저는 많은 사람들이 다른 목적으로 사용하는 터미널 서버를 가지고 있습니다. 우리 프로그램은 두 부분으로 구성되어 있습니다. 이를 사용자 부분과 관리자 부분이라고 부르겠습니다. 2개의 서로 다른 .exe 파일이 있습니다. 사용자가 로그온할 때 프로그램이 자동으로 실행되기를 원합니다(GPO를 통해 수행하는 방법을 알고 있습니다). 하지만 사용자의 역할에 따라 애플리케이션을 다양하게 만들고 싶습니다. 물론 "TS-Users" 및 "TS-Managers"와 같은 2개의 도메인 그룹으로 이러한 역할을 제어하고 싶습니다.
나는 그 목표를 달성하기 위한 가장 효율적인 방법을 찾고 있습니다. 누군가 그러한 질문에 대해 자신의 경험을 공유할 수 있습니까? 서버는 2003수준 도메인의 W2K2003이다.
답변1
괜찮아요.
Active Directory에 "TS-Users" 및 "TS-Managers"라는 두 개의 글로벌 보안 그룹을 만듭니다.
이상적으로는 터미널 서버 컴퓨터만 있는 OU에서 3개의 그룹 정책 개체를 만들고 연결합니다. 이름을 "루프백 GPO 처리 및 일반 사용자 설정", "TS-사용자 설정" 및 "TS-관리자"로 지정합니다. 설정".
GPO "루프백 GPO 처리 및 일반 사용자 설정"에서 "컴퓨터 구성" 노드, "관리 템플릿" 노드, "시스템" 노드 및 "그룹 정책" 노드를 열고 "사용자 그룹 정책"이라는 정책을 활성화합니다. 루프백 처리 모드". 디렉토리의 다른 위치에 설정된 다른 사용자 GPO 설정을 사용자가 이 컴퓨터에 로그온할 때 사용자에게 적용하려면 "모드" 상자에서 "병합"을 선택하십시오. 이 세 GPO의 사용자 설정만 적용하려면 "바꾸기"를 선택하세요. 또한 이 GPO에서 이러한 사용자 간에 공통으로 사용하려는 "사용자 구성" 설정을 지정합니다.
GPO의 "TS-사용자 설정" 및 "TS-관리자 설정"에서 이러한 각 그룹에 필요한 다양한 설정을 지정합니다. 그룹 정책 편집기에서 그룹 정책의 루트 노드에 대한 "속성"을 열고 "보안" 탭으로 이동합니다. 각 정책에 대한 권한에서 "인증된 사용자"를 제거하고 "읽기" 및 "그룹 정책 적용" 권한을 사용하여 위에서 생성한 적절한 AD 그룹을 추가합니다. 이러한 각 GPO에 대해 이 작업을 수행합니다. 이렇게 하면 설정이 다음에 적용되지 않습니다. "잘못된" 그룹에 속한 사용자입니다.)
마지막으로 터미널 서버 컴퓨터를 재부팅하여 루프백 그룹 정책 처리 모드(부팅 시에만 전환됨)로 전환합니다.
적용되는 각 GPO의 설정이 표시되어야 합니다. "루프백 GPO 처리 및 일반 사용자 설정" 사용자 설정은 누가 로그온하든 적용됩니다. "TS-사용자 설정" 사용자 설정은 "TS-사용자" 그룹의 구성원이 로그온할 때만 적용되며 "TS-관리자"에도 동일하게 적용됩니다.
루프백 그룹 정책 처리 및 보안 그룹별 그룹 정책 적용 필터링에 대한 빠른 집중 과정입니다. 우리는 귀하가 설명하는 것을 수행하기 위해 항상 이 작업을 수행합니다. 마음을 사로잡는 데는 약간의 연구가 필요할 수 있지만 시도해 보세요. 실용적인 장점은 "원격 데스크톱"이 활성화된 Windows XP 시스템이 있는 OU를 사용하여 이를 "시뮬레이트"할 수 있으므로 정책을 준비하고 테스트할 수 있다는 것입니다(한 번에 한 명의 사용자라도). 터미널 서버 컴퓨터가 "상주"하는 실제 OU에 GPO를 연결할 준비가 되었습니다.