none
组策略如何实现只应用给新创建的用户 RRS feed

  • 问题

  • 需求是这样,要为所有新入职员工桌面放一些入职所需要查看的文档,不将策略应用给老员工,我通过组策略首选项,已经实现为用户桌面下发文件,关于如何实现过滤新员工,我的想法是尝试下首选项项目级目标,LDAP筛选器,在里面对whencreated进行过滤,从某一天之后新创建的员工,这个ldap筛选器语句我在AD查询里面尝试是有结果的,但不知道为什么拿到项目级目标ldap筛选器就不能用,首选项下发下去筛选器没有生效,按照图中配置后还是应用给所有用户,还望指点,是这里的语句写的不对,还是少了别的定义。

    (&(objectClass=user)(whenCreated>=20201101000000.0Z))

    2020年11月3日 10:29

答案

  • 我也测试一下,结果是无法成功。但策略成功应用。后来查看帮助,发现这么一个情况:此处的LDAP Filter与标准的Filter语法(例如AD中保存的查询)不一样。而且能够筛选的变量有限。不像保存的查询可以筛选几乎所有。

    如下为策略设置:

    如下为用户创建时间:

    如下为用户han已经应用用户策略

    Windows正常的ldap filter语法正常是这样写的(&(objectCategory=person)(objectClass=user)(sn=A*)),但这个据然是这样写(下图,说明两者不一)

    而且能够筛选的变量还会局限于如下几个字符串,显然你的whenCreat不在里面。whenCreat属于“普通时间”如最下图:

    • 已标记为答案 Mr.MikeWang 2020年11月25日 5:52
    2020年11月5日 6:52

全部回复

  • 策略设置没问题。不过此种筛选不建议使用首选项,直接标准用户策略。ldap filter语法建议这2种语法你试试(第三方使用的ldap filter不一定完美兼容微软,如遇到这情况,比较尴尬):

    1、(&(sAMAccountType=805306368)(whenCreated>=20201101000000.0Z))

    2、(&(objectCategory=person)(objectClass=user)(whenCreated>=20201101000000.0Z))

    2020年11月4日 1:46
  • 感谢答复,您所说的标准用户策略是什么意思,据我所知组策略拷贝文件到用户桌面,只能通过首选项或者写登录脚本实现?
    2020年11月4日 3:26
  • 策略设置没问题。不过此种筛选不建议使用首选项,直接标准用户策略。ldap filter语法建议这2种语法你试试(第三方使用的ldap filter不一定完美兼容微软,如遇到这情况,比较尴尬):

    1、(&(sAMAccountType=805306368)(whenCreated>=20201101000000.0Z))

    2、(&(objectCategory=person)(objectClass=user)(whenCreated>=20201101000000.0Z))

    感谢答复,另您所说的标准用户策略是什么意思,据我所知组策略拷贝文件到用户桌面,只能通过首选项或者写登录脚本实现?
    2020年11月4日 3:27
  • 你说的是对的,我刚才说错了。我以为组策略中的“计算机配置\策略”或者“用户配置\策略”里面可以直接设置,实则发现只能通过开机或登陆脚本。最好是通过首选项

    关于ldap filter,这篇文章,写的相当专业,而且拥有很多典型例子,可以非常好的解决你的问题。你的组策略设置没问题。

    https://social.technet.microsoft.com/wiki/contents/articles/5392.active-directory-ldap-syntax-filters.aspx?Sort=MostUseful&PageIndex=1&Sort=MostUseful&PageIndex=1
    • 已编辑 volnno 2020年11月4日 6:01
    2020年11月4日 6:00
  • 你好,

    根据我的理解,您的方向是对的。

    我尝试用以上语法进行的测试也没用成功,应该是LDAP筛选语句需要调整。

    因为对此不是很熟悉,非常抱歉对此没办法给出更专业的意见。

    如果最终不能成功使用ldap filter,则建议:

    将新加入的用户加入安全组,在GPO security filter设置上给此安全组读取和应用的权限,默认的authenticated users 仅配置读取的权限。

    或者将新建的用户放入特定的OU里,将复制文件的GPO 链接在此OU上。

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2020年11月4日 7:24
  • 我也测试一下,结果是无法成功。但策略成功应用。后来查看帮助,发现这么一个情况:此处的LDAP Filter与标准的Filter语法(例如AD中保存的查询)不一样。而且能够筛选的变量有限。不像保存的查询可以筛选几乎所有。

    如下为策略设置:

    如下为用户创建时间:

    如下为用户han已经应用用户策略

    Windows正常的ldap filter语法正常是这样写的(&(objectCategory=person)(objectClass=user)(sn=A*)),但这个据然是这样写(下图,说明两者不一)

    而且能够筛选的变量还会局限于如下几个字符串,显然你的whenCreat不在里面。whenCreat属于“普通时间”如最下图:

    • 已标记为答案 Mr.MikeWang 2020年11月25日 5:52
    2020年11月5日 6:52
  • 十分感谢
    2020年11月25日 5:52
  • 谢谢您的答复,最终我是这样实现的需求。
    2020年11月25日 5:55