由于组策略的默认行为,驱动器映射将在链接该策略的OU下为所有用户显示。在每个用户必须根据组成员身份,操作系统,IP地址范围等条件接收不同的驱动器映射的情况下,需要进行更严格的控制。这可以通过创建用于使用项目级别定位映射网络驱动器的组策略来实现。通过项目级定位,管理员只能将驱动器映射应用于满足定义条件的选定用户。
如何使用项目级定位映射网络驱动器
在这种情况下,Asaputra Corp希望根据其团队为他们的员工提供不同的驱动器映射。安全组已创建作为球队标识,asaputra \ G_OPS_RED的为红队和asaputra \ G_OPS_BLUE为蓝队。所有员工都在使用加入公司域的Windows 10计算机,该域在Windows Server 2012 R2上安装了域控制器。每个团队的共享文件夹已经创建,\\ asaputra-DC1 \ RED红队和\\ asaputra-DC1 \蓝色的蓝队。
下面的分步说明将说明如何使用项目级定位来映射网络驱动器:
1.创建策略对象以映射网络驱动器
按照使用组策略映射网络驱动器的指导。如下面的屏幕快照中的箭头所示,将两个新映射添加到共享文件夹:
2.启用项目级别定位
打开Red team驱动器映射的属性,然后单击Common选项卡。勾选项目级定位选项,然后单击“ 定位”按钮。
3.设置条件
在目标编辑器窗口上,单击“ 新建项目”,然后选择“ 安全组”。
在可用字段中为Red team指定安全组名称。确保在选项上选择“ 组中的用户 ”。单击确定以保存配置。
对Blue team网络驱动器并使用适当的安全组,从步骤2到步骤3重复。
4.应用策略并验证结果应用策略后
,Red Team用户将收到以下映射:
来自Blue团队的用户将收到此映射:
使用项目级定位映射网络驱动器的最佳实践
从上面的屏幕截图可以看出,在Targeting Editor中,还可以使用其他属性,例如可用磁盘空间,操作系统版本,注册表以及对其他属性的查询。这些属性可以与AND / OR逻辑结合使用。如果我们想要反转指定条件(例如:用户不是指定组的一部分,用户未运行Windows 10等),我们还可以使用NOT表达式来创建否定条件。一旦实践起来,就不难理解。
另外,“ 通用”选项卡上还有其他可用选项,与在映射网络驱动器上定位的项目级别一起实施时,这些选项可能会很有用。这些选项在下面列出:
- 不再应用时删除此项目:这是一个非常有用的选项,启用后它将在用户不再满足Targeting Editor中指定的条件或删除策略链接时删除驱动器映射。
- 一次应用且不重新应用:默认情况下,每次刷新策略时都会重复执行“组策略”首选项操作。启用此选项后,此行为将停止。如果策略仅打算应用一次(例如在删除和创建新映射时),则在某些情况下这很有用。
“项目”级定位和“ 常用”选项卡中可用的所有其他选项是许多组策略首选项(包括“驱动器映射”)上可用的选项。在这种情况下,我们已成功利用此选项的使用组策略将网络驱动器映射到特定的目标。