我有一個終端伺服器,很多人都會使用它,但用途不同。我們的程式由兩部分組成,我們稱它們為使用者部分和管理者部分。這是 2 個不同的 .exe 檔案。我希望程式在使用者登入時自動運行(我知道如何透過 GPO 執行此操作)。但我想根據用戶的角色來改變應用程式。當然,我想用 2 個網域組(例如“TS-Users”和“TS-Managers”)來控制這些角色。
我正在尋找實現該目標的最有效方法。有人可以分享他在這樣的問題上的經驗嗎?伺服器是2003級網域的W2K2003。
答案1
沒問題。
在 Active Directory 中建立兩個全域安全性群組,例如「TS-Users」和「TS-Managers」。
Create and link three (3) Group Policy objects in the OU that, ideally, only the terminal server computer is located in. Name them "Loopback GPO Processing and Common User Settings", "TS-Users Settings", and "TS-Managers設定".
在 GPO「環回 GPO 處理和通用使用者設定」中,開啟「電腦設定」節點、「管理範本」節點、「系統」節點和「群組原則」節點,並啟用標題為「使用者群組原則」的政策環回處理模式」。如果您希望在目錄中其他位置設定的其他用戶 GPO 設定在用戶登入此電腦時套用到用戶,請在「模式」方塊中選擇「合併」。如果您只想套用這三個 GPO 中的使用者設置,請選擇「替換」。也要在此 GPO 中設定您希望這些使用者之間通用的任何「使用者配置」設定。
在 GPO 的「TS-Users 設定」和「TS-Managers 設定」中,設定每個群組所需的各種設定。在群組原則編輯器中,開啟群組原則根節點的「屬性」並導覽至「安全性」標籤。從每個策略的權限中刪除“經過驗證的使用者”,並新增您在上面建立的具有“讀取”和“應用程式群組原則”權限的相應AD 群組。將阻止設定套用至屬於「錯誤」群組的使用者。
最後,重新啟動終端伺服器計算機,使其進入環回組策略處理模式(僅在啟動時切換)。
您應該會看到每個 GPO 的設定正在套用。無論誰登入,「環回 GPO 處理和通用使用者設定」使用者設定都將適用。 「TS-Users 設定」使用者設定僅在「TS-Users」群組成員登入時套用,同樣適用於「TS-Managers」。
這是環回組策略處理和按安全群組過濾群組原則應用程式的快速速成課程。我們一直這樣做就是為了做你所描述的事情。您可能需要進行一些研究才能完全理解它,但請嘗試一下。一個實際的好處是,您可以透過使用包含Windows XP 電腦並啟用「遠端桌面」的OU 來「模擬」此操作,以便您可以暫存策略並測試它們(儘管一次只有一個使用者),直到您滿意為止。