各位前輩好,
有些GPO設定上的問題想問問各位前輩該如何處理。
環境:
User透過遠端桌面登入至2008Server,2008Server在TStest這個OU下(這個OU下只有這台2008Server),並連接了GPO,GPO內容大約為:
所有登入到該台2008Server的帳號的Profile皆會導向A FileServer,並掛載該資料夾為網路磁碟機
需求:
目標是將A FileServer更換至B FileServer,我們希望分批來移轉Profile資料,也就是移轉好的帳號登入時會改為掛載B FileServer,而其他還未移轉的登入時還是會掛載A FileServer。
目前想到的作法是將原有的GPO複製一份,將原本指向A FileServer的部份改為B FileServer,依照移轉狀況來套用兩種GPO(指向A或是B),請問GPO有辦法做到這種例外嗎?
已邀請的邦友 {{ invite_list.length }}/5
你要不要先說明一下
1.每個使用者的設定檔Profile,你們是透過修改哪邊的設定來導向A FileServer的??
2.使用者登入之後掛載的網路磁碟機又是透過哪邊的設定來掛載A FileServer的?
前輩你好,這邊補充圖片
1.使用者設定檔是使用「電腦設定/原則/Windows元件/遠端桌面服務/遠端桌面工作階段主機/設定檔/設定遠端桌面服務漫遊使用者設定檔的路徑」來導向FileServer,如下圖
2.掛載的網路磁碟則是透過「使用者設定/原則/Windows元件/指令碼/登入」的部分來掛載FileServer的資料夾
我看到上面的留言,你的需求主要應該是變成不同使用者登入後
讓GPO可以按造不同的使用者來套用不同的GPO,因此...
最少有三個方法可以達到你想要的需求,因為都是透過GPO派送的
(必要)先準備好兩個GPO,1個GPO舊版的設定,1個是新版的設定
第一個方法建立兩個OU(組織單位),
一個OU套用舊版的,一個套用新版的,
要用舊的規則的帳戶就放在那個連結舊的GPO的OU內
要用新的規則的帳戶就放在那個連結新的GPO的OU內
新舊套用的方式就是將帳戶移動到這兩個其中一個OU內
第二個方法建立兩個群組,這個可以維持一個OU不用移動帳戶
新舊套用的方式就是將帳戶加入這兩個群組的其中一個內
兩個GPO連結到同一個OU內(該OU要包含新舊的帳戶)
在新舊的GPO"安全性篩選"裡面
將Authenticated Users這個群組"套用群組原則"的允許規則拿掉
然後將新舊的群組個別新增到這兩個GPO的"安全性篩選"裡面
完成之後"安全性篩選"的視窗就會變成只有該群組會套用這個GPO
你會看到像這樣的欄位,Authenticated Users這個群組會消失
這樣一來就算帳戶有在OU內,這個OU也有連結GPO,
但是因為安全性篩選內,只能套在該群組的成員上面
這樣就會變成一個需要特殊群組身份,才會吃的到這個GPO
注意不要把帳戶同時加入新舊規則的群組內
這樣帳戶會同時套用兩個GPO,到時候設定會打架
以防萬一最好的做法是GPO對新舊兩個群組都做設定不要只設定一個
GPO的安全性篩選那邊
只要一個群組(A)是允許套用的權限,那另外一個群組(B)就是拒絕套用
第三個是WMI篩選,這個大部份用在電腦上而不是帳戶上,
用在使用者上面大部份都是機器套用之後再做使用者身份判斷
所以嚴格講起來算是機器套用後執行程式(程式判斷)
這個部份除了需要對WMI做研究,還需要有自己寫程式的程度才行
所以這部份就不打上來了,會太長篇,上面兩種大多都足夠處理了
Zero前輩你好,感謝你提供的方法,查詢問題過程中也有查到WMI篩選器,可是可參考文章真的太少了......目前打算採用第二種方法來實施看看,謝謝。
你好,如果是『目標是將A FileServer更換至B FileServer』此步驟,應該可以登入兩個網路磁碟機做處理。登入的帳號權限可影響你存取資料的範圍,如:A使用者可讀A file server ,B使用者可讀B file server,反之亦然。故理解應該使用者與網路磁碟機上面做讀取權限調整。
可參考網址做法:https://support.microsoft.com/zh-tw/windows/%E5%9C%A8-windows-%E4%B8%AD%E5%B0%8D%E6%87%89%E7%B6%B2%E8%B7%AF%E7%A3%81%E7%A2%9F%E6%A9%9F-29ce55d1-34e3-a7e2-4801-131475f9557d
iThome鐵人賽
看影片追技術