Estamos tentando descobrir como aplicar uma política de computador apenas para usuários em um grupo de segurança específico. Essencialmente, temos um grupo de usuários onde queremos bloquear coisas como o gerenciador de servidores e o powershell, mas outros usuários devem ter acesso a eles neste servidor de área de trabalho remota. O servidor RDP está em sua própria OU com a política de grupo aplicada. Na política de grupo, atualizamos o escopo para incluir apenas o grupo de segurança dos usuários aos quais queremos que a política de computador seja aplicada. Também garantimos, sob a guia de delegação, que os usuários autorizados tivessem acesso de leitura à política de grupo.
Quando executamos, a política de grupo do assistente de modelagem de política de grupo não é aplicada devido à filtragem de segurança. Se removermos a filtragem de segurança e apenas tivermos usuários autenticados, a política de grupo será aplicada ... a todos os usuários, como você esperaria.
Agradecemos antecipadamente por sua ajuda!
Dan
Outros detalhes Domínio do Windows 2008 R2 e Servidor RDP do Windows 2012 R2
Você não pode filtrar as configurações do computador em um GPO com base em um grupo de segurança que contém usuários como membros. As configurações do computador se aplicam aos computadores, as configurações do usuário se aplicam aos usuários e nunca os twain devem atender.
O motivo pelo qual ele funciona para Usuários Autenticados é porque todas as contas de computador são membros de Usuários Autenticados.
Além da resposta de joeqwerty, se você precisar fazer isso e puder alterar sua configuração de computador para usuário, então;
Você pode usar o modo de processamento de loopback.
Usando o Console de Gerenciamento de Diretiva de Grupo, edite o GPO desejado, expanda Configuração do Computador \ Diretivas \ Modelos Administrativos \ Sistema \ Diretiva de Grupo e clique duas vezes em Modo de Processamento de Loopback da Diretiva de Grupo de Usuários.
Em seguida, selecione a opção apropriada (Substituir ou Mesclar).
Uma solução alternativa é usar as definições de configuração do usuário com o filtro do grupo de segurança com um filtro WMI para segmentar apenas esse servidor específico.Select * From Win32_TerminalServiceSetting Where TerminalServerMode=1