한 컴퓨터에서만 한 사용자에게 GPO 적용

사용자에게 적용해야하는 GPO가 DOMAIN\DumbGuy있지만 로그온 할 때만 가능합니다 DOMAIN\DumbGuysComputer$. DOMAIN\NiceReceptionist로그온 할 때 DOMAIN\DumbGuysComputer$적용되지 않아야합니다. DOMAIN\DumbGuy로그온 할 때 DOMAIN\ReceptionstsComputer$적용되지 않아야합니다.

그것은 단지에만 적용해야하는 한 사람 에 한 컴퓨터 .

사용자 개체에 GPO를 적용하면 모든 컴퓨터에 적용됩니다. 컴퓨터 개체에 GPO를 적용하면 해당 컴퓨터의 모든 사용자에게 적용됩니다. 둘 다에 적용하면 더 넓게 퍼집니다.

한 대의 컴퓨터에서 한 명의 사용자에게만 GPO를 적용하려면 어떻게해야합니까?

제 제안은 주민의 의견과 비슷합니다.

해당 단일 컴퓨터에 대해서만 하위 OU를 만들고 그 안에 GPO를 만든 다음 루프백 병합 모드로 설정하십시오. GPO에 보안 필터링을 사용하여 GPO DumbGuy를 적용 할 수 있는 권한 만 갖습니다. 두 개의 다른 GPO를 사용하는 이유는 없습니다.

점액 중요! 그룹 정책 하위 시스템이 사용자에게 적용되기 전에 GPO를 읽어야하므로 인증 된 사용자의 "읽기"권한을 필터링하지 마십시오.

보안 필터링과 함께 그룹 정책 루프백 처리 를 살펴 보겠습니다 . 그룹 정책 루프백 기능을 사용하여 사용자가 로그온 한 컴퓨터에만 의존하는 GPO (그룹 정책 개체)를 적용 할 수 있습니다.

이것은 구현 방법의 예입니다 .

실제로, 나는 이것을 어떻게 구현할 것인가?

서로 다른 두 GPO를 만들어 DOMAIN \ DumbGuysComputer $에 할당하십시오.

대체 모드에서 루프백 처리를 설정 하여 첫 번째 GPO를 구성 하고 DOMAIN \ DumbGuy 사용자 에게만 적용되도록 보안 필터링 을 구성하십시오 .

루프백 처리없이 두 번째 GPO를 구성하고 DOMAIN \ NiceReceptionist 사용자 에게만 적용되도록 보안 필터링을 구성하십시오 .

GPO를 사용자가있는 OU에 연결하고 보안 필터링 또는 WMI를 사용하여 해당 사용자에게만 적용되도록 한 다음 전체 스크립트를 if($ENV:computername -eq whatever){}블록으로 래핑합니다 .

GPO는 OU의 사용자 개체, 컴퓨터 개체 또는 두 개체 모두에 적용되며 특정 사용자가 해당 컴퓨터에 로그인하거나 해당 사용자 인 경우에만 사용자 개체에 적용하는 경우에만 GPO를 컴퓨터 개체에만 적용 할 수 없습니다 특정 컴퓨터에 로그인합니다.

작동하는 것처럼 보이는 WMI 필터를 만들었습니다.

Select * from WIN32_OperatingSystem where NOT CSName="PCName"

다음을 사용하여 powershell에서 WMI 쿼리를 테스트 할 수 있습니다.

gwmi -Query 'Select * from WIN32_OperatingSystem...'