Os GPOs estão sendo negados, embora os critérios de filtragem sejam atendidos

2

O que estou tentando alcançar

Usamos impressão centralizada em apenas um escritório, por isso preciso garantir que neste escritório as impressoras de rede relevantes existam quando um usuário fizer logon em um Terminal Server, bem como impedir que qualquer impressora local seja redirecionada

O problema

Tenho 2x GPOs que desejo aplicar somente quando o usuário que faz logon em qualquer um de nossos servidores de terminal em uma unidade organizacional específica está em um determinado grupo de segurança. Eu adicionei esse grupo via filtragem de segurança, no entanto, os GPOs não estão sendo aplicados, com a GP Modeling dizendo 'Acesso negado (filtragem de segurança).

De acordo com o TechNet , isso não deve ser o caso -

If the computer account or user account does not meet the security filtering criteria, the entire GPO will be denied at that client.

Meu entendimento do que foi dito acima é que uma conta de usuário atende aos critérios de filtragem de segurança (por exemplo, o usuário é um membro do grupo de segurança especificado), portanto, o GPO não deve ser negado.

As configurações que estou tentando aplicar

Aqui está um passo a passo do que estou fazendo atualmente. Os GPOs devem ser aplicados sempre que um usuário fizer logon em um Servidor de Terminal na OU DD Terminal Servers .

A primeira política deve aplicar essas configurações -

  • Computador -
    • Modelos Administrativos \ Sistema \ Diretiva de Grupo -
      • Detecção de link lento de política de grupo (desativado)
      • Processamento de políticas de scripts (Ativado, Desativado, Ativado)
      • Modo de processamento de loopback da Diretiva de Grupo de usuários (Substituir)
  • Usuário -
    • Configurações do Windows \ Scripts \ Logon
      • um script chamado add_network_printers.vbs

A segunda política deve aplicar essa configuração (em retrospecto, ela pode ser inserida na política acima, pois ela deve afetar os mesmos usuários) -

  • Computador -
    • Modelos administrativos \ Componentes do Windows / Serviços de terminal / Redirecionamento de dados do cliente / servidor -
      • Não permitir redirecionamento de impressoras cliente (ativado)

Imagens

Aqui estão as imagens que mostram as permissões do GPO e os membros do grupo de um usuário de teste relevante. Observe que assegurei que o objeto DD\Sherborne tenha a permissão Apply Group Policy , mesmo que não seja mostrado aqui -

Por favor, alguém pode me ajudar a entender por que esses GPOs estão sendo negados. Obrigado.

    
por David Gard 08.10.2013 / 16:19

2 respostas

2

The second policy should apply this setting (in retrospect, it can be rolled in to the above policy, as it should affect the same users) -

Computer - Administrative Templates\Windows Components/Terminal Services/Client/Server data redirection - Do not allow client printer redirection (Enabled)

Este é um problema central da sua solução. A política acima é uma configuração ampla da máquina - ela não pode ser aplicada por usuário. Você pode configurar um Terminal Server com este configurado ou não. Não há intermediários com a política que você escolheu.

Em segundo lugar, a primeira política (The Loopback Stuff e o script vbs) deve ser duas políticas separadas.

O primeiro deve conter APENAS o material de configuração do computador e, idealmente, deve ser aplicado a "Usuários Autenticados" ou, no mínimo, as contas / grupos do Terminal Server.

A segunda política será a configuração do usuário e só deve ser aplicada aos usuários que você deseja ter.

    
por 09.10.2013 / 10:03
2

Não vejo como isso funcione. Você precisa que a máquina processe as definições de Configuração do Computador para que o processamento da Política de Loopback ocorra para que suas configurações do usuário sejam aplicadas aos usuários do Grupo de segurança quando fizerem logon nesta máquina, mas você negou a permissão às máquinas ler e aplicar o objeto de diretiva de grupo. Você está em um pouco de pegar-22. Você precisará definir a Filtragem de segurança para permitir que a máquina leia e aplique esse GPO.

Veja aqui:

link

    
por 08.10.2013 / 23:27