[zonderz]

Anton04,

gpo loopback processing

http://www.oszone.net/3981_3/Step-by...e_Group_Policy

http://support.microsoft.com/kb/231287

http://support.microsoft.com/kb/260370

[cameron]

Цитата zonderz:

gpo loopback processing »

лучше WMI.

[Anton04]

zonderz,

Второй и третий линк в пустую, в курсах я.

А вот третий немного поставил всё на место, немного т.к. не совсем понятно как правильно применять/использовать "политику замыкания на себя"...

Я так понял, что при использовании политики замыкания на себя, именно в созданной политике нужно настраивать пользовательские параметры GPO(в конфигурации пользователя) и в этой же политике (в конфигурации ПК) выбрать режим замыкания на себя. Так?

cameron,

WMI в этом случае не катит.

[cameron]

Цитата Anton04:

WMI в этом случае не катит. »

да вы что? правда что ли?
и почему же?
или вы хотите одной политикой это делать? ))

[Anton04]

Потому как политика накатывается на OU в котором содержится контейнер "компьютер" (т.е. сервер терминалов) и следовательно WMI тут не помогут, т.к. разграничить нужно политику пользователей на разных ПК.

[cameron]

Цитата Anton04:

Потому как политика накатывается на OU в котором содержится контейнер "компьютер" (т.е. сервер терминалов) и следовательно WMI тут не помогут, т.к. разграничить нужно политику пользователей на разных ПК. »

по-подробнее.
у вас политика с "конфигурацией пользователя" накатывается на OU с сервером?..
тогда конечно, и бесспорно, loopback.

просто из первого поста это не явно.

да и в любом случае не ясно, почему это не повесить на домен в целом, отфильтровав черещ WMI.
мне кажется что либо вы не до конца понимаете суть, либо велосипед скоро будет изобретён.

[Anton04]

Цитата cameron:

у вас политика с "конфигурацией пользователя" накатывается на OU с сервером?.. »

Да всё именно так, шоб разграничить разные права на разных ПК.

Цитата Anton04:

Я так понял, что при использовании политики замыкания на себя, именно в созданной политике нужно настраивать пользовательские параметры GPO (в конфигурации пользователя) и в этой же политике (в конфигурации ПК) выбрать режим замыкания на себя.»

И применять данный GPO к OU с контейнером "компьютер"? Да?

[cameron]

Цитата Anton04:

И применять данный GPO к OU с контейнером "компьютер"? Да? »

нет, политика с конфигурацией пользователя должна применяться с ОУ с пользователями.
а вот с помощью WMI вы разграничите сферу её применения.

в общем, как я и предпологала, на лицо явное недопонимание.

грубо говоря:
политика 1:
конфиг пользователя
SRP - disallow all + map drives
WMI fliter - применять на терминальных серверах.
политика 2:
конфиг пользователя
SRP - allow all + map printers
WMI fliter - применять на клиентских ПК.

и, внезапно!, у вас будет то, что вы хотите.
если я вас правильно поняла.

[Anton04]

Цитата cameron:

нет, политика с конфигурацией пользователя должна применяться с ОУ с пользователями. »

Это то совершенно ясно.

Цитата cameron:

в общем, как я и предпологала, на лицо явное недопонимание. »

Согласен.

Но как же совместить не совместимое.

Вот есть следующие OU OU_Server, OU_Comp и OU_User.
В OU_Server есть один контейнер типа "компьютер" с именем ServerTerminal.
Так же, есть разные политики которые "прилинкованы" к OU_Server, OU_Comp и OU_User. Назовём их "Policy terminal" (прилинкован к OU_Server), "Policy user" (прилинкован к OU_User) и "Policy comp" (прилинкован к OU_Comp).
Само собой в каждой из трёх политик содержится изменение GPO относящиеся только к "Конфигурации пользователя" или к "Конфигурации компьютера".
А теперь вопрос: как сделать шоб при залогинивании пользователя по RDP на ServerTerminal у него применялись другие параметры GPO ("Конфигурации пользователя") чем при залогинивании на любой комп из контейнера OU_Comp?

Цитата cameron:

WMI fliter - применять на терминальных серверах. »

Т.е. удалить "применить групповую политику" в "прошедшим проверку" и выбрать конкретный контейнер с ПК и для него выставить параметр "применить групповую политику"?

Цитата cameron:

и, внезапно!, у вас будет то, что вы хотите. если я вас правильно поняла. »

Вполне возможно, что будет так. Но это будет сразу для всех пользователей терминала без исключения. А если на этом же сервере терминалов нужны разные пользовательские политики для разных пользователей, как быть?