终端服务器上的不同用户角色

终端服务器上的不同用户角色

我有一个终端服务器,许多人都会使用它,但用途不同。我们的程序由 2 个部分组成,我们称之为用户部分和管理员部分。它们是 2 个不同的 .exe 文件。我希望程序在用户登录时自动运行(我知道如何通过 GPO 来实现)。但我想根据用户的角色改变应用程序。当然,我想用 2 个域组(如“TS-Users”和“TS-Managers”)来控制这些角色。

我正在寻找实现该目标的最有效方法。有人可以分享他在这个问题上的经验吗?服务器是 2003 级域中的 W2K2003。

答案1

没问题。

  • 在 Active Directory 中创建两个全局安全组,例如“TS-Users”和“TS-Managers”。

  • 在理想情况下只有终端服务器计算机所在的 OU 中创建并链接三个 (3) 个组策略对象。将它们命名为“环回 GPO 处理和通用用户设置”、“TS-用户设置”和“TS-管理器设置”。

  • 在 GPO“环回 GPO 处理和通用用户设置”中,打开“计算机配置”节点、“管理模板”节点、“系统”节点和“组策略”节点,然后启用名为“用户组策略环回处理模式”的策略。如果您希望在用户登录此计算机时应用目录中其他位置设置的其他用户 GPO 设置在用户登录此计算机时应用,请在“模式”框中选择“合并”。如果您只希望应用这三个 GPO 中的用户设置,请选择“替换”。此外,在此 GPO 中设置您希望这些用户之间通用的任何“用户配置”设置。

  • 在 GPO 的“TS-Users 设置”和“TS-Managers 设置”中,设置每个组所需的各种设置。在组策略编辑器中,打开组策略根节点的“属性”,然后导航到“安全”选项卡。从每个策略的权限中删除“经过身份验证的用户”,并添加上面创建的具有“读取”和“应用组策略”权限的相应 AD 组。对每个 GPO 执行此操作。(这将防止设置应用于“错误”组的用户。)

  • 最后,重新启动终端服务器计算机,使其进入环回组策略处理模式(仅在启动时切换)。

  • 您应该看到每个 GPO 的设置都已应用。无论谁登录,“环回 GPO 处理和通用用户设置”用户设置都将应用。“TS-Users 设置”用户设置仅在“TS-Users”组的成员登录时才应用,并且同样适用于“TS-Managers”。

这是关于环回组策略处理和按安全组过滤组策略应用程序的速成课程。我们一直这样做,以完成您所描述的内容。您可能需要花一点时间才能理解,但请尝试一下。一个实际的好处是,您可以通过使用带有 Windows XP 计算机的 OU 来“模拟”这一点,并启用“远程桌面”,以便您可以暂存策略并测试它们(尽管一次只能测试一个用户),直到您准备好将 GPO 链接到您的终端服务器计算机“所在的”真实 OU。

相关内容