Tengo un Terminal Server que será utilizado por muchas personas, pero para diferentes propósitos. Nuestro programa consta de 2 partes, llamémoslas parte de usuario y parte de administrador. Son 2 archivos .exe diferentes. Quiero que el programa se ejecute automáticamente cuando el usuario inicie sesión (sé cómo hacerlo a través de GPO). Pero quiero variar la aplicación según la función del usuario. Por supuesto, quiero controlar estos roles con 2 grupos de dominio como "Usuarios TS" y "Administradores TS".
Estoy encontrando la manera más eficiente de lograr ese objetivo. ¿Alguien puede compartir su experiencia en tal pregunta? El servidor es W2K2003 en dominio de nivel 2003.
Respuesta1
Ningún problema.
Cree dos grupos de seguridad globales en Active Directory, digamos "TS-Users" y "TS-Managers".
Cree y vincule tres (3) objetos de política de grupo en la unidad organizativa en la que, idealmente, solo se encuentre la computadora del servidor terminal. Nómbrelos "Procesamiento de GPO de bucle invertido y configuración común de usuario", "Configuración de usuarios TS" y "Administradores TS". Ajustes".
En el GPO "Procesamiento de GPO de bucle invertido y configuración de usuario común", abra el nodo "Configuración de la computadora", el nodo "Plantillas administrativas", el nodo "Sistema" y el nodo "Política de grupo" y habilite la política titulada "Política de grupo de usuarios". modo de procesamiento loopback". Si desea que otras configuraciones de GPO de usuario establecidas en otros lugares del directorio se apliquen a los usuarios cuando inician sesión en esta máquina, elija "Fusionar" en el cuadro "Modo". Si desea que solo se aplique la configuración de usuario en estos tres GPO, elija "Reemplazar". También establezca en este GPO cualquier configuración de "Configuración de usuario" que desee que sea común entre estos usuarios.
En las "Configuraciones de usuarios TS" y "Configuraciones de administradores TS" del GPO, establezca las diversas configuraciones necesarias para cada uno de estos grupos. En el editor de políticas de grupo, abra las "Propiedades" del nodo raíz de la política de grupo y navegue hasta la pestaña "Seguridad". Elimine "Usuarios autenticados" del permiso en cada política y agregue el grupo AD apropiado que creó anteriormente con el permiso "Lectura" y "Aplicar política de grupo". Haga lo mismo para cada uno de estos GPO. (Esto evitará que la configuración se aplique a usuarios que pertenecen al grupo "incorrecto").
Finalmente, reinicie la computadora con Terminal Server para que ingrese al modo de procesamiento de directiva de grupo Loopback (que solo se activa durante el arranque).
Debería ver que se aplican las configuraciones de cada uno de estos GPO. La configuración de usuario "Procesamiento de GPO de bucle invertido y configuración de usuario común" se aplicará sin importar quién inicie sesión. La configuración de usuario de "Configuración de usuarios de TS" se aplicará solo cuando un miembro del grupo "Usuarios de TS" inicie sesión, y lo mismo funcionará para los "Administradores de TS".
Se trata de un curso intensivo rápido sobre el procesamiento de políticas de grupo Loopback y el filtrado de aplicaciones de políticas de grupo por grupo de seguridad. Hacemos esto todo el tiempo para hacer lo que estás describiendo. Puede que te lleve un poco de estudio entenderlo, pero inténtalo. Una ventaja práctica es que puede "simular" esto utilizando una unidad organizativa con una máquina con Windows XP con el "Escritorio remoto" habilitado para que pueda preparar las políticas y probarlas (aunque sea un usuario a la vez) hasta que esté listo para vincular los GPO a la OU real donde "vive" su computadora Terminal Server.