iT邦幫忙

1

Windows GPO如何進行例外設定

各位前輩好,
有些GPO設定上的問題想問問各位前輩該如何處理。

環境:
User透過遠端桌面登入至2008Server,2008Server在TStest這個OU下(這個OU下只有這台2008Server),並連接了GPO,GPO內容大約為:
所有登入到該台2008Server的帳號的Profile皆會導向A FileServer,並掛載該資料夾為網路磁碟機

需求:
目標是將A FileServer更換至B FileServer,我們希望分批來移轉Profile資料,也就是移轉好的帳號登入時會改為掛載B FileServer,而其他還未移轉的登入時還是會掛載A FileServer。

目前想到的作法是將原有的GPO複製一份,將原本指向A FileServer的部份改為B FileServer,依照移轉狀況來套用兩種GPO(指向A或是B),請問GPO有辦法做到這種例外嗎?

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

0
zero
iT邦好手 1 級 ‧ 2022-05-19 19:57:28
最佳解答

你要不要先說明一下

1.每個使用者的設定檔Profile,你們是透過修改哪邊的設定來導向A FileServer的??

2.使用者登入之後掛載的網路磁碟機又是透過哪邊的設定來掛載A FileServer的?

pangxin iT邦新手 5 級 ‧ 2022-05-20 09:23:16 檢舉

前輩你好,這邊補充圖片
1.使用者設定檔是使用「電腦設定/原則/Windows元件/遠端桌面服務/遠端桌面工作階段主機/設定檔/設定遠端桌面服務漫遊使用者設定檔的路徑」來導向FileServer,如下圖
https://ithelp.ithome.com.tw/upload/images/20220520/20134899FmDlVnpBfG.png

2.掛載的網路磁碟則是透過「使用者設定/原則/Windows元件/指令碼/登入」的部分來掛載FileServer的資料夾

zero iT邦好手 1 級 ‧ 2022-05-20 20:15:08 檢舉

我看到上面的留言,你的需求主要應該是變成不同使用者登入後

讓GPO可以按造不同的使用者來套用不同的GPO,因此...

最少有三個方法可以達到你想要的需求,因為都是透過GPO派送的

(必要)先準備好兩個GPO,1個GPO舊版的設定,1個是新版的設定


第一個方法建立兩個OU(組織單位),

一個OU套用舊版的,一個套用新版的,

要用舊的規則的帳戶就放在那個連結舊的GPO的OU內

要用新的規則的帳戶就放在那個連結新的GPO的OU內

新舊套用的方式就是將帳戶移動到這兩個其中一個OU內


第二個方法建立兩個群組,這個可以維持一個OU不用移動帳戶

新舊套用的方式就是將帳戶加入這兩個群組的其中一個內

兩個GPO連結到同一個OU內(該OU要包含新舊的帳戶)

在新舊的GPO"安全性篩選"裡面

將Authenticated Users這個群組"套用群組原則"的允許規則拿掉

https://ithelp.ithome.com.tw/upload/images/20220520/20022284affB6o8YD3.jpg

然後將新舊的群組個別新增到這兩個GPO的"安全性篩選"裡面

完成之後"安全性篩選"的視窗就會變成只有該群組會套用這個GPO

你會看到像這樣的欄位,Authenticated Users這個群組會消失
https://ithelp.ithome.com.tw/upload/images/20220525/200222843FdXEC1LnI.jpg

這樣一來就算帳戶有在OU內,這個OU也有連結GPO,

但是因為安全性篩選內,只能套在該群組的成員上面

這樣就會變成一個需要特殊群組身份,才會吃的到這個GPO

注意不要把帳戶同時加入新舊規則的群組內

這樣帳戶會同時套用兩個GPO,到時候設定會打架

以防萬一最好的做法是GPO對新舊兩個群組都做設定不要只設定一個

GPO的安全性篩選那邊

只要一個群組(A)是允許套用的權限,那另外一個群組(B)就是拒絕套用


第三個是WMI篩選,這個大部份用在電腦上而不是帳戶上,

用在使用者上面大部份都是機器套用之後再做使用者身份判斷

所以嚴格講起來算是機器套用後執行程式(程式判斷)

這個部份除了需要對WMI做研究,還需要有自己寫程式的程度才行

所以這部份就不打上來了,會太長篇,上面兩種大多都足夠處理了

https://ithelp.ithome.com.tw/upload/images/20220525/20022284qxaEOSZF6d.jpg

https://ithelp.ithome.com.tw/upload/images/20220520/200222847gWiZ6oVWU.jpg

pangxin iT邦新手 5 級 ‧ 2022-05-23 17:24:18 檢舉

Zero前輩你好,感謝你提供的方法,查詢問題過程中也有查到WMI篩選器,可是可參考文章真的太少了......目前打算採用第二種方法來實施看看,謝謝。

1
TzuWei
iT邦新手 5 級 ‧ 2022-05-18 17:00:55

你好,如果是『目標是將A FileServer更換至B FileServer』此步驟,應該可以登入兩個網路磁碟機做處理。登入的帳號權限可影響你存取資料的範圍,如:A使用者可讀A file server ,B使用者可讀B file server,反之亦然。故理解應該使用者與網路磁碟機上面做讀取權限調整。

可參考網址做法:https://support.microsoft.com/zh-tw/windows/%E5%9C%A8-windows-%E4%B8%AD%E5%B0%8D%E6%87%89%E7%B6%B2%E8%B7%AF%E7%A3%81%E7%A2%9F%E6%A9%9F-29ce55d1-34e3-a7e2-4801-131475f9557d

pangxin iT邦新手 5 級 ‧ 2022-05-18 17:06:02 檢舉

謝謝回答,FileServer資料轉移的部份我們可以處理妥當,主要的問題是在User登入這台2008Server時,是否能透過GPO設定,來掛載A(移轉前帳號) or B(移轉後帳號) FileServer

TzuWei iT邦新手 5 級 ‧ 2022-05-18 22:18:20 檢舉
pangxin iT邦新手 5 級 ‧ 2022-05-20 09:25:38 檢舉

前輩你好,目前的需求是我想達到不同使用者登入該台電腦,可以分辨使用者來套用不同的GPO

我要發表回答

立即登入回答