Я изучаю AD и GPO. Хотя я реализовал некоторые GPO в своей среде, теперь немного запутался ... Меня беспокоит переопределение GPO. В основном я пытаюсь включить RDP для пользователя на конкретный сервер, который не является контроллером домена. Вот мой сценарий:
У нас есть GP для всего домена, применяемого в среде. Чтобы разрешить пользователю использовать RDP, я добавил его в GP «Разрешить вход через терминальные службы». Теперь предположим две ситуации, упомянутые ниже:
Я добавил его в группу пользователей удаленного рабочего стола в AD. После обновления групповой политики я проверил логин с его учетными данными. Но не могу войти в систему, ошибка "Запрошенный доступ к сеансу запрещен".
Я удалил его из группы пользователей удаленного рабочего стола AD. И на этот раз добавил его в группу пользователей удаленного рабочего стола и группу (lusrmgr.msc) этого сервера. На этот раз проверка логина с его учетными данными прошла успешно.
Я проверил следующую команду на этом конкретном сервере, и она показывает, что политика домена применяется в настройке RDP.
gpresult /Scope Computer /v
Я немного сбит с толку, как политика отменяется. Я считаю, что политика локальной группы по умолчанию переопределяется политикой всего домена, если политика домена включена. Это показывает, что я ошибаюсь. Может кто-нибудь прояснить это?
К вашему сведению, мой DC-сервер - это Windows 2003 R2, а другие серверы - 2008R2.