Связывание объекта групповой политики с пользователем

Question

Я написал код, который позволяет мне связать объект групповой политики с подразделением, но я хочу быть более конкретным и связать его с известным пользователем.

Ниже приведен код, который я написал:

Import-Module ActiveDirectory
Import-Module GroupPolicy
$GPOName = 'DisableInternet'
$GPO = New-GPO -Name $GPOName -Domain 'Administrateur.6NLG-AD'
Set-GPPrefRegistryValue -Name $GPOName -Context User -Key 'HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions' -ValueName 'NoBrowserOptions' -Value 1 -Type DWord -Action Create
Set-GPPrefRegistryValue -Name $GPOName -Context User -Key 'HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions' -ValueName 'NoBrowserOptions' -Value 1 -Type DWord -Action Update
Set-GPPrefRegistryValue -Name $GPOName -Context User -Key 'HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings' -ValueName ProxyServer -Value 0.0.0.0:80 -Type String -Action Create
Set-GPPrefRegistryValue -Name $GPOName -Context User -Key 'HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings' -ValueName ProxyEnable -Value 1 -Type DWord -Action Create
Set-GPPrefRegistryValue -Name $GPOName -Context User -Key 'HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings' -ValueName ProxyServer -Value 0.0.0.0:80 -Type String -Action Update
Set-GPPrefRegistryValue -Name $GPOName -Context User -Key 'HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings' -ValueName ProxyEnable -Value 1 -Type DWord -Action Update
New-GPLink -Name $GPOName -Target 'OU=Nouvelle_UO,DC=Administrateur,DC=6NLG-AD'

Answer 1

Вы не можете связать объект групповой политики с пользователем, только OU.Однако вы можете фильтровать объект групповой политики, используя разрешения, поэтому он применяется только к определенному пользователю или группе.

Поэтому используйте New-GPLink, чтобы связать объект групповой политики с подразделением, в котором находится учетная запись пользователя. Или на уровне наследования.позволит объекту групповой политики обращаться к OU пользователей.

Вам необходимо удалить Authenticated Users или любые другие группы с широким охватом, например Domain Users, из объекта групповой политики.

Вы можете проверитьдля этих групп, взглянув на объект групповой политики, например на снимке экрана ниже, в разделе Фильтрация безопасности видно, что по умолчанию Authenticated Users имеет разрешения для объекта групповой политики:

Вам нужно будет удалить эту группу из фильтрации безопасности перед добавлением разрешений для вашего пользователя:

Set-GPPermission -TargetName "Domain\Authenticated Users" -TargetType Group -PermissionLevel None -Replace

Затем установите разрешения для объекта групповой политики дляпользователь, к которому вы хотите применить:

Set-GPPermission -Name DisableInternet -TargetName SamAccountName -TargetType User -PermissionLevel GpoApply

См. Документация Set-GPPermission для получения дополнительной информации и примеров