[Shiirx]

Цитата iNsaneO_o:

в итоге что получаем? если пользователь не подключен к приложению на сервере - то сеанс на ПК через 10 мин блокируется, все как надо. если же пользователь был подключен к назначенным приложениям на сервере - то получаем блокирование сеанса пользователя и на ПК, и на сервере. как это можно поменять? »

значит применять политику надо на машины, а не на пользователя и только на рабочие, а не на все, в том числе и сервер )

[iNsaneO_o]

Цитата Shiirx:
значит применять политику надо на машины, а не на пользователя и только на рабочие, а не на все, в том числе и сервер ) »
как политику применить на компьютеры, если таймаут есть только для пользователей в персонализации?
ежели привязать политику к OU=Users, добавить в фильтр безопасности только какой-нибудь ПК для проверки - так не действует. Поэтому понять не могу это...

а при попытке добавления WMI фильтра
select * from Win32_OperatingSystem WHERE Version like "6.1%" AND ProductType="1"
он почему-то не отрабатывает

[nokogerra]

Приветствую, iNsaneO_o.
Возможно поможет замыкание групповой политики http://gpo-planet.com/?p=2119 или http://www.youtube.com/watch?v=y23GdhYII-M.

[iNsaneO_o]

Цитата nokogerra:

Приветствую, iNsaneO_o. Возможно поможет замыкание групповой политики http://gpo-planet.com/?p=2119 или http://www.youtube.com/watch?v=y23GdhYII-M. »

приветствую и я Вас)
похоже это именно то что надо.
сперва прочитал инфу по первой ссылке + в групповых политиках описание данной опции = вообще не мог переварить что к чему применять надо
затем посмотрел видео где все доходчиво разжевано - кажется помогло (судя по результатам групповой политики), а завтра уже на работе проверю.
спасибо вам. если что-то не получилось таки (НЕ ДАЙ БОГ! :D), то отпишусь еще

[nokogerra]

Надеюсь это вам поможет. Однако, несмотря на то что в rsop или отчете мастера результирующей политики параметры отображены как примененные, для реального эффекта может потребоваться сделать gpupdate и перезагрузить машину (если одна или пара - не проблема, если нужно для масс - specops gpupdate в помощь, или icm командлет powershell, однако это не быстрее и не проще и требуется настроенная winrm), как и при многих настройках для компьютера в объектах групповых политик. Ключевое слово "может", т.к. я в продакшне не использовал замыкание, на тестах работало нормально, но не помню нужна ли была перезагрузка. А в видео Буланова заработало без перезагрузки?

[iNsaneO_o]

да я всегда gpupdate /force делаю.
все заработало

остался только мне непонятен один момент: можно ли сделать подобное через фильтры?

[nokogerra]

я не могу в wmi-фильтры так же, как Польша не может в космос, но попробуйте такой:
Команда: Select * from Win32_ComputerSystem where Name="имя_компьютера", где имя компьютера - короткое имя машины (не fqdn) в классе root\cimv2. Мне такой вариант не кажется удобным.

[iNsaneO_o]

пытался применить довольно таки банальный {__select * from Win32_OperatingSystem WHERE ProductType="1"__} в итоге никаких изменений - применялся ко всем машинам в OU, не игнорировав сервера и DC.

[nokogerra]

как я уже сказал, я не могу в wmi-фильтры, не вижу особого смысла, и также практически все примеры, которые приводились в статьях и гайдах не работали для меня, но емнип тот, который я привел - работал, вы его попробовали?