Пользователи удаленного рабочег стола и локальные.
 

ВОпрос элементарный, но поставил меня в ступор:

Если есть пользователи: User1, User2, User3 итд они являются пользователями домена и сидят за своим ирабочими ПК локально. И они же являются пользователями терминала.
Как политикой домена запретить им то, что разрешено как обычными пользователям ПК.

К примеру я включаю комп и я являюсь User1. У меня все видно, пуск , пеню .панель управления. Подключаюсь к терминалу под тем же пользователем, есть рабочий стол, но все остальное закрыто политиками. ( и на рабочем столе 1-2 программы для запуска ).

Как закрыть интерфейсы я знаю, но это применится как к пользователю домена, так и к темринальному пользователю, а вот как одному и тому же юзеру закрыть то, что разрешено не в терминале, я потерялся =)

Windows Server 2008 R2, AD, DNS, TS.

Т.е. при входе пользователя в терминальную сессию, применялись иные права, политика будет специально написана для ТС подключения.

Настроить фильтр безопасности для политики.

использовать WMI Filter

Это все одна железка?

Да 1 железка.
Фильтр безопасности и будет действовать на все входы пользователя.
Или есть фиьлтр безопасности по роли сервера?
К примеру применяю для отдела бухгалтерия политику и WMI фильтром указываю, что данная политика испольуется только к роли удаленных рабочихз столов ?

потомучто в терминалке к примеру, надо чтобы он не видел и не мог ничего. А на своем ПК чтобы мог делать все.

вы путаете фильтры безопасности и фильтры WMI.
но даже если использовать такое решение - то да, можно и такой фильтр сделать

Мммм, тут есть люди, которые помогут вспомнить WMI запрос на применение политики для уд. раб. столов. в WMI запросах только основы знаю, конкретно выборку сделать для 1 роли пока тяжело для меня =)

подход не верный, не нужно делать выборку по роли, но если уж так хочется:

Воспользоваться фильтром не получится, т.к. политика применяется к конечным пользователям, и если я включу в фильтр группу БУХГАЛТЕРИЯ, то эта политика применится к пользователям группы БУХГАЛТЕРИЯ и где бы пользователь не заходил ( рабочий ПК или удаленный рабочий стол, политика будет одинакова )


это что означает ?))

WMI Code Creator =)

P.S. это запрос как вы хотите.

Фильтровать можно и по компьютерам.

Фильтровать по ПК так же не получится т.к. за 1 ПК сидят разные юзеры. КАК терминальные, так и простые.

Нашел такую штуку по совету администратора:

http://www.oszone.net/172/

в конце там Обратный порядок обработки политик. ТОлько не могу найти это в WServer 2008 - это как раз то что нужно.

в статье линк на которую вы привели есть даже картинка с указанием где это.
P.S. фильтрация WMI намного гибче и удобней.