Мне сложно создать объект групповой политики, который будет применяться только к определенным компьютерам и группам безопасности. Вот что я хотел бы сделать.
У меня есть OU с несколькими компьютерами. Я хотел бы применить объект групповой политики, который заставляет удаленные сеансы, которые простаивали в течение x времени отключения, а для отключенных сеансов выходить из системы через y промежуток времени. Мне нужно, чтобы это применялось только к пользователям в определенной группе безопасности.
Я создал объект групповой политики и изменил 2 параметра в Конфигурация компьютера -> Политики => Административные шаблоны -> Компоненты Windows -> Службы удаленных рабочих столов -> Узел сеанса удаленного рабочего стола -> Ограничения времени сеанса.
Затем я привязываю объект групповой политики к целевому подразделению и устанавливаю флажок «Принудительно». Я изменяю Scope Security Filtering, чтобы удалить аутентифицированных пользователей (потому что, если я этого не сделаю, он применяется ко всем), а затем я добавляю свою группу безопасности. Я также добавляю в группу «Компьютеры домена» (потому что, если я этого не сделаю, это ни к кому не применимо)
Проблема в том, что объект групповой политики по-прежнему применяется к пользователям, не входящим в группу безопасности. Если я изменю объект групповой политики с «Конфигурация компьютера» на «Конфигурация пользователя», то этот объект групповой политики вообще не будет применяться ни к каким пользователям.
Я также попытался переместить группу безопасности в отдельное подразделение и вместо этого связать объект групповой политики с этим подразделением, но это тоже не сработало.
Похоже, моя конфигурация должна работать, но я не могу понять, почему она применяется к пользователям, не входящим в группу. Любая помощь приветствуется!
Пара вещей:
Параметры конфигурации компьютера применяются к компьютерам, а не к пользователям. Вот почему вам нужно было добавить группу «Компьютеры домена» в фильтрацию безопасности GPO ... потому что параметры конфигурации компьютера применяются к компьютерам ... поэтому GPO может влиять только на компьютеры, которые находятся в OU, где GPO связан и находятся в безопасности группа, используемая в качестве фильтра безопасности. Таким образом, параметры будут применяться к каждому пользователю, который входит в систему в том подразделении, к которому привязан объект групповой политики ... потому что это параметры конфигурации компьютера.
Вы не можете применить групповую политику непосредственно к группе. Групповые политики применяются к компьютерам и / или пользователям. Вы можете использовать группу для фильтрации объекта групповой политики, чтобы он применялся только к членам группы безопасности (пользователям или компьютерам).
Если вы хотите применить эти параметры только к подмножеству пользователей, настройте эти параметры в разделе «Конфигурация пользователя» ... затем свяжите объект групповой политики с подразделением, в котором находятся ваши учетные записи пользователей ... и используйте фильтрацию безопасности для применения объекта групповой политики к подмножеству. пользователей, которые являются членами группы безопасности.
Вы упомянули, что ваше подразделение содержит несколько компьютеров, как насчет учетных записей пользователей вашей группы безопасности? Они сидят в одном OU? Конфигурация пользователя работает, только если учетная запись пользователя находится в этом конкретном OU, если я не ошибаюсь.