Это мой сценарий. У меня два сервера. Первый - это контроллер домена. 2-й - резервный контроллер домена. Оба - Windows 2008 R2. Я хочу настроить разрешения пользователя так, чтобы, скажем, userX в моем активном каталоге мог удаленный рабочий стол на SERVER 1, но не на SERVER 2. В тот момент, когда я добавил userX в группу «Пользователи удаленного рабочего стола», userX может получить доступ как к SERVER1, так и SERVER2 .
Как я могу предотвратить это и разрешить только userX на SERVER1.
Заранее спасибо.
Вы можете использовать методы Allow, Deny, но вы должны правильно определить область действия объекта GPO.
Вместо добавления в группу пользователей удаленного рабочего стола сделайте это с помощью GPO (включите удаленный доступ) и разрешите или запретите в соответствии с потребностями.
Помните следующее. 1. Не запрещать все или не разрешать все 2. Не перемещайте контроллеры домена из OU DOMAIN CONTROLLERS. 3. Ограничивайте объекты групповой политики везде, где это необходимо, с помощью фильтра, чтобы они применялись только к этим контроллерам домена.
Вы можете попробовать это в своей тестовой лаборатории, прежде чем запускать в производственную среду, поскольку это включает доступ к контроллерам домена.
Как правило, рекомендуется поддерживать минимальный доступ к контроллерам домена. Вместо этого используйте инструменты Adminpak / RSAT.