私にはターミナル サーバーがあります。これは多くの人がさまざまな目的で使用します。プログラムは 2 つの部分で構成されており、ユーザー部分とマネージャー部分と呼びます。これらは 2 つの異なる .exe ファイルです。ユーザーがログオンしたときにプログラムが自動的に実行されるようにしたいです (GPO 経由で実行する方法も知っています)。ただし、ユーザーの役割に基づいてアプリケーションを変更したいと考えています。もちろん、これらの役割を「TS-Users」や「TS-Managers」などの 2 つのドメイン グループで制御したいと考えています。
私はその目標を達成するための最も効率的な方法を探しています。このような質問について、どなたか経験を共有していただけますか? サーバーは 2003 レベルのドメインの W2K2003 です。
答え1
問題ない。
Active Directory に「TS-Users」と「TS-Managers」という 2 つのグローバル セキュリティ グループを作成します。
理想的には、ターミナル サーバー コンピュータのみが配置されている OU 内に 3 つのグループ ポリシー オブジェクトを作成してリンクします。これらに、「ループバック GPO 処理と共通ユーザー設定」、「TS ユーザー設定」、および「TS マネージャー設定」という名前を付けます。
GPO「ループバック GPO 処理と共通ユーザー設定」で、「コンピュータ構成」ノード、「管理用テンプレート」ノード、「システム」ノード、および「グループ ポリシー」ノードを開き、「ユーザー グループ ポリシー ループバック処理モード」というタイトルのポリシーを有効にします。ディレクトリ内の他の場所で設定された他のユーザー GPO 設定を、ユーザーがこのマシンにログオンするときに適用する場合は、「モード」ボックスで「マージ」を選択します。これら 3 つの GPO のユーザー設定のみを適用する場合は、「置換」を選択します。また、この GPO で、これらのユーザー間で共通にする「ユーザー構成」設定を設定します。
GPO の「TS ユーザー設定」と「TS マネージャー設定」で、これらの各グループに必要なさまざまな設定を設定します。グループ ポリシー エディターで、グループ ポリシーのルート ノードの「プロパティ」を開き、「セキュリティ」タブに移動します。各ポリシーの権限から「認証されたユーザー」を削除し、上で作成した適切な AD グループを「読み取り」および「グループ ポリシーの適用」権限で追加します。これらの各 GPO に対してこれを実行します。(これにより、「間違った」グループのユーザーに設定が適用されなくなります。)
最後に、ターミナル サーバー コンピューターを再起動して、ループバック グループ ポリシー処理モード (起動時にのみ切り替えられる) に入ります。
これらの各 GPO の設定が適用されていることがわかります。「ループバック GPO 処理と共通ユーザー設定」ユーザー設定は、誰がログオンしても適用されます。「TS-Users 設定」ユーザー設定は、「TS-Users」グループのメンバーがログオンした場合にのみ適用され、「TS-Managers」でも同様に適用されます。
これは、ループバック グループ ポリシーの処理と、セキュリティ グループによるグループ ポリシー アプリケーションのフィルタリングに関する短期集中講座です。私たちは、あなたが説明していることを実行するために、常にこれを行っています。理解するには少し勉強する必要があるかもしれませんが、試してみてください。実用的な利点は、"リモート デスクトップ" が有効になっている Windows XP マシンを含む OU を使用してこれを "シミュレート" できることです。これにより、ターミナル サーバー コンピュータが "存在する" 実際の OU に GPO をリンクする準備ができるまで、ポリシーをステージングしてテストできます (ただし、一度に 1 人のユーザー)。