Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2012/2012 R2 (http://forum.oszone.net/forumdisplay.php?f=117)
-   -   [решено] [GPO] Определенные действия для определенного пльзователя (http://forum.oszone.net/showthread.php?t=339427)

Uga4aka 26-02-2019 06:39 2860029
[GPO] Определенные действия для определенного пльзователя
 
Есть пользователи - группа1 и группа2
Имеем некие данные, к которым пользователи должны получать доступ в зависимости от своей группы на основном рабочем месте (АРМ). Но и в то же время иметь доступ к документам другой группы, но уже в терминале или по другому.
Можно использовать и терминал либо еще какой нибудь решение.
На данный момент экспериментирую с терминалом
Получилось:
GPO1 через фильтр безопасности нацеливается на группу1
GPO2 - группа2
В GPO1 в свойствах пользователя создаю ярлык на нужные ему документы группы1 с использованием "нацеливание на уровень элемента" - если не терминальный сеанс..
потом создаю ярлык на документы группы 2 с "нацеливание на уровень элемента" - если терминальный сеанс..
Так же и с GPO2.
Но политика не отрабатывает, ярлыки не создаются.
Может есть какой нить другой способ?

paranoya 26-02-2019 09:38 2860041
Что в них находится в OU к которым прилеплены эти политики?
В какой части (юзер, компьютер) сделаны настройки?

PS. Решение на вскидку и неглядя - включить настройку loopback (замыкание групповой политики) в этих ГП.

Uga4aka 26-02-2019 09:41 2860042
Политики прикреплены к OU, где находится обе эти группы.
Настройки сделаны в параметрах пользователя.

Так же в этой OU лежит учетки пользователей.

Uga4aka 26-02-2019 11:13 2860068
Цитата:
Цитата paranoya
PS. Решение на вскидку и неглядя - включить настройку loopback (замыкание групповой политики) в этих ГП. »
нашел подобное решение задачи на хабре с более расписанным процессом тут
Вариант 2 (без создания отдельного OU для терминальных серверов).
1. Терминальные серверы лежат в одном OU с прочими компьюьерными объектами (например, в ou=servers,dc=example,dc=org).
2. Создаёте доменную группу, например, TermServers (domain local, security), включаете в неё все терминальные серверы (комп. объекты).
3. Создаёте GPO, например, TermSrv_Minimal_UserConf.
4. В настройках GPO TermSrv_Minimal_UserConf:
— в разделе User Configuration: задаёте нужные вам разрешения для пользователя.
— в разделе Computer Configuration включаете «User Group Policy Loopback processing mode» в режим Merge (или Replace).
5. Линкуете GPO TermSrv_Minimal_UserConf к OU, в котором находятся терм.серверы (и не только), т.е. к ou=servers,dc=example,dc=org
6. Настраиваете для этого GPO Security Filtering: удаляете Authenticated User, добавляете созданную вами ранее группу TermServers (с правами по умолчанию: Read+apply group policy).
Буду пробовать как вы сказали. спасибо за совет.

Busla 26-02-2019 12:06 2860082
Uga4aka, довольно наивно рулить доступом показывая/скрывая ярлыки.

Uga4aka 26-02-2019 12:18 2860090
Права разграничены так же на уровне ntfs + все линки лежат на корне dfs. В целом пользователи не лезут куда не надо )
Ваш какой вариант?

cameron 26-02-2019 22:36 2860223
http://winitpro.ru/index.php/2013/01...s-server-2012/
ну а политики лучше разделить через WMI, раз уж так хочется политиками это делать.


Время: 23:18.

Время: 23:18.
© OSzone.net 2001-