У меня есть терминальный сервер, который будет использоваться многими людьми, но для разных целей. Наша программа состоит из двух частей, назовем их пользовательской и управляющей. Это 2 разных .exe-файла. Я хочу, чтобы программа запускалась автоматически, когда пользователь входит в систему (я знаю, как это сделать через GPO). Но я хочу варьировать приложение в зависимости от роли пользователя. Конечно, я хочу управлять этими ролями с помощью двух доменных групп, таких как «TS-Users» и «TS-Managers».
Я нахожу наиболее эффективный способ достичь этой цели. Может кто-нибудь поделится своим опытом в таком вопросе? Сервер W2K2003 в домене уровня 2003.
Нет проблем.
Создайте две глобальные группы безопасности в Active Directory, скажем «TS-Users» и «TS-Managers».
Создайте и свяжите три (3) объекта групповой политики в подразделении, в котором, в идеале, находится только компьютер с терминальным сервером. Назовите их «Loopback GPO Processing and Common User Settings», «TS-Users Settings» и «TS-Managers. Настройки ».
В GPO «Loopback GPO Processing and Common User Settings» откройте узел «Конфигурация Comptuer», узел «Административные шаблоны», узел «Система» и узел «Групповая политика» и включите политику под названием «Групповая политика пользователей». режим обработки обратной петли ». Если вы хотите, чтобы другие настройки GPO пользователя, установленные в других местах каталога, применялись к пользователям при входе в систему на этом компьютере, выберите «Объединить» в поле «Режим». Если вы хотите, чтобы применялись только пользовательские настройки в этих трех объектах групповой политики, выберите «Заменить». Также установите в этом объекте групповой политики любые параметры «Конфигурации пользователя», которые должны быть общими для этих пользователей.
В объектах GPO «Настройки TS-пользователей» и «Настройки TS-менеджеров» установите различные настройки, необходимые для каждой из этих групп. В редакторе групповой политики откройте «Свойства» для корневого узла групповой политики и перейдите на вкладку «Безопасность». Удалите «Прошедших проверку пользователей» из разрешения для каждой политики и добавьте соответствующую группу AD, созданную вами выше с разрешениями «Чтение» и «Применить групповую политику». Сделайте это для каждого из этих объектов групповой политики (это предотвратит применение настроек к пользователи, которые принадлежат к "неправильной" группе.)
Наконец, перезагрузите компьютер с сервером терминалов, чтобы он перешел в режим обработки групповой политики Loopback (который переключается только при загрузке).
Вы должны увидеть, как применяются настройки каждого из этих объектов групповой политики. Пользовательские настройки «Обработка Loopback GPO и общие параметры пользователя» будут применяться независимо от того, кто входит в систему. Пользовательские настройки «TS-Users Settings» будут применяться только тогда, когда член группы «TS-Users» войдет в систему, и то же самое будет работать для «TS-Managers».
Это быстрый ускоренный курс по обработке групповой политики Loopback и фильтрации приложения групповой политики по группе безопасности. Мы делаем это все время, чтобы делать то, что вы описываете. Вам может потребоваться немного времени, чтобы осмыслить это, но попробуйте. Практический плюс заключается в том, что вы можете «смоделировать» это, используя OU с компьютером Windows XP в нем с включенным «Удаленным рабочим столом», чтобы вы могли настраивать политики и тестировать их (хотя и по одному пользователю за раз), пока вы готов связать GPO с реальным OU, в котором «живет» ваш компьютер с сервером терминалов.