如何为某些用户绕过GPO回送处理？

您可能知道，回送处理是Active Directory组策略的一项功能，该功能可将GPO中的用户设置应用于登录到GPO范围内的计算机的所有用户（而标准行为是仅在用户帐户被使用时才应用用户设置）。实际上位于GPO的范围内）。当您希望所有登录到特定计算机的用户都收到某些用户策略时，无论他们的用户帐户实际位于AD中的何处，此功能都非常有用。

问题是：启用回送处理后，包含用户设置的GPO会应用到使用这些计算机的每个人，而您无法通过使用GPO上的ACL来绕过此操作，因为它实际上并不应用于用户，而是应用于计算机。

问题：对于需要登录到这些计算机但不应该受那些策略设置约束的特定用户，如何绕过环回处理？

恰当的例子：在几台终端服务器上，具有回送处理功能的GPO被用来对登录它们的每个人都施加严格的用户限制（它们基本上只能运行一系列公司批准的应用程序）；但这甚至适用于Domain Admins，因此它们甚至无法启动命令提示符或打开任务管理器。在这种情况下，如果登录的用户属于特定组（例如Domain Admins），我如何告诉AD不要强制执行这些设置？或者，即使是相反的解决方案（“仅将这些设置应用于属于特定组的用户”）也可以。

但是请记住，我们在这里谈论的是环回处理。这些策略适用于计算机，并且其中的用户设置仅适用于用户，因为它们正在登录到这些计算机（是的，我知道这很令人困惑，环回处理是正确处理组策略的最棘手的事情之一）。

我认为解决方案将是WMI过滤（这就是我代替我的方法）。

您创建一个WMI筛选器，以捕获所需的那些工作站。
您只能使用用户设置和安全筛选来创建GPO。
将两者放在一起，然后将GPO放在用户容器上。

因此，WMI筛选指定了它适用于的计算机，以及对它所适用的用户进行了安全过滤。

并删除环回。
这将给您带来比您讨价还价更多的麻烦，因为它不仅适用于配置它的指定GPO，而且还适用于应用于计算机的所有策略。

更新
如果工作站上安装了kb3163622，则可以仅使用安全组来执行相同的操作。
此更新更改了应用用户策略的方式。
从现在开始，实际上在计算机和用户安全上下文下都应用了用户策略。
因此，如果将要应用该GPO的计算机和用户放入该GPO的安全筛选中，则将起到与WMI相同的作用（假设您不打算进行某些复杂的查询）。

对于具有计算机OU中用户设置的组策略上的相关安全主体（用户/组）拒绝ACE的“应用组策略”权限，将阻止应用在计算机OU上链接的用户组策略。

但是，如果为“替换”模式配置了环回策略处理，则将忽略用户帐户位置（而非计算机）范围内的用户组策略。