none
Limiti all'RDS RRS feed

  • Domanda

  • Sto cercando di capire perché una policy non mi funziona. 

    Ho una OU nella quale ho inserito la policy limiti RDS.

    Cerco di applicare la policy sull'utente ric, che si connette tramite RDS; l'utente ric fa parte del gruppo "abilitati RDS", che sta all'interno dalla OU. Finché non porto anche l'utente ric dentro alla OU, la policy non fa niente; appena lo porto si limita ad elaborare la parte "configurazione utente", ignorando quella "computer".

    Come mai? Allego i due report criteri di gruppo.

    Grazie, saluti

    http://dropcanvas.com/6wudz

    • Modificato maverich1 domenica 20 dicembre 2015 15:58
    domenica 20 dicembre 2015 15:57

Risposte

  • Il funzionamento dei tuoi oggetti GPO è perfettamente normale.

    I criteri computer vengono applicati solo ad oggetti computer (in quanto ovviamente si applicano a tutti gli utenti). Ad esempio nel tuo caso potresti applicare la GPO all'oggetto computer del server RDS, ma poi i criteri configurati sotto configurazione computer si applicheranno a tutti gli utenti che eseguiranno l'accesso.

    L'elaborazione loopback fa il contrario: fa applicare i criteri utente in base al computer utilizzato: https://support.microsoft.com/it-it/kb/231287

    domenica 20 dicembre 2015 18:17
    Moderatore

Tutte le risposte

  • Il funzionamento dei tuoi oggetti GPO è perfettamente normale.

    I criteri computer vengono applicati solo ad oggetti computer (in quanto ovviamente si applicano a tutti gli utenti). Ad esempio nel tuo caso potresti applicare la GPO all'oggetto computer del server RDS, ma poi i criteri configurati sotto configurazione computer si applicheranno a tutti gli utenti che eseguiranno l'accesso.

    L'elaborazione loopback fa il contrario: fa applicare i criteri utente in base al computer utilizzato: https://support.microsoft.com/it-it/kb/231287

    domenica 20 dicembre 2015 18:17
    Moderatore
  • Grazie per la risposta.

    La GPO in questione è applicata alla OU, nella quale ho inserito il server RDS, il gruppo "abilitati rds" e l'utente ric.

    Non capisco cosa devo quindi cambiare per poter ottenere il mio risultato, ho provato a giocare con le opzioni del loopback, ma niente.

    domenica 20 dicembre 2015 21:20
  • Cerco di essere un po' più chiaro: se intendi creare una GPO che applica sia le impostazioni computer che le impostazioni utente solo in base all'utente che esegue l'accesso allora non è possibile (come ti dicevo l'elaborazione loopback funziona al contrario). Quello però che potresti fare è creare due oggetti GPO separati: uno applicato al computer e uno applicato al gruppo di utenti, entrambi però collegati alla stessa OU. Questo però potrebbe non corrispondere esattamente alla tua idea iniziale in quanto le impostazioni del server RDS verranno sempre applicate indipendentemente dall'utente (è sufficiente che l'oggetto computer del server si trovi nell'OU).
    domenica 20 dicembre 2015 23:00
    Moderatore
  • Fabrizio, dimmi se ho fatto bene:

    ho scorporato i settaggi computer dai settaggi utente in due diverse GPO (entrambe linkate alla stessa OU); nella GPO coi settaggi computer ho settato il filtro di sicurezza sul server RDS. Nella GPO coi settaggi utente il filtro è sul gruppo "abilitati RDS". Così sembra funzioni, ma SOLO se l'utente che usa la sessione remota (che fa parte del gruppo "abilitati RDS") lo sposto fisicamente nella OU interessata. Si può evitare?

    Per intenderci, tutto questo lo sto facendo per cercare di limitare le funzionalità delle sessioni RDS di alcuni utenti, mentre altri (tra cui il domain admin) vorrei avessero pieno accesso a tutte le funzioni.

    Grazie,

    lunedì 21 dicembre 2015 11:22
  • Per quanto riguarda l'oggetto utente se la GPO è collegata solo all'OU questo deve trovarsi nell'OU (non è sufficiente inserire solo il gruppo), anche questo è normale. L'unico modo per evitare di inserire anche gli utenti nell'OU è collegare la GPO utente a livello di dominio (invece che all'OU) e inserire nel filtro direttamente il gruppo di sicurezza a cui appartengono gli utenti. Se poi vuoi fare in modo che questa GPO venga applicata solo quando l'utente si connette al server RDS secondo me è meglio aggiungere direttamente un filtro WMI (che filtra ad esempio in base al nome computer) piuttosto che utilizzare l'elaborazione loopback.
    lunedì 21 dicembre 2015 11:52
    Moderatore