Group-Policy
組策略:僅適用於單台電腦的組特定桌面快捷方式
我不敢相信我在這裡,但我在,乞求幫助。:)
我以為這會很簡單…
無論如何…
廣告組:“藍隊”成員:“藍爸爸”
AD組:“紅隊”成員:“BSD惡魔老兄”
電腦:RDSSERVER(2019 RDS Server 會話主機;老派 TS)
我希望“藍隊”的成員擁有一個名為“bluestuff.lnk”的桌面快捷方式(我正在從 UNC 路徑複製它;這很好用);我希望“紅隊”的成員有一個名為“redstuff.lnk”的桌面快捷方式……但任何快捷方式都應該只在 RDSSERVER 桌面上。
藍隊的成員居住在一個名為藍隊的 OU 中;紅隊也是如此。我寧願不必使用 AD 組,因為這些使用者已經在 OU 中,但我似乎無法使用 OU,並且使用範圍中的安全過濾使其僅適用於 RDSSERVER。
編輯:
很確定我有(有)以下 GP 層次結構:
RDS 伺服器 (OU):
- “紅隊快捷方式”(連結/未強制執行)(環回處理:合併)> 安全過濾:“紅隊”組。
- “藍隊快捷方式”(連結/未強制執行)(環回處理:合併)> 安全過濾:“藍隊”組。
弄清楚了。關鍵是通用選項卡下的項目級目標。
最終使用“RDS 伺服器”OU,正如之前建議/嘗試的那樣,啟用了環回處理(合併);RDSSERVER 顯然存在於“RDS Servers”OU 中。
我在父 OU GPO 下創建了兩個 GPO:
- Red Team Shortcuts(安全過濾預設為“Authenticated Users”),但在“使用者配置”>“首選項”>“文件”的“常用”選項卡下,我選擇了“使用者 OU”和“紅隊”OU 作為值的項目級目標。
- 同樣適用於具有不同項目級目標值和快捷方式的藍隊快捷方式。
出於某種原因,它似乎不喜歡項目級定位>“使用者組”,但已經晚了/我累了,現在不在乎。
您需要在合併或替換中啟用環回處理策略。這會更改使用者登錄時考慮的 OU。
因此,預設情況下,使用者策略將從使用者 OU(或父 OU)中提取。在合併模式下,使用者策略將從使用者 OU 和電腦 OU 中提取。在替換模式下,使用者策略將僅來自電腦 OU。
有了它,您可以在包含您的 RDS 伺服器的 OU 中創建策略,並根據安全組進行過濾,並且應該應用正確的策略。