Заметки IT Менеджера

29.06.2011

Настройка политик терминальных пользователей или особенность замыкания групповых политик


Обычно, при использовании терминальный решений от Microsoft или на их основе возникает необходимость в использовании из-под терминала групповых политик, отличных от тех, что применяются к пользователям во всех остальных местах. Например, выключить хранитель экрана с парольным выходом, в случае работы из-под терминала. Это раздражает пользователей, т.к. в случае их отсутствия они получают два хранителя экрана вместо одного. Как же это реализовать?

Специально для этого предусмотрен решим замыкания (loopback). В случае его включения, политика применяется на основе членства компьютера, а не пользователя. Для этого нужно включить это свойство в

Computer Configuration –> Policies –> Administrative Templates –> System –> Group Policy –> User Group Policy loopback processing mode

И выбрать режим Replace.

После этого нужно настроить все необходимые параметры в User Configuration разделе. Эту политику нужно привязать к OU в которой находятся терминальные севера. Обязательно следует дать право на чтение этой политики группе Authenticated Users и на чтение и применений для группы Domain Computers.

Но это работает только в том случае, если для всех пользователей терминала используются одинаковые настройки. А если нужно сделать так, чтобы рядовые пользователи вообще не могли получать десктоп и имели жесткие ограничения на таймауты сессий, группа поддержки могла получать рабочий стол и не иметь ограничений по таймаутам, а администраторы  вообще не имели ограничений?

Если попытаться просто поставить фильтр по группам пользователей, то политики вообще применяться не будут. Но, оказывается, есть хитрость. Если хотя бы одна политика на OU имеет режим замыкания, то и все остальные пользовательские политики, привязанные к этому контейнеру будут применяться!

Т.е., нужно сделать одну политику с включенным режимом замыкания и общими для всех терминальных пользователей настройками, а затем сделать еще несколько политик с выключенным режимом замыкания и с фильтром применения групповой политики для нужной группы пользователей.

Реклама

2 комментария »

  1. >>применяется не на основе членства компьютера, а не пользователя.
    Поправь

    комментарий от pan_2@LJ — 29.06.2011 @ 17:26 | Ответить

    • Спасибо, исправил

      комментарий от itpadla — 29.06.2011 @ 17:29 | Ответить


RSS feed for comments on this post. TrackBack URI

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

Создайте бесплатный сайт или блог на WordPress.com.

%d такие блоггеры, как: