Não acredito que estou aqui, mas estou, implorando por ajuda. :)
Achei que seria simples...
de qualquer forma...
Grupo AD: Membros "Blue Team": "Papa Smurf"
Grupo AD: Membros "Red Team": "BSD Devil Dude"
Computador: RDSSERVER (host de sessão do RDS Server 2019; TS da velha escola)
Eu gostaria que os membros da "Equipe Azul" tivessem um atalho na área de trabalho chamado "bluestuff.lnk" (estou copiando isso de um caminho UNC; isso funciona bem); Eu gostaria que os membros do "Red Team" tivessem um atalho na área de trabalho chamado "redstuff.lnk"... mas qualquer atalho deve estar apenas na área de trabalho do RDSSERVER.
Os membros do Blue Team residem em uma UO chamada Blue Team; idem para a equipe vermelha. Prefiro não precisar usar grupos do AD, pois esses usuários já estão na OU, mas não consigo usar a OU e aplicá-la apenas ao RDSSERVER usando a Filtragem de segurança no escopo.
EDITAR:
Tenho certeza que eu tinha (tenho) a seguinte hierarquia GP:
- Servidores RDS (OU):
- "Atalhos da equipe vermelha" (vinculados/não aplicados) (processamento de loopback: mesclagem) > Filtragem de segurança: grupo "Equipe vermelha".
- "Blue Team Shortcuts" (vinculado/não aplicado) (processamento de loopback: mesclagem) > Filtragem de segurança: grupo "Blue Team".
Você precisa habilitar a política de processamento de loopback na mesclagem ou substituição. Isso altera as UOs que são consideradas quando um usuário faz login.
Portanto, por padrão , as políticas de usuário serão extraídas da UO dos usuários (ou UOs pai). No modo de mesclagem, as políticas de usuário seriam extraídas da UO do usuário e da UO do computador. No modo de substituição, as políticas de usuário virão apenas da UO do computador.
Com isso, você pode criar políticas na UO contendo seu servidor RDS com filtragem baseada nos grupos de segurança, e isso deve aplicar as políticas corretas.
Descobri. A chave foi a segmentação em nível de item na guia Comum.
Acabou usando a UO "Servidores RDS", como foi sugerido/tentado antes com o processamento de loopback (Merge) habilitado; O RDSSERVER existe na OU "Servidores RDS" obviamente.
Eu criei dois GPOs abaixo desse GPO da OU pai:
Atalhos do Red Team (padrão de filtragem de segurança "Usuários autenticados"), mas na guia Comum da Configuração de usuários > Preferências > Arquivo, escolhi o direcionamento em nível de item com "UO do usuário" selecionado e o UO "Equipe vermelha" como o valor.
Idem para Blue Team Shortcuts com um valor de segmentação e um atalho diferentes no nível do item.
Por algum motivo, ele não gostou da segmentação em nível de item > "Grupo de usuários", mas é tarde/estou cansado e não me importo neste momento.