none
AD. Настройка применения групповой политики (конфигурации компьютера) одному пользователю на одном сервере RRS feed

  • Вопрос

  • Приветствую! 

    Ломаю голову над следующей проблемой..

    Задача:

    На терминальном сервере (Citrix XenApp) настроена политика настройки пользовательских профилей. Параметры политики находятся в конфигурации компьютера. Есть пользователь, к которому должны применяться иные параметры. (Синхронизация директорий в первом случае и запрет синхронизации той же директории - во втором)

    Структура домена: 

    Domain

    ---- OU (<CompanyName>)

    ---------OU (Users)

    -------------OU (Computers)

    ---------OU (Servers)

    Политики конфигурации XenApp применяются к OU (<CompanyName>) с WMI фильтром для терминальных серверов, находящихся в OU (Servers), так как включают в себя как конфигурацию компьютера, так и конфигурацию пользователя.

    Пользователь (TEST) находится в OU (Users). Необходимо, чтобы при входе на терминальный сервер для него применялись все политики, кроме GPolicy1, взамен которой применялась бы GPolicy2 (Разница в одном параметре).

    Что пробовал: 

    В тестовой песочнице. 

    1. Структура домена та же.

    Gpolicy1 

    WMI filter - only terminal servers

    Фильтры безопасности - прошедшие проверку

    Делегирование - Дополнительно - пользователю TEST запрещено чтение политики. В результате не применяется конфигурация пользователя. Нужно запретить конфигурацию компьютера.

    Gpolicy2

    WMI filter - only TEST user (Select * from Win32_ComputerSystem where UserName = 'Domain\\TEST')

    (Во другом случае использовался фильтр TEST user + TermServer (SELECT * from Win32_ComputerSystem WHERE ( UserName = 'Domain\\TEST' ) AND ( CSName = 'TermServ')))

    Фильтры безопасности - Domain\TEST + Domain\TermServer

    Loopback - в режиме "Замена"

    Не применяется (Фильтрация:  Отказано (фильтр WMI))

    Без применения фильтра WMI применяется всем пользователям (из-за наличия разрешения для TermServer в фильтре безопасности?)

    Если убрать из фильтра безопасности TermServer - не применяется конфигурация компьютера (что логично..)

    изменил структуру домена

    Domain

    ---- OU (<CompanyName>)

    ---------OU (Users)

    -------------OU (Computers)

    ---------OU (Servers)

    -------------OU (TermServer)

    Применил политику GPolicy2  к OU (TermServer)

    Та же ситуация

    ________________________________________________

    Основная проблема: 

    Не понимаю, как отфильтровать применение конфигурации компьютера к OU с компьютерами только для одного пользователя (запретить одна политику, разрешить другую)

    Прошу помощи!


    С уважением, Петров Семен.



    8 октября 2013 г. 7:24

Ответы

  • Политики из раздела "Конфигурация компьютера" применяются к самому компьютеру в контексте его системной учетной записи. От зарекистрированного в системе пользователя эти политики не зависят. Если параметра, задающего нужное вам поведение, нет в разделе Конфигурация пользователя, то ваша задача решения не имеет.


    Слава России!

    • Помечено в качестве ответа Petrov (Sam) Semen 8 октября 2013 г. 11:09
    8 октября 2013 г. 8:46

Все ответы

  • Добрый день.

    Запретить одному пользователю применять через Security Filter - добавить туда явно пользователя нужного и явно прописать Read - Deny


    Печенкин Николай

    8 октября 2013 г. 7:29
  • Прошу прощения, не отметил. Пользователю TEST запрещено чтение политики Policy1. В результате запрещается только применение Конфигурации пользователя. Конфигурация компьютера остается. Нужна обратная ситуация. Сейчас исправлю в основном тексте

    С уважением, Петров Семен.


    8 октября 2013 г. 7:37
  • Добрый день.

    Как то путано вы объясняете, что нужно сделаь? запретить одному пользователю читать политику ? я как то не понял из всего текста.


    Печенкин Николай

    8 октября 2013 г. 7:48
  • Запретить одному пользователю применение конфигурации компьютера одной политики и разрешить только этому пользователю применение конфигурации компьютера другой политики.

    С уважением, Петров Семен.

    8 октября 2013 г. 7:52
  • Политики из раздела "Конфигурация компьютера" применяются к самому компьютеру в контексте его системной учетной записи. От зарекистрированного в системе пользователя эти политики не зависят. Если параметра, задающего нужное вам поведение, нет в разделе Конфигурация пользователя, то ваша задача решения не имеет.


    Слава России!

    • Помечено в качестве ответа Petrov (Sam) Semen 8 октября 2013 г. 11:09
    8 октября 2013 г. 8:46
  • Да. Озарение пришло, благодарю за разъяснение. Жаль, что мою задачу не решить средствами GP AD..

    С уважением, Петров Семен.

    8 октября 2013 г. 11:10
  • а у этих параметров нет аналогов в пользовательском разделе?
    8 октября 2013 г. 16:08
    Модератор
  • К сожалению, нет. Это настраивается только в разделе Computer Configuration

    С уважением, Петров Семен.

    11 октября 2013 г. 7:37