Помогите настроить права
 

Есть несколько групп пользователей, есть подразделение с определённой политикой для пользователей...
так вот, необходимо чтобы на некоторых машинах эта политика на пользователей распространялась, а на некоторых нет.... как это сделать?

т.е. например есть несколько терминальных пользователей у которых прав только на запуск двух приложений и браузера, реализовано это через груповую политику в подразделении, в которое эти пользователи и входят. Теперь необходимо чтобы при логине некоторых пользователей в другой терминальный сервер на них накладывались такие же ограничения, но только в терминале! т.е. на рабочих машинках права должны быть пользователя домена.

Для того чтобы сделать это есть 2 пути:

1. Использование WMI фильтров. К примеру вы можете создать политику и прицепить к ней WMI фильтр в котором указать, что данная политика будет работать только на машинах с серверной операционной системой. А дальше все как обычно цепляете ее на ОУ и привязываете к группе пользователей. http://social.technet.microsoft.com/...-4c319cce415d/
пример филльтра:


2. Использовать замыкание групповой политики. В этом случаи политика пользователя будет игнорироваться и заменяться политикой машины. Будте внимательны - в таком случаи в политике можно настраивать только раздел Конфигурация компьютера.
В этом случаи вы также можете привязывать политику к пользователя например группе TS Users вы даете на чтение и применения а группе Domain admins запрещаете применение. Работать будет только у TS Users.
Более подробно http://support.microsoft.com/kb/231287/ru


Вот кусок выдранный из форума MS:

-----------------------------------
Итак,
Задача: Есть сервер терминалов, есть дочерние домены или домены с доверительными отношениями.
Есть политики которые ограничивают некоторых пользователей терминала.
Когда эти ограниченные пользователи в моем корневом домене - к ним применяется политика их OU и все и так хорошо. Воросы начинаются когда ограниченные пользователи в других доменах - к ним политику для терминала надо применять по другому, а именно:

Инструментарий: GPMC.msi (скачивается с MS, требует framework 1.1, можно ставить на XP) и AD - Users&Comp.

Описание: Чтобы применить политики для пользователей дочерних/доверительных доменов, политику надо применять к самому серверу терминалов и включить в ней замыкание (то есть применение блока конф.польз. политики ко всем пользователям в рамках этого выбранного компа).

Порядок работ:
1. Создать OU Terminal Servers (с нему будем крутить политики).
2. Скопировать имеющиеся политики с ограничениями - нужна копия т.к. мы будем у политик менять списки доступа ACL по отношению к тем что уже у нас были раньше.
Копируем политики через gpmc.msc - контейнер Group Policy Objects - на политику пр.кн. копировать - на этот контейнер Group вставить. Скопированная политика вставится как copy of... и ее можно переименовать F2.
3. Скопированные политики применяем к OU (в User&Comp - OU - пр.кн.свойства - гр.политика - добавить - все - выбираем наши.
4. В политиках которые мы скопировали и прикрутили выше включаем замыкание (конф.комп. – адм.шаблоны – система – груп.политики. – режим обработки замыкания - включить).
5. Настраиваем ACL для применения политик, здесь самое интересное! Можно настраивать через User&Comp - OU - пр.кн.свойства - гр.политика - свойства - безопасность, но значительно нагляднее через GPMC - правда через GPMC можно только добавлять группы на чтение/применение, но нельзя ставить запрет - а через безопасность можно запрет на политику.
6. В этот OU запихиваем сервер терминалов и перегружаем его.
Все!
-----------------------------------