none
GPO per utenti terminal server in dominio RRS feed

  • Domanda

  • Ciao a tutti, ho un terminal server 2008 in AD. Gli utenti di dominio hanno già delle policy (blocco del pannello di controllo etc.) ora vorrei che quando entrano in terminal server su uno specifico server ci siano queste altre restrizioni. se metto solo il server interessato sotto un gruppo e ci applico le policy funziona ? ma poi queste vengono applicate anche al domain admin ?

    Grazie

    JK

    martedì 20 novembre 2012 14:17

Risposte

  • Dovrebbe fare (quasi, si parla di 2003 ma non credo ci siano sostanziali differenze ad applicare i concetti al 2008) esattamente al caso tuo:

    http://technet.microsoft.com/it-it/library/cc780733(v=ws.10).aspx

    Ciao,


    Dario Palermo

    martedì 20 novembre 2012 15:05

Tutte le risposte

  • Dovrebbe fare (quasi, si parla di 2003 ma non credo ci siano sostanziali differenze ad applicare i concetti al 2008) esattamente al caso tuo:

    http://technet.microsoft.com/it-it/library/cc780733(v=ws.10).aspx

    Ciao,


    Dario Palermo

    martedì 20 novembre 2012 15:05
  • grazie del link, mi metto alla lettura

    Jk

    martedì 20 novembre 2012 15:51
  • ho letto il link, però mi manca quacosa. Io ho fatto i seguenti passi:

    1) ho creato un gruppo con tutti gli utenti che devono accedere in Terminal Server

    2) Ho creato una nuova Unità Organizzativa, in questa OU ho creato una Policy, l'ho editata ed ho attivato nel percorso ConfigurazioneComputer==>ModelliAmministrativi==>sistema==>CriteriDiGruppo la voce "Modalità di elaborazione loopback dei criteri di gruppo" specificando la voce "Sostituisci". In Scope della policy ho tolto "autenticated users" ed ho inserito il gruppo precedentemente creato.

    3) Ho spostato il server terminal in questa OU nuova (nella guida non è specificato ma credo vada fatto)

    4) Nei criteri di gruppo locali del server Terminal ho applicato le policy, ma queste vengono applicate anche all'amministratore di sistema, non solo al gruppo specificato al punto 1

    Cosa sto sbagliando ?

    Grazie

    JK

    venerdì 23 novembre 2012 11:37
  • ho letto il link, però mi manca quacosa. Io ho fatto i seguenti passi:

    1) ho creato un gruppo con tutti gli utenti che devono accedere in Terminal Server

    2) Ho creato una nuova Unità Organizzativa, in questa OU ho creato una Policy, l'ho editata ed ho attivato nel percorso ConfigurazioneComputer==>ModelliAmministrativi==>sistema==>CriteriDiGruppo la voce "Modalità di elaborazione loopback dei criteri di gruppo" specificando la voce "Sostituisci". In Scope della policy ho tolto "autenticated users" ed ho inserito il gruppo precedentemente creato.

    3) Ho spostato il server terminal in questa OU nuova (nella guida non è specificato ma credo vada fatto)

    4) Nei criteri di gruppo locali del server Terminal ho applicato le policy, ma queste vengono applicate anche all'amministratore di sistema, non solo al gruppo specificato al punto 1

    Cosa sto sbagliando ?

    niente: ti sono solo sfuggite queste paroline magiche

    With security filtering, you can apply a GPO with user-based policy settings to a specific domain group with only user members. The computer policy will not apply, but the user policy settings will apply to any user belonging to the security group used in filtering.


    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    venerdì 23 novembre 2012 12:12
    Moderatore
  • Non avevo letto con attenzione che è necessario creare due policy sull'unità organizzativa, la prima attivando solo la voce "Modalità di elaborazione loopback dei criteri di gruppo" mentre nella seconda devo impostare le policy e in scope inserire solamente il gruppo degli utenti che devono accedere al terminal server. Così ho risolto.

    JK

    venerdì 23 novembre 2012 14:01
  • Io ho provato ad aggiungere la seconda policy ma niente da fare...

    Cosa posso fare?

    Grazie

    mercoledì 6 novembre 2013 17:17
  • sei sicuro che le due policy vengano entrambe applicate ?

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    venerdì 8 novembre 2013 14:45
    Moderatore