Я пытался настроить политику GPO для одного пользователя (администратора) в Windows Server 2008.
У меня ок. 50 пользователей, использующих службу терминалов на этом сервере, должны задать другую конфигурацию тайм-аута для администратора.
Так что я:
1) Создал два объекта групповой политики: TS-NoTimeout и TS-Timeout.
2) Назначил их.
3) Изменен приоритет: на первое место ставится TS-NoTimeout.
4) Удалены аутентифицированные пользователи из TS-NoTimeout и добавлены только администраторы.
Результат: не сработало. Когда я запускаю gpresult для администратора пользователя, он говорит, что отказано из-за безопасности.
После некоторого исследования я обнаружил, что люди говорят, что я тоже должен добавить локальную машину. Я сделал это и ...
Результат: Работает для администратора, но теперь все пользователи также имеют TS-NoTimeout в качестве своей политики.
Что именно я здесь делаю не так?
Любая дополнительная информация, которую я должен предоставить?
Когда вы говорите "тайм-аут", я подозреваю, что вы имеете в виду одну или несколько из следующих настроек:
Эти параметры можно указать для каждого пользователя или компьютера, в зависимости от того, указываете ли вы параметры в узле «Конфигурация компьютера» или «Конфигурация пользователя» в объекте групповой политики.
Когда вы говорите «... добавьте также локальный компьютер» и «Работает для администратора ...», вы заставляете меня подозревать, что вы указали параметр в узле «Конфигурация компьютера» и связали объект групповой политики в таком месте, чтобы примените его к компьютеру с сервером терминалов.
Если это так, я бы отключил объекты групповой политики и повторно связал их в том месте, где они будут применяться к учетным записям пользователей, которые вы собираетесь использовать, а затем изменил их, чтобы использовать параметры для каждого пользователя (в разделе «Конфигурация пользователя» ).
После повторного связывания и изменения содержимого объектов групповой политики убедитесь, что разрешение для объекта групповой политики «TS-Timeout» включает «Прошедшие проверку пользователи / чтение и применение групповой политики» и «Администратор / запретить применение групповой политики». Убедитесь, что объект групповой политики «TS-NoTimeout» имеет разрешение «Администраторы / Применить групповую политику» (а также все разрешения по умолчанию «Администраторы» назначены) и что ACL по умолчанию «Прошедшие проверку» был удален. Я рекомендую редактировать разрешения, щелкнув правой кнопкой мыши верхний узел объекта групповой политики в редакторе групповой политики, а не использовать «дружественный» и гораздо менее «стандартный» интерфейс разрешений в консоли управления групповой политикой.
(Если вы настаиваете на использовании учетной записи «Администратор» вместо группы «Администраторы», измените мои рекомендации по разрешениям как таковые. Если у вас есть несколько отдельных лиц, использующих учетную запись «Администратор», вы делаете это неправильно ... но это напыщенная речь для другого вопроса.)
Используя разрешение «Администраторы / Запретить применение групповой политики» для объекта групповой политики «TS-Timeout», вы избавляетесь от необходимости беспокоиться о «приоритете» ссылок GP. Несмотря на то, что пользовательский интерфейс будет вас немного ругать за использование «Запретить», в этом нет ничего плохого, и, в данном случае, я думаю, что это делает результирующую конфигурацию гораздо более понятной, чем полагаться только на «приоритет» ссылки GP. Я также считаю, что изменение разрешения служит намерение более четко - чтобы «TS-NoTimeout» применялся к «администраторам», а не «аутентифицированным пользователям», а «TS-Timeout» не применялся к «администраторам», независимо от того, где они связаны.