我一直在尝试在Windows Server 2008中为单个用户(pipe理员)设置GPO策略。
我有aprox。 在此服务器中使用terminal服务的50个用户需要为pipe理员用户进行不同的超时configuration。
所以我:
1)创build了两个GPO:TS-NoTimeout和TS-Timeout。
2)分配他们。
3)改变优先级以将TS-NoTimeout放置在第一位。
4)从TS-NoTimeout中删除经过身份validation的用户,并仅添加pipe理员用户。
结果 :没有工作。 当我运行gpresult用户pipe理员说,由于安全拒绝。
经过一番研究,我发现有人说我也应该添加本地机器。 我做了这个…
结果 :适用于pipe理员,但现在所有用户都有TS-NoTimeout作为他们的策略。
究竟是我在这里做错了什么?
我应该提供的任何其他信息?
当你说“超时”,我怀疑你正在谈论一个或多个以下设置:
这些设置可以根据每个用户或每台计算机进行指定,具体取决于您是在GPO的“计算机configuration”或“用户configuration”节点下指定设置。
当您说“…添加本地计算机”和“适用于pipe理员…”时,您可能会怀疑您已在“计算机configuration”节点中指定了该设置,并将该GPO链接到使其适用于terminal服务器计算机。
如果是这种情况,我将取消链接GPO,并将它们重新链接到要应用到您希望实现的用户帐户的位置,然后修改它们以使用每个用户的设置(在“用户configuration”下) )。
一旦重新链接并修改了GPO的内容,请确认“TS-Timeout”GPO上的权限包括“Authenticated Users / Read and Apply Group Policy”和“Administrator / Deny Apply Group Policy”。 validation“TS-NoTimeout”GPO是否具有“pipe理员/应用组策略”权限(以及所有分配的“pipe理员”的默认权限)以及默认的“已validation用户”ACL已被删除。 我build议通过在组策略编辑器中右键单击GPO的顶部节点来编辑权限,而不是使用组策略pipe理控制台中的“友好”和更less的“标准”权限界面。
(如果你坚持使用“pipe理员”帐户,而不是“pipe理员”组,改变我的权限build议,如果你有多个离散的人使用“pipe理员”帐户,你做错了……但这是咆哮另一个问题。)
通过使用“TS-Timeout”GPO上的“pipe理员/拒绝应用组策略”权限,可以防止任何需要担心GP链接的“优先级”。 即使用户界面会因为使用“拒绝”而骂你一点,但是这样做并没有什么错,在这种情况下,我认为这样做比只依赖GP链接“优先级”更容易理解。 我也认为修改权限可以更清楚地expression意图 – 使“TS-NoTimeout”适用于“Administrators”而不是“Authenticated Users”,而“TS-Timeout”不适用于“Administrators”他们在哪里被链接。