Назад | Перейти на главную страницу

Как использовать член доверенного домена в GPO?

У меня два тестовых домена, и один доверяет другому.

Для GPO доверенного домена мне нужно добавить группу из доверенного домена в группу пользователей удаленного рабочего стола, которая будет применяться ко всем объектам компьютеров в доверяющем домене.

Однако, когда я пытаюсь добавить эту группу, я получаю такую ​​ошибку: «выбранный объект не соответствует типу источника назначения». Тип группы - «локальный домен».

Есть ли способ создать GPO для доверенного домена, используя группу из доверенного домена?

Создайте универсальную группу в доверенном домене, добавьте в нее соответствующие объекты из доверенного домена.

Создайте локальную группу домена в доверяющем домене, добавьте в нее доверенную универсальную группу.

Используйте объект групповой политики, чтобы назначить членство локальной группы домена в различных локальных группах пользователей удаленного рабочего стола в домене-доверителе.


Не пытайтесь использовать группу BUILTIN \ Пользователи удаленного рабочего стола для этой задачи, так как это специальная область действия группы «Встроенная локальная». Используйте эти группы для разрешений, связанных с контроллером домена - если вы их вообще используете.

Более того, используя группу BUILTIN \ Remote Desktop Users (которая аналогична локальной группе на всех контроллерах домена), вы, по сути, предоставляете RDP-доступ для всех учетных записей в доверенном домене Контроллерам домена вашего доверенного домена. Это ужасно идея - и скорее всего просто недосмотр.