Можно ли применять политику на сервер RDS в зависимости от места расположения компьютера пользователя?
Бизнес любит сложные задачи.
Задача была выставить время блокировки экрана по бездействию на всех компьютерах домена в 5 минут. Это сделали.
Та часть пользователей, которая работала внутри сети предприятия на windows не в домене и на Linux, тоже отлично вписались в эту политику, потому как работают только на RDS и через пять минут простоя им требует ввести пароль уже на RDS.
Но та часть которая работает на RDS с доменных компьютеров не годует, ведь теперь им приходится вводить пароль и на своем компьютере и на RDS, под эту же раздачу попали пользователи remoteapp.
Создавать разные фермы, под разные задачи и применять на них разные политики, я возможности не имею, в виду сильной ограниченности по ресурсам.
Вот и возникает вопрос, могу ли я на одну и ферму RDS, которая еще и предоставляет remoteapp, применить политику так, чтобы она не применялась если пользователь вошел с доменного компьютера и не важно сеанс это или remoteapp. А если не с доменного, то чтобы применялась.
Если да то как, если нет, то и хорошо.
Спасибо!
Вам нужно создать политику для фермы RDS с замыканием на себя ( looopback ) и в ней настроить все нужные параметры. В таком случае, для всех вошедших на RDS пользователей настройки будут взяты из этой политики (даже с учетом того, что применена она на RDS ферму ). Вот здесь пример. https://blog.it-kb.ru/2011/12/23/remote-desktop-se...
tazepam, Предлагаете сделать две одинаковые политики, одну для терминалах с замыканием, а вторую для рабочих станций домена? Ну Вариант. А как быть с remoteapp?
В GPO есть два основных метода фильтрации применения политик - это WMI filters и Item-level targeting в GPO Preferences.
Я бы переписал политику на Preferences - если в темплейтах нет готовых опций, которые вы применяете = то просто ключами реестра. А фильтрация через Item-level targeting очень гибкая.
А проверка доменный-не доменный - это по факту проверка на сленство в группе Domain Computers
Андрей Семенов, Да, согласен - упустил то, что политика то должна применяться на сервере, но с условием откуда входят. Вы правы - мой вариант не прокатит.
Николай Секрет
Пока нашел только один вариант - при логине на сервер в переменную CLIENTNAME в сессии на сервере передается имя клиентской машины, с которой цепляется пользователь. Можно попробовать создать logon script, который будет проверять эту переменную и в зависимости от результатов проверки - или вносить в реестр данные, которые перезатрут имеющуюся политику блокировки экрана, или нет.
Alexey Dmitriev, Благодарю за помощь. В связи с последними событиями, только сейчас удалось вернутся к этому вопросу (для людей из Будущего: у нас 2-й день карантина по Короновирусу, Китай выздоровил, в Италии и США всё плохо, у нас средненько.)
Я пробовал варианты с предпочтениями только в электропитании, оказалось что эти настройки даже в пользовательской ветке применяются на весь компьютер. Не подошло.
Пробовал создавать 100 групп и при их комбинации делать нужные параметры, очень муторно не дало результат. Не подошло.
Думал можно ли применить замыкание, нет.
Дошел таки до прямой работы с реестром, всё сделал и уперся в тот факт, что терминал ничего не знает о компьютере с которого зашел пользователь, по крайней мере в рамка GPO и групп безопасности.
У меня был вариант, сделать логон скрипт, который бы поплонялся пользователи вошедшим на компьютеры домена в подразделении отличном от подразделения серверов. И уже эту группу исключать из политики на терминале.
