У меня есть терминальный сервер, который будет использоваться многими людьми, но для разных целей. Наша программа состоит из 2 частей, назовем их пользовательской и менеджерской. Это 2 разных .exe-файла. Я хочу, чтобы программа запускалась автоматически при входе пользователя в систему (я знаю, как это сделать через GPO). Но я хочу изменять приложение в зависимости от роли пользователя. Конечно, я хочу контролировать эти роли с помощью 2 доменных групп, таких как «TS-Users» и «TS-Managers».
Я ищу наиболее эффективный способ достижения этой цели. Может кто-то поделиться опытом в таком вопросе? Сервер W2K2003 в домене уровня 2003.
решение1
Без проблем.
Создайте две глобальные группы безопасности в Active Directory, например «TS-Users» и «TS-Managers».
Создайте и свяжите три (3) объекта групповой политики в OU, в котором, в идеале, находится только компьютер сервера терминалов. Назовите их «Обработка объектов групповой политики обратной связи и общие параметры пользователей», «Параметры пользователей TS» и «Параметры менеджеров TS».
В GPO "Loopback GPO Processing and Common User Settings" откройте узел "Comptuer Configuration", узел "Administrative Templates", узел "System" и узел "Group Policy" и включите политику с названием "User Group Policy loopback processing mode". Если вы хотите, чтобы другие параметры GPO пользователя, заданные в других местах каталога, применялись к пользователям при входе в систему на этом компьютере, выберите "Merge" в поле "Mode". Если вы хотите, чтобы применялись только параметры пользователя в этих трех GPO, выберите "Replace". Также задайте в этом GPO любые параметры "User Configuration", которые вы хотите сделать общими для этих пользователей.
В GPO "TS-Users Settings" и "TS-Managers Settings" задайте различные настройки, необходимые для каждой из этих групп. В редакторе групповой политики откройте "Properties" для корневого узла групповой политики и перейдите на вкладку "Security". Удалите "Authenticated USers" из разрешения для каждой политики и добавьте соответствующую группу AD, которую вы создали выше, с разрешениями "Read" и "Apply Group Poliy". Сделайте это для каждого из этих GPO. (Это предотвратит применение настроек к пользователям, которые относятся к "неправильной" группе.)
Наконец, перезагрузите компьютер сервера терминалов, чтобы он перешел в режим обработки групповой политики обратной связи (который переключается только при загрузке).
Вы должны увидеть настройки каждого из этих GPO, применяемые. Пользовательские настройки "Loopback GPO Processing and Common User Settings" будут применяться независимо от того, кто входит в систему. Пользовательские настройки "TS-Users Settings" будут применяться только при входе в систему члена группы "TS-Users", и то же самое будет работать для "TS-Managers".
Это краткий экспресс-курс по обработке групповой политики Loopback и фильтрации применения групповой политики по группе безопасности. Мы делаем это все время, чтобы сделать то, что вы описываете. Возможно, вам придется немного поучиться, чтобы усвоить это, но попробуйте. Практическим преимуществом является то, что вы можете «симулировать» это, используя OU с машиной Windows XP в ней с включенным «Удаленным рабочим столом», чтобы вы могли подготовить политики и протестировать их (хотя и по одному пользователю за раз), пока вы не будете готовы связать GPO с реальным OU, где «живет» ваш компьютер сервера терминалов.