Wie kann die GPO-Loopback-Verarbeitung für einige Benutzer umgangen werden?

Wie Sie wahrscheinlich wissen, ist die Loopback-Verarbeitung eine Funktion der Active Directory-Gruppenrichtlinien, mit der Benutzereinstellungen in einem Gruppenrichtlinienobjekt auf jeden Benutzer angewendet werden, der sich an Computern im Bereich des Gruppenrichtlinienobjekts anmeldet (während das Standardverhalten darin besteht, Benutzereinstellungen nur anzuwenden, wenn das Benutzerkonto vorhanden ist befindet sich tatsächlich im Geltungsbereich des Gruppenrichtlinienobjekts). Dies ist nützlich, wenn alle Benutzer, die sich an einem bestimmten Computer anmelden, Benutzerrichtlinien erhalten sollen, unabhängig davon, wo sich ihre Benutzerkonten tatsächlich in AD befinden.

Das Problem: Wenn die Loopback-Verarbeitung aktiviert ist, wird ein Gruppenrichtlinienobjekt mit Benutzereinstellungen auf alle Benutzer dieser Computer angewendet. Sie können dies nicht umgehen, indem Sie ACLs auf dem Gruppenrichtlinienobjekt verwenden, da es nicht auf Benutzer , sondern auf Computer angewendet wird .

Die Frage: Wie kann die Loopback-Verarbeitung für bestimmte Benutzer umgangen werden, die sich bei diesen Computern anmelden müssen, aber nicht diesen Richtlinieneinstellungen unterliegen sollten?

Beispiel: Es gibt mehrere Terminalserver, auf denen Gruppenrichtlinienobjekte mit Loopback-Verarbeitung verwendet werden, um allen Benutzern, die sich bei ihnen anmelden, strenge Benutzereinschränkungen aufzuerlegen (sie sollten grundsätzlich nur eine Reihe von vom Unternehmen genehmigten Anwendungen ausführen können). Dies gilt jedoch auch für Domänenadministratoren , die nicht einmal eine Eingabeaufforderung starten oder den Task-Manager öffnen können. Wie kann ich AD in diesem Szenario anweisen, diese Einstellungen nicht zu erzwingen, wenn der Benutzer, der sich anmeldet, zu einer bestimmten Gruppe gehört (z. B. Domänenadministratoren)? Alternativ wäre auch die umgekehrte Lösung ("Wenden Sie diese Einstellungen nur auf Benutzer an, die zu einer bestimmten Gruppe gehören") in Ordnung.

Denken Sie jedoch daran, dass es sich hier um eine Loopback-Verarbeitung handelt . Die Richtlinien werden auf Computer angewendet , und die darin enthaltenen Benutzereinstellungen werden nur auf Benutzer angewendet, weil sie sich bei diesen Computern anmelden (ja, ich weiß, es ist verwirrend, dass die Loopback-Verarbeitung eines der schwierigsten Dinge ist, um Gruppenrichtlinien richtig zu machen).

Ich denke, die Lösung wäre WMI-Filterung (so habe ich es an meiner Stelle gemacht).

Sie erstellen einen WMI-Filter, der die gewünschten Workstations abfängt.
Sie erstellen ein Gruppenrichtlinienobjekt nur mit den Benutzereinstellungen und mit Sicherheitsfilterung.
Sie fügen die beiden zusammen und platzieren das Gruppenrichtlinienobjekt auf dem Benutzercontainer.

Die WMI-Filterung gibt also den Computer an, auf den sie angewendet wird, und die Sicherheitsfilterung der Benutzer, auf die sie angewendet wird.

Und lassen Sie den Loopback fallen.
Es bereitet Ihnen mehr Kopfschmerzen, als Sie erwartet hatten, da es nicht nur für das angegebene Gruppenrichtlinienobjekt gilt, in dem es konfiguriert ist, sondern für alle Richtlinien, die auf die Computer angewendet werden.

Update
Wenn Sie kb3163622 auf Ihren Workstations installiert haben , können Sie dasselbe nur mithilfe von Sicherheitsgruppen tun.
Dieses Update ändert die Art und Weise, wie Benutzerrichtlinien angewendet werden.
Von nun an werden Benutzerrichtlinien sowohl im Computer- als auch im Benutzersicherheitskontext angewendet.
Wenn Sie also die Sicherheitsfilterung dieses Gruppenrichtlinienobjekts in die Computer und Benutzer einfügen, auf die es angewendet werden soll, führt dies den gleichen Trick wie das WMI aus (vorausgesetzt, Sie führen keine komplexe Abfrage durch).

Durch Verweigern der Berechtigung "ACE zum Anwenden von Gruppenrichtlinien anwenden" für die betreffenden Sicherheitsprinzipale (Benutzer / Gruppe) für die Gruppenrichtlinien mit den Benutzereinstellungen in der Computer-Organisationseinheit wird verhindert, dass die auf der Computer-Organisationseinheit verknüpften Benutzergruppenrichtlinien angewendet werden.

Wenn die Verarbeitung von Loopback-Richtlinien für den Ersetzungsmodus konfiguriert ist, werden die Benutzergruppenrichtlinien, die für den Speicherort des Benutzerkontos (und nicht für den Computer) gelten, ignoriert.