将组策略应用于特定计算机上的特定用户(OU中)(而不是OU中)

Question

这件事困扰了我一段时间了。下面是设置：

• 我们有20台Win2k8r2服务器。它们被分割成各种我无法改变的东西。我创建了一个安全组"DevHostsSG“，其中包含应用此策略的计算机。
• 我们有40个用户。有一个特定的OU "DevUsersOU“包含十几个用户，我想应用策略。我还创建了一个包含相同用户的安全组DevUsersSG。

我需要一个特定的文件夹重定向GPO，它只应用于DevUsersOU中的用户，并且只应用于DevHostsSG安全组中的服务器上。DevUsersOU中的用户不应该在任何其他服务器上应用重定向策略，其他用户在登录到DevHostsSG安全组中的服务器时也不应该进行重定向。

我迄今取得的进展：

• 我设置了回环处理设置，因此应该应用重定向。
• 当我将策略设置为DevUsersOU，然后将DevHostsSG添加到安全筛选(使用read和apply)时，它在任何地方都不能工作(我假设这是因为OU中没有计算机..？)
• 当我将策略设置为域，然后使用安全筛选来包含DevUsersSG和DevHostsSG时，即使在DevUsers登录到非DevHost时，该策略也适用。
• 当我仅将组策略应用于DevHostsSG时，它似乎根本不起作用(这让我怀疑回送处理是否工作)
• 当我创建一个包含指定用户和计算机的安全组时，它似乎适用于所有主机。

此时，我的想法已经没有了，只是部分地猜测一些东西--似乎越来越糟了，因为某种原因，我在DevHostsSG中有一个主机可以重定向，两个主机不能工作，另一个主机不在DevHostsSG中，那里启用了重定向。每次我做出改变时，我都做过几次gpupdate /force，同时还做了一些logoff和gpresult /R，但实际上我什么也没有得到。

任何帮助都将不胜感激！

-进一步的测试

为了简化这种情况，我尝试了以下几点：

• 清除安全筛选器中的组
• 将一个特定用户添加到安全筛选器中。
• 将一个特定主机添加到安全筛选器中。
• 以该用户的身份在该主机上运行gpupdate :重定向已启用(OK)
• 以另一个用户的身份在该主机上运行gpupdate :重定向未启用(OK)
• 以该用户的身份在另一个主机上运行gpupdate :重定向已启用(不确定)
• 关闭回送处理没有什么区别

-回应

乔克蒂：

1. 基本上，每次在组策略管理中进行更改之后，我都会在四台主机上运行gpupdate : DevHostsSG组中的两台主机和组中的两台主机，每一台主机上我都以DevUsersOU中的用户和非OU中的用户身份登录。
2. 需要重新启动对我来说很奇怪..。我只是指AD属性下的“成员”/“成员”选项卡(例如，在DevHostsSG中成员是DevHost1、DevHost2等)
3. 如果政策没有与整个领域挂钩，那就太好了，但我不知道还能做些什么。
4. 这就是问题所在..。我似乎无法让GPO安全过滤器执行" AND "，安全筛选器总是执行" OR“(即DevUser1或DevHost1而不是DevUser1和DevHost1)。

当前的配置返回到上面的项目1，即将GP应用于DevUsersOU，并将安全组设置为应用GP的主机列表。自从上次更改之后，我已经重新启动了其中一个主机，而文件夹重定向现在不再工作了(这是我昨天最后一次检查)。当我运行gpresult /R时，我根本没有看到计算机设置下列出的GP，但是我在用户设置下确实看到了以下内容：

The following GPOs were not applied because they were filtered out
-------------------------------------------------------------------
    Local Group Policy
        Filtering:  Not Applied (Empty)

    Default Domain Policy
        Filtering:  Not Applied (Empty)

    Folder Redirect
        Filtering:  Denied (Security)

我认为这失败是因为我没有显式地将DevUsersSG作为单独的条目包含在GP安全筛选部分中，也没有将它们包含在主机所在的安全组中，但是从我的测试来看，如果我这样做了，那么GP适用于所有用户登录的主机.所以我差不多回到了我开始的地方..。

Answer 1

1. 你在哪里经营木偶戏？回送策略处理是计算机配置设置，因此为了将其应用于有关服务器，这些服务器需要刷新组策略。
2. 要更改计算机帐户的组成员资格，需要重新启动该计算机AFAIK。
3. 不建议在域级别使用回收站策略处理。
4. 如果必须在域级别使用它，则确保您的安全筛选只具有您创建的特定用户和计算机组。

我不认为用适当的安全筛选链接到域的GPO中的回溯策略处理不起作用的原因，但我只在特定的OU上使用过它，从未在域级别使用过它。话虽如此，我怀疑你的问题在于第二项。