通过 Active Directory 属性动态设置远程桌面用户组成员身份

通过 Active Directory 属性动态设置远程桌面用户组成员身份

我收到了一个有点奇怪的要求,必须满足,并且希望能够在没有用户干预的情况下开始工作。

在我们的 Windows 环境中,我们有多个部门,每个部门都有自己的 AD 组。环境中的所有工作站都通过其各自活动目录对象中的“部门”属性“分配”到其中一个部门。要求是,我们允许一个部门的所有用户能够通过 RDP 登录到该部门的任何计算机。

目前我已经为一个部门设置了它,它看起来像这样:

“本地用户和组” GPO 将部门组添加到“远程桌面用户”组,并使用 LDAP 查询(项目级别定位)将其应用于正确的工作站

项目级定位示例:

项目级定位示例

GPO 示例:

GPO 示例

在工作站上测试这个,我得到了

错误 0x8007055b - 无法对内置帐户执行此操作

我猜这更多的是我指定组的方式的问题,而不是我的 LDAP 查询的问题~ 你知道我哪里出错了吗?如果有人有建议,我也愿意首先提出更好的方法来实现这一点

答案1

我自己解决了这个问题。在本地用户和组 GPO 中,如果选择了“当不再应用时删除此项目”,它会将操作更改为“替换”,而这在内置帐户上无法完成。将其更改为“更新”,然后选择“删除所有成员组”可以完成相同的操作

相关内容