仅在一台计算机上将GPO应用于一个用户

我有一个我需要向用户申请的GPO DOMAIN\DumbGuy，但仅当他登录时才需要DOMAIN\DumbGuysComputer$。当DOMAIN\NiceReceptionist上记录DOMAIN\DumbGuysComputer$它不应该适用。当DOMAIN\DumbGuy上记录DOMAIN\ReceptionstsComputer$它不应该适用。

它只需要在一台计算机上适用于一个人。

如果我将GPO应用于User对象，它将应用于他的所有计算机。如果我将GPO应用于Computer对象，它将应用于该计算机上的所有用户。如果我将其应用于两者，则其传播范围甚至更大。

如何仅将GPO应用于仅一台计算机上的一个用户？

我的建议类似于居民的建议。

仅为该单台计算机创建一个子OU，在其中创建一个GPO并将其设置为回送合并模式。在GPO上使用安全筛选，以便仅DumbGuy具有应用它的权限。我看不到使用两个不同GPO的任何理由。

重要的人！不要过滤已通过身份验证的用户的“读取”权限，因为组策略子系统需要先读取GPO，然后再将GPO应用于用户

我将结合安全过滤来研究组策略环回处理。您可以使用组策略环回功能来应用组策略对象（GPO），该组策略对象仅取决于用户登录到的计算机。

这是如何实现它的示例。

实际上，我将如何实现这一点：

创建两个不同的GPO，并将它们分配给DOMAIN \ DumbGuysComputer $。

将第一个GPO配置为在“替换模式”中设置“ 回送处理”，并将“ 安全筛选”配置为仅适用于DOMAIN \ DumbGuy用户。

配置没有环回处理的第二个GPO，并将安全筛选配置为仅适用于DOMAIN \ NiceReceptionist用户。

我可能只是将GPO链接到用户所在的OU，然后使用安全筛选或WMI来确保它仅适用于该用户，然后将整个脚本包装在一个if($ENV:computername -eq whatever){}块中。

GPO适用于OU中的用户对象，计算机对象或这两个对象，并且仅当特定用户登录该计算机时，才能使GPO仅适用于该计算机对象；或者仅当该用户登录时，才适用于该用户对象登录到特定的计算机。

我创建了一个似乎有效的WMI筛选器：

Select * from WIN32_OperatingSystem where NOT CSName="PCName"

您可以使用以下方法在Powershell中测试WMI查询：

gwmi -Query 'Select * from WIN32_OperatingSystem...'