amstudia
Newbie | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Решение было найдено, отвечу сам себе, может пригодится...
Цитата: amstudia
Цитата:Как применить политики для пользователя из дочернего домена? |
Итак,
Задача: Есть сервер терминалов, есть дочерние домены или домены с доверительными отношениями.
Есть политики которые ограничивают некоторых пользователей терминала.
Когда эти ограниченные пользователи в моем корневом домене - к ним применяется политика их OU и все и так хорошо. Воросы начинаются когда ограниченные пользователи в других доменах - к ним политику для терминала надо применять по другому, а именно:
Инструментарий: GPMC.msi (скачивается с MS, требует framework 1.1, можно ставить на XP) и AD - Users&Comp.
Описание: Чтобы применить политики для пользователей дочерних/доверительных доменов, политику надо применять к самому серверу терминалов и включить в ней замыкание (то есть применение блока конф.польз. политики ко всем пользователям в рамках этого выбранного компа).
Порядок работ:
1. Создать OU Terminal Servers (с нему будем крутить политики).
2. Скопировать имеющиеся политики с ограничениями - нужна копия т.к. мы будем у политик менять списки доступа ACL по отношению к тем что уже у нас были раньше.
Копируем политики через gpmc.msc - контейнер Group Policy Objects - на политику пр.кн. копировать - на этот контейнер Group вставить. Скопированная политика вставится как copy of... и ее можно переименовать F2.
3. Скопированные политики применяем к OU (в User&Comp - OU - пр.кн.свойства - гр.политика - добавить - все - выбираем наши.
4. В политиках которые мы скопировали и прикрутили выше включаем замыкание (конф.комп. – адм.шаблоны – система – груп.политики. – режим обработки замыкания - включить).
5. Настраиваем ACL для применения политик, здесь самое интересное! Можно настраивать через User&Comp - OU - пр.кн.свойства - гр.политика - свойства - безопасность, но значительно нагляднее через GPMC - правда через GPMC можно только добавлять группы на чтение/применение, но нельзя ставить запрет - а через безопасность можно запрет на политику.
6. В этот OU запихиваем сервер терминалов и перегружаем его.
Все!
Про 5й пункт и тонкости.
В корневом домене создадим локальную группу Chuzhie_Users, в нее помещаем пользователей из дочернего домена. В корневом домене создаем группу Nashi_Users с супер-доверенными юзверями - для них не будет ограничений, либо это будет domain users вся.
За выполнение политики отвечают две галки в безопасности политики 1) чтение 2) применение. Они всегда и на разрешение политики и на запрет должны ставиться в паре, иначе что-то может не срабатывать (то есть группе (а) разрешено чтение+применение, группе (б) запрещено чтение+применение конкретной политики).
Дальше два варианта:
1) Мы всем пользователям всех доменов (группа прошедшие проверку) ставим применение ограничивающей политики и тогда любой зашедший на терминал видит все обрезанное - что хорошо. И уже потом нужным группам ставим запрет на чтение+применение политики то есть делаем исключения - например группе (Nashi_Users = запрет чтение+применение и тогда на них политика не будет распространяться - они будут видеть нормальный терминал).
2) Обратный вариант: Мы убираем у политики разрешение на Прошедшие проверку вообще (GPMC). Ставим применение политики для Chuzhie_Users и тогда только у них будет обрезанный терминал, у всех остальных нормальный.
3) И теперь тонкость - сам сервер терминалов тоже должен считывать политику (а как же!). Поэтому создаем еще группу Term_SRVs в нее закидываем комп сервер терминалов (компы тоже можно в группы добавлять - кнопка типы объектов при добавлении в группу - и этой группе ставим чтение / применение. В случае 1) это не нужно - там прошедшие проверку уже читают политику. В случае 2) без этого не работает!
PS.
To TCPIP
Цитата: к сожалению не подошел, наследование у дочернего включено (кажется по умолчанию), только политика применялась к OU (дочерний домен с ней не пересекается). |
. подскажите где затык плз. 
