none
Применение GPO на разных компьютерах RRS feed

  • Вопрос

  • Доброго дня.

    Подскажите пожалуста решить задачку.

    есть AD, есть пользователь user, есть PC1 и PC2 члены AD.

    Как сделать так что бы GPO (одно конкретное правило) применялось на PC1, но не применялось на PC2.

    Задача наверное не сложная, но я никак не могу её победить.

    11 января 2013 г. 6:10

Ответы

  • Правильно понимаю, что вы хотите политику, действующую на пользователей, применить на одном компьютере и не применить на другом?

    Если указанное вами разграничение должно применяться к одному объекту групповых политик (только к одному правилу внутри GPO не получится), то, на мой взгляд, лучший вариант - применение WMI-фильтра вида

    Select * from Win32_ComputerSystem where Name="PC1"

    Другой вариант - политика замыкания (Loopback Processing) в режиме Merge.

    • Предложено в качестве ответа Alex Trofimov 11 января 2013 г. 7:17
    • Помечено в качестве ответа Monolithyss 11 января 2013 г. 13:39
    11 января 2013 г. 7:13
    Модератор

Все ответы

  • Разделить на подраздиления(OU)

    В аctiv Directory

    Отдел продаж user1,pc1

    Бухгалтерия user2,pc2

    В этом случае будут приминятся отдельно

    11 января 2013 г. 6:32
  • я же написал пользователь один - USER

    откуда взялся user1 и user2 ? У него разделение личности?

    11 января 2013 г. 6:33
  • Правильно понимаю, что вы хотите политику, действующую на пользователей, применить на одном компьютере и не применить на другом?

    Если указанное вами разграничение должно применяться к одному объекту групповых политик (только к одному правилу внутри GPO не получится), то, на мой взгляд, лучший вариант - применение WMI-фильтра вида

    Select * from Win32_ComputerSystem where Name="PC1"

    Другой вариант - политика замыкания (Loopback Processing) в режиме Merge.

    • Предложено в качестве ответа Alex Trofimov 11 января 2013 г. 7:17
    • Помечено в качестве ответа Monolithyss 11 января 2013 г. 13:39
    11 января 2013 г. 7:13
    Модератор
  • Да судя по описанию подходит, но я никогда ещё не пользовался WMI фильтрами.

    Как создать нашёл, но он просит выбрать "Пространство имен", я с этим не знаком ещё.

    Направьте на путь истинный пожалуйста

    11 января 2013 г. 7:21
  • Еще вариант использовать "GPO filtering of the access control list (ACL)" - то есть убрать "Прошедшие проверку" и добавить в Security Settings групповой политики Apply Group Policy только для определенного компьютера.

    Хотя способ с применением Wmi-фильтра куда эстетичнее =)

    11 января 2013 г. 7:25
  • Способ фильтра пожалуй единственный, политика то на пользователя а не на компьютер.
    11 января 2013 г. 7:30
  • Пардон, не заметил.

    11 января 2013 г. 7:40
  • Подаскажите как его использовать? я не знаю какое пространство имен надо выбрать что бы работало

    ...

    Забавно если выбираю пространство имен root\cimv2 

    и указываю Select * from Win32_ComputerSystem where Name="AD\PC1"

    Консоль управления сваливается в appcrash.

    Дырок в серверных системах до сих пор как в сыре :)

    • Изменено Monolithyss 11 января 2013 г. 8:01
    11 января 2013 г. 7:54
  • Да, пространство имен должно быть root\cimv2. Имя компьютера должно быть без доменного префикса. Попробуйте еще вариант

    Select * from Win32_ComputerSystem where Name Like "PC1%"

    11 января 2013 г. 8:08
    Модератор
  • тоже не работает. политика применяется сразу неа оба компьютера, такое ощущение что она смотрит только пользователя и фильтр компьютеров игнорирует :(

    Фильтр применяется, но почему у него значение истина? Оо

    Может быть все таки другой какой то фильтр должен быть? 

    Политика то на пользователя.

    Сужая задание, может быть это натолкнёт на мысли.

    Есть политика Proxy.

    На одном компьютере должна быть, на другом - не должна

    • Изменено Monolithyss 11 января 2013 г. 8:28
    11 января 2013 г. 8:25
  • Если вы настраиваете IE через политику Internet Explorer Maintenance, то она имеет ряд особенностей в обновлении. Об этом я подробно написал в теме

    http://social.technet.microsoft.com/Forums/ru/ws2008r2ru/thread/3bc37459-f923-47a3-b797-72cbb12fb59b

    Я бы рекомендовал потренироваться сначала на какой-нибудь другой политике, действующей на пользователей и добиться применения WMI-фильтров. Далее вам следует в этом же GPO настроить политику

    Computer Configuration/Administrative Templates/System/Group Policy/Internet Explorer Maintenance policy processing

    и включить режим

    Process even if the Group Policy have not changed

    Также настройку прокси-сервера в IE можно выполнить через Group Policy Preferences, там на закладке Common есть Item-Level Targeting, представляющий собой графический построитель запросов, аналогичных WMI-фильтрам.

    11 января 2013 г. 12:02
    Модератор
  • Всем спасибо за участие, осебенно osr_

    Все было верно и работало с самого начала, но я так же написал что никогда ранее с этим не работал, по этому наступил в "элементарную ловушку" - я тестировал в "Моделировании групповой политики" где естественно WMI фильтры такого рода не работают в принципе, вернее показывают то, что политика отработала. А я ожидал что она даже не применится. Другое дело она применилась к обьекту, но по условию WMI ничего н еизменила внутри.

    Класс: root\cimv2

    Команда: Select * from Win32_ComputerSystem where Name="PC1"

    все чудесно отрабатывает!

    Прошу подсказать, а как тут списки можно указывать?


    11 января 2013 г. 13:39
  • Я бы все-таки сделал через loopback processing:

    http://www.mombu.com/microsoft/windows-group-policy/t-wmi-filter-and-ad-group-975357.html

    Еще посмотрите в сторону Group Policy Preferences. Если необходимые вам настройки можно выполнить через эту ветку, то ограничить область действия политики можно с помощью Item-Level Targeting. Там довольно удобный и понятный интерфейс.

    13 января 2013 г. 15:02
  • Да, поддерживаю, список - это уже существенное изменение условий задачи, и для него лучше подходит Loopback Processing Policy в режиме merge или (именно для задания прокси-сервера) Item-Level Targeting в Group Policy Preferences.
    14 января 2013 г. 7:04
    Модератор
  • Может кто то может подсказать именно статьи на данную тему? (язык любой)

    по форуму пока не смог понять как это работает.

    14 января 2013 г. 9:46
  • http://technet.microsoft.com/en-us/library/cc757470(v=WS.10).aspx

    принцип там очень простой, у политики есть две части, одна машинная другая юзерская. соответственно если политика деййствует на машину то применяется тольо машинная часть, а юзерская отбрасывается. при включении этого параметра, на пользователя залогиненного на эту машину будет применяться юзерская часть политики, даже если юзер не попадает в область действия этой политики (например находится совсем в другой ou к которой эта политика не применяется)

    14 января 2013 г. 10:45
    Модератор
  • Благодарю.

    Это то все понятно, что пользователи и компьютеры отдельно.

    Вопрос в другой ситуации:

    когда GPO на пользователя надо применять на конкретных машинах. Именно это и описанно в примере в заголовке темы.

    14 января 2013 г. 13:03
  • Обязательно посмотрите статью, она описывает теорию вашей ситуации:
    http://technet.microsoft.com/ru-ru/library/cc785074%28v=ws.10%29.aspx

    Попробую дать рецепт, который вам подойдет.

    Опишем ситуацию еще раз:

    В неком OU1 находятся несколько учетных записей компьютеров, включая компьютеры Comp1, Comp2, Comp3.
    В неком другом OU2 находятся учетные записи пользователей, включая User1, User2.

    Вы хотите чтобы
    При входе пользователя User1 на компьютеры Comp1 или Comp2 для них применялась политика Policy1.
    При входе пользователя User1 на компьютер Comp3 политика не применялась.
    При входе пользователя User2 на компьютеры Comp1, Comp2, Comp3 политика не применялась.

    Для этого нам понадобится как минимум одна группа безопасности, а лучше сразу две.
    В первую CompGroup1 включим Comp1, Comp2
    Во вторую UserGroup2 включим User1

    На контейнер OU1 назначим два GPO.
    GPO1: Computer Configuration | Administrative Template | System | Group Policy | User Group Policy Loopback processing mode | merge

    На GPO1 назначим Security Filter: применять только на CompGroup1 (уберем Authenticated Users из списка и добавим эту группу).

    GPO2: User Configuration | дальше настройки политики Policy1

    На GPO2 назначим Security Filter: применять только на UserGroup2

    Все. Настройка закончена, теперь давайте посмотрим как это работает.

    1) Компьютер Comp1 при включении и при последующих обновлениях политики применяет настройки из раздела Computer Configuration всех GPO, в область действия которых входит. Это GPO, которые назначены на сайт, на домен и на все OU, в которые входит учетная запись Comp1 (включая родительские), при этом компьютер проходит (или не проходит) SecurityFilter и WMIFilter из этих GPO. Если не проходит - Computer Configuration из этого GPO не применяются. Пока все стандартно. В нашем случае за счет SecurityFilter компьютеры Comp1 и Comp2 подпадают под действие политики "User Group Policy Loopback processing mode" из GPO1, а остальные компьютеры в этом OU1 - нет.

    2) Пользователь User1 входит в систему на компьютере Comp1. Так как на этом компьютере сейчас включен processing mode в режиме merge, то в первую очередь на User1 применяются все пользовательские части GPO, которые назначены на сайт, на домен и на все OU, в которые входит учетная запись User1 (включая родительские для OU2). При этом пользователь проходит (или не проходит) SecurityFilter из этих GPO. Тут пока тоже все как обычно.

    3) Затем на User1 применяются (Внимание!) политики из User Configuration всех GPO уровня сайта, домена и всех OU, в которые входит OU1(!!! это тот, где компьютеры !!!), включая родительские. При этом пользователь повторно проходит (или не проходит) SecurityFilter из каждой из этих GPO. В нашем случае на пользователя User1 помимо повторного применения политик типа Default Domain Policy теперь применится и GPO2 в его пользовательской части. Заметим, что на пользователя User2 не применится пользовательская политика из GPO2, т.к. он не пройдет Security Filter на этом GPO.

    При входе пользователя User1 на компьютере Comp3 пользовательская политика из GPO2 не применится, т.к. Comp3 работает в обычном режиме, не используя Loopback.

    При входе пользователя User2 на компьютере Comp1 или Comp2 пользовательская политика из GPO2 не применится, т.к. пользователь User2 не пройдет SecurityFilter этого GPO.

    Уфф. Пока писал объяснение, сам понял )

    N.B. Будьте аккуратны с иными юзерскими политиками, которые могут быть назначены на OU1, т.к. они тоже применятся на юзеров при входе на Comp1,Comp2 в соответствии со своими фильтрами безопасности.


    MCITP:SA, MCTS:Exchange Configuring

    14 января 2013 г. 15:41
  • Всё намного проще. В закладке Delegation конкретной GPO добавьте PC2 через Advanced и установите галочку Deny напротив "Apply group policy". Политика не будет применяться к PC2. (Опять же это в том случае если GPO использует Computer Configuration)

    Для более продуктивного варианта советую создать группу со списком объектов AD на которые не должна применяться данная политика.

    19 июня 2013 г. 8:20