înregistrare Logare
Puncte:0
duckbjarne avatar Server

Restrict GPOs to RD Session Host without loopback processing

drapel gi
duckbjarne

My aim would be to divide our huge "User" OU (not the default one!) into different sub-OUs from the respective department. Then, I want to link the GPOs to the different departments, but somehow "restrict" the application of them to the RD Session Host. I wanted to know if there is a way to accomplish that without having about 15 GPOs only linked to the "RD Session Host" OU and none to the department OUs. Plus, it would be nice to be able to have as little item level targeting as possible.

The reasons are: Looks nicer, faster administration, better overview.

I would want to accomplish that without third party software, i.e. :

https://www.policypak.com/resources/pp-blog/group-policy-loopback/

Could you also comment if you had run into the same issue as well?

Tell me if you know that it's not possible.

41
0 + 0
Puncte:0
Bernd Schwanenmeister avatar Server
drapel au
Bernd Schwanenmeister

Deoarece peste 95% dintre GPO sunt bazate pe registry, puteți utiliza următoarea soluție ușor de aplicat: localizați cheile de registry care sunt utilizate de GPO. Implementați-le folosind elementele de preferință pentru politica de grup („GPP”) (spre deosebire de utilizarea GPO-urilor standard). În cadrul GPP-urilor, puteți utiliza „direcționarea la nivel de articol”, care este un set de filtre WMI predefinite care vă permit să distingeți unde să aplicați acele GPP-uri.

0 + 0
Semicolon avatar
drapel jo
Semicolon
Care intră în conflict cu solicitarea, evitați direcționarea la nivel de articol.
0
Răspunde
Bernd Schwanenmeister avatar
drapel au
Bernd Schwanenmeister
Bună punct și virgulă.Încercați-l și vedeți cât de ușor este atins obiectivul utilizând astfel filtrul de direcționare „sesiune terminal” (poate combinat cu „numele computerului”) în comparație cu alte moduri. Nu e vorba de conflicte.
0
Răspunde
Semicolon avatar
drapel jo
Semicolon
Subliniez pur și simplu că Solicitantul a pus în mod special o întrebare cu expresia „ar fi bine să poți avea cât mai puțină direcționare la nivel de articol”. Soluția dvs. - deși viabilă - ignoră complet solicitarea afișelor și se bazează exclusiv pe ceea ce OP încearcă să evite.
0
Răspunde
Bernd Schwanenmeister avatar
drapel au
Bernd Schwanenmeister
Ok, te-am înțeles greșit, pentru că ai scris greșit „eviți direcționarea la nivel de articol” în loc de „pentru a evita ILT”. Scuze, nu am văzut ce ai subliniat. Corect, dacă Autorul încearcă să aibă cât mai puțin posibil, nu pot fi sigur ce înseamnă asta, dar totuși am vrut să arate această opțiune ITL pentru a limita aplicația la serviciile terminale și la o anumită gazdă.
0
Răspunde
Puncte:0
Semicolon avatar Server
drapel jo
Semicolon

Puteți crea un grup de securitate care să conțină toate computerele din OU gazdă sesiune RD și apoi să utilizați Delegarea sau Filtrarea de securitate pe GPO(urile) astfel încât computerele de domeniu să nu aibă acces de citire și doar grupul gazdă sesiune RD să aibă acces de citire și Utilizatorii domeniului (sau un alt grup mai vizat) a citit și a aplicat. Probabil, ați putea să puneți ambele grupuri în Filtrarea de securitate a GPO, care ar realiza același lucru (deși ar acorda permisiunea Aplicare computerelor - care nu ar trebui să aibă efect atâta timp cât GPO-ul nu este conectat la OU). Deoarece GPO-urile sunt preluate de contul de computer, asigurarea faptului că numai computerele dorite pot prelua politica înseamnă că GPO-urile ar trebui să se aplice numai utilizatorilor atunci când se conectează la aceste mașini.

Comentarii/Gânduri:

  • Nu puteți/nu ar trebui să împiedicați controlorii de domeniu să citească aceste GPO-uri, ceea ce ar duce la consecințe neintenționate - deci folosind această tehnică, GPO-urile s-ar aplica dacă utilizatorii s-ar conecta la un controler de domeniu. Acestea fiind spuse - conturile administrative cu acces la DC ar trebui să fie oricum într-o unitate de organizație complet separată.
  • Proiectarea GPO-urilor bazate pe „aspect” (după părerea mea) duce la potențiale complicații în depanare, cu siguranță atunci când aduceți colaboratori externi, angajați noi calificați și căutați asistență de la o comunitate (cum ar fi Server Fault)
  • Cred că motivele pe care le-ați expus sunt toate subiective - ceea ce este în regulă, nu trebuie să vă administrez mediul
0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.