Bagaimana cara memotong pemrosesan loopback GPO untuk beberapa pengguna?

Seperti yang mungkin Anda ketahui, pemrosesan loopback adalah fitur Kebijakan Grup Direktori Aktif yang menerapkan pengaturan pengguna dalam GPO untuk setiap pengguna yang masuk ke komputer dalam ruang lingkup GPO (sedangkan perilaku standar adalah menerapkan pengaturan pengguna hanya jika akun pengguna sebenarnya terletak di dalam ruang lingkup GPO). Ini berguna ketika Anda ingin semua pengguna masuk ke komputer tertentu untuk menerima beberapa kebijakan pengguna, terlepas dari di mana akun pengguna mereka sebenarnya berada dalam AD.

Masalahnya: ketika pemrosesan loopback diaktifkan, pengaturan pengguna yang berisi GPO diterapkan untuk semua orang yang menggunakan komputer itu, dan Anda tidak dapat mem-bypass ini dengan menggunakan ACL pada GPO, karena itu sebenarnya tidak berlaku untuk pengguna , tetapi untuk komputer .

Pertanyaannya: bagaimana pemrosesan loopback dapat dilewati untuk pengguna tertentu yang perlu masuk ke komputer tersebut tetapi tidak harus tunduk pada pengaturan kebijakan tersebut?

Contoh kasus: ada beberapa server terminal di mana GPO dengan pemrosesan loopback digunakan untuk menegakkan pembatasan pengguna yang berat pada semua orang yang masuk ke mereka (mereka pada dasarnya hanya dapat menjalankan banyak aplikasi yang disetujui perusahaan); tetapi ini berlaku bahkan untuk Admin Domain , yang karenanya tidak dapat meluncurkan command prompt atau membuka task manager. Dalam skenario ini, bagaimana saya bisa memberi tahu AD untuk tidak menegakkan pengaturan tersebut jika pengguna yang masuk milik grup tertentu (seperti Admin Domain)? Atau, bahkan solusi sebaliknya ("hanya terapkan pengaturan itu untuk pengguna yang termasuk dalam kelompok tertentu") akan baik-baik saja.

Tapi tolong, ingat bahwa kita berbicara tentang pemrosesan loopback di sini. Kebijakan diterapkan ke komputer , dan pengaturan pengguna di dalamnya diterapkan hanya untuk pengguna karena mereka masuk ke komputer tersebut (ya, saya tahu itu membingungkan, pemrosesan loopback adalah salah satu hal paling sulit untuk mendapatkan yang benar tentang Kebijakan Grup).

Saya pikir solusinya adalah penyaringan WMI (itulah cara saya melakukannya di tempat saya).

Anda membuat filter WMI yang menangkap workstation yang Anda inginkan.
Anda membuat GPO dengan pengaturan pengguna saja, dan dengan pemfilteran keamanan.
Anda menggabungkan keduanya, dan menempatkan GPO di wadah pengguna.

Jadi pemfilteran WMI menentukan comptuer yang berlaku untuknya, dan keamanan pemfilteran bagi pengguna.

Dan jatuhkan loopback.
Ini akan memberi Anda lebih banyak sakit kepala daripada yang Anda tawar-menawar, karena itu tidak hanya berlaku untuk GPO yang ditentukan di mana ia dikonfigurasi, tetapi untuk semua kebijakan yang diterapkan pada komputer.

Pembaruan
Jika Anda memiliki kb3163622 diinstal pada workstation Anda, Anda dapat melakukan hal yang sama dengan menggunakan grup keamanan saja.
Pembaruan ini mengubah cara kebijakan pengguna diterapkan.
Mulai sekarang, kebijakan pengguna sebenarnya diterapkan di bawah komputer dan konteks keamanan pengguna.
Jadi, jika Anda akan memasukkan pemfilteran keamanan dari GPO yang digunakan komputer dan pengguna yang Anda inginkan, itu akan melakukan trik yang sama dengan WMI (dengan asumsi Anda tidak akan melakukan permintaan yang kompleks).

ACE penolakan untuk menerapkan Kebijakan Grup izin untuk prinsipal keamanan yang bersangkutan (Pengguna / Grup) pada kebijakan grup dengan pengaturan pengguna di komputer OU akan mencegah kebijakan grup pengguna terkait di komputer OU dari menerapkan.

Namun, jika pemrosesan kebijakan loopback dikonfigurasikan untuk mode Ganti, kebijakan grup pengguna yang berada dalam ruang lingkup untuk lokasi akun pengguna (dan bukan untuk komputer) akan diabaikan.