Как применить групповую политику к пользователям из доверенного домена

Question 1

Любая политика пользователя, которая к ним применяется, будет исходить из домена, членом которого является их учетная запись, если только вы не переопределяете обработку политики пользователя обработкой политики обратной связи.

Политика компьютера будет исходить из домена, к которому принадлежит компьютер, в который выполняется вход.

Вы думаете о чем-то подобном? "Когда один из этих пользователей из домена ABC входит в систему на одном из компьютеров, входящих в домен XYZ, я бы хотел, чтобы применялись определенные параметры групповой политики. Однако когда пользователь ABC входит в систему на компьютере ABC, я не хочу, чтобы применялись эти параметры. Когда пользователь XYZ входит в систему на компьютере XYZ, я также не хочу, чтобы применялись эти параметры".

Если так, то нет способа с простой групповой политикой сделать то, что вы описываете. Вы могли бы имитировать функции групповой политики с помощью скрипта, который проверяет домен входа пользователя, но запуск такого скрипта в контексте пользователя не позволит изменять настройки, специфичные для компьютера.

Дайте мне знать, насколько я не прав в том, о чем вы спрашиваете, и я отредактирую, чтобы ответить на ваш настоящий вопрос... (улыбается)

Answer

Любая политика пользователя, которая к ним применяется, будет исходить из домена, членом которого является их учетная запись, если только вы не переопределяете обработку политики пользователя обработкой политики обратной связи.

Политика компьютера будет исходить из домена, к которому принадлежит компьютер, в который выполняется вход.

Вы думаете о чем-то подобном? "Когда один из этих пользователей из домена ABC входит в систему на одном из компьютеров, входящих в домен XYZ, я бы хотел, чтобы применялись определенные параметры групповой политики. Однако когда пользователь ABC входит в систему на компьютере ABC, я не хочу, чтобы применялись эти параметры. Когда пользователь XYZ входит в систему на компьютере XYZ, я также не хочу, чтобы применялись эти параметры".

Если так, то нет способа с простой групповой политикой сделать то, что вы описываете. Вы могли бы имитировать функции групповой политики с помощью скрипта, который проверяет домен входа пользователя, но запуск такого скрипта в контексте пользователя не позволит изменять настройки, специфичные для компьютера.

Дайте мне знать, насколько я не прав в том, о чем вы спрашиваете, и я отредактирую, чтобы ответить на ваш настоящий вопрос... (улыбается)

Question 2

Эван был прав в своем первом предложении. Включение обработки обратной связи групповой политики пользователя в режим «Объединить» решило эту проблему для меня. Мне также пришлось включить «Разрешить политику пользователя между лесами и перемещаемые профили пользователей».

Наша ситуация: Пользователь в домене ABC входит в систему на компьютере в домене XYZ. Я хотел, чтобы политики, специфичные для пользователя, применялись только в домене XYZ. Политика, специфичная для пользователя, отключала возможность выключения/перезагрузки. Очевидно, мы не хотим, чтобы это применялось к компьютерам в домене ABC (ПК пользователя).

Я создал новый объект групповой политики в XYZ со следующими настройками:

Конфигурация компьютера\Административные шаблоны\Система\Групповая политика\Разрешить политику пользователей между лесами и перемещаемые профили пользователей -Включено
Конфигурация компьютера\Административные шаблоны\Система\Групповая политика\Настроить режим обработки замыкания на себя групповой политики пользователя -Включено Режим:Объединить
Конфигурация пользователя\Административные шаблоны\Меню «Пуск» и панель задач\Удалить и запретить доступ к командам «Завершение работы», «Перезагрузка», «Сон» и «Гибернация» -Включено

Answer

Эван был прав в своем первом предложении. Включение обработки обратной связи групповой политики пользователя в режим «Объединить» решило эту проблему для меня. Мне также пришлось включить «Разрешить политику пользователя между лесами и перемещаемые профили пользователей».

Наша ситуация: Пользователь в домене ABC входит в систему на компьютере в домене XYZ. Я хотел, чтобы политики, специфичные для пользователя, применялись только в домене XYZ. Политика, специфичная для пользователя, отключала возможность выключения/перезагрузки. Очевидно, мы не хотим, чтобы это применялось к компьютерам в домене ABC (ПК пользователя).

Я создал новый объект групповой политики в XYZ со следующими настройками:

Конфигурация компьютера\Административные шаблоны\Система\Групповая политика\Разрешить политику пользователей между лесами и перемещаемые профили пользователей -Включено
Конфигурация компьютера\Административные шаблоны\Система\Групповая политика\Настроить режим обработки замыкания на себя групповой политики пользователя -Включено Режим:Объединить
Конфигурация пользователя\Административные шаблоны\Меню «Пуск» и панель задач\Удалить и запретить доступ к командам «Завершение работы», «Перезагрузка», «Сон» и «Гибернация» -Включено

Как применить групповую политику к пользователям из доверенного домена

решение1

решение2

Связанный контент