グループポリシーで特定のコンピュータにだけGPOを適用するフィルター設定

グループポリシーで特定のコンピュータにだけGPOを適用するフィルター設定に関する情報です。

まず、デフォルトで「authenticated users」というものがあります。

これについては以下が参考になります。

グループポリシーは常に「authenticated users」を必要としますか？

https://community.spiceworks.com/topic/2327373-does-group-policy-always-need-authenticated-users

GPOは常にauthenticated usersを必要とするのか、それともセキュリティグループでフィルタリングすることができるのか？

例えば、Tシャツのデザイナーのデスクトップショートカットを配布する場合、そのデザイナーは「A Logo For You」というセキュリティグループに属しています。このデザイナーは、「A Logo For You」というセキュリティグループに所属しています。それとも、認証されたユーザーも必要なのでしょうか？他の方法でもかまいません。動作し、信頼性があり、一貫性のあるものであれば何でも。

DelegationタブでDomain Computers with Read Rightsを追加するだけで、正しく動作しています。Auth Usersはコンピュータとユーザーを含むので、これを削除すると、コンピュータがGPOを見ることができるように、コンピュータを追加して、ユーザーグループに適用する必要があります。

「Auth Usersはコンピュータとユーザーを含む」というのが肝ですね。

つまり、これが残っているとユーザーポリシーも適用されます。ただ、基本はコンピューターとユーザーはOUが分けられているとは思います。

そして、authenticated usersを削除して、特定のコンピュータやグループを追加することで、その対象を制限できます。