Windows-Server-2008

使用組策略強制某些安全組註銷遠端桌面會話

  • August 15, 2013

我在創建僅適用於某些電腦和安全組的 GPO 時遇到了困難。這是我想做的。

我有一個 OU,裡面有幾台電腦。我想應用一個 GPO,它會導致已空閒 x 時間的遠端會話斷開連接,並且斷開連接的會話在 y 時間後註銷。我需要將其僅應用於特定安全組中的使用者。

我創建了 GPO 並更改了電腦配置 -> 策略 => 管理模板 -> Windows 組件 -> 遠端桌面服務 -> 遠端桌面會話主機 -> 會話時間限制中的 2 個設置。

接下來,我將 GPO 連結到我的目標 OU 並打開 Enforce 複選框。我更改了範圍安全過濾以刪除經過身份驗證的使用者(因為如果我不這樣做,它會應用於每個人),然後我添加到我的安全組中。我還添加了域電腦組(因為如果我不這樣做,它不會應用於任何人)

問題是 GPO 仍然適用於不屬於安全組的使用者。如果我將 GPO 從電腦配置更改為使用者配置,則 GPO 根本不會應用於任何使用者。

我還嘗試將安全組移動到單獨的 OU 並將 GPO 連結到該 OU,但這也不起作用。

看起來我的配置應該可以工作,但我無法弄清楚為什麼它將它應用於組內的使用者。任何幫助表示讚賞!

有幾件事:

  1. 電腦配置設置適用於電腦,而不是使用者。這就是為什麼您需要將域電腦組添加到 GPO 安全過濾…因為電腦配置設置適用於電腦…所以 GPO 只能影響 GPO 連結所在的 OU 中且處於安全狀態的電腦組被用作安全過濾器。因此,這些設置將應用於登錄到連結 GPO 的 OU 中的電腦的每個使用者……因為這些是電腦配置設置。
  2. 您不能將組策略直接應用於組。組策略適用於電腦和/或使用者。您可以使用組過濾 GPO,使其僅應用於安全組的成員(使用者或電腦)。
  3. 如果您只想將這些設置應用於使用者的子集,請在使用者配置下配置這些設置…然後將 GPO 連結到您的使用者帳戶所在的 OU…並使用安全過濾將 GPO 應用於子集作為安全組成員的使用者。

引用自:https://serverfault.com/questions/531094