일부 사용자의 GPO 루프백 처리를 우회하는 방법은 무엇입니까?

아시다시피 루프백 처리 는 GPO 범위의 컴퓨터 에 로그온 한 모든 사용자에게 GPO의 사용자 설정 을 적용하는 Active Directory 그룹 정책의 기능입니다 (표준 동작은 사용자 계정 인 경우에만 사용자 설정을 적용하는 것임) 실제로는 GPO의 범위 내에 있습니다). 이 기능은 특정 컴퓨터에 로그온 한 모든 사용자가 AD의 사용자 계정 위치에 관계없이 일부 사용자 정책을 받도록하려는 경우에 유용합니다.

문제 : 루프백 처리가 활성화되면, 사용자 설정을 포함하는 GPO가 적용되는 모든 해당 컴퓨터를 사용하여, 당신 수 없습니다가 실제로 적용되지 것 때문에 GPO에 대한 ACL을 사용하여이 우회 사용자 만에, 컴퓨터 .

질문 : 해당 컴퓨터에 로그온해야하지만 해당 정책 설정이 적용되지 않아야하는 특정 사용자에 대해 루프백 처리를 무시하는 방법은 무엇입니까?

적절한 사례 : 루프백 처리 기능이있는 GPO를 사용하여 로그온하는 모든 사람에 대해 엄격한 사용자 제한을 적용하는 터미널 서버가 여러 대 있습니다 (기본적으로 회사에서 승인 한 응용 프로그램 만 실행할 수 있어야 함). 그러나 이것은 도메인 관리자 에게도 적용 되므로 명령 프롬프트를 시작하거나 작업 관리자를 열 수도 없습니다. 이 시나리오에서 로그온하는 사용자가 특정 그룹 (예 : 도메인 관리자)에 속하는 경우 AD에 이러한 설정을 적용하지 않도록 지시하려면 어떻게해야합니까? 또는 반대의 해결책조차 ( "특정 그룹에 속한 사용자에게만 해당 설정을 적용") 괜찮을 것입니다.

그러나 여기서 루프백 처리 에 대해 이야기하고 있음을 기억 하십시오. 정책은 컴퓨터 에 적용 되고 그 안에있는 사용자 설정은 해당 컴퓨터에 로그온하기 때문에 사용자 에게만 적용됩니다 (예, 혼란스럽고 루프백 처리는 그룹 정책에 대해 가장 까다로운 작업 중 하나임).

해결책은 WMI 필터링 (내 장소에서 수행 한 방법)이라고 생각합니다.

원하는 워크 스테이션을 포착하는 WMI 필터를 만듭니다.
사용자 설정 만 사용하고 보안 필터링을 사용하여 GPO를 만듭니다.
둘을 함께 모아 GPO를 사용자 컨테이너에 배치합니다.

따라서 WMI 필터링은 적용되는 컴퓨터와 적용되는 사용자의 보안 필터링을 지정합니다.

루프백을 삭제하십시오.
구성한 지정된 GPO에만 적용되는 것이 아니라 컴퓨터에 적용된 모든 정책에 적용되므로 협상 한 것보다 더 많은 골치 거리가 발생합니다.

업데이트 워크 스테이션에 kb3163622가 설치되어
있으면 보안 그룹 만 사용하여 동일한 작업을 수행 할 수 있습니다. 이 업데이트는 사용자 정책이 적용되는 방식을 변경합니다. 이제부터 사용자 정책은 실제로 컴퓨터와 사용자 보안 컨텍스트 모두에 적용됩니다. 따라서 해당 GPO의 보안 필터링에 적용하려는 컴퓨터 및 사용자를 적용하려는 경우 WMI와 동일한 트릭을 수행합니다 (복잡한 쿼리를 수행하지 않는다고 가정).

컴퓨터 OU의 사용자 설정이있는 그룹 정책의 해당 보안 주체 (사용자 / 그룹)에 대한 그룹 정책 적용 ACE 거부 권한은 컴퓨터 OU에 연결된 사용자 그룹 정책이 적용되지 않도록합니다.

그러나 루프백 정책 처리가 바꾸기 모드로 구성되어 있으면 컴퓨터가 아닌 사용자 계정 위치에 해당하는 사용자 그룹 정책이 무시됩니다.