У нас есть необходимость заблокировать определенных пользователей до очень ограниченного рабочего стола на наших терминальных серверах, а также обслуживать им только одно приложение, которое будет запускаться автоматически. У меня есть настройка GPO для каждой потребности, но я не могу понять, как применить эти GPO только к конкретным пользователям, для которых нам нужно это применить.
Фильтр WMI был моим первым предположением, не углубляясь в цикл групповой политики (который может вызвать проблемы с нашей текущей структурой AD и связанными с ним объектами групповой политики). Моя проблема заключается в написании оператора WQL в соответствии с моими потребностями.
Я пробовал [SELECT * FROM W32.ComputerSystem WHERE UserName = 'domain \ username'], но этот запрос всегда давал ложный результат. Я предполагаю, что из-за среды терминального сервера, но я не уверен. Немного заглянул в класс W32.TSAccount, но там тоже не нашел ничего полезного.
У кого-нибудь есть идеи или литература, на которые вы могли бы сослаться и на меня, чтобы я мог глубже погрузиться в это? Любая помощь будет ОЧЕНЬ оценена, поскольку я не гуру AD / GPO.
Вам не нужно делать WMI-фильтр, вы можете просто настроить фильтр безопасности для GPO. Я предлагаю создать группу со всеми пользователями, к которым в первую очередь применяется фильтрация. Затем в GPMC (если у вас его нет, я НАСТОЯТЕЛЬНО предлагаю вам встроить его в Windows 7 и 2008, MS Download для более старых версий windows ) выберите политику, к которой вы хотите применить фильтр безопасности, затем на вкладке области в разделе фильтрации безопасности (ниже ссылок, над фильтрацией WMI) удалите «аутентифицированных пользователей» и добавьте свою группу.
Взгляните на настройки групповой политики, они позволяют применять параметры в зависимости от членства в группе.