none
Применение разных GPO к Terminal Server для Domain Users RRS feed

  • Вопрос

  • Доброго дня Уважаемые творцы админского дела.
    Введу вас в курс дела.

    Есть домен на основе Windows Server 2003. В домене есть некий терминальный сервер-член домена на базе Windows Server 2003.
    Компания состоит из головного офиса, где собственно все и находится и двух бранчей-филиалов.
    Из одного филиала необходимо дать доступ на терминальный сервер в головном офисе с функцией только для перенаправления папок и локальных принтеров.

    Как организована поитика:
    В AD создана глобальная группа безопасности TerminalUsersBranch, в эту группу входят те пользователи которым необходим определенный доступ на терминальный сервер нашего офиса. Далее эта группа включена в группу на терминальном сервере -Пользователи удаленного рабочего стола.
    Есть так же другие определенные глобальные группы безопасности с другими членами-для другого вида доступа на терминальный сервер.

    Далее есть организационное подразделение TerminalServers, куда входит собственно сам терминальный сервер и разные GPO для связывания их с группами типа TerminalUsersBranch и с объектм computer "сервер терминалов"-назовем его TSserv.

    Значит ситуация следующего плана.
    Если смотреть через консоль GPMC , то переходя на OU TerminalServers-видим, что первой стоит GPO c названием TsUserBr-связана с компутером TSserv и группой TerminalUsersBranch, в свойствах безопасности стоят разрешения "применение групповой политики" и запрет на применение групповой политики для DomainAdmins(что бы исключить админов из свойств этой политики)
    И так далее всего пять GPO СВЯЗАННЫХ С ОДНИМ И ТЕМ ЖЕ  TSserv, но разными группами для каждого GPO!

    Что происходит:
    При изменении любого GPO лежащего ниже GPO TsUserBr, все равно применяется именно эта поитика(TsUserBr) как бы мы  не меняли в свойстве Computer Configuration-компоненты виндовс-терминальный сервер-перенаправление принтеров и дисков.

    По теории применяется политика которая самая верхняя в списке, я так понимаю.Но тогда получается что на уровне Computer Configuration не сделать четкого разграничения по ПОЛЬЗОВАТЕЛЯМ.
    НАПРИМЕР:
    Есть два юзера из одного филиала и они должны получить доступ к одному и тому же теминальному серверу
    И тогда вопрос напрашивается сам собой:
    Как сделать так что бы один юзер подключяясь к тому же самому серверу получил перенаправление папок, дисков, либо принтеров, а другой юзер ИЗ ТОГО ЖЕ ФИЛИАЛА, ЗАХОДЯ НА ТОТ ЖЕ СЕРЕР НЕ МОГ ПОЛУЧИТЬ ТАКИХ ПРАВ?
    Пробовали и снимать Link GPO и делали Enforce, ничего не помогает-все последующие политики получают настройки Computer Configuration  самого верхнего GPO.
    Как то можно изменить текущую ситуацию?
    Заранее благодарен!

    25 декабря 2009 г. 20:31

Все ответы

  • Но тогда получается что на уровне Computer Configuration не сделать четкого разграничения по ПОЛЬЗОВАТЕЛЯМ.

    В разделе Computer Configuration - нет.

    Есть два юзера из одного филиала и они должны получить доступ к одному и тому же теминальному серверу
    И тогда вопрос напрашивается сам собой:
    Как сделать так что бы один юзер подключяясь к тому же самому серверу получил перенаправление папок, дисков, либо принтеров, а другой юзер ИЗ ТОГО ЖЕ ФИЛИАЛА, ЗАХОДЯ НА ТОТ ЖЕ СЕРЕР НЕ МОГ ПОЛУЧИТЬ ТАКИХ ПРАВ?

    Вы можете разрешить или запретить перенаправление папок и принтеров в свойствах учетной записи доменного пользователя на закладке Environment (перенаправление папок будет работать только для клиентов Citrix). 
    25 декабря 2009 г. 20:58
    Модератор

  • Вы можете разрешить или запретить перенаправление папок и принтеров в свойствах учетной записи доменного пользователя на закладке Environment (перенаправление папок будет работать только для клиентов Citrix). 
     То есть я так понимаю, что вышописанные действия можно сделать только в свойствах аккаунта, но у нас по 300 юзеров в представительствах и каждому это настраивать, ето гемморой.
    Вообще если так задуматься , то зачем майкрософт сделала два раздела user configuration и computer configuration, могли бы что то одно сделать, а так выходит для свойств политики computer configuration типа "либо это можно для всех", "либо не кому"-смысл тогда? У меня допустим 50 юзеров работатют с перенаправлением устройств, а остальные 100 человек работая на той же терминалке, должны заниматься другим-но не видеть перенаправления.Понятно что на уровне user configurtion можно гранулировать доступы к окружению юзверей.
    Но почему настройки терминала вообще поместили тогда в computer configuration?-именно перенаправление
    Вобщем это не выход.

    Но тогда получается что на уровне Computer Configuration не сделать четкого разграничения по ПОЛЬЗОВАТЕЛЯМ.

    В разделе Computer Configuration - нет.

    А НА УРОВНЕ КОМПЬЮТЕРОВ ПОЛЬЗОВАТЕЛЙ-если компутеры привязать к GPO-с одних компутеров  смогут осуществлять перенаправление,а с других нет? Хотя это то же не решение, а куча усложнений по моему
    25 декабря 2009 г. 21:19
  • Есть еще один способ, но не знаю, будете ли вы его рассматривать. :)

    В терминальном сервере можно создать второй объект типа Connection в консоли Terminal Services Configuration. Тогда для разных объектов Connection можно настроить разные политики, и при этом подключения к объектам Connection можно разграничивать на уровне пользователей и групп. Здесь есть одна сложность, состоящая в том, что объект Connection можно привязать только к сетевому адаптеру, иными словами, для добавления второго объекта Connection (в дополнение к существующему RDP-Tcp Connection) потребуется, чтобы сервер был оснащен вторым сетевым адаптером, также подключенным к сети. Есть и обходной вариант, он основан на добавлении в сетевую конфигурацию фиктивных сетевых интерфейсов типа MS Loopback и описан в моей статье

    http://www.osp.ru/win2000/2004/06/177137/

    • Помечено в качестве ответа Dmitry PonomarevEditor 26 декабря 2009 г. 20:14
    • Снята пометка об ответе rеstless 18 января 2010 г. 9:52
    25 декабря 2009 г. 21:29
    Модератор
  • То есть я так понимаю, что вышописанные действия можно сделать только в свойствах аккаунта, но у нас по 300 юзеров в представительствах и каждому это настраивать, ето гемморой.
    Вообще если так задуматься , то зачем майкрософт сделала два раздела user configuration и computer configuration, могли бы что то одно сделать, а так выходит для свойств политики computer configuration типа "либо это можно для всех", "либо не кому"-смысл тогда? У меня допустим 50 юзеров работатют с перенаправлением устройств, а остальные 100 человек работая на той же терминалке, должны заниматься другим-но не видеть перенаправления.Понятно что на уровне user configurtion можно гранулировать доступы к окружению юзверей.
    Но почему настройки терминала вообще поместили тогда в computer configuration?-именно перенаправление
    Вобщем это не выход.
    Здесь все просто: политики Computer Configuration вносят изменения в раздел реестра HKEY_LOCAL_MACHINE, который единый для всех пользователей, а политики User Configuration - в раздел HKEY_CURRENT_USER. В рамках протокола RDP политики перенаправления не настраиваются гранулярно для пользователей (есть исключение - см. предыдущий пост). Хотите большей гибкости - рассматривайте переход на Citrix.
    25 декабря 2009 г. 21:36
    Модератор
  • А интереснов 2008-й винде можно такую фичу настроить?

    25 декабря 2009 г. 23:28
  • Можно, но я не тестировал эту возможность в Windows Server 2008. Мне такая конфигурация требовалась для организации публикации приложений в Windows Server 2003, а сейчас RemoteApp является штатной функцией и делает это намного лучше.
    26 декабря 2009 г. 16:56
    Модератор
  • То есть вы хотите сказать, что разграничить юзверей по перенаправлению дисков и принтеров ИМЕННО НА УРОВНЕ COMPUTER CONFIGURATION при помощи RemoteApp можно, правильно я понял? А если можно коротко логически это как? Я сам пробовал ставить RemoteAPP отличная штука, но каким образом повлиять на GPO сервера?

    И еще можно вопросики, с помощью которых я хотел бы поставить точки над вопросами типа:
    Сейчас говорим про WINDOWS SERVER 2003
    Есть обычная консоль управлениями GPO через AD Users and Computers и GPMC-более гибкий инструмент работы с GPO.
    Хочется понять некую разницу свойств приминения политик-наследования, прерывания наследования,не перекрытия ит.д

    Так как GPMC не русифицирована, есть некая путаница-к примеру:

    Что означает галочка Enforced в GPMC, ясно что принудительное приминение политики, но если сравнивать с обычной руссой консолью-то что здесь означает такая характеристика как Enforced (не перекрывать, либо что то еще).
    Теперь порядок приминения политик, в GPMC если нажать на OU  то с права в консоли GPMC высыпятся все GPO связанные с этим OU и они идут по нумерации-допустим от 1 до 5, то есть получается что политика под номером 1 самая приоритетная? И никакая нижняя GPO при изменении не сможет изменить параметры принятые политики под номером 1 так? Либо это больше относится к параметрам Computer Configuration? http://itc.ua/img/ko/2003/17/gpmc_2.jpg
    Link Order я так понимаю порядок приминения
    Enforced пока что не понятно
    Link Enabled я так понимаю это связать текщее GPO с OU правильно.
    Если коротко какие есть различия в параметрах между обычной консолью и GPMC ?

    Заранее благодарен.А то у нас уже голова кругом идет. Теперь оказывается что админ предыдущий думал, что разграничивал для филиала перенаправление дисков на терминальном сервере,а выходит что ЛИБО НИКОМУ НЕ ДОСТУПНО ПЕРЕНАПРАВЛЕНИЕ, ЛИБО ВСЕМ так?

    26 декабря 2009 г. 18:29
  • Restless, osr_ предлагает Вам управлять ограничениями клиентов через свойства соединений, создаваемых для этих целей.

    // Что означает галочка Enforced в GPMC

    Enforced - дословно означает "принудительно". Это свойство объекта групповой политики определяет, что параметры, заданные в этом объекте, не могут быть замещены ("перекрыты") параметрами из других объектов. Иными словами, такой объект групповой политики получает наивысший приоритет. С помощью принудительного применения можно, например, "пробить" блокирование наследования ("Block Inheritance").

    // Теперь порядок приминения политик <...>
    От наивысшего (по приоритетности): OU, Domain, Site, {Local User, Local Admin}, Local.
    Link Order ("порядок связи") - чем меньше значение, тем выше приоритет.

    По поводу "Link Enabled".
    Объект групповой политики состоит из шаблона (файлы в SYSVOL) и контейнера (хранится в AD: "\System\ Policies\ {GUID}"). Так вот, "Link Enabled" удаляет связь между контейнером ГП и узлом AD (OU, Domain, Site) в его атрибуте gPLink, что отменяет применение ОГП, но оставляя при этом возможность эту связь восстановить, т.к. сохраняется информациия о связи сохраняется.

    P.S. Советую Вам пользоваться исключительно GPMC!
    26 декабря 2009 г. 19:36
    Отвечающий
  • // Что означает галочка Enforced в GPMC

    Enforced - дословно означает "принудительно". Это свойство объекта групповой политики определяет, что параметры, заданные в этом объекте, не могут быть замещены ("перекрыты") параметрами из других объектов. Иными словами, такой объект групповой политики получает наивысший приоритет. С помощью принудительного применения можно, например, "пробить" блокирование наследования ("Block Inheritance").


    То есть если приоритетность GPO допустим равно 3, то при применении параметра Enforced, получается
    что наивысший приоритет имеет gpo равный 3 а не 1 , в списке политик по порядку так? Только вот пробовали изменять computer configuration и ставили Enforced на  эту политику, все равно настройки оставались именно из политики под номером 1.Либо я так понимаю это в большей степени относится к user configuration?
    26 декабря 2009 г. 19:58

  • // Теперь порядок приминения политик <...>
    От наивысшего (по приоритетности): OU, Domain, Site, {Local User, Local Admin}, Local.
    Link Order ("порядок связи") - чем меньше значение, тем выше приоритет.


    То есть сначала локальная политика и последняя OU.А что значит {Local User, Local Admin} в порядке приминения?
    Заранее благодарен!
    26 декабря 2009 г. 20:04
  • Restless, при "применении параметра Enforced" получается, что ОГП, им обладающий, должен занять в вашем списке номер 1, ну, при условии, что нет прочих ОГП с "Enforced", которые могут перекрывать друг-друга на "общих условиях".

    Enforced относится к ОГП вцелом, а не его шаблону, или контейнеру, или еще чему... В отличие, скажем, от блокировки наследования, которая относится к OU...

    Загляните сюда: http://technet.microsoft.com/en-us/windowsserver/grouppolicy/default.aspx.

    • Помечено в качестве ответа rеstless 26 декабря 2009 г. 20:13
    • Снята пометка об ответе rеstless 18 января 2010 г. 9:52
    26 декабря 2009 г. 20:09
    Отвечающий
  • Restless, уважаемый _osr Вам по делу ответил.

    Пожалуйста, открывайте отдельные обсуждения по вопросам, инициированными Вами, выходящими за рамки обсуждения темы текущей.

    26 декабря 2009 г. 20:18
    Отвечающий
  • Restless, osr_ предлагает Вам управлять ограничениями клиентов через свойства соединений, создаваемых для этих целей.

    Вопрос остался открытым, собственно два вопроса:
    где можно про это прочесть
    ну и каким боком здесь RemoteApp-то есть это тоже конфигурируется через свойства connection? Либо тут все намного проще?



    Авот интересно, по поводу того что не применилась политика которая была установлена как enforced-через RsOP посмотрели, сразу после установки галочки enforced-RsOP показал, что все равно прменяется политика с наименьшим номером .Может необходимо было сделать gpupdate на контроллере домена+gpupdate на терминальном сервере? Либо RsOP в GPMC показывает приминение политик в реальном времени при только что установленных параметрах?

    А вообще спаибо! Теперь более стало проясняться ситуация!
    26 декабря 2009 г. 20:20
  • По поводу "Enforced".
    Вы на вкладке "Group Policy Inheritance" порядок применения смотрите, а не "Linked Objects"!

    По поводу "Connection".
    Какая разница, RemoteApp или сеанс обычный? Дело в том, что не имеют службы удаленного рабочего стола такой тонкой настройки, как Вам хочется, а _osr Вам предложил "обходной путь": с пмощью соединений (на уровне которых и устанавливаются интересующие Вас настройки) обойти это ограничение...

    26 декабря 2009 г. 20:30
    Отвечающий
  • Я, похоже, много пропустил... :)

    Добавлю только, что RemoteApp в Windows Server 2008 являются средством удобного отображения приложений, запущенных в терминальных сессиях, на стороне клиента (клиент не видит удаленный рабочий стол, а только окна приложений), но RemoteApp не меняет принципы применения групповых политик и не добавляет какие-либо новые групповые политики для терминальных служб.
    • Помечено в качестве ответа rеstless 27 декабря 2009 г. 13:16
    • Снята пометка об ответе rеstless 18 января 2010 г. 9:52
    26 декабря 2009 г. 21:26
    Модератор
  • Это я в курсе! Очень удобная штука!
    Ладно, буду пробовать мудрить с сетевыми подключениями, ежели что то ещещ обращусь к вам, а так спасибо, оч помогло!

    27 декабря 2009 г. 13:16
  • Не с сетевыми подколючениями, а с объектами терминальных подключений. :) Конечно пишите, я и мои коллеги постараемся объяснить, если что-то будет неясно.
    27 декабря 2009 г. 15:14
    Модератор
  • Еще вопросик!
    Ежели у меня второй сетевой интерфейс, то каким образом сделать редирект на другой терминальный сервер?

    18 января 2010 г. 9:52
  • Еще вопросик!
    Ежели у меня второй сетевой интерфейс, то каким образом сделать редирект на другой терминальный сервер?

    18 января 2010 г. 9:53
  • Пусть пользователи дотсупаются на IP-адрес, связанный с этим интерфейсом.

    18 января 2010 г. 9:54
    Отвечающий
  • А можно по подробнее?
    У меня сейчас основной терминал 10.101.2.1 на нем работаю пользователи,
    далее поднята винда 2008 R2 там я поднял два интерфейса 10.101.2.3 и 10.101.2.4 все в одной подсети (на Vmware).
    Каким образом мне на данный момент сделать редирект с айпишника с 10.101.2.1(на который ломятся пользователи через RDP)  перередиректить всех на 10.101.2.3 либо 10.101.2.4 ?
    18 января 2010 г. 10:47
  • Опишите более подробно:

    - системное ПО, установленное на физической машине;
    - число и конфигурация виртуальных машин;
    - настройки терминального сервера в виртуальной машине.

    Редиректить ничего не нужно. Пользователи, для которых создаются разные настройки терминальных сессий, разделяются по группам, и подключаются к терминальному серверу по своему IP-адресу. Они не имеют разрешений подключиться по другому IP-адресу, иными словами, к другому объекту Terminal Services Connection.

    Если вы решили применять виртуализацию, то задача упрощается: вы пожете подготовить по отдельному терминальному серверу для каждой группы параметров терминальных сессий (например, с включеным перенаправлением папок и принтеров и без него).
    18 января 2010 г. 13:03
    Модератор
  • Тут новая тема, по подробнее чего хочется получить:http://social.technet.microsoft.com/Forums/ru-RU/windowsserverru/thread/06406331-ec4b-4c8e-ab6e-b384df7105e8
    20 января 2010 г. 20:52