Application d'un objet de stratégie de groupe à un utilisateur sur un seul ordinateur

J'ai un objet de stratégie de groupe que je dois appliquer à l'utilisateur DOMAIN\DumbGuy, mais uniquement lorsqu'il se connecte DOMAIN\DumbGuysComputer$. Lorsque vous vous DOMAIN\NiceReceptionistconnectez, DOMAIN\DumbGuysComputer$cela ne devrait pas s'appliquer. Lorsque vous vous DOMAIN\DumbGuyconnectez, DOMAIN\ReceptionstsComputer$cela ne devrait pas s'appliquer.

Il ne doit s'appliquer qu'à une seule personne sur un ordinateur .

Si j'applique le GPO à l'objet Utilisateur, il s'appliquera à tous ses ordinateurs. Si j'applique le GPO à l'objet Ordinateur, il s'appliquera à tous les utilisateurs de cet ordinateur. Si je l'applique aux deux, il se propage encore plus.

Comment puis-je appliquer un objet de stratégie de groupe à un seul utilisateur sur un seul ordinateur?

Ma suggestion est similaire à celle d'un habitant ..

Créez une sous-unité d'organisation uniquement pour cet ordinateur unique, créez-y un objet de stratégie de groupe et définissez-le en mode de fusion en boucle. Utilisez le filtrage de sécurité sur l'objet de stratégie de groupe afin de ne DumbGuydisposer que des autorisations pour l'appliquer. Je ne vois aucune raison d'utiliser deux GPO différents.

Mucho importante! Ne filtrez pas les droits de «lecture» des utilisateurs authentifiés, car le sous-système de stratégie de groupe doit lire le GPO avant de l'appliquer à l'utilisateur

Je regarderais la stratégie de groupe Bouclage traitement conjointement avec le filtrage de sécurité. Vous pouvez utiliser la fonction de bouclage de stratégie de groupe pour appliquer des objets de stratégie de groupe (GPO) qui dépendent uniquement de l'ordinateur auquel l'utilisateur se connecte.

Ceci est un exemple de la façon dont il peut être mis en œuvre .

En fait, comment pourrais-je implémenter ceci:

Créez deux objets de stratégie de groupe différents et affectez-les à DOMAIN \ DumbGuysComputer $.

Configurez le premier objet de stratégie de groupe avec le traitement en boucle défini en mode de remplacement et configurez le filtrage de sécurité pour qu'il s'applique uniquement à l'utilisateur DOMAIN \ DumbGuy .

Configurez le deuxième GPO sans traitement en boucle et configurez le filtrage de sécurité pour qu'il s'applique uniquement aux utilisateurs DOMAIN \ NiceReceptionist .

Je voudrais probablement simplement lier l'objet de stratégie de groupe à l'unité d'organisation dans laquelle se trouve l'utilisateur et utiliser le filtrage de sécurité ou WMI pour m'assurer qu'il ne s'applique qu'à cet utilisateur, puis encapsuler tout le script dans un if($ENV:computername -eq whatever){}bloc.

Le GPO s'applique à l'éther de l'objet utilisateur, de l'objet ordinateur ou des deux objets dans une unité d'organisation et vous ne pouvez pas appliquer le GPO uniquement à un objet ordinateur uniquement si un certain utilisateur se connecte à cet ordinateur ou appliquer à un objet utilisateur uniquement si cet utilisateur se connecte à un certain ordinateur.

J'ai créé un filtre WMI qui semble fonctionner:

Select * from WIN32_OperatingSystem where NOT CSName="PCName"

Vous pouvez tester les requêtes WMI dans PowerShell en utilisant:

gwmi -Query 'Select * from WIN32_OperatingSystem...'