У меня два тестовых домена, и один доверяет другому.
Для GPO доверенного домена мне нужно добавить группу из доверенного домена в группу пользователей удаленного рабочего стола, которая будет применяться ко всем объектам компьютеров в доверяющем домене.
Однако, когда я пытаюсь добавить эту группу, я получаю такую ошибку: «выбранный объект не соответствует типу источника назначения». Тип группы - «локальный домен».
Есть ли способ создать GPO для доверенного домена, используя группу из доверенного домена?
Создайте универсальную группу в доверенном домене, добавьте в нее соответствующие объекты из доверенного домена.
Создайте локальную группу домена в доверяющем домене, добавьте в нее доверенную универсальную группу.
Используйте объект групповой политики, чтобы назначить членство локальной группы домена в различных локальных группах пользователей удаленного рабочего стола в домене-доверителе.
Не пытайтесь использовать группу BUILTIN \ Пользователи удаленного рабочего стола для этой задачи, так как это специальная область действия группы «Встроенная локальная». Используйте эти группы для разрешений, связанных с контроллером домена - если вы их вообще используете.
Более того, используя группу BUILTIN \ Remote Desktop Users (которая аналогична локальной группе на всех контроллерах домена), вы, по сути, предоставляете RDP-доступ для всех учетных записей в доверенном домене Контроллерам домена вашего доверенного домена. Это ужасно идея - и скорее всего просто недосмотр.