットでの回答に基づいて、必要以上に複雑になっていると思います。 very必要な特定の理由がない限り、ループバック処理を使用しないでください。
任意のコンピューターのContractorsグループのすべてのユーザーに対してコントロールパネルをGPOでブロックするには、次のようにします。
- GPOのループバック部分を削除する
- GPOセキュリティフィルタリングから
Authenticated Usersを削除します OU_OneOUリンクを削除する- GPOを、
ContractorsOUにある実際のsersを含む任意のOUに追加します(セキュリティフィルタリングはこれを適用できることを意味しますGPOドメインレベルで、請負業者があまりにも広がっている場合)
セキュリティフィルターは、物事(ユーザー、コンピューターなど)を整理する方法としてグループのみを使用します。もの(ユーザー、コンピューターなど)は、GPOがリンクされているOUに含まれている必要があります。
ループバックフィルタリングは通常、ターミナル(リモートデスクトップ)サーバーでユーザーポリシーを変更する場合などに使用されます。この場合、ユーザー設定は特定のコンピューターにのみ適用します。
グループポリシーは、その名前にもかかわらず、セキュリティグループには適用されません。グループポリシーは、ユーザーとコンピューターに適用されます。グループポリシーをフィルター処理して特定のユーザーまたはコンピューターにのみ適用されるようにするには、それらのユーザーまたはコンピューターをセキュリティグループに追加し、それらのセキュリティグループをGPOのフィルターとして使用します。
問題は、このユーザーがメンバーであるセキュリティグループがターゲットOUにあるが、このユーザーのユーザーアカウントはターゲットにnotであるということですOU。このユーザーのユーザーアカウントをターゲットOUに移動する必要があります。ループバックポリシーの処理設定はGPOから不要であり、削除する必要があります。
さらに、GPOのフィルターに認証済みユーザーが含まれているため、GPOはGPOの管理範囲内にあるすべてのユーザーに適用されます(OU内のすべてのユーザー)。GPOのセキュリティフィルターから認証済みユーザーを削除する必要があります。削除するときは、以下のリンクにある指示に従って、GPOは適切に設定されています。