none
WMI скрипт определения принадлежности пользователя группе RRS feed

  • Вопрос

  • Добрый день,

     

    Встала такая задача: с помощью GPO сделать так, чтобы у всех пользователей домена определенный параметр был выключен (ВЫКЛ), а у парочки пользователей этот же параметр включен (ВКЛ).

    Сделал 2 GPO, а вот как разделить чтобы у одних выполнялся один, а у других другой.

    Руками прописывать всех пользователей в ВЫКЛ - трудоемкая работа, проще добавить группу "Пользователи домена" целиком, а в ВКЛ можно добавить ту пару пользователей, которым нужен этот параметр. Но в таком варианте политики будут конфликтовать, т.к. эта пара пользователей являются, конечно же, пользователями домена.

    Вот бы сделать группу в которую включить эту пару пользователей (ГР_ВКЛ), а GPO ВЫКЛ применять для "Пользователи домена", но с WMI-фильтром, исключающих пользователей, принадлежащих группе ГР_ВКЛ.

    Естественно, вопрос как это сделать?

    Может есть более подходящие решения? Пожалуйста, помогите. Зарание благодарю.

    18 июля 2007 г. 13:58

Ответы

  • Можно сделать проще и эффективнее (WMI фильры требуют много ресурсов и поэтому не рекомендуются)

     

    Используйте механизм наследования и перекрытия параметров.

     

    Первую политику ВКЛ сделайте как обычно - либо оставьте Authenticated Users (либо поставьте свою группу Domain Users - только какой смысл так делать?)

    Вторую политику поставьте выше по списку (больший порядковый номер), удалите Authenticated Users   и установите в ней свою группу с нужными (двумя) пользователями.

     

    В этом случае вторая политика перекроет первую, но только у тех пользователей, у которых есть права на вторую политику.

    18 июля 2007 г. 14:10
    Модератор

Все ответы

  • Можно сделать проще и эффективнее (WMI фильры требуют много ресурсов и поэтому не рекомендуются)

     

    Используйте механизм наследования и перекрытия параметров.

     

    Первую политику ВКЛ сделайте как обычно - либо оставьте Authenticated Users (либо поставьте свою группу Domain Users - только какой смысл так делать?)

    Вторую политику поставьте выше по списку (больший порядковый номер), удалите Authenticated Users   и установите в ней свою группу с нужными (двумя) пользователями.

     

    В этом случае вторая политика перекроет первую, но только у тех пользователей, у которых есть права на вторую политику.

    18 июля 2007 г. 14:10
    Модератор
  • Спасибо!

     

    А я и не знал, что им можно расставлять приоритет... обыскался как это делается Smile но нашел.

    Все работает в наилучшем виде!

    18 июля 2007 г. 14:38
  •  

    День добрый. Подскажите, пожалуйста как быть в такой ситуации: есть домен, есть пользователи в нем, есть некий сервер. Необходимо, чтобы при логине на этот и только на этот сервер к пользователю применялась определенная групповая политика. Как это лучше сделать? Мне пока видится только создание контейнера, помещение в этот контейнер группы пользователей, которые могут логиниться на нужный сервер и создание GPO на этот контейнер (OU) с WMI фильтром, который смотрит имя компьютера, на который логинится пользователь и на основании этого GPO применяется или нет.

     

    Спасибо.

    28 апреля 2008 г. 6:07
  • Вам нужна такая фича как Loopback

    Настройка http://support.microsoft.com/kb/260370

     

    Это позволяет применять политику к пользователю не на основе его OU, а на основе OU сервера, на который он входит.

    28 апреля 2008 г. 7:11
    Модератор
  • Огромное спасибо! То ,что надо! Приятно порадовал Майкрософт вниманием к мелочам, порадовал...

    29 апреля 2008 г. 4:03