Групповая политика: ярлыки на рабочем столе для конкретных групп, которые применяются только к одному компьютеру.

Не могу поверить, что я здесь, но я умоляю о помощи. :)

Я думал, это будет просто ...

в любом случае ...

Группа AD: "Синяя команда" Участники: "Папа Смурф"

Группа AD: "Red Team" Члены: "BSD devil dude"

Компьютер: RDSSERVER (хост сеанса RDS Server 2019; TS старой школы)

Я бы хотел, чтобы у членов «Синей команды» был ярлык на рабочем столе под названием «bluestuff.lnk» (я копирую его из UNC-пути; это отлично работает); Я бы хотел, чтобы у членов «Red Team» был ярлык на рабочем столе под названием «redstuff.lnk» ... но любой ярлык должен находиться только на рабочем столе RDSSERVER.

Члены Синей команды проживают в подразделении, которое называется Синяя команда; то же самое для Red Team. Я бы предпочел не использовать группы AD, поскольку эти пользователи уже находятся в OU, но я не могу использовать OU и применять его только к RDSSERVER с использованием фильтрации безопасности в Scope.

РЕДАКТИРОВАТЬ:

Совершенно уверен, что у меня была (есть) следующая иерархия GP:

Серверы RDS (OU):
- «Ярлыки красной команды» (связаны / не применяются) (обработка обратной связи: слияние)> Фильтрация безопасности: группа «Красная команда».
- «Ярлыки Blue Team» (связаны / не применяются) (обработка обратной связи: слияние)> Фильтрация безопасности: группа «Blue Team».

group-policy

Вам нужно включить Обработка петли политика в объединении или замене. Это изменяет OU, которые учитываются при входе пользователя в систему.

Так что по умолчанию политики пользователя будет вытащен из пользователи OU (или родительские OU). В режиме слияния пользовательские политики извлекаются из пользовательского OU и компьютерного OU. В режиме замены пользовательские политики будут поступать только из подразделения компьютера.

Имея это на месте, вы можете создавать политики в OU, содержащем ваш сервер RDS, с фильтрацией на основе групп безопасности, и это должно применять правильные политики.

Догадаться. Ключ был таргетинг на уровне элемента на вкладке Общие.

Завершено с использованием OU «Серверы RDS», как было предложено / пробовано ранее, с включенной обработкой обратной связи (слияние); RDSSERVER явно присутствует в OU "RDS Servers".

Я создал два объекта групповой политики ниже этого родительского объекта групповой политики:

Ярлыки Red Team (Фильтрация безопасности по умолчанию «Прошедшие проверку»), но на вкладке «Общие» в меню «Конфигурация пользователей»> «Настройки»> «Файл» я выбрал таргетинг на уровне элементов с выбранным «Пользовательское подразделение» и «Red Team» в качестве значения.
То же самое для ярлыков Blue Team с другим значением таргетинга на уровне элемента и ярлыком.

Похоже, ему почему-то не понравился таргетинг на уровне элементов> «Группа пользователей», но уже поздно / я устал, и мне все равно.