Разные политики пользователей (GPO) на Terminal Server и пользовательских ПК
 

Есть структура: AD (windows 2008) и terminal (windows 2008), всё на разных ПК и некоторое количество пользователей со своими ПК (ПК пользователей входят в домен).

Вопрос: можно ли сделать так чтобы политики пользователей при подключении к терминальному серверу были одни, а при залогинивании пользователя на свой ПК другие?

Если можно то как такая схема реализовывается?

Anton04,

gpo loopback processing

http://www.oszone.net/3981_3/Step-by...e_Group_Policy

http://support.microsoft.com/kb/231287

http://support.microsoft.com/kb/260370

лучше WMI.

zonderz,

Второй и третий линк в пустую, в курсах я.

А вот третий немного поставил всё на место, немного т.к. не совсем понятно как правильно применять/использовать "политику замыкания на себя"...

Я так понял, что при использовании политики замыкания на себя, именно в созданной политике нужно настраивать пользовательские параметры GPO(в конфигурации пользователя) и в этой же политике (в конфигурации ПК) выбрать режим замыкания на себя. Так?

cameron,

WMI в этом случае не катит.

да вы что? правда что ли?
и почему же?
или вы хотите одной политикой это делать? =)))

Потому как политика накатывается на OU в котором содержится контейнер "компьютер" (т.е. сервер терминалов) и следовательно WMI тут не помогут, т.к. разграничить нужно политику пользователей на разных ПК. ;)

по-подробнее.
у вас политика с "конфигурацией пользователя" накатывается на OU с сервером?..
тогда конечно, и бесспорно, loopback.

просто из первого поста это не явно.

да и в любом случае не ясно, почему это не повесить на домен в целом, отфильтровав черещ WMI.
мне кажется что либо вы не до конца понимаете суть, либо велосипед скоро будет изобретён.

Да всё именно так, шоб разграничить разные права на разных ПК.

И применять данный GPO к OU с контейнером "компьютер"? Да?

нет, политика с конфигурацией пользователя должна применяться с ОУ с пользователями.
а вот с помощью WMI вы разграничите сферу её применения.

в общем, как я и предпологала, на лицо явное недопонимание.

грубо говоря:
политика 1:
конфиг пользователя
SRP - disallow all + map drives
WMI fliter - применять на терминальных серверах.
политика 2:
конфиг пользователя
SRP - allow all + map printers
WMI fliter - применять на клиентских ПК.

и, внезапно!, у вас будет то, что вы хотите.
если я вас правильно поняла.

Это то совершенно ясно.

Согласен.

Но как же совместить не совместимое.

Вот есть следующие OU OU_Server, OU_Comp и OU_User.
В OU_Server есть один контейнер типа "компьютер" с именем ServerTerminal.
Так же, есть разные политики которые "прилинкованы" к OU_Server, OU_Comp и OU_User. Назовём их "Policy terminal" (прилинкован к OU_Server), "Policy user" (прилинкован к OU_User) и "Policy comp" (прилинкован к OU_Comp).
Само собой в каждой из трёх политик содержится изменение GPO относящиеся только к "Конфигурации пользователя" или к "Конфигурации компьютера".
А теперь вопрос: как сделать шоб при залогинивании пользователя по RDP на ServerTerminal у него применялись другие параметры GPO ("Конфигурации пользователя") чем при залогинивании на любой комп из контейнера OU_Comp?

Т.е. удалить "применить групповую политику" в "прошедшим проверку" и выбрать конкретный контейнер с ПК и для него выставить параметр "применить групповую политику"?

Вполне возможно, что будет так. Но это будет сразу для всех пользователей терминала без исключения. А если на этом же сервере терминалов нужны разные пользовательские политики для разных пользователей, как быть?

в третий раз: WMI Filter
попробуйте открыть оснfстку GPMC и посмотреть туда.
там есть закладочка фильры WMI... причём тут security filtering?
а вот тут можно и нужно использовать security filtering

Всё верно... перепутал я одно с другим... каюсь смотрел только security filtering... :durak:
Теперь осталось разобраться как правильно создавать это WMI фильтр... там параметров просто тьма... :wow:

подскажу, как старт поиска =)
это выборка Windows Server 2003
это все клиенские ОС (XP/vista/7)
это Vista Enterprise + Win7 Enterpise+Win7 Pro

дальше уж как нибудт сами.
MSDN и WMICodeCreator в помощь =)

cameron,

Кстати, а более простого метода решения такой задачи не существует?

Например если в OU_Server поместить не только контейнер типа "компьютер", а ещё (до кучи) группу безопасности в которой будут содержаться некоторые пользователи из OU_User (притом сами пользователи останутся в OU_User). И на контейнер OU_Server накатить две политики с содержимым "Конфигурации пользователя" и "Конфигурации компьютера" (плюс ту политику которая содержит "Конфигурации пользователя" сделать принудительной иль ещё чего).
Ведь что в этом случае будет при коннекте к серверу терминалов, сначало применится политика компа (это конечно будет при загрузке системы), а потом, применится политика для группы безопасности которая то же находится в этой OU.
Прав/не прав?

с чего вдруг?
бегом читать книжку по АД =)

Я упрощённо высказался. Само собой что порядок запуска будет другой, но ведь должна же политика находящаяся в OU_Server и применяемая к определённой группе пользователей (притом группа этих пользователей находится в этом же OU) сработать при залогинивании на комп находящийся в OU_Server. По моему всё логично... Не вижу не состыковок... :clever-ma

Есть она такая у меня родимая, только для win2003, но там не очень то много изменилось особенно в порядке обработки GPO при старте системы.

P.S. Попробую ещё раз на выходных эту книгу перечитать...

не должна!
ничего подобного, касаемо вашего вопроса ничего не менялось с вин2к

Ответ конечно исчерпывающий, но всё же... Почему!?

потому что ГП применяется на обеъкты User и Computer, а не на группу пользоватей или компьютеров.
прочтите же наконец книжку!

:bow:

Вполне возможно, что уже забыл об этом... бывает...

P.S. Не уж то до сих пор Windows не научилась применять GPO к группам безопасности? Интересно что этому мешает...

security filtering

прости Господи...

Да нет же... я имел в виду так как написал выше, когда группа пользователей и объект компьютер находятся в одном OU и политика GPO применялась бы в этом случае и на группу пользователей... ;)

объясняю популярно:
линкуете ГП на домен, а не на ОУ. туда где прилинкована Default Domain Policy.
убираете в security filtering "прошедшие проверку" и добавляете свою группу с правами "чтение/применение"

а вы, простите, кем работаете? да, сдаётся мне что книжку даже по 2к3 вы не читали, поэтому забывать нечего.

Это то понятно, только это все ровно даст не тот результат который хотелось, а хотелось просто обойтись без WMI...
В общем понятно, что финт ушами сделать не получится...

админом. это играет какую-то роль?

Утверждение голословное, поэтому оправдываться даже не собираюсь... Это Ваше право считать что угодно и о ком угодно...