Применение объекта групповой политики только к одному пользователю на одном компьютере

У меня есть объект групповой политики, который нужно применить к пользователю DOMAIN\DumbGuy, но только когда он входит в систему DOMAIN\DumbGuysComputer$. При DOMAIN\NiceReceptionistвходе в систему DOMAIN\DumbGuysComputer$это не должно применяться. При DOMAIN\DumbGuyвходе в систему DOMAIN\ReceptionstsComputer$это не должно применяться.

Он должен применяться только к одному человеку на одном компьютере .

Если я применяю объект групповой политики к объекту пользователя, он будет применяться ко всем его компьютерам. Если я применю объект групповой политики к объекту «Компьютер», он будет применяться ко всем пользователям на этом компьютере. Если я применяю это к обоим, это распространяется еще шире.

Как применить объект групповой политики только к одному пользователю на одном компьютере?

Мое предложение похоже на жителя ..

Создайте подразделение только для этого одного компьютера, создайте в нем объект групповой политики и установите для него режим слияния с обратной связью. Используйте фильтрацию безопасности для объекта групповой политики, чтобы DumbGuyиметь только разрешения на его применение. Я не вижу причин для использования двух разных объектов групповой политики.

Очень важный! Не фильтруйте права на чтение от прошедших проверку пользователей, поскольку подсистеме групповой политики необходимо прочитать объект групповой политики, прежде чем он будет применен к пользователю.

Я бы посмотрел на групповую политику Loopback Processing в сочетании с фильтрацией безопасности. Вы можете использовать функцию обратной связи групповой политики для применения объектов групповой политики (GPO), которые зависят только от того, на каком компьютере пользователь входит в систему.

Это пример того, как это можно реализовать .

Собственно, как бы я это реализовал:

Создайте два разных объекта групповой политики и назначьте их для DOMAIN \ DumbGuysComputer $.

Настройте первый объект групповой политики с Loopback Processing, установленным в режиме замены, и настройте фильтрацию безопасности так, чтобы она применялась только к пользователю DOMAIN \ DumbGuy .

Настройте второй объект групповой политики без обработки Loopback и настройте фильтрацию безопасности так, чтобы она применялась только к пользователям DOMAIN \ NiceReceptionist .

Возможно, я просто связал бы объект групповой политики с подразделением, в котором находится пользователь, и использовал бы фильтрацию безопасности или WMI, чтобы убедиться, что он применяется только к этому одному пользователю, а затем обернул весь сценарий в if($ENV:computername -eq whatever){}блок.

Объект групповой политики применяется для эфира объекта пользователя, объекта компьютера или обоих объектов в подразделении, и вы не можете заставить объект групповой политики применяться только к объекту компьютера, только если определенный пользователь входит в систему на этом компьютере или применяется к объекту пользователя, только если этот пользователь входит в определенный компьютер.

Я создал фильтр WMI, который, кажется, работает:

Select * from WIN32_OperatingSystem where NOT CSName="PCName"

Вы можете проверить запросы WMI в powershell, используя:

gwmi -Query 'Select * from WIN32_OperatingSystem...'