locked
Aplicar diferentes GPO's em Maquinas Locais e Terminal Service Windows Server 2003 RRS feed

  • Pergunta

  • Cenário:
    Tenho um servidor Controlador de Domínio com Active Directory instalado com seus respectivos grupos/usuários e Unidades Organizacionais.
    Este mesmo servidor também é Terminal Server para acesso remoto, ou seja, um "Servidor AD/TS".

    Exemplo do Problema:
    O usuário “Sérgio” pertence ao Grupo “TS.local” e também ao Grupo “TS.Terminal”
    O usuário “Sergio” precisa logar tanto no Terminal Server quanto no domínio com sua maquina física local.

    Tenho a "GPo.Terminal" para o grupo “TS.Terminal” e "GPo.Local" para o Grupo “TS.local”, preciso aplicar "GPo.Local" com seus respectivos bloqueios para Maquina física e a "GPo.Terminal" para o Terminal Server. Utilizando o mesmo usuário "Sérgio".

    Como consigo proceder para alcançar o objetivo, sem que eu tenha que criar dois usuários diferentes, um para TS e outro para Local.

    Obrigado pela força.
    __________________
    Sergio Junior
    Técnico em Administração de Redes
    _______________________________________


    quinta-feira, 19 de julho de 2012 12:46

Respostas

  • Sergio,

    Você pode criar uma diretiva local no terminal server para usuario do terminal server, pois a policy local tem preferencia sobre todas as outras.

    Voce cria uma policy para o dominio que servirá para estações locais.


    MCP-W2K3/MCDST/MCSA/MCTS SE A RESPOSTA FOR UTIL, CLASSIFIQUE-A!

    quinta-feira, 19 de julho de 2012 13:43
  • Sergio,

    Seria mais fácil se a outra máquina estivesse no dominio, existe a possibilidade de colocar?

    []s


    Erick Albuquerque | Microsoft MVP
    MVP Profile | Twitter | Linkedin | http://iisbrasil.wordpress.com

    quinta-feira, 19 de julho de 2012 13:45
  • Cenário:

    Tenho um servidor Controlador de Domínio com Active Directory instalado com seus respectivos grupos/usuários e Unidades Organizacionais.
    Este mesmo servidor também é Terminal Server para acesso remoto, ou seja, um "Servidor AD/TS".

    Exemplo do Problema:
    O usuário “Sérgio” pertence ao Grupo “TS.local” e também ao Grupo “TS.Terminal”
    O usuário “Sergio” precisa logar tanto no Terminal Server quanto no domínio com sua maquina física local.

    Tenho a "GPo.Terminal" para o grupo “TS.Terminal” e "GPo.Local" para o Grupo “TS.local”, preciso aplicar "GPo.Local" com seus respectivos bloqueios para Maquina física e a "GPo.Terminal" para o Terminal Server. Utilizando o mesmo usuário "Sérgio".

    Como consigo proceder para alcançar o objetivo, sem que eu tenha que criar dois usuários diferentes, um para TS e outro para Local.

    Obrigado pela força.

    __________________
    Sergio Junior
    Técnico em Administração de Redes
    _______________________________________


    Bom dia, Gustavo e Erick!

    Agradeço pela força e desculpe a demora em responder.

    Consegui achar a solução que se encaixou perfeitamente para este cenário ficou simples e funcional, é o seguinte:

    A solução foi através de filtros WMI Filters

    Primeiro Filtro:

    Criei um filtro com o nome LOCALpara ser aplicado na GPo.Localcom a seguinte Query

    Select * from Win32_OperatingSystem where not (caption like %server%)

    A função deste filtro diz o seguinte: Que esta GPO não se aplica em sistemas operacionais que contenham a caption Server

    Segundo Filtro:

    Criei um segundo filtro com o nome TSpara ser aplicada na GPo.Terminalcom a seguinte Query.

    Select * from Win32_OperatingSystem where caption LIKE %server%

    A função deste filtro diz o seguinte: Que esta GPO só será aplicada em sistemas operacionais que contenham a caption Server

    Conclusão.

    Todos os objetos pertencentes às Gpo’s citadas acima passaram por estes filtros, ou seja, o usuário Sérgiopoderá logar tanto com sua Maquina Física Local quanto no Terminal Server que as políticas serão aplicadas separadamente.

    Qualquer duvida em como criar Filtros WMI e aplica-los nas Gpo’s solicitar no fórum.

    Obrigado.



    Sergio Junior

    Técnico em Administração de Redes

    _________________________________________________________________




    quarta-feira, 25 de julho de 2012 13:25

Todas as Respostas

  • Sergio,

    Você pode criar uma diretiva local no terminal server para usuario do terminal server, pois a policy local tem preferencia sobre todas as outras.

    Voce cria uma policy para o dominio que servirá para estações locais.


    MCP-W2K3/MCDST/MCSA/MCTS SE A RESPOSTA FOR UTIL, CLASSIFIQUE-A!

    quinta-feira, 19 de julho de 2012 13:43
  • Sergio,

    Seria mais fácil se a outra máquina estivesse no dominio, existe a possibilidade de colocar?

    []s


    Erick Albuquerque | Microsoft MVP
    MVP Profile | Twitter | Linkedin | http://iisbrasil.wordpress.com

    quinta-feira, 19 de julho de 2012 13:45
  • Cenário:

    Tenho um servidor Controlador de Domínio com Active Directory instalado com seus respectivos grupos/usuários e Unidades Organizacionais.
    Este mesmo servidor também é Terminal Server para acesso remoto, ou seja, um "Servidor AD/TS".

    Exemplo do Problema:
    O usuário “Sérgio” pertence ao Grupo “TS.local” e também ao Grupo “TS.Terminal”
    O usuário “Sergio” precisa logar tanto no Terminal Server quanto no domínio com sua maquina física local.

    Tenho a "GPo.Terminal" para o grupo “TS.Terminal” e "GPo.Local" para o Grupo “TS.local”, preciso aplicar "GPo.Local" com seus respectivos bloqueios para Maquina física e a "GPo.Terminal" para o Terminal Server. Utilizando o mesmo usuário "Sérgio".

    Como consigo proceder para alcançar o objetivo, sem que eu tenha que criar dois usuários diferentes, um para TS e outro para Local.

    Obrigado pela força.

    __________________
    Sergio Junior
    Técnico em Administração de Redes
    _______________________________________


    Bom dia, Gustavo e Erick!

    Agradeço pela força e desculpe a demora em responder.

    Consegui achar a solução que se encaixou perfeitamente para este cenário ficou simples e funcional, é o seguinte:

    A solução foi através de filtros WMI Filters

    Primeiro Filtro:

    Criei um filtro com o nome LOCALpara ser aplicado na GPo.Localcom a seguinte Query

    Select * from Win32_OperatingSystem where not (caption like %server%)

    A função deste filtro diz o seguinte: Que esta GPO não se aplica em sistemas operacionais que contenham a caption Server

    Segundo Filtro:

    Criei um segundo filtro com o nome TSpara ser aplicada na GPo.Terminalcom a seguinte Query.

    Select * from Win32_OperatingSystem where caption LIKE %server%

    A função deste filtro diz o seguinte: Que esta GPO só será aplicada em sistemas operacionais que contenham a caption Server

    Conclusão.

    Todos os objetos pertencentes às Gpo’s citadas acima passaram por estes filtros, ou seja, o usuário Sérgiopoderá logar tanto com sua Maquina Física Local quanto no Terminal Server que as políticas serão aplicadas separadamente.

    Qualquer duvida em como criar Filtros WMI e aplica-los nas Gpo’s solicitar no fórum.

    Obrigado.



    Sergio Junior

    Técnico em Administração de Redes

    _________________________________________________________________




    quarta-feira, 25 de julho de 2012 13:25