none
Не работает функция запрета применения групповой политики RRS feed

  • Общие обсуждения

  • Проблема следующая. Нужно организовать доступ к локальным дискам на терминальном сервере только определенной группе пользователей доиена. В свойствах коллекции включена опция "Диски".Т.е изначально они пробрасываются всем пользователям домена. Далее,я создаю групповую политику (политика для компьютера) на запрет локальных дисков и во вкладке делегирование для моей нужной группы ставлю атрибут "Запретить" в пункте применения групповой политики. В фильтрах безопасности стоят "Прошедшие проверку". Сама же политика вешается на 5 терминальных серверов. В итоге после gpupdate политика срабатывает,но исключение для моей группы пользователей не применяется.Диски блокируются для всех пользователей. Перепробовал уже кучу вариантов,не проходит. Подскажите решение.

    Видимо,политика отрабатывает в приоритете на компьютере,а пользовательскую часть напрочь игнорирует. Пробовал ставить режим замыкания на себя,не помогает. В пользовательской ветке политики нужной мне вкладки нет,так бы проблем не было.

     
    30 июня 2015 г. 20:55

Все ответы

  • Здравствуйте!

    Прочтите здесь:https://technet.microsoft.com/ru-ru/library/jj134176.aspx

  • Само собой, прежде чем запускать обновление политики на конечных компьютерах,я жду окончания репликации между контроллерами домена, с репликациями в домене проблем у меня нет.

    Должен ли работать вариант описанный мною выше или нет? 

     
    • Изменено RUSAGRO 1 июля 2015 г. 7:09
  • Попробуйте еще раз внятно описать вашу вашу ситуацию.Трудно понять что у вас происходит.

    Но вот меня терзают смутные сомнения что у вас в этой политике для терминалок еще до кучи включается лупбак. В таком случае у вас и будет работать юзерская часть(при условии что вы ее вешаете на терминалки). Емнип, в той политике будут работать пермишены только на терминалки. Пользователи будут игнорироваться.

    Вот если вы там же создадите еще одну политику с пользовательской частью в которой разрешите нужные вам диски нужным пользователям то все должно работать.

    ну или по той же схеме включаете лупбак всем в одной политике, а вот включение\отключение дисков уже в последующей политике (тут права выставляете как описано у вас)

  • Пробую объяснить еще раз:

    1) Есть терминальная ферма на win 2012 R2. В свойствах коллекции в настройках пользователей стоит галка "Диски", которая позволяет подключать в терминальную сессию локальные диски компьютера. Все работает. Диски подключаются ВСЕМ. Мне надо чтобы возможность подключения локальных дисков была только у конкретной группы пользователей (создал такую группу в ad). 

    2) В групповых политиках Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\ Службы удаленных рабочих столов\Узел сеансов\ Перенаправление устройств и ресурсов есть пункт "Не разрешать перенаправление дисков" . В пользовательской ветке такого нет,иначе этой проблемы бы не было!

    3) Включаю этот пункт и вешаю политику на группу в которую входят 5 серверов-хостов сеансов. Также в фильтрах безопасности этой политики стоит "Прошедшие проверку".Я дополнительно добавляю во вкладку Делегирование свою группу(на которую хочу,чтобы политика не распространялась) и ставлю Запретить применение этой политики.

    4) gpupdate /force на всех 5 серверах.

    5) политика применяется(смотрю по gpresult /r) . Но диски блокируются у всех пользователей! Галка запрета применения на мою группу не действует.

    6) пробовал ставить режим замыкания также,итог один ,диски режутся у всех.

    1 июля 2015 г. 10:13
  • дык и недолжна компьютерная политика фильтроваться по пользователям.

    Вы на уровне всего сервера запретили редирект локальных дисков ДЛЯ ВСЕХ. и применили это на сервер. пользователи тут вообще не при делах, эта часть политики их не касается и пользователями не обрабатывается.

    1 июля 2015 г. 10:46
  • Да,я знаю!

    Поэтому и спросил совета,как можно реализовать мой вариант,если нет нужной мне пользовательской составляющей в политике. А для наглядности,просто описал все варианты, которые я опробовал.

    Может кто пробовал настроить тоже самое?

    1 июля 2015 г. 11:33
  • дык снимите запрет с одного(пары) из серверов и разрешите тудой ходить только вашим избранным, не?

    ну или попробовать пущать через РД гейтвей и там с капами поиграть.

    1 июля 2015 г. 11:57
  • У меня настроен RemoteAPP,вход из домена, соответственно настройка гейтвей не подходит. А вот первый вариант очень интересен!

    Но как заставить нужных пользователей заходить на конкретный хост сервер? Сейчас в настройках коллекции вес всех моих 5 хостовых серверов одинаков,и брокер сам в зависимости от нагрузки кидает подключающихся пользователей на наименее загруженный хост.

    1 июля 2015 г. 12:17