Προς το περιεχόμενο

Group Policy edit για συγκεκριμενους χρήστες


PepeLePew

Προτεινόμενες αναρτήσεις

Έχω ένα server win2008 r2 που είναι domain controller και terminal server. Στον server αυτό μπαίνουν οι χρήστες μου με remote desktop και δουλεύουν κάποια προγράμματα. Αυτό που θέλω να κάνω είναι να τους δώσω μόνο πρόσβαση στα προγράμματα αυτά μέσω shorcuts και φυσικά να εξαφανίσω όλα τα menu.

 

Αυτό το έχω κάνει από το group policy managment των 2008 όπου έχω δημιουργήσει νέο policy μόνο για τα group που θέλω. Μου κάνει τη δουλεία όμως μου εφαρμόζει το policy και στα workstations των χρηστών.

 

Κάνοντας αλλαγές στο local policy του server μου εξαφανίζει τα menu και από τον admin κάτι που δεν το θέλω.

 

Γνωρίζει κανείς κάποιο τρόπο που θα μπορούσε να παίξει;

 

 

Ευχαριστώ

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

Δεν πρέπει να το κάνεις έτσι, πρέπει να αφήσεις στο GPO processing των accounts να μήν κάνει τίποτα και στο GPO που γίνεται apply στον Terminal να έχεις loopback processing with replace.

 

Εντωμεταξύ καλύτερα είναι να μήν κάνουν login οι users σε terminal server ο οποίος είναι και DC!!! στον οποίο φαντάζομαι τους έχεις όλους Domain Admins για να το καταφέρεις αφου το Allow Interactive Logon είναι μόνο για τους Admins.

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

Δεν πρέπει να το κάνεις έτσι, πρέπει να αφήσεις στο GPO processing των accounts να μήν κάνει τίποτα και στο GPO που γίνεται apply στον Terminal να έχεις loopback processing with replace.

 

Εντωμεταξύ καλύτερα είναι να μήν κάνουν login οι users σε terminal server ο οποίος είναι και DC!!! στον οποίο φαντάζομαι τους έχεις όλους Domain Admins για να το καταφέρεις αφου το Allow Interactive Logon είναι μόνο για τους Admins.

 

Το loopback που λες πως γίνεται.

2 policy μπορείς να πειράξεις από όσο ξέρω. Domain και local.

Δεν τους έχω όλους domain admins. Μπορείς να δώσεις access σε domain users.

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

Βάζεις τα πάντα όπως ήταν πριν στα default. Φτιάχνεις ένα νέο Group το λές RD_Servers_Shadow στο οποίο βάζεις μόνο το computer Account του RD Host και ένα ακόμη Group το οποίο το φτιάχνεις ,το ονομάζεις RD_Users_Shadow και προσθέτεις όλα τα user accounts που θέλεις να παίρνουν αυτά τα settings. (Έτσι ώστε εαν θέλεις να βάλεις και άλλους Users κάνεις add σε αυτό το Shadow Group μόνο)

 

Φτιάχνεις ένα καινούργιο GPO το scope του θα είναι μόνο αυτό το Shadow Group το RD_Servers_Shadow ,βγάζεις το Authenticated Users.

 

Εκεί κάνεις ότι ρυθμίσεις θέλεις απλά στο Computer Configuration->Administrative Templates->System->Group Policy->

 

Έχει ένα setting το : User Group Policy Loopback Processing Mode

 

στο οποίο διαλέγεις Enabled με mode: Replace.

 

Αυτό κάθε φορά που κάνει logon το Computer Account θα έχει Read ,Apply rights το συγκεκριμένο Group , που περιλαμβάνει

 

a)το Computer account για να διαβάσει το Computer Configuration

 

β)τα User Accounts για να "ρίξει" Settings του User mode στο GPO.

 

Οπότε λέει στο PC, ξέρεις αγνόησε τα User Settings που παίζουν για τους Users σε άλλα GPO και κάντα Replace με αυτά που σου λέω εγώ.

 

Ναι πρόσβαση μπορείς να δώσεις στον Remote Desktop Host απλά πρέπει οι Users να έχουν δικαίωμα για Interactive Logon που δεν είναι το Best Practice και φαντάζομαι έδωσες απο το Local Group Policy.

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε

Πρέπει να είστε μέλος για να αφήσετε σχόλιο

Δημιουργία λογαριασμού

Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!

Δημιουργία νέου λογαριασμού

Σύνδεση

Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.

Συνδεθείτε τώρα
  • Δημιουργία νέου...