none
Применение GPO за исключением терминала RRS feed

  • Вопрос

  • Доброго времени суток! Хотелось бы услышать подсказку, как решить следующую проблему.  Есть ГПО применяемая к пользователям принадлежащим к определенной OU, но эта же политика срабатывает и при подключение пользователей к терминалу(в чем ничего странного нет). терминал и КД это одно лицо. Так вот, как можно обьяснить политике, что надо применяться везде, кроме как при подключение юзеров по терминалу. Или как исключить применение ГПО на одном или нескольких ПК?? Пока единственным вариантом вижу применение фильтров WMI, но тут что-то у меня не выходит:(
    20 июля 2009 г. 8:13

Ответы

  • на терминальных серверах обычно практикуется group policy loopback processing

    http://support.microsoft.com/kb/260370            http://support.microsoft.com/kb/231287

    в целом это выглядит примерно так, политика применяется к ПК, но если пользователь заходит на этот ПК то user configuration применяется тот который привязан к ПК, а не тот который привязан к той OU где находится пользователь

    надеюсь смог объяснить :-)


    сила в справедливости
    • Предложено в качестве ответа osr_MVP, Moderator 20 июля 2009 г. 8:45
    • Помечено в качестве ответа observerbox 20 июля 2009 г. 10:23
    20 июля 2009 г. 8:29

Все ответы

  • на терминальных серверах обычно практикуется group policy loopback processing

    http://support.microsoft.com/kb/260370            http://support.microsoft.com/kb/231287

    в целом это выглядит примерно так, политика применяется к ПК, но если пользователь заходит на этот ПК то user configuration применяется тот который привязан к ПК, а не тот который привязан к той OU где находится пользователь

    надеюсь смог объяснить :-)


    сила в справедливости
    • Предложено в качестве ответа osr_MVP, Moderator 20 июля 2009 г. 8:45
    • Помечено в качестве ответа observerbox 20 июля 2009 г. 10:23
    20 июля 2009 г. 8:29
  • Немного уточню, а то все таки КД.

    этот сервер терминалов является КД, соответственно он входит в OU "Domain controllers". захожу в свойства этого ОУ-- груповая политика там у нас только "Default domain controllers policy" -- изменить-- конфигурация компьютера--административные шаблоны--система--групповая политика -- параметер "Режим обработки замыкания пользовательской групповой политики" задаю "включен" режим "замена".

    Тем самым добиваемся того, что на КД кроме его собственной дефолтной политики ничего не применялось.

    Я правильно же понял?

    Изначальная цель, чтобы логон скрипт не обрабатывался у пользователей зашедших по терминалу.

    Извиняюсь за занудство :)

    20 июля 2009 г. 9:07
  • да, всё так

    Я бы на Вашем месте сделал новую политику и применил бы её, на всякий случай, чтобы не копаться в Deafault Domain Controllers Policy.

    и еще, я бы порекоммендовал сделать бэкап перед тем ка всё менять, и запомните что и где меняли (а лучше запишите), на случай если надо будет возвращать всё назад.


    сила в справедливости
    20 июля 2009 г. 9:38
  • Примного благодарен!!! Опробовал, теперь логон скрипт не обрабатывается для КД. Еще маленький вопросик:
    "но если пользователь заходит на этот ПК то user configuration применяется тот который привязан к ПК".

    Как теперь будет работать GPO, если нужно применить user configuration  на КД?
    у меня возникло два варианта:
    1. теперь user configuration для КД будет работать если я помещу учетку юзера и\или учетку админа в OU Domain Controllers;
    2. теперь user configuration для КД будет работать только для тех GPO которые относятся только к OU Domain Controllers и соответственно для все юзеров которые к КД подключаются.

    или я не правильно понял "но если пользователь заходит на этот ПК то user configuration применяется тот который привязан к ПК"?
    Еще раз большое спасибо!  

    20 июля 2009 г. 10:22
  • например я вхожу в OU1 и к ней подключена Policy1 в которой настроенны опрделенные нстройки пользователя UserSet1

    так же есть OUdomain Controllers, к ней подключена Policy2  в которой настроенны опрделенные нстройки пользователя UserSet2 и включен Group Policy Loobback Processing.

    Так вот, если я выполню вход на Терминальный Сервер который находится в OUdomain Controllers, то мне применятся нстройки пользователя UserSet2. Т.е не те настройки которые прописанны в Policy1-UserSet1, a те которые прописанны в Policy2-UserSet2

    Если например я захочу, чтобы при входе на Терминальный Сервер который находится в OUdomain Controllers срабатывали настройки Policy1-UserSet1, то я через закладку безопасность в политике Policy2 поставлю Deny в графе Apply group Policy для своей учетной записи.

    теперь понятнее? :-)


    сила в справедливости
    20 июля 2009 г. 10:38
  • Все понятно!!!

    Благодарности, по всей видимости, тут не предусмотрено. Поэтому еще раз словами Спасибо!

    Мы так тут все оперативно решили,  и возникло еще некоторое количество вопросов, как быть?:) 

    20 июля 2009 г. 11:05
  • если это новые вопросы, открывайте новые топики, люди помогут :-)




    сила в справедливости
    20 июля 2009 г. 12:35
  • Вот кстати объяснение на пальцах как работает group policy loopback processing

    http://kudratsapaev.blogspot.com/2009/07/loopback-processing-of-group-policy.html
    сила в справедливости
    26 июля 2009 г. 16:36