Регистрация Войти
Рейтинг:0
duckbjarne avatar Server

Restrict GPOs to RD Session Host without loopback processing

флаг gi
duckbjarne

My aim would be to divide our huge "User" OU (not the default one!) into different sub-OUs from the respective department. Then, I want to link the GPOs to the different departments, but somehow "restrict" the application of them to the RD Session Host. I wanted to know if there is a way to accomplish that without having about 15 GPOs only linked to the "RD Session Host" OU and none to the department OUs. Plus, it would be nice to be able to have as little item level targeting as possible.

The reasons are: Looks nicer, faster administration, better overview.

I would want to accomplish that without third party software, i.e. :

https://www.policypak.com/resources/pp-blog/group-policy-loopback/

Could you also comment if you had run into the same issue as well?

Tell me if you know that it's not possible.

41
0 + 0
Рейтинг:0
Bernd Schwanenmeister avatar Server
флаг au
Bernd Schwanenmeister

Поскольку более 95 процентов объектов групповой политики основаны на реестре, вы можете использовать следующее простое в применении решение: найдите ключи реестра, которые используются объектами групповой политики. Разверните их с помощью элементов предпочтений групповой политики («GPP») (в отличие от стандартных объектов групповой политики). В GPP вы можете использовать «таргетинг на уровне элементов», который представляет собой набор предопределенных фильтров WMI, которые позволяют различать, где применять эти GPP.

0 + 0
Semicolon avatar
флаг jo
Semicolon
Который конфликтует с запросом, вы избегаете таргетинга на уровне элементов.
0
Ответить
Bernd Schwanenmeister avatar
флаг au
Bernd Schwanenmeister
Здравствуй, точка с запятой.Пожалуйста, попробуйте и посмотрите, насколько легко можно достичь цели, используя фильтр таргетинга "сеанс терминала" (возможно, в сочетании с "имя компьютера") по сравнению с другими способами. Дело не в конфликтах.
0
Ответить
Semicolon avatar
флаг jo
Semicolon
Я просто указываю, что Спрашивающий специально задал вопрос с фразой «было бы неплохо иметь возможность иметь как можно меньше таргетинга на уровне предмета». Ваше решение, хотя и работоспособное, полностью игнорирует запрос плакатов и полагается исключительно на то, чего пытается избежать ОП.
0
Ответить
Bernd Schwanenmeister avatar
флаг au
Bernd Schwanenmeister
Хорошо, я вас неправильно понял, потому что вы неправильно напечатали «вы избегаете таргетинга на уровне предметов» вместо «чтобы избежать ILT». Извините, я не видел, что вы указали. Правильно, если Автор пытается иметь как можно меньше, я не уверен, что это значит, но все же хотел показать эту опцию ITL, чтобы ограничить приложение службами терминалов и конкретным хостом.
0
Ответить
Рейтинг:0
Semicolon avatar Server
флаг jo
Semicolon

Вы можете создать группу безопасности, содержащую все компьютеры в подразделении узла сеансов удаленных рабочих столов, а затем использовать делегирование или фильтрацию безопасности в объектах групповой политики, чтобы доменные компьютеры не имели доступа на чтение, а только группа узлов сеансов удаленных рабочих столов имела доступ на чтение. и Пользователи домена (или другая более целевая группа) прочитали и подали заявку. Возможно, вы могли бы просто поместить обе группы в фильтрацию безопасности объекта групповой политики, что привело бы к тому же результату (хотя и предоставило бы разрешение «Применить» компьютерам, что не должно иметь никакого эффекта, пока объект групповой политики не связан с их OU). Поскольку объекты групповой политики извлекаются учетной записью компьютера, гарантия того, что только нужные компьютеры могут получить политику, означает, что объекты групповой политики должны применяться только к пользователям при входе в эти компьютеры.

Комментарии/мысли:

  • Вы не можете/не должны запрещать контроллерам домена читать эти объекты групповой политики, что может привести к непредвиденным последствиям, поэтому при использовании этого метода объекты групповой политики потенциально могут применяться, если пользователи входят в систему контроллера домена. При этом административные учетные записи с доступом к контроллерам домена в любом случае должны находиться в совершенно отдельном подразделении.
  • Разработка объектов групповой политики на основе «внешнего вида» (на мой взгляд) приводит к потенциальным осложнениям при устранении неполадок, особенно при привлечении внешних сотрудников, квалифицированных новых сотрудников и поиске помощи от сообщества (например, при сбое сервера).
  • Я считаю, что все причины, которые вы изложили, субъективны - и это нормально, мне не нужно администрировать вашу среду.
0 + 0
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.