Tham gia Đăng nhập
Điểm:0
duckbjarne avatar Server

Restrict GPOs to RD Session Host without loopback processing

lá cờ gi
duckbjarne

My aim would be to divide our huge "User" OU (not the default one!) into different sub-OUs from the respective department. Then, I want to link the GPOs to the different departments, but somehow "restrict" the application of them to the RD Session Host. I wanted to know if there is a way to accomplish that without having about 15 GPOs only linked to the "RD Session Host" OU and none to the department OUs. Plus, it would be nice to be able to have as little item level targeting as possible.

The reasons are: Looks nicer, faster administration, better overview.

I would want to accomplish that without third party software, i.e. :

https://www.policypak.com/resources/pp-blog/group-policy-loopback/

Could you also comment if you had run into the same issue as well?

Tell me if you know that it's not possible.

41
0 + 0
Điểm:0
Bernd Schwanenmeister avatar Server
lá cờ au
Bernd Schwanenmeister

Vì hơn 95 phần trăm GPO dựa trên sổ đăng ký, bạn có thể sử dụng giải pháp dễ áp ​​dụng sau: định vị các khóa đăng ký được GPO sử dụng. Triển khai chúng bằng cách sử dụng các mục tùy chọn chính sách nhóm ("GPP") (trái ngược với việc sử dụng GPO tiêu chuẩn). Trong các GPP, bạn có thể sử dụng "nhắm mục tiêu cấp mục", đây là một tập hợp các bộ lọc WMI được xác định trước cho phép phân biệt nơi áp dụng các GPP đó.

0 + 0
Semicolon avatar
lá cờ jo
Semicolon
Điều nào xung đột với yêu cầu bạn tránh Nhắm mục tiêu cấp độ mặt hàng.
0
Hồi đáp
Bernd Schwanenmeister avatar
lá cờ au
Bernd Schwanenmeister
Chào dấu chấm phẩy.Vui lòng dùng thử và xem mục tiêu có thể đạt được dễ dàng như thế nào bằng cách sử dụng bộ lọc nhắm mục tiêu "phiên cuối" (có thể được kết hợp với "tên máy tính") so với các cách khác. Đó không phải là về xung đột.
0
Hồi đáp
Semicolon avatar
lá cờ jo
Semicolon
Tôi chỉ đơn giản chỉ ra rằng Người hỏi đã đặt một câu hỏi cụ thể với cụm từ "thật tuyệt nếu có thể nhắm mục tiêu cấp mục càng ít càng tốt." Giải pháp của bạn - trong khi khả thi - hoàn toàn bỏ qua yêu cầu áp phích và hoàn toàn dựa vào những gì OP đang cố gắng tránh.
0
Hồi đáp
Bernd Schwanenmeister avatar
lá cờ au
Bernd Schwanenmeister
Ok, tôi hiểu nhầm bạn, vì bạn đã gõ nhầm "bạn tránh nhắm mục tiêu theo cấp độ mục" thay vì "để tránh ILT". Xin lỗi, tôi không thấy những gì bạn đang chỉ ra. Phải, nếu Tác giả đang cố gắng có càng ít càng tốt, tôi không thể chắc điều đó có nghĩa là gì, nhưng vẫn muốn hiển thị tùy chọn ITL này để giới hạn ứng dụng đối với các dịch vụ đầu cuối và một máy chủ cụ thể.
0
Hồi đáp
Điểm:0
Semicolon avatar Server
lá cờ jo
Semicolon

Bạn có thể tạo một nhóm bảo mật chứa tất cả các máy tính trong Đơn vị tổ chức máy chủ phiên RD, sau đó sử dụng Ủy quyền hoặc Lọc bảo mật trên (các) GPO của bạn sao cho Máy tính miền không có quyền đọc và chỉ nhóm Máy chủ phiên RD mới có quyền đọc và Người dùng miền (hoặc một nhóm được nhắm mục tiêu khác) đã đọc và áp dụng. Có thể cho rằng, bạn chỉ cần đưa cả hai nhóm vào Lọc bảo mật của GPO sẽ đạt được điều tương tự (mặc dù sẽ cấp quyền Áp dụng cho các máy tính - điều này sẽ không có tác dụng miễn là GPO không được liên kết với OU của chúng). Vì các GPO được truy xuất bởi tài khoản máy tính, đảm bảo rằng chỉ những máy tính mong muốn mới có thể truy xuất chính sách có nghĩa là các GPO chỉ nên áp dụng cho người dùng khi đăng nhập vào các máy này.

Nhận xét / Suy nghĩ:

  • Bạn không thể/không nên ngăn các Bộ điều khiển Miền đọc các GPO này, điều này sẽ dẫn đến những hậu quả không lường trước được - vì vậy, khi sử dụng kỹ thuật này, các GPO sẽ có khả năng áp dụng nếu người dùng đang đăng nhập vào một Bộ điều khiển Miền. Điều đó đang được nói - dù sao thì tài khoản quản trị có quyền truy cập vào DC phải ở trong một OU hoàn toàn riêng biệt.
  • Thiết kế GPO dựa trên "ngoại hình" (theo ý kiến ​​​​của tôi) dẫn đến các phức tạp tiềm ẩn trong việc khắc phục sự cố, chắc chắn là khi tuyển dụng cộng tác viên bên ngoài, tuyển dụng mới có kỹ năng và tìm kiếm sự trợ giúp từ cộng đồng (chẳng hạn như Lỗi máy chủ)
  • Tôi tin rằng những lý do bạn đưa ra đều mang tính chủ quan - điều đó không sao cả, tôi không phải quản lý môi trường của bạn
0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.