Alexey Dmitriev, Благодарю за помощь. В связи с последними событиями, только сейчас удалось вернутся к этому вопросу (для людей из Будущего: у нас 2-й день карантина по Короновирусу, Китай выздоровил, в Италии и США всё плохо, у нас средненько.)
Я пробовал варианты с предпочтениями только в электропитании, оказалось что эти настройки даже в пользовательской ветке применяются на весь компьютер. Не подошло.
Пробовал создавать 100 групп и при их комбинации делать нужные параметры, очень муторно не дало результат. Не подошло.
Думал можно ли применить замыкание, нет.
Дошел таки до прямой работы с реестром, всё сделал и уперся в тот факт, что терминал ничего не знает о компьютере с которого зашел пользователь, по крайней мере в рамка GPO и групп безопасности.
У меня был вариант, сделать логон скрипт, который бы поплонялся пользователи вошедшим на компьютеры домена в подразделении отличном от подразделения серверов. И уже эту группу исключать из политики на терминале.
Всё верно, такая схема работает!
Проверил в лаборатории. На Продакшене не успел сделали по другому, но схема рабочая. Ни луппротект ни стп не ругается, всё проходит на отлично.
tazepam, Предлагаете сделать две одинаковые политики, одну для терминалах с замыканием, а вторую для рабочих станций домена? Ну Вариант. А как быть с remoteapp?
Для тех кто будет искать ответ на этот вопрос Rsa97 выложил готовый пример выполнения, за что выражаю благодарность, подробно можно посмотреть у Юрия Лебедева https://www.youtube.com/watch?v=QXuR_e2RRdI
L2tp не надо, там l3 поверх - l2, который поверх l3. Openvpn - нужен клиент, но хочется то на роутере и чтобы udp, так что тоже нет. А вот pptp без шифрования самое оно, просто и сердито, если вдруг надо будет шифровать, то его нельзя, а без самое оно, но проще взять в аренду айпи у провайдера, дороже чем vps, но проще.
Благодарю, я уже выяснил это опытным путем.
Да вы понимаете, мне делать ничего не нужно, по haproxy я полностью согласен, у меня есть часть сервисов которые работают через них. Меня интересовала сама возможность микротика отработать данный сценарий.
А Увидев неземной батхёрт poisons, не удержался и прикормил )
Дмитрий, простите не понял Вас. Я сделал групповую политику и применил её на OU в которой небыло контроллеров домена, а были рабочие станции. Политику делал на контроллере домена да. В локальной политике пункта Restricted Groups нет.
Ваша цитата с технета, это про другой вариант. Это когда мы хотим включить локального пользователя или группу в доменную группу.
Дмитрий, Я провел такой тест. Сделал политику Restricted Groups создал группу Выбрал группу Builtin\Администраторы и оставил пустой. Как следствие все админы домена пропали. Удалил политику и все админы домена вернулись. И я подумал, что если удалить группу администраторы домена, то она сама вернется, через время.
Я позволю себе небольшой оффтоп, с Вашего позволения, если не затруднит на основании чего вы решили, что я сомневаюсь в том принципе, что администраторы домена должны быть администраторами на всех серверах и рабочих станциях, а так же что я хочу это исправить?
Я просто почему спрашиваю, возможно я не правильно оформил вопрос и по этой причине не могу получить корректный ответ.
Просто уже третий, откликнувшийся пользователь пытается убедить меня, что админы домена должны быть админами на компьютерах домена, а так же пытаются научить как как добавить пользователей домена в группу локальных администраторов. А задавал совсем другой вопрос, который, на мой взгляд, подразумевает, что всё это мне известно и я пытаюсь разобраться использует ли Майкрософт свои же инструменты для тревиальной задачи, или же костыли прописывая правила прямо в код, но как я помню они идут по первому вариант. Спасибо.
Ezhyg, мне кажется я понял ход ваших мыслей. Действительно, на первый взгляд звучит логично, GPO как раз для этого и создавалась, чтобы централизованно изменять настройки по умолчанию.
