我的目标是将我们巨大的“用户”OU(不是默认的!)划分为来自各个部门的不同子 OU。然后,我想将 GPO 链接到不同的部门,但以某种方式“限制”它们对 RD 会话主机的应用。我想知道是否有一种方法可以做到这一点,而无需将大约 15 个 GPO 仅链接到“RD 会话主机”OU 而没有链接到部门 OU。另外,如果能够有尽可能少的项目级别目标,那就太好了。
原因是:看起来更好、管理更快、概览更好。
我想在没有第三方软件的情况下实现这一点,即:
https://www.policypak.com/resources/pp-blog/group-policy-loopback/
如果您也遇到同样的问题,您能否发表评论?
告诉我你是否知道这是不可能的。
您可以创建一个包含 RD 会话主机 OU 中的所有计算机的安全组,然后在您的 GPO 上使用委派或安全筛选,这样域计算机没有读取权限,只有 RD 会话主机组具有读取权限并且域用户(或其他更有针对性的群体)已阅读并申请。可以说,您可以将两个组都放入 GPO 的安全过滤中,这将实现相同的目的(尽管会授予计算机应用权限 - 只要 GPO 未链接到它们的 OU,这应该无效)。由于 GPO 由计算机帐户检索,因此确保只有所需的计算机可以检索策略意味着 GPO 应仅在登录到这些计算机时应用于用户。
评论/想法:
由于超过 95% 的 GPO 是基于注册表的,您可以使用以下易于应用的解决方案:找到 GPO 使用的注册表项。使用组策略首选项 ("GPP") 项(而不是使用标准 GPO)部署它们。在 GPP 中,您可以使用“项目级别定位”,这是一组预定义的 WMI 过滤器,允许区分在何处应用这些 GPP。