GPO: diferentes GPOs para diferentes usuários em PCs diferentes

Navegue suas respostas
1

Gostaria de perguntar a você como conseguir diferentes GPOs para diferentes UOs de usuários em PCs diferentes. Eu ainda sou novo nisso. Está executando o Windows Server 2012 R2.

Para entender nossa estrutura de UO, aqui está uma imagem: Estrutura da UO

Como exemplo, falarei sobre como desativar o Gerenciador de Tarefas. A questão é que os usuários dos departamentos OU estão registrando em suas próprias estações de trabalho, bem como no servidor RDS. Eu preciso permitir que eles tenham o gerenciador de tarefas em suas estações de trabalho, mas não no RDS. O mesmo vale para usuários remotos, que registram principalmente no RDS e não devem ter o Gerenciador de tarefas. Mas, em seguida, há usuários avançados, que devem ter o Gerenciador de tarefas em sua estação de trabalho e no RDS. Mas também preciso que eles executem um script, se fizerem login em uma estação de trabalho, não no RDS.

Eu sei que para desabilitar o Gerenciador de Tarefas no RDS para Departamentos OU, eu poderia usar o processamento de Loopback, mas fiquei bastante confuso sobre como obter um GPO diferente para usuários avançados. Preciso colocá-los em grupos de segurança separados, fazer dois GPOs com processamento de loopback e separá-los usando o filtro de segurança? Ou existe outra abordagem?

Obrigado.

    
por InToSSH 03.10.2016 / 08:58

3 respostas

0

Ao usar um GPO voltado para a configuração Usuário , para impedir que ele se aplique a algum tipo de operação, ele pode ser obtido em um método mais simples do que o processamento de loopback com um filtro WMI.

Use um filtro WMI. 

SELECT * FROM Win32_OperatingSystem WHERE ProductType = 3

To restrict the query to only clients or only servers, add a clause that includes the ProductType parameter. To filter for client operating systems only, such as Windows 7 or Windows Vista, use only ProductType="1". For server operating systems that are not domain controllers, use ProductType="3". For domain controllers only, use ProductType="2". This is a useful distinction, because you often want to prevent your GPOs from being applied to the domain controllers on your network.

A partir daí, vincule o GPO a uma UO de onde seu usuário está e / ou remova o usuário autenticado e selecione um grupo de segurança.

O filtro WMI fará uma condição, se retornar true , o GPO será aplicado se o usuário estiver na UO correta e estiver no grupo de segurança, se você definir um.

Alguma referência lá

    
por 05.10.2016 / 03:33
0

Seu exemplo é um pouco confuso, mas talvez eu possa ajudar com algumas regras. O GPO é aplicado em ordem, portanto, qualquer que seja o GPO aplicado, o último ganha. I.E. Se você ligá-lo em uma política e desligá-lo em outro que já foi appled última é a política que vai ter efeito. Os GPOs podem ser baseados em máquina ou usuário. Portanto, se você aplicar uma Política do Gerenciador de Tarefas, que, na minha opinião, é baseada no usuário, precisará primeiro aplicar a política a todos os usuários padrão para desativá-la e ter outra política para ativá-la novamente para seus usuários avançados. Espero que isso ajude.

    
por 04.10.2016 / 22:32
0

Simples, crie um novo grupo de segurança, adicione os usuários ao grupo, crie um GPO e adicione o novo grupo como Usuários locais nas estações de trabalho (verifique o link a seguir para adicionar grupos de segurança a grupos locais específicos) link

No mesmo GPO, adicione o seguinte (Por chave do Registro) para Habilitar o Gerenciador de Tarefas e atribua o novo GPO à UO de Estações de Trabalho.

Para ativar o Gerenciador de Tarefas:

REG: adicionar HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Políticas \ System / v DisableTaskMgr / t REG_DWORD / d 0 / f

Crie outro GPO (por chave do Registro) para desabilitar o Gerenciador de Tarefas e atribuir o novo GPO à UD do RDS. Para desativar o Gerenciador de Tarefas:

REG: adicionar HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Políticas \ System / v DisableTaskMgr / t REG_DWORD / d 1 / f

    
por 04.10.2016 / 22:55

Tags

Como faço para ativar a conta de convidado no Windows Server 2012 Essentials R2 SSL subdomínio httpd VirtualHost para Tomcat