「実験的なささいなこと」の継続。 前のパーツ: one 、 two 、 three 、 four 、 five 、 six 。
今日は、グループポリシーの興味深いパラメーターについて説明します。 はい、正確に。 生活を楽にすることができる単一のパラメーター(または複雑になります。これも可能です)
タスクは非常に簡単に設定されました。
ターミナルサーバーにアクセスする特定のユーザーには、スーパーミニマムの権限セットが必要です。 デスクトップ上の何も変更できず、ディスクが表示されず、定義済みのアプリケーション(1C、コンサルタント+、Word、Excel)などしか起動できませんでした。 同時に、同じターミナルサーバーにアクセスする他のすべてのユーザーは、すべての権利を取得する必要があります。 まあ、これはこの特定のターミナルサーバーのみに関係するはずです。ワークステーションでは、すべてのユーザーはほぼ同等です。
グループポリシーを設定して、戦車に進みましょう。 しかし、古いジョークのように、「ニュアンスがあります!」。 ユーザー環境のセットアップ(ディスクの表示の禁止、デスクトップのセットアップなど)について話している場合、これらのパラメーターは(論理的に!)ユーザーに適用されます。
ユーザーを含むOUに適用すると、ユーザーは、作業コンピューターを含め、すべての場所でSuperMinimumの一連の権利を持ちますが、これは計画の一部ではありませんでした。
ターミナルサーバーを含むOUにこのポリシーを適用する場合、ユーザーパラメーターは単に適用されません。 それらは[ユーザーの構成]カテゴリにリストされており、サーバーには影響しません。
そして、ここでグループポリシーの上記の興味深いパラメーターが戦いに入ります。 レコード: コンピューターの構成-管理用テンプレート-システムグループポリシー-ユーザーグループポリシーループバック処理モード-マージ(または置換)
このようなことをします:
- グループPol_RestrictTerminalUsersを作成し、指定された制限を設定する必要がある人々を取り込みます
- RestrictTerminalUsersポリシーを作成する
- ポリシーですべてのユーザーを公開します(!)必要な制限
- 上記のパラメーターをEnable-Mergeに設定します
- 必要なターミナルサーバーを含むOUに適用します(ちなみに、ポリシーが近隣のコンピューターに影響を与えないように、別のOUに配置することは論理的です)
- このポリシーのセキュリティフィルターで 、 Authenticated Usersを削除し、グループPol_RestrictTerminalUsersと(!!)ターミナルサーバー自体を追加します。
- その結果、 Pol_RestrictTerminalUsersグループのメンバーであるユーザーがこのターミナルサーバーにログオンすると、通常のユーザーポリシーだけでなく、新しいRestrictTerminalUsersポリシーも適用され、そのユーザー値は他のポリシーの値よりも優先されます。
- このグループのメンバーではないユーザーの場合、 セキュリティフィルターがトリガーされ、追加の設定は適用されません。 したがって、次のようになります。一部のユーザーのターミナルの入り口で、セッションはある方法で構成され、別の方法でセッションが構成され、これはすべてADのグループを介して非常に簡単に制御されます。
- ワークステーションでは、ユーザーは以前と同様にすべてのものを使用できます。
必要でした。 最後に、いくつかのコメント:
- マージモードはすべてのユーザー設定をマージし 、 置換モードはそれらを置き換えます。 通常Mergeを使用するのは、 以前のポリシーには、変更する必要のない設定(マップされたドライブ、プリンターなど)がある場合があります。 ReplaceとMergeの詳細については、たとえばこちらをご覧ください。
- マージモードでループバック処理を使用する場合、ポリシーは実際に2回機能します。ログオンスクリプトを使用する場合は、これを考慮してください。 例えば、私は長い間屋根を下ろしました。 スクリプトが0.5 -1秒の中断で2回実行されることがはっきりとわかります。ループバック処理について詳しく読むまで、その理由を理解できませんでした。
続く