Блокировка сеанса пользователя в GPO распространяется не до конца верно
 

день добрый. помогите пожалуйста разобраться с вопросом.
дано:
- компьютеры win7 в домене;
- распространяется правило политики для компьютеров "разрешить делегирование сохраненных учетных данных с проверкой подлинности сервера только NTLM" с серверами "TERMSRV/*";
- на пользователей "таймаут заставки" 600сек.

в итоге что получаем? если пользователь не подключен к приложению на сервере - то сеанс на ПК через 10 мин блокируется, все как надо.
если же пользователь был подключен к назначенным приложениям на сервере - то получаем блокирование сеанса пользователя и на ПК, и на сервере.
как это можно поменять?

значит применять политику надо на машины, а не на пользователя и только на рабочие, а не на все, в том числе и сервер )

Цитата Shiirx:
значит применять политику надо на машины, а не на пользователя и только на рабочие, а не на все, в том числе и сервер ) »
как политику применить на компьютеры, если таймаут есть только для пользователей в персонализации?
ежели привязать политику к OU=Users, добавить в фильтр безопасности только какой-нибудь ПК для проверки - так не действует. Поэтому понять не могу это...

а при попытке добавления WMI фильтра
select * from Win32_OperatingSystem WHERE Version like "6.1%" AND ProductType="1"
он почему-то не отрабатывает

Приветствую, iNsaneO_o.
Возможно поможет замыкание групповой политики http://gpo-planet.com/?p=2119 или http://www.youtube.com/watch?v=y23GdhYII-M.

приветствую и я Вас)
похоже это именно то что надо.
сперва прочитал инфу по первой ссылке + в групповых политиках описание данной опции = вообще не мог переварить что к чему применять надо
затем посмотрел видео где все доходчиво разжевано - кажется помогло (судя по результатам групповой политики), а завтра уже на работе проверю.
спасибо вам. если что-то не получилось таки (НЕ ДАЙ БОГ! :D), то отпишусь еще

Надеюсь это вам поможет. Однако, несмотря на то что в rsop или отчете мастера результирующей политики параметры отображены как примененные, для реального эффекта может потребоваться сделать gpupdate и перезагрузить машину (если одна или пара - не проблема, если нужно для масс - specops gpupdate в помощь, или icm командлет powershell, однако это не быстрее и не проще и требуется настроенная winrm), как и при многих настройках для компьютера в объектах групповых политик. Ключевое слово "может", т.к. я в продакшне не использовал замыкание, на тестах работало нормально, но не помню нужна ли была перезагрузка. А в видео Буланова заработало без перезагрузки?

да я всегда gpupdate /force делаю.
все заработало

остался только мне непонятен один момент: можно ли сделать подобное через фильтры?

я не могу в wmi-фильтры так же, как Польша не может в космос, но попробуйте такой:
Команда: Select * from Win32_ComputerSystem where Name="имя_компьютера", где имя компьютера - короткое имя машины (не fqdn) в классе root\cimv2. Мне такой вариант не кажется удобным.

пытался применить довольно таки банальный {__select * from Win32_OperatingSystem WHERE ProductType="1"__} в итоге никаких изменений - применялся ко всем машинам в OU, не игнорировав сервера и DC.

как я уже сказал, я не могу в wmi-фильтры, не вижу особого смысла, и также практически все примеры, которые приводились в статьях и гайдах не работали для меня, но емнип тот, который я привел - работал, вы его попробовали?

в тестовой среде, на виртуальных машинах, пробовал - работал. а в рабочей - только тот, что я приводил, проверял - почему-то не отрабатывался