none
Применение GPO к группам пользователей домена RRS feed

  • Вопрос

  • Добрый день господа.

    Что есть:

    Домен и рядовой сервер WS 2008 R2 на котором подняты службы удаленных рабочих столов.Структура OU в которых есть пользователи и к которым применены определенные GPO.

    Есть глобальная группа пользователей домена, в которую входят учетные записи пользователей, которым разрешен доступ к службе терминалов, эта группа добавлена в группу "пользователи удаленного рабочего стола" на WS 2008 R2.В то же время этой группе пользователей должен быть ограничен круг операций с удаленным прабочим столом, в части GPO применимых как к компьютеру, так и к пользователю! 

    Что необходимо-в краце:Применить GPO на уровне групп пользователей домена, для применения политик user configuration!!

     

     

    Что делаю:

    Создаю OU, перемещаю туда объект компьютер со службой терминалов,перемещаю созданную глобальную группу пользователей, создаю GPO "TSUser" и связываю его с этим OU, блокирую наследование от более высоких объектов в дереве.В свойствах GPO computer configuration и user configuration утсанавливаю те настройки, которые мне необходимы.

    Удаляю в свойствах безопасности группу Autenticated Users, смотрю в свойствах что есть моя группа и мой компутер с разрешениями "чтание" и "Применение GPO". На сервере терминалов WS 2008 R2 делаю gpupdate /force.Далее отрабатываю GP RESULT в консоли GPMC и обнаруживаю, что отрабатывает только GPO user configuration!

    Прочитав статью http://ru-board.com/new/article.php?sid=174  у меня возник вопрос, как я могу удалить Autenticated Users например из GPO уровня домена, либо более высокого объекта по отношению к моему OU (исходя из совета в статье), если там уже есть другие GPO,нехотелось бы нарушить уже сконфигурированные настройки GPO для всех пользователей домена.

    Каким образом поступить?Подскажите, кто знает?

    Заранее благодарен!

     

     

     

     

     

    24 марта 2010 г. 19:39

Ответы

  • Если я правильно понял, то Вам надо применить пользовательские политики на терминальных серверах. Делается это следующим образом. Создается OU, туда помещается терминальный сервер, к контейнеру присоединяется политика в которой включен режим замыкания. Если не включать режим замыкания, то из этой политики будут действовать только компьютерная часть (даже если Вы поместите туда группу AD). Режим замыкания позволяет применить user configuration, даже если сам пользователь находится в другом OU и политика применяется только к компьютеру.

    • Помечено в качестве ответа rеstless 25 марта 2010 г. 10:16
    25 марта 2010 г. 6:47

Все ответы

  • Думаю в этом случае достаточно настроить loopback processing на политике привязанной к контейнеру с терминальным сервером. Это один из наиболее предпочтительнных способов настройки пользовательских политик на терминальных серерах.

    http://support.microsoft.com/kb/260370

    24 марта 2010 г. 19:50
  • Немного непонятно.Я так понимаю при включении функции "Режим обработки замыкания пользовательской групповой политики", применяется и user configuration ? Но как мне регулировать то к какому именно юзеру это применить? Ведь у меня два терминальных сервера, н аодном у меня привилегированный доступ а на другом более жестко ограниченный (заранее извиняюсь, что забыл это упоминуть!). Это значит чо каким то группам пользователей нужен GPO менее жестким, а другой группе пользователей GPO более жесткий!

    То есть два OU, в них находятся терминальные сервера и группы пользователей-такая конфигура сможет работать?

    Тогда как быть?

    25 марта 2010 г. 6:25
  • Можно разнести терминальные сервера по разным OU и сделать для них разные политики. Если есть возможность избежать сочетания режима замыкания и фильтрации при помощи настроек безопасности, то лучше сделать это.

    25 марта 2010 г. 6:29
  • Если есть возможность избежать сочетания режима замыкания и фильтрации при помощи настроек безопасности, то лучше сделать это.


    Всмысле то что вы изначально предлагали?

     

    Есть дв OU, туда перемещены объекты терминальных серверов, туда же группы пользователей которым необходимо применение GPO на уровне пользователя!! На уровне компутера  GPO отрабатывает отлично.Но этого не достаточно!

    Я хотел спросить по поводу применения политик пользователя.Немного непонятен смысл, либо я так понимаю при замыкании применяются политики только компьютера? Но мне необходимо допустим убрать с рабочего стола ненужные компоненты и т.д.-а это можно сделать только на уровне user configuration.Как тогда быть то? По подробнее можно?

    25 марта 2010 г. 6:36
  • Если я правильно понял, то Вам надо применить пользовательские политики на терминальных серверах. Делается это следующим образом. Создается OU, туда помещается терминальный сервер, к контейнеру присоединяется политика в которой включен режим замыкания. Если не включать режим замыкания, то из этой политики будут действовать только компьютерная часть (даже если Вы поместите туда группу AD). Режим замыкания позволяет применить user configuration, даже если сам пользователь находится в другом OU и политика применяется только к компьютеру.

    • Помечено в качестве ответа rеstless 25 марта 2010 г. 10:16
    25 марта 2010 г. 6:47
  • Щас попробую и отпишусь!
    • Помечено в качестве ответа rеstless 25 марта 2010 г. 10:16
    • Снята пометка об ответе rеstless 25 марта 2010 г. 10:16
    25 марта 2010 г. 6:52
  • Ок все отлично спаиб!
    29 марта 2010 г. 6:48