GPO разделение прав ПК и RDP?

Question

[bit8]

Сейчас я создаю политику для группы пользователей скажем. GPO1 в ней запрещаю все запускать кроме RDP и cmd. Все работает. Но когда подключаюсь по RDP то там тоже применяются данные права и я не могу ни чего кроме RDP и cmd, сделать.

Возможно разделить как то права по условии выполнение где? Скажем если Пользователь 1 зашел на ПК, то там применяется GPO1, а когда подключается по RDP то там GPO2 применяются права

Хочу еще добавит пару планирование задач, но они тоже выполняются сразу там и там.

Comments

[Ziptar]

Убедитесь, что gpo с политиками srp не распространяется на машины с rds.

[bit8]

Ziptar, Не знаю как убедиться. Вообще странно работает создал политику в ней добавил группу Domain Computers, запретил программу, обновил политику на ПК все равно работает программа на ПК

Answer 1

[Вася Пупкин]

Смотрите в сторону таргетирования или фильтром WMI или применяйте не на пользователей, а на ПК. Сделайте группу ПК и добавьте туда рабочие станции без РДП серверов.

Comments

[bit8]

С фильтрам VMI пробовал, но он работает на 1 группу. Еще с Пк проблема, в том что на нем сидят 2 разных пользователя с разными правами и доступ к программе.
VMI фильтр просто применяется если кто то из списка попадает у условия. А не получится так, что ПК+user, а будет Пк и пользователь.

Пробовал добавить Domain Computers, и управлять им не помогает и отдельно группу Remote Desktop Users

Answer 2

[Роман Безруков]

Сами же пишите про две политики: одна на рядовые ПК, вторая - на сервера RDS. Двигайтесь в этом направлении

Куда привязаны политики (на каком уровне)?
Настройки в политиках в каком разделе - Computer или User?
OU, к которым применяются ваши политики, какие объекты содержат - только пользователей, только компьютеры или все вместе? GPO Loopback Processing включен (тут зависит от...)?
Вместо WMI-фильтров и Security Filtering лучше применять механизм Group Policy Preferences (GPP) и указывать группу, которая используется в RDS-коллекции

Comments

[bit8]

Куда привязаны политики (на каком уровне)? - Верхнем.
Настройки в политиках в каком разделе - Computer или User? -- Не интересует настройки самой политики, с ней все достаточно просто. Вопрос был про выдачу этих политик.
OU, к которым применяются ваши политики, какие объекты содержат - только пользователей, только компьютеры или все вместе? GPO Loopback Processing включен (тут зависит от...)? -- Выдавал только Domain Computers, но ее все отклоняли судя по отчету. По безопасности.
Вместо WMI-фильтров и Security Filtering лучше применять механизм Group Policy Preferences (GPP) и указывать группу, которая используется в RDS-коллекции -- Да примени WMI (создал Select * from Win32_OperatingSystem where ProductType=1 ) и все заработала, Работает только на пк, на RDS нету. По другому не понял как.

p.s. Разобрался как проверять политику и понял, что у всех была по умолчанию Authenticated Users политика, если в ручную не добавлять пользователя в другую политику. Убрал и заработало.
Но группу так и не нашел которая только к RDS бы относилась, или сразу к пользователю, не зависимо где авторизация.

Пока решил так, удалил Authenticated Users везде. Создал фильтр как выше. создал новую политику и работает только на ПК, на RDS нет.

Answer 3

[MVV]

Если делаете ограничение в политике на пользователей, которые ограничени не должны действовать на терминальном сервере, то в политике(ах) компьютера, действующей(их) на терминальный сервер следует включить настройку замыкания групповой политики в режиме замены, а все нужные настройки сделать в политике(ах) пользователей, применяемых к терминальному серверу - в режиме замыкания настройки берутсяя оттуда.
Тогда не потребуется никакой фильтрации.

Comments

[bit8]

Честно не понял)
В термальном сервере вообще ограничение не нужны (пока), сейчас все ограничение нужно на самом ПК сделать. Что бы у пользователя не было возможности, зайти куда-то кроме RDP.

Как уже выше в теме, пока через WMI фильтры смог сделать подобное.

Answer 4

[Quqas]

как можно суметь сделать работающую политику , но не знать про ou и т.п.?

Comments

[Quqas]

если это в области компа - то очевидно юзерские и сервак в разных ou должны быть

если в пользователе то опятьже слияние только для юзерских компов но не для сервака

т.е. в любом случае вешать на ou с компами