經過反復測試,可實現域用戶登錄桌面自動映射個人文件夾,其他用戶無法訪問的需求
目前有兩種方法:
一、對浮點桌面域用戶的配置文件直接設置主文件夾路徑,如果用戶較多可通過批量處理命令對其OU分組進行配置
配置文件:net use Z: \\192.168.130.63\share\%username% 批量處理命令:dsquery user OU=Users,OU=3T,DC=index,DC=com | dsmod user -hmdir \\192.168.130.63\share\test\$username$ -hmdrv Z:
注:在DSmod這個命令里,用戶名的變量是$username$,而不是%username%
Dsmod修改主目錄的時候,需要事先建立好用戶的文件夾,這一點算是bug吧,很不人性化,不過可以使用其他的方法來建立
可以一次shift多個用戶,然后統一修改用戶的主目錄,並使用%username%參數自動匹配用戶並自動建立用戶文件夾!
二、在域控主策略管理中心新建組策略規則並添加一個自動映射磁盤的登錄腳本,應用到浮點桌面域用戶OU組即可
腳本內容: net use Z: \\192.168.130.63\share\test\%username%
注意:要將腳本文件放置到顯示文件的文件夾中
三、為IT這個OU下面的用戶自動映射網絡磁盤(共享盤);
2、共享的磁盤就是C盤里面的一個“Share”文件夾;設置好共享和相應的權限;
3、點擊“開始—管理工具—組策略管理”打開組策略管理器;
4、或者可以用“ Gpmc.msc”命令打開;
5、右擊想要設置的OU,我這里要設置的是IT這個OU,所有右擊“IT”選擇“在這個域中創建GPO並在此處鏈接”;
6、給組策略起一個友好的名稱;然后選擇“確定”;
7、右擊剛剛創建的策略,選擇“編輯”;
8、展開“用戶配置”—“首選項”,選擇“驅動器映射”;
9、右擊右邊空白的地方,選擇“新建”—“映射驅動器”;
10、在操作欄選擇“創建”;在位置輸入共享的位置(注意一定要是共享路徑的方式);重新連接和標記為都為自選,但最好也選上;驅動器號,可以根據實際情況選擇;然后選擇“確定”;
11、使用IT里面的賬戶登錄后,可以看到共享磁盤已經創建好了;
域控中將組策略下發到安全組(group)
1、先說說為啥不通過OU,而是通過group下發策略
額,公司戰略。(這樣說方便提升一下檔次,哈哈)開個玩笑啊。主要是公司現在各個應用系統和管理系統都有自己的一套賬戶體系,管理麻煩,用戶也會混亂,所以才會有這么個想法去把用戶體系建立在AD上,這樣就方便統一管理,但是每個應用(開源之類)都有自己同步用戶的規則,為了方便,最終決定把組織結構拍平,所有用戶都在一個OU下,所以這就導致了這樣一個問題(還得寫腳本導入用戶,苦逼啊),原先我的用戶都有自己的OU,策略的下發都是作用在OU上的,以前好像也記得策略是沒辦法在group上生效的,這個咋整?沒辦法,只能找資料唄,然后我就找啊找,就找到以下兩篇,不廢話,直接上網址:
http://bbs.51cto.com/thread-1415164-1-1.html
https://docs.microsoft.com/en-us/windows/access-protection/windows-firewall/assign-security-group-filters-to-the-gpo
2、有前輩經驗,那就自己實驗起來
在實際開始做之前,其實還是被網絡上不能這么操作的聲音影響的,因為包括很多大神都說不行,說最小單元只能是OU,然后只有微弱的聲音說可以,我只能一臉懵逼,我能怎么辦,我也只是個小菜鳥。
找到了這兩篇文檔,尤其是微軟的這篇官方文檔,那就說明沒問題,肯定是可以的(PS:所以還是得看官方的說法,其他都不靠譜),擼起袖子加油干。
3、不啰嗦,干貨開始(測試)
(1)新建一條測試策略,testgroup,設置如下(只是測試,隨便定義的)
(2)填寫作用域和篩選
嚴重注意!!!成敗關鍵!!!!一定要將策略鏈接到你的域!!!!!
(3)到客戶機上刷新策略(gpupdate /froce),查看組策略作用結果(gpresult -r)或者通過rsop.msc查看
(4)這樣就成功了,無論你的賬戶,計算機在哪個OU下,你只要關注,哪個策略對應哪個安全組就行了
近些天發現,按照這個方法實施組策略,然后策略竟然沒有生效。。。。。
找了一圈網上資料,沒有相關的信息,只能自己測試研究,哎
最后發現:如果策略只是針對用戶,並不是在篩選中添加對應的用戶和組就OK了,還要添加該策略生效的用戶可能登錄的計算機,也要添加到篩選里來。