Speedimon Asked: 2009-07-10 04:10:15 +0800 CST2009-07-10 04:10:15 +0800 CST 2009-07-10 04:10:15 +0800 CST 终端服务器上的不同用户角色 772 我有一个终端服务器,它会被很多人使用,但用于不同的目的。我们的程序由两部分组成,我们称它们为用户部分和管理员部分。那是 2 个不同的 .exe 文件。我希望程序在用户登录时自动运行(我知道如何通过 GPO 执行此操作)。但我想根据用户的角色改变应用程序。当然,我想通过“TS-Users”和“TS-Managers”等 2 个域组来控制这些角色。 我正在寻找实现这一目标的最有效方法。有人可以在这样的问题上分享他的经验吗?服务器是2003级域的W2K2003。 terminal-server windows-server-2003 group-policy 1 个回答 Voted Best Answer Evan Anderson 2009-07-10T04:23:34+08:002009-07-10T04:23:34+08:00 没问题。 在 Active Directory 中创建两个全局安全组,例如“TS-Users”和“TS-Managers”。 在 OU 中创建并链接三 (3) 个组策略对象,理想情况下,只有终端服务器计算机位于其中。将它们命名为“Loopback GPO 处理和通用用户设置”、“TS-Users Settings”和“TS-Managers”设置”。 在 GPO“Loopback GPO 处理和通用用户设置”中,打开“计算机配置”节点、“管理模板”节点、“系统”节点和“组策略”节点,并启用标题为“用户组策略”的策略环回处理模式”。如果您希望在目录中其他位置设置的其他用户 GPO 设置在用户登录到本机时应用到用户,请在“模式”框中选择“合并”。如果您只想应用这三个 GPO 中的用户设置,请选择“替换”。还在此 GPO 中设置您希望在这些用户之间通用的任何“用户配置”设置。 在 GPO 的“TS-Users Settings”和“TS-Managers Settings”中,设置每个组所需的各种设置。在组策略编辑器中,打开组策略根节点的“属性”并导航到“安全”选项卡。从每个策略的权限中删除“经过身份验证的用户”,并添加您在上面创建的具有“读取”和“应用组策略”权限的相应 AD 组。对每个 GPO 执行此操作。(这将阻止设置应用于属于“错误”组的用户。) 最后,重新启动终端服务器计算机,使其进入环回组策略处理模式(仅在启动时切换)。 您应该会看到应用的每个 GPO 的设置。无论谁登录,都将应用“环回 GPO 处理和通用用户设置”用户设置。“TS-Users 设置”用户设置仅在“TS-Users”组的成员登录时应用,同样适用于“TS-Managers”。 这是环回组策略处理和按安全组过滤组策略应用程序的快速速成课程。我们一直这样做是为了做您所描述的事情。您可能需要进行一些研究才能完全理解它,但请试一试。一个实际的好处是,您可以通过使用带有 Windows XP 机器并启用“远程桌面”的 OU 来“模拟”这一点,这样您就可以暂存策略并测试它们(尽管一次只有一个用户),直到您准备好将 GPO 链接到终端服务器计算机“所在”的真实 OU。
没问题。
在 Active Directory 中创建两个全局安全组,例如“TS-Users”和“TS-Managers”。
在 OU 中创建并链接三 (3) 个组策略对象,理想情况下,只有终端服务器计算机位于其中。将它们命名为“Loopback GPO 处理和通用用户设置”、“TS-Users Settings”和“TS-Managers”设置”。
在 GPO“Loopback GPO 处理和通用用户设置”中,打开“计算机配置”节点、“管理模板”节点、“系统”节点和“组策略”节点,并启用标题为“用户组策略”的策略环回处理模式”。如果您希望在目录中其他位置设置的其他用户 GPO 设置在用户登录到本机时应用到用户,请在“模式”框中选择“合并”。如果您只想应用这三个 GPO 中的用户设置,请选择“替换”。还在此 GPO 中设置您希望在这些用户之间通用的任何“用户配置”设置。
在 GPO 的“TS-Users Settings”和“TS-Managers Settings”中,设置每个组所需的各种设置。在组策略编辑器中,打开组策略根节点的“属性”并导航到“安全”选项卡。从每个策略的权限中删除“经过身份验证的用户”,并添加您在上面创建的具有“读取”和“应用组策略”权限的相应 AD 组。对每个 GPO 执行此操作。(这将阻止设置应用于属于“错误”组的用户。)
最后,重新启动终端服务器计算机,使其进入环回组策略处理模式(仅在启动时切换)。
您应该会看到应用的每个 GPO 的设置。无论谁登录,都将应用“环回 GPO 处理和通用用户设置”用户设置。“TS-Users 设置”用户设置仅在“TS-Users”组的成员登录时应用,同样适用于“TS-Managers”。
这是环回组策略处理和按安全组过滤组策略应用程序的快速速成课程。我们一直这样做是为了做您所描述的事情。您可能需要进行一些研究才能完全理解它,但请试一试。一个实际的好处是,您可以通过使用带有 Windows XP 机器并启用“远程桌面”的 OU 来“模拟”这一点,这样您就可以暂存策略并测试它们(尽管一次只有一个用户),直到您准备好将 GPO 链接到终端服务器计算机“所在”的真实 OU。