केवल एक कंप्यूटर पर एक उपयोगकर्ता के लिए एक GPO लागू करना

मेरे पास एक GPO है जिसे मुझे उपयोगकर्ता पर लागू करने की आवश्यकता है DOMAIN\DumbGuy, लेकिन केवल जब वह लॉग ऑन करता है DOMAIN\DumbGuysComputer$। जब उस DOMAIN\NiceReceptionistपर लॉग DOMAIN\DumbGuysComputer$लागू नहीं होना चाहिए। जब उस DOMAIN\DumbGuyपर लॉग DOMAIN\ReceptionstsComputer$लागू नहीं होना चाहिए।

इसे केवल एक व्यक्ति को एक कंप्यूटर पर लागू करने की आवश्यकता है ।

यदि मैं GPO को उपयोगकर्ता ऑब्जेक्ट पर लागू करता हूं, तो यह उसके सभी कंप्यूटरों पर लागू होगा। यदि मैं GPO को कंप्यूटर ऑब्जेक्ट पर लागू करता हूं, तो यह उस कंप्यूटर पर सभी उपयोगकर्ताओं पर लागू होगा। अगर मैं इसे दोनों पर लागू करता हूं, तो यह व्यापक रूप से फैलता है।

मैं केवल एक कंप्यूटर पर एक उपयोगकर्ता को GPO कैसे लागू कर सकता हूं?

मेरा सुझाव निवासी के समान है।

उस एकल कंप्यूटर के लिए एक उप-ओयू बनाएं, इसमें एक जीपीओ बनाएं और इसे लूपबैक मर्ज मोड पर सेट करें। GPO पर सुरक्षा फ़िल्टरिंग का उपयोग करें ताकि केवल DumbGuyइसे लागू करने की अनुमति हो। मुझे दो अलग-अलग GPO का उपयोग करने का कोई कारण नहीं दिखता है।

बहुत महत्वपूर्ण! प्रमाणित उपयोगकर्ताओं से "पढ़े" अधिकारों को फ़िल्टर न करें, क्योंकि उपयोगकर्ता पर लागू होने से पहले समूह नीति सबसिस्टम को GPO को पढ़ने की आवश्यकता होती है

मैं सुरक्षा फ़िल्टरिंग के साथ समूह नीति लूपबैक प्रसंस्करण को देखूंगा। आप समूह नीति ऑब्जेक्ट (GPOs) को लागू करने के लिए समूह नीति लूपबैक सुविधा का उपयोग कर सकते हैं जो केवल उस कंप्यूटर पर निर्भर करता है जिस पर उपयोगकर्ता लॉग ऑन करता है।

यह एक उदाहरण है कि इसे कैसे लागू किया जा सकता है ।

वास्तव में, मैं इसे कैसे लागू करूंगा:

दो अलग-अलग GPO बनाएं और उन्हें DOMAIN \ DumbGuysComputer $ में असाइन करें।

बदलें मोड में सेट लूपबैक प्रोसेसिंग के साथ पहले GPO कॉन्फ़िगर करें और केवल DOMAIN \ DumbGuy उपयोगकर्ता पर लागू करने के लिए सुरक्षा फ़िल्टरिंग कॉन्फ़िगर करें।

लूपबैक प्रोसेसिंग के बिना दूसरा GPO कॉन्फ़िगर करें और केवल DOMAIN \ NiceReceptionist उपयोगकर्ताओं पर लागू करने के लिए सुरक्षा फ़िल्टरिंग कॉन्फ़िगर करें ।

मैं शायद GPO को OU से लिंक करूँगा जो उपयोगकर्ता है और सुरक्षा फ़िल्टरिंग या WMI का उपयोग यह सुनिश्चित करने के लिए करता है कि यह केवल उस एक उपयोगकर्ता पर लागू होता है, फिर पूरी स्क्रिप्ट को एक if($ENV:computername -eq whatever){}ब्लॉक में लपेटें ।

GPO उपयोगकर्ता ऑब्जेक्ट, कंप्यूटर ऑब्जेक्ट या OU में दोनों ऑब्जेक्ट्स को ईथर के लिए लागू करता है और आप GPO को केवल कंप्यूटर ऑब्जेक्ट पर लागू नहीं कर सकते, यदि कोई निश्चित उपयोगकर्ता उस कंप्यूटर पर लॉग इन करता है या केवल उपयोगकर्ता ऑब्जेक्ट पर लागू होता है यदि उपयोगकर्ता एक निश्चित कंप्यूटर में प्रवेश करता है।

मैंने एक WMI फ़िल्टर बनाया जो काम करता है:

Select * from WIN32_OperatingSystem where NOT CSName="PCName"

आप WMI प्रश्नों को पावरशेल में प्रयोग करके देख सकते हैं:

gwmi -Query 'Select * from WIN32_OperatingSystem...'