BGInfo を実行するために、GPO 経由でログオン スクリプトを適用しました。私の理解では、ユーザー構成を設定しているので、GPO はユーザー OU に適用する必要があります。SERVERS という OU があり、この GPO を実行する唯一の OU ですが、GPO を USERS OU ではなく SERVERS OU にリンクすると、GPO は適用されませんでした。そのため、GPO は USERS OU にリンクされているため、会社内のすべての PC/SERVER で実行されますが、これは望ましくありません。
これまでの結論が正しければ、SERVERS 以外の OU で GPO が実行されないようにする唯一の方法は WMI フィルターを使用することだと推測しましたが、%computername% などの変数にアクセスできないため、機能するフィルターを作成できないようです。
次のようなクエリが必要だと考えました。
gwmi -namespace root\directory\LDAP -query "select * from ds_computer where DS_cn = %computername% AND ds_distinguishedName like '%ou=servers%'"
これは、「SELECT * FROM ds_Computer where DS_cn = [現在ログオンしているコンピュータ] AND ds_distinguishedName like '%ou=servers%'」と言っているのと同じです。
しかし、これはもちろん評価されません。
私の考えは正しいでしょうか? それとももっと良い解決策があるのでしょうか?
アドバイスをいただければ幸いです。
どうもありがとうdotdev
答え1
ループバック処理が必要です。これは、ログインしたユーザーとしてコンピューターの GPO に割り当てられた「ユーザー構成」項目を実行します。したがって、ユーザーのログイン時に、ユーザーの構成項目を持つサーバー OU に割り当てられた GPO が実行されます。
マイクロソフトはより良い説明をしているWindows Server: 「ユーザー グループ ポリシー ループバック処理モード」を理解する
答え2
ループバック処理は避けてください。これはトラブルシューティングの手段です。悪夢そして、何年も経ってから再び問題に直面する傾向があります。代わりに、グループ ポリシーの基本設定 (GPP) のアイテム レベルのターゲット設定を使用してください。基本的なプロセスは次のとおりです。
- 新しいGPOを作成する
- ユーザー構成 | 設定 | コントロール パネルの設定 | タスクのスケジュールを参照します
- 新しいスケジュールされたタスクを作成する (少なくとも Windows 7)
- スクリプトを実行するか、スクリプトを直接起動するかをタスクに設定します
- トリガータブで、「ログオン時」に開始するトリガーを作成します。
- ボーナスとして、「タスクを繰り返す」オプションを設定することで、bginfoを定期的に「更新」することができます。
- 共通タブで、「アイテムレベルのターゲティング」をチェックし、ターゲティングダイアログを開きます。
- 新しい項目を選択 | 組織単位
- GPPを適用するOUを参照して選択します
- GPOをユーザーオブジェクトが配置されている場所にリンクします