Zastosowanie obiektu zasad grupy tylko do jednego użytkownika na jednym komputerze

Mam obiekt zasad grupy, który muszę zastosować do użytkownika DOMAIN\DumbGuy, ale tylko wtedy, gdy on się zaloguje DOMAIN\DumbGuysComputer$. Po DOMAIN\NiceReceptionistzalogowaniu się DOMAIN\DumbGuysComputer$nie powinno to mieć zastosowania. Po DOMAIN\DumbGuyzalogowaniu się DOMAIN\ReceptionstsComputer$nie powinno to mieć zastosowania.

Musi dotyczyć tylko jednej osoby na jednym komputerze .

Jeśli zastosuję obiekt GPO do obiektu użytkownika, będzie on miał zastosowanie do wszystkich jego komputerów. Jeśli zastosuję obiekt GPO do obiektu Computer, będzie on miał zastosowanie do wszystkich użytkowników na tym komputerze. Jeśli zastosuję to do obu, rozprzestrzeni się jeszcze szerzej.

Jak mogę zastosować GPO tylko do jednego użytkownika na jednym komputerze?

Moja sugestia jest podobna do sugestii mieszkańca ..

Utwórz podrzędną jednostkę organizacyjną tylko dla tego jednego komputera, utwórz w niej obiekt zasad grupy i ustaw tryb scalania sprzężenia zwrotnego. Użyj filtrowania zabezpieczeń w obiekcie zasad grupy, aby DumbGuymieć tylko uprawnienia do jego stosowania. Nie widzę powodu, aby używać dwóch różnych obiektów zasad grupy.

Bardzo ważne! Nie filtruj praw do „odczytu” od uwierzytelnionych użytkowników, ponieważ podsystem zasad grupy musi odczytać obiekt zasad grupy, zanim zostanie on zastosowany do użytkownika

Chciałbym spojrzeć w Group Policy Loopback Przetwarzanie w połączeniu z filtrowaniem Bezpieczeństwa. Za pomocą funkcji sprzężenia zwrotnego zasad grupy można stosować obiekty zasad grupy (GPO), które zależą tylko od komputera, na którym loguje się użytkownik.

To jest przykład tego, jak można to zaimplementować .

Jak właściwie to zaimplementować:

Utwórz dwa różne obiekty zasad grupy i przypisz je do DOMAIN \ DumbGuysComputer $.

Skonfiguruj pierwszy obiekt zasad grupy z przetwarzaniem sprzężenia zwrotnego ustawionym w trybie zastępowania i skonfiguruj filtrowanie zabezpieczeń, aby dotyczyło tylko użytkownika DOMAIN \ DumbGuy .

Skonfiguruj drugi obiekt zasad grupy bez przetwarzania sprzężenia zwrotnego i skonfiguruj filtrowanie zabezpieczeń, aby dotyczyło tylko użytkowników DOMAIN \ NiceReceptionist .

Prawdopodobnie po prostu połączę obiekt zasad grupy z jednostką organizacyjną, w której znajduje się użytkownik, i użyję filtrowania zabezpieczeń lub WMI, aby upewnić się, że dotyczy on tylko jednego użytkownika, a następnie zawinię cały skrypt w if($ENV:computername -eq whatever){}blok.

Obiekt GPO stosuje się do eteru obiektu użytkownika, obiektu komputerowego lub obu obiektów w jednostce organizacyjnej i nie można ustawić GPO zastosowania tylko do obiektu komputerowego tylko wtedy, gdy określony użytkownik loguje się na tym komputerze lub stosuje się do obiektu użytkownika tylko wtedy, gdy ten użytkownik loguje się do określonego komputera.

Utworzyłem filtr WMI, który wydaje się działać:

Select * from WIN32_OperatingSystem where NOT CSName="PCName"

Możesz testować zapytania WMI w PowerShell za pomocą:

gwmi -Query 'Select * from WIN32_OperatingSystem...'