经过反复测试,可实现域用户登录桌面自动映射个人文件夹,其他用户无法访问的需求
目前有两种方法:
一、对浮点桌面域用户的配置文件直接设置主文件夹路径,如果用户较多可通过批量处理命令对其OU分组进行配置
配置文件:net use Z: \192.168.130.63share\%username% 批量处理命令:dsquery user OU=Users,OU=3T,DC=index,DC=com | dsmod user -hmdir \192.168.130.63share est$username$ -hmdrv Z:
注:在DSmod这个命令里,用户名的变量是$username$,而不是%username%
Dsmod修改主目录的时候,需要事先建立好用户的文件夹,这一点算是bug吧,很不人性化,不过可以使用其他的方法来建立
可以一次shift多个用户,然后统一修改用户的主目录,并使用%username%参数自动匹配用户并自动建立用户文件夹!
二、在域控主策略管理中心新建组策略规则并添加一个自动映射磁盘的登录脚本,应用到浮点桌面域用户OU组即可
脚本内容: net use Z: \192.168.130.63share est\%username%
注意:要将脚本文件放置到显示文件的文件夹中
三、为IT这个OU下面的用户自动映射网络磁盘(共享盘);
2、共享的磁盘就是C盘里面的一个“Share”文件夹;设置好共享和相应的权限;
3、点击“开始—管理工具—组策略管理”打开组策略管理器;
4、或者可以用“ Gpmc.msc”命令打开;
5、右击想要设置的OU,我这里要设置的是IT这个OU,所有右击“IT”选择“在这个域中创建GPO并在此处链接”;
6、给组策略起一个友好的名称;然后选择“确定”;
7、右击刚刚创建的策略,选择“编辑”;
8、展开“用户配置”—“首选项”,选择“驱动器映射”;
9、右击右边空白的地方,选择“新建”—“映射驱动器”;
10、在操作栏选择“创建”;在位置输入共享的位置(注意一定要是共享路径的方式);重新连接和标记为都为自选,但最好也选上;驱动器号,可以根据实际情况选择;然后选择“确定”;
11、使用IT里面的账户登录后,可以看到共享磁盘已经创建好了;
域控中将组策略下发到安全组(group)
1、先说说为啥不通过OU,而是通过group下发策略
额,公司战略。(这样说方便提升一下档次,哈哈)开个玩笑啊。主要是公司现在各个应用系统和管理系统都有自己的一套账户体系,管理麻烦,用户也会混乱,所以才会有这么个想法去把用户体系建立在AD上,这样就方便统一管理,但是每个应用(开源之类)都有自己同步用户的规则,为了方便,最终决定把组织结构拍平,所有用户都在一个OU下,所以这就导致了这样一个问题(还得写脚本导入用户,苦逼啊),原先我的用户都有自己的OU,策略的下发都是作用在OU上的,以前好像也记得策略是没办法在group上生效的,这个咋整?没办法,只能找资料呗,然后我就找啊找,就找到以下两篇,不废话,直接上网址:
http://bbs.51cto.com/thread-1415164-1-1.html
https://docs.microsoft.com/en-us/windows/access-protection/windows-firewall/assign-security-group-filters-to-the-gpo
2、有前辈经验,那就自己实验起来
在实际开始做之前,其实还是被网络上不能这么操作的声音影响的,因为包括很多大神都说不行,说最小单元只能是OU,然后只有微弱的声音说可以,我只能一脸懵逼,我能怎么办,我也只是个小菜鸟。
找到了这两篇文档,尤其是微软的这篇官方文档,那就说明没问题,肯定是可以的(PS:所以还是得看官方的说法,其他都不靠谱),撸起袖子加油干。
3、不啰嗦,干货开始(测试)
(1)新建一条测试策略,testgroup,设置如下(只是测试,随便定义的)
(2)填写作用域和筛选
严重注意!!!成败关键!!!!一定要将策略链接到你的域!!!!!
(3)到客户机上刷新策略(gpupdate /froce),查看组策略作用结果(gpresult -r)或者通过rsop.msc查看
(4)这样就成功了,无论你的账户,计算机在哪个OU下,你只要关注,哪个策略对应哪个安全组就行了
近些天发现,按照这个方法实施组策略,然后策略竟然没有生效。。。。。
找了一圈网上资料,没有相关的信息,只能自己测试研究,哎
最后发现:如果策略只是针对用户,并不是在筛选中添加对应的用户和组就OK了,还要添加该策略生效的用户可能登录的计算机,也要添加到筛选里来。