![]() |
Помогите настроить права
Есть несколько групп пользователей, есть подразделение с определённой политикой для пользователей...
так вот, необходимо чтобы на некоторых машинах эта политика на пользователей распространялась, а на некоторых нет.... как это сделать? т.е. например есть несколько терминальных пользователей у которых прав только на запуск двух приложений и браузера, реализовано это через груповую политику в подразделении, в которое эти пользователи и входят. Теперь необходимо чтобы при логине некоторых пользователей в другой терминальный сервер на них накладывались такие же ограничения, но только в терминале! т.е. на рабочих машинках права должны быть пользователя домена. |
Для того чтобы сделать это есть 2 пути:
1. Использование WMI фильтров. К примеру вы можете создать политику и прицепить к ней WMI фильтр в котором указать, что данная политика будет работать только на машинах с серверной операционной системой. А дальше все как обычно цепляете ее на ОУ и привязываете к группе пользователей. http://social.technet.microsoft.com/...-4c319cce415d/ пример филльтра: Код:
Name space: root\CIMv2 2. Использовать замыкание групповой политики. В этом случаи политика пользователя будет игнорироваться и заменяться политикой машины. Будте внимательны - в таком случаи в политике можно настраивать только раздел Конфигурация компьютера. В этом случаи вы также можете привязывать политику к пользователя например группе TS Users вы даете на чтение и применения а группе Domain admins запрещаете применение. Работать будет только у TS Users. Более подробно http://support.microsoft.com/kb/231287/ru Вот кусок выдранный из форума MS: ----------------------------------- Итак, Задача: Есть сервер терминалов, есть дочерние домены или домены с доверительными отношениями. Есть политики которые ограничивают некоторых пользователей терминала. Когда эти ограниченные пользователи в моем корневом домене - к ним применяется политика их OU и все и так хорошо. Воросы начинаются когда ограниченные пользователи в других доменах - к ним политику для терминала надо применять по другому, а именно: Инструментарий: GPMC.msi (скачивается с MS, требует framework 1.1, можно ставить на XP) и AD - Users&Comp. Описание: Чтобы применить политики для пользователей дочерних/доверительных доменов, политику надо применять к самому серверу терминалов и включить в ней замыкание (то есть применение блока конф.польз. политики ко всем пользователям в рамках этого выбранного компа). Порядок работ: 1. Создать OU Terminal Servers (с нему будем крутить политики). 2. Скопировать имеющиеся политики с ограничениями - нужна копия т.к. мы будем у политик менять списки доступа ACL по отношению к тем что уже у нас были раньше. Копируем политики через gpmc.msc - контейнер Group Policy Objects - на политику пр.кн. копировать - на этот контейнер Group вставить. Скопированная политика вставится как copy of... и ее можно переименовать F2. 3. Скопированные политики применяем к OU (в User&Comp - OU - пр.кн.свойства - гр.политика - добавить - все - выбираем наши. 4. В политиках которые мы скопировали и прикрутили выше включаем замыкание (конф.комп. – адм.шаблоны – система – груп.политики. – режим обработки замыкания - включить). 5. Настраиваем ACL для применения политик, здесь самое интересное! Можно настраивать через User&Comp - OU - пр.кн.свойства - гр.политика - свойства - безопасность, но значительно нагляднее через GPMC - правда через GPMC можно только добавлять группы на чтение/применение, но нельзя ставить запрет - а через безопасность можно запрет на политику. 6. В этот OU запихиваем сервер терминалов и перегружаем его. Все! ----------------------------------- |
Время: 20:13. |
Время: 20:13.
© OSzone.net 2001-