我想问你,如何在不同的PC上为不同的用户OU实现不同的GPO。我对此还是有点陌生。它运行的是 Windows Server 2012 R2。
为了理解我们的OU结构,这里有一张图: OU结构
例如,我将讨论禁用任务管理器。问题是,来自部门 OU 的用户正在登录到他们自己的工作站以及 RDS 服务器。我需要允许他们在他们的工作站上拥有任务管理器,而不是在 RDS 上。远程用户也是如此,他们主要记录到 RDS 并且不应该有任务管理器。但是还有一些超级用户,他们的工作站和 RDS 上都应该有任务管理器。但我还需要他们运行脚本,如果他们登录到工作站,而不是 RDS。
我知道要为部门 OU 禁用 RDS 上的任务管理器,我可以使用环回处理,但我很困惑如何为 Power 用户实现不同的 GPO。我是否需要将它们放在单独的安全组中,使用环回处理创建两个 GPO,并使用安全过滤将它们分开?还是有其他方法?
谢谢你。
你的例子有点令人困惑,但也许我可以帮助一些规则。GPO 按顺序应用,因此最后应用的 GPO 将获胜。IE 如果您在一个策略中打开它并在另一个最后应用的策略中将其关闭,则该策略将生效。GPO 可以是基于机器或基于用户的。因此,如果您应用任务管理器策略,我认为它是基于用户的,您需要首先将该策略应用到所有标准用户以将其关闭,然后再制定另一个策略为您的高级用户重新打开它。希望这可以帮助。
很简单,创建一个新的安全组,将用户添加到该组,然后创建一个 GPO 并将新组添加为工作站上的本地用户(检查以下链接以将安全组添加到特定的本地组)http://www. expta.com/2011/02/adding-users-to-local-security-groups.html
在同一 GPO 上,将以下内容(按注册表项)添加到启用任务管理器并将新 GPO 分配给工作站 OU。
要启用任务管理器:
REG 添加 HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f
创建另一个 GPO(按注册表项)以禁用任务管理器并将新 GPO 分配给 RDS OU。要禁用任务管理器:
REG 添加 HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 1 /f
当使用以用户配置为目标的 GPO 时,为了防止它应用于某种类型的操作,可以通过比使用 WMI 过滤器进行环回处理更简单的方法来实现。
使用 WMI 过滤器。
从那里将 GPO 链接到您的用户所在的 OU 和/或删除经过身份验证的用户并选择一个安全组。
WMI 过滤器将创建一个条件,如果它返回true,那么如果用户在正确的 OU 中并且在您设置的安全组中,则应用 GPO。
那里有一些参考