我有以下森林:
- spatiebas.internal
- spatiebas
- linux
- windows
我创建了一个 GPO“windows 登录脚本策略”(它仅在用户配置中设置登录脚本),并将其链接到“windows”OU。
在 Active Directory 用户和计算机中,我向此 OU 添加了一台 VM。当我启动 VM 并运行时gpupdate /force & gpresult /r,它没有显示已应用于用户设置的 GPO。
我发现解决此问题的唯一方法是将我的用户帐户移至同一 OU。但是,我不想这样做,因为这意味着我的用户帐户将变为特定于 Windows/Linux。
我还创建了一个活动目录组“windows-users”,其中包含所有能够登录 Windows 设备的用户帐户。我对这种解决方法并不满意,但它也不起作用……
必须能够为特定 AD 组创建 GPO?或者更确切地说,必须能够为特定 OU 创建 GPO,这些 GPO 只需为每个登录用户设置即可。
我是否忽略了这里显而易见的事情?
为了清楚起见,当我运行gpupdate /force & gpresult /r
这确实有效,但不可接受,因为我无法将用户帐户限制为 Windows / Linux 操作系统
您所描述的正是 GPO 的工作原理和运作方式。用户设置适用于 GPO 所链接的 OU/路径中的用户帐户。计算机设置适用于 GPO 所链接的 OU/路径中的计算机帐户。
首先,为用户帐户创建一个 OU,它们没有理由留在默认容器中。
第二,将策略链接到包含用户的 OU。如果 GPO 包含用户设置,则应将其链接到用户对象的 OU 或父 OU。如果 GPO 包含计算机设置,则应将其链接到计算机对象的 OU 或父 OU。
GPO 永远不适用于组。您可以使用组来过滤策略,但不能直接针对安全组。
是的,您可以使用环回策略处理来确保登录到特定机器的每个用户都收到相同的设置。环回策略流程当然有它的用例,但我只会在使用基于用户的策略不足时才考虑使用该方法。