Есть структура: AD (windows 2008) и terminal (windows 2008), всё на разных ПК и некоторое количество пользователей со своими ПК (ПК пользователей входят в домен).

Вопрос: можно ли сделать так чтобы политики пользователей при подключении к терминальному серверу были одни, а при залогинивании пользователя на свой ПК другие?

Если можно то как такая схема реализовывается?

Anton04,

gpo loopback processing

http://www.oszone.net/3981_3/Step-by-Step_Guide_to_Understanding_the_Group_Policy

http://support.microsoft.com/kb/231287

http://support.microsoft.com/kb/260370

gpo loopback processing »
лучше WMI.

zonderz,

Второй и третий линк в пустую, в курсах я.

А вот третий немного поставил всё на место, немного т.к. не совсем понятно как правильно применять/использовать "политику замыкания на себя"...

Я так понял, что при использовании политики замыкания на себя, именно в созданной политике нужно настраивать пользовательские параметры GPO(в конфигурации пользователя) и в этой же политике (в конфигурации ПК) выбрать режим замыкания на себя. Так?

cameron,

WMI в этом случае не катит.

WMI в этом случае не катит. »
да вы что? правда что ли?
и почему же?
или вы хотите одной политикой это делать? =)))

Потому как политика накатывается на OU в котором содержится контейнер "компьютер" (т.е. сервер терминалов) и следовательно WMI тут не помогут, т.к. разграничить нужно политику пользователей на разных ПК. ;)

Потому как политика накатывается на OU в котором содержится контейнер "компьютер" (т.е. сервер терминалов) и следовательно WMI тут не помогут, т.к. разграничить нужно политику пользователей на разных ПК. »
по-подробнее.
у вас политика с "конфигурацией пользователя" накатывается на OU с сервером?..
тогда конечно, и бесспорно, loopback.

просто из первого поста это не явно.

да и в любом случае не ясно, почему это не повесить на домен в целом, отфильтровав черещ WMI.
мне кажется что либо вы не до конца понимаете суть, либо велосипед скоро будет изобретён.

у вас политика с "конфигурацией пользователя" накатывается на OU с сервером?.. »

Да всё именно так, шоб разграничить разные права на разных ПК.

Я так понял, что при использовании политики замыкания на себя, именно в созданной политике нужно настраивать пользовательские параметры GPO (в конфигурации пользователя) и в этой же политике (в конфигурации ПК) выбрать режим замыкания на себя.»

И применять данный GPO к OU с контейнером "компьютер"? Да?

И применять данный GPO к OU с контейнером "компьютер"? Да? »
нет, политика с конфигурацией пользователя должна применяться с ОУ с пользователями.
а вот с помощью WMI вы разграничите сферу её применения.

в общем, как я и предпологала, на лицо явное недопонимание.

грубо говоря:
политика 1:
конфиг пользователя
SRP - disallow all + map drives
WMI fliter - применять на терминальных серверах.
политика 2:
конфиг пользователя
SRP - allow all + map printers
WMI fliter - применять на клиентских ПК.

и, внезапно!, у вас будет то, что вы хотите.
если я вас правильно поняла.

нет, политика с конфигурацией пользователя должна применяться с ОУ с пользователями. »

Это то совершенно ясно.

в общем, как я и предпологала, на лицо явное недопонимание. »

Согласен.

Но как же совместить не совместимое.

Вот есть следующие OU OU_Server, OU_Comp и OU_User.
В OU_Server есть один контейнер типа "компьютер" с именем ServerTerminal.
Так же, есть разные политики которые "прилинкованы" к OU_Server, OU_Comp и OU_User. Назовём их "Policy terminal" (прилинкован к OU_Server), "Policy user" (прилинкован к OU_User) и "Policy comp" (прилинкован к OU_Comp).
Само собой в каждой из трёх политик содержится изменение GPO относящиеся только к "Конфигурации пользователя" или к "Конфигурации компьютера".
А теперь вопрос: как сделать шоб при залогинивании пользователя по RDP на ServerTerminal у него применялись другие параметры GPO ("Конфигурации пользователя") чем при залогинивании на любой комп из контейнера OU_Comp?

WMI fliter - применять на терминальных серверах. »

Т.е. удалить "применить групповую политику" в "прошедшим проверку" и выбрать конкретный контейнер с ПК и для него выставить параметр "применить групповую политику"?

и, внезапно!, у вас будет то, что вы хотите.
если я вас правильно поняла. »

Вполне возможно, что будет так. Но это будет сразу для всех пользователей терминала без исключения. А если на этом же сервере терминалов нужны разные пользовательские политики для разных пользователей, как быть?

А теперь вопрос: как сделать шоб при залогинивании пользователя по RDP на ServerTerminal у него применялись другие параметры GPO ("Конфигурации пользователя") чем при залогинивании на любой комп из контейнера OU_Comp? »
в третий раз: WMI Filter
Т.е. удалить "применить групповую политику" в "прошедшим проверку" и выбрать конкретный контейнер с ПК и для него выставить параметр "применить групповую политику"? »
попробуйте открыть оснfстку GPMC и посмотреть туда.
там есть закладочка фильры WMI... причём тут security filtering?
Вполне возможно, что будет так. Но это будет сразу для всех пользователей терминала без исключения. А если на этом же сервере терминалов нужны разные пользовательские политики для разных пользователей, как быть? »
а вот тут можно и нужно использовать security filtering

там есть закладочка фильры WMI... причём тут security filtering? »

Всё верно... перепутал я одно с другим... каюсь смотрел только security filtering... :durak:
Теперь осталось разобраться как правильно создавать это WMI фильтр... там параметров просто тьма... :wow:

Теперь осталось разобраться как правильно создавать это WMI фильтр... там параметров просто тьма... »
подскажу, как старт поиска =)
select * FROM Win32_OperatingSystem WHERE version="5.2.3790"
это выборка Windows Server 2003
select * FROM Win32_OperatingSystem WHERE ProductType="1"
это все клиенские ОС (XP/vista/7)
Select * FROM Win32_OperatingSystem WHERE OperatingSystemSKU="4" OR OperatingSystemSKU="48"
это Vista Enterprise + Win7 Enterpise+Win7 Pro

дальше уж как нибудт сами.
MSDN и WMICodeCreator в помощь =)

cameron,

Кстати, а более простого метода решения такой задачи не существует?

Например если в OU_Server поместить не только контейнер типа "компьютер", а ещё (до кучи) группу безопасности в которой будут содержаться некоторые пользователи из OU_User (притом сами пользователи останутся в OU_User). И на контейнер OU_Server накатить две политики с содержимым "Конфигурации пользователя" и "Конфигурации компьютера" (плюс ту политику которая содержит "Конфигурации пользователя" сделать принудительной иль ещё чего).
Ведь что в этом случае будет при коннекте к серверу терминалов, сначало применится политика компа (это конечно будет при загрузке системы), а потом, применится политика для группы безопасности которая то же находится в этой OU.
Прав/не прав?

а потом, применится политика для группы безопасности которая то же находится в этой OU. »
с чего вдруг?
бегом читать книжку по АД =)

с чего вдруг? »

Я упрощённо высказался. Само собой что порядок запуска будет другой, но ведь должна же политика находящаяся в OU_Server и применяемая к определённой группе пользователей (притом группа этих пользователей находится в этом же OU) сработать при залогинивании на комп находящийся в OU_Server. По моему всё логично... Не вижу не состыковок... :clever-ma

бегом читать книжку по АД »

Есть она такая у меня родимая, только для win2003, но там не очень то много изменилось особенно в порядке обработки GPO при старте системы.

P.S. Попробую ещё раз на выходных эту книгу перечитать...

но ведь должна же политика находящаяся в OU_Server и применяемая к определённой группе пользователей (притом группа этих пользователей находится в этом же OU) »
не должна!
Есть она такая у меня родимая, только для win2003, но там не очень то много изменилось »
ничего подобного, касаемо вашего вопроса ничего не менялось с вин2к

не должна! »

Ответ конечно исчерпывающий, но всё же... Почему!?

Ответ конечно исчерпывающий, но всё же... Почему!? »
потому что ГП применяется на обеъкты User и Computer, а не на группу пользоватей или компьютеров.
прочтите же наконец книжку!

потому что ГП применяется на обеъкты User и Computer, а не на группу пользоватей или компьютеров. »

:bow:

Вполне возможно, что уже забыл об этом... бывает...

P.S. Не уж то до сих пор Windows не научилась применять GPO к группам безопасности? Интересно что этому мешает...