Установка служб удаленных рабочих столов Windows Server 2016 с 3-мя хост-серверами сеансов, одним DC. Чистая установка с нуля.
Создана единая политика RDS, которая имеет настройки как пользователя, так и компьютера, применяется к группе пользователей RDS, а также к серверам хоста сеанса.
Насколько я понимаю, часть компьютерной политики этого GP будет применяться к хост-серверам сеанса, а пользовательские политики будут применяться к пользователям, для которых настроен GP, то есть к группе пользователей RDS.
Тем не мение:
Если я вхожу на один из серверов хоста сеанса с учетной записью администратора домена (которая НЕ входит в группу пользователей RDS), я все равно получаю все настройки политики группы пользователей RDS.
Как мне это решить? Нужно ли мне создавать две политики: одну только с настройками компьютера, а другую - только с пользовательскими настройками?
Обновить:
Расположение ссылки для групповой политики пользователей RDS - это весь домен.
Фильтрация безопасности:
Чтобы сделать его более понятным, объекты, включенные в фильтрацию безопасности, - это 3 объекта-компьютера для 3-х хостов сеанса RDS и группа пользователей RDS. Определенно, этот фильтр безопасности НЕ включает «прошедших проверку пользователей».
ОБНОВЛЕНИЕ 2
Запуск мастера результатов GP для одного из затронутых серверов (их имена XXSERVER22 ... 24, домен называется «внешним») и пользователя с правами администратора, который определенно не входит в группу пользователей.
Как показано здесь, применяются два объекта групповой политики - политика домена по умолчанию, которая почти пуста (установка по умолчанию), и «Политика пользователя RDS».
Фильтр безопасности показывает, что объект групповой политики применяется к 3 серверам и группе пользователей.
В политике пользователя RDS у меня есть ряд настроек ПОЛЬЗОВАТЕЛЯ, например: Конфигурация пользователя> Административные шаблоны> Система> Запретить доступ к командной строке.
Результатом этой политики является то, что при открытии командной строки пользователь получает сообщение «Командная строка отключена администратором».
Пользователь с правами администратора, для которого я выполнил результат ниже GP и который НЕ является частью «Группы пользователей RDS 1», получает это сообщение «отключено» также при попытке открыть командную строку. При входе в систему как локальный администратор это сообщение не появляется. То же самое и со всеми пользовательскими политиками этого GPO.
Applied GPOs
Default Domain Policy [{31B2F340-016D-11D2-945F-00C04FB984F9}]
...
RDS User Policy [{5E9FA90A-7A2E-4B8D-968A-0C5684020FC6}]
Link Location external.mydomain.com
Extensions Configured 802.3 Group Policy
{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}
Registry Enforced No
Disabled None
Security Filters
EXTERNAL\XSVR24$
EXTERNAL\XSVR22$
EXTERNAL\XSVR23$
EXTERNAL\RDS User Group 1
Revision AD (28), SYSVOL (28)
WMI Filter