Windows
將 GPO 限制為 RD 會話主機而不進行環回處理
我的目標是將我們巨大的“使用者”OU(不是預設的!)劃分為來自各個部門的不同子 OU。然後,我想將 GPO 連結到不同的部門,但以某種方式“限制”它們對 RD 會話主機的應用。我想知道是否有一種方法可以做到這一點,而無需將大約 15 個 GPO 僅連結到“RD 會話主機”OU 而沒有連結到部門 OU。另外,如果能夠有盡可能少的項目級別目標,那就太好了。
原因是:看起來更好、管理更快、概覽更好。
我想在沒有第三方軟體的情況下實現這一點,即:
https://www.policypak.com/resources/pp-blog/group-policy-loopback/
如果您也遇到同樣的問題,您能否發表評論?
告訴我你是否知道這是不可能的。
您可以創建一個包含 RD 會話主機 OU 中所有電腦的安全組,然後在您的 GPO 上使用委派或安全篩選,這樣域電腦就沒有讀取權限,只有 RD 會話主機組具有讀取權限並且域使用者(或其他更有針對性的群體)已閱讀併申請。可以說,您可以將兩個組都放入 GPO 的安全過濾中,這將實現相同的目的(儘管會授予電腦應用權限 - 只要 GPO 未連結到其 OU,這應該無效)。由於 GPO 由電腦帳戶檢索,因此確保只有所需的電腦可以檢索策略意味著 GPO 應僅在登錄到這些電腦時應用於使用者。
評論/想法:
- 您不能/不應該阻止域控制器讀取這些 GPO,這會導致意想不到的後果 - 因此使用此技術,如果使用者登錄到域控制器,GPO 可能會應用。話雖如此 - 可以訪問 DC 的管理帳戶無論如何都應該在一個完全獨立的 OU 中。
- 基於“外觀”(在我看來)設計 GPO 會導致故障排除的潛在復雜性,尤其是在引入外部合作者、熟練的新員工以及尋求社區幫助(例如伺服器故障)時
- 我相信您列出的原因都是主觀的-這很好,我不必管理您的環境