1台のコンピューターの1人のユーザーにのみGPOを適用する

ユーザーに適用する必要があるGPOがありますが、ユーザーDOMAIN\DumbGuyがログオンしたときのみDOMAIN\DumbGuysComputer$です。ときDOMAIN\NiceReceptionistにログオンするDOMAIN\DumbGuysComputer$には、適用しないでください。ときDOMAIN\DumbGuyにログオンするDOMAIN\ReceptionstsComputer$には、適用しないでください。

1台のコンピューターで1人のユーザーにのみ適用する必要があります。

GPOをユーザーオブジェクトに適用すると、彼のすべてのコンピューターに適用されます。GPOをコンピューターオブジェクトに適用すると、そのコンピューター上のすべてのユーザーに適用されます。両方に当てはめればさらに広がります。

1台のコンピューター上の1人のユーザーにGPOを適用するにはどうすればよいですか？

私の提案は住民のそれに似ています。

その単一のコンピューター専用のサブOUを作成し、その中にGPOを作成して、ループバックマージモードに設定します。GPOでセキュリティフィルタリングを使用して、DumbGuyそれを適用する権限のみを持つようにします。2つの異なるGPOを使用する理由がわかりません。

ムチョ重要！グループポリシーサブシステムはGPOをユーザーに適用する前にGPOを読み取る必要があるため、認証されたユーザーからの「読み取り」権限をフィルタリングしないでください。

セキュリティフィルター処理と組み合わせてグループポリシーループバック処理を調べます。グループポリシーループバック機能を使用して、ユーザーがログオンするコンピューターのみに依存するグループポリシーオブジェクト（GPO）を適用できます。

これは、実装方法の例です。

実際には、これをどのように実装しますか：

2つの異なるGPOを作成し、DOMAIN \ DumbGuysComputer $に割り当てます。

置換モードで設定されたループバック処理で最初のGPOを構成し、DOMAIN \ DumbGuyユーザーにのみ適用されるようにセキュリティフィルターを構成します。

ループバック処理なしの2番目のGPOを構成し、DOMAIN \ NiceReceptionistユーザーにのみ適用されるようにセキュリティフィルターを構成します。

ユーザーがいるOUにGPOをリンクし、セキュリティフィルタリングまたはWMIを使用して、その1人のユーザーにのみ適用されることを確認してから、スクリプト全体をif($ENV:computername -eq whatever){}ブロックでラップします。

GPOは、OU内のユーザーオブジェクト、コンピューターオブジェクト、または両方のオブジェクトに適用され、特定のユーザーがそのコンピューターにログインした場合にのみGPOをコンピューターオブジェクトにのみ適用したり、そのユーザーのみにユーザーオブジェクトに適用したりすることはできません。特定のコンピュータにログインします。

機能しているように見えるWMIフィルターを作成しました。

Select * from WIN32_OperatingSystem where NOT CSName="PCName"

以下を使用して、PowershellでWMIクエリをテストできます。

gwmi -Query 'Select * from WIN32_OperatingSystem...'