GPO замикання політики користувача
Видно, що ви самі не до кінця розумієте, як працює Loopback processing mode та Security Filtering.
Коли GPO лінкується до якогось OU, то за умовчанням політики з розділу Computer Configuration даної GPO застосовуються до всіх комп'ютерних об'єктів усередині цього OU (і його підконтейнерів), а політики з розділу User Configuration застосовуються до всіх об'єктів користувача всередині цього OU (і його підконтейнерів).
Якщо ви прилікуєте GPO до OU, в якому лежать тільки комп'ютерні об'єкти, і в цьому GPO вкажете якісь налаштування в розділі User Configuration, то за замовчуванням ці налаштування будуть проігноровані і ніким не будуть використовуватися (бо я вже вказав вище , що за промовчанням до комп'ютерних об'єктів застосовуються лише налаштування з Computer Configuration).
Так ось, щоб до користувачів, які логіняться на якісь машини, застосовувалися налаштування користувача (розділ User Configuration) з GPO, яка прилінкована до комп'ютерного об'єкта, і включається «User Group Policy Loopback processing mode».
При цьому в режимі Replace налаштування користувача (User Configuration) з інших GPO, призначених на об'єкт користувача, будуть скасовані і будуть діяти тільки налаштування користувача (User Configuration) з GPO, призначеного на комп'ютерний об'єкт, куди логіниться користувач. А в режимі Merge ці налаштування суміщаться (раніше призначені збережуться, нові додадуться, конфліктуючі перезапишуться). Тобто. частково у користувача залишаться налаштування, призначені на самого користувача через інші GPO, плюс додадуться налаштування користувача (User Configuration) з GPO, призначеного на комп'ютер.
АлеТреба розуміти, що хоч у цьому випадку змінюються налаштування користувача, але сам GPO призначається все ж таки на комп'ютерний об'єкт. І при налаштуванні лінківки Security Filtering про це не слід забувати.
Якщо ви для GPO, прилінкованого до OU, налаштовуєте Security Filtering, тоді політики з цього GPO застосовуються не до всіх об'єктів усередині даного OU, а лише до тих, які вказані у фільтрі безпеки прямо чи опосередковано (через групи). Щоб цей GPO застосувався до якогось об'єкта, цей об'єкт: а) повинен бути всередині OU, до якого прилінкований GPO; б) повинен підпадати під зазначений фільтр безпеки (з правами: read group policy + apply group policy). У Security Filter немає сенсу включати об'єкти, які не містяться всередині OU, до якого ви лінкуєте GPO, політики до таких об'єктів все одно не застосовуються.
Як було правильно реалізувати замикання групової політики:
Варіант 1 (зі створенням окремого OU для термінальних серверів). 1. Створюйте окремий підконтейнер для ТС: ou=terminal servers,ou=servers,dc=example,dc=org 2. У цей контейнер переміщаєте об'єкти всіх термінальних серверів. 3. Створюєте GPO, наприклад TermSrv_Minimal_UserConf. 4. У налаштуваннях GPO TermSrv_Minimal_UserConf: — у розділі User Configuration: задає потрібні вам дозволи для користувача. — у розділі Computer Configuration включаєте "User Group Policy Loopback processing mode" у режим Merge (або Replace). 5. Лінкуєте GPO TermSrv_Minimal_UserConf до OU, у якому перебувають терм.серверы, тобто. ou=terminal servers,ou=servers,dc=example,dc=org 6. Налаштування безпеки GPO залишаєте за промовчанням, тобто. Authenticated Users: Read+apply group policy.
Варіант 2 (без створення окремого OU для термінальнихсерверів). 1. Термінальні сервери лежать в одному OU з іншими об'єктами комп'ютера (наприклад, в ou=servers,dc=example,dc=org). 2. Створюєте доменну групу, наприклад, TermServers (domain local, security), включаєте всі термінальні сервери (комп. об'єкти). 3. Створюєте GPO, наприклад TermSrv_Minimal_UserConf. 4. У налаштуваннях GPO TermSrv_Minimal_UserConf: — у розділі User Configuration: задає потрібні вам дозволи для користувача. — у розділі Computer Configuration включаєте "User Group Policy Loopback processing mode" у режим Merge (або Replace). 5. Лінкуєте GPO TermSrv_Minimal_UserConf до OU, в якому знаходяться терм.сервери (і не тільки), тобто. ou=servers,dc=example,dc=org 6. Налаштовуєте для цього GPO Security Filtering: видаляєте Authenticated User, додаєте створену вами раніше групу TermServers (за умовчанням: Read+apply group policy).
От і все. При цьому: а) Якщо користувачі будуть логінуватися на свою робочу станцію і на якісь інші нетермінальні сервери (куди їм дозволено), то до них будуть застосовуватись налаштування користувача з GPO, призначених на їх користувальницьку облік (зокрема з Default Domain Policy та інших, створених вами). б) Якщо користувачі будуть логінуватися на термінальні сервери, то до них спочатку, як завжди, будуть застосовуватися налаштування користувача з GPO, призначених на їх користувальницьку облік, а потім відразу ж поверх них будуть накочуватися налаштування користувача з GPO TermSrv_Minimal_UserConf, прилинкова контейнеру з термінальними серверами шляхом повної заміни (Replace) або доповнення з перезаписом конфліктних значень (Merge).