我一直在尝试为 Windows Server 2008 中的单个用户(管理员)设置 GPO 策略。
我有大约 50 个用户在此服务器上使用终端服务,需要为管理员用户进行不同的超时配置。
所以我:
1) 创建了两个 GPO:TS-NoTimeout 和 TS-Timeout。
2) 分配它们。
3) 改变优先级,将 TS-NoTimeout 放在第一位。
4) 从 TS-NoTimeout 中删除经过身份验证的用户并仅添加管理员用户。
结果:没有用。当我为用户管理员运行 gpresult 时,它说由于安全原因被拒绝。
经过一番研究,我发现有人说我也应该添加本地机器。我这样做了...
结果:适用于管理员,但现在所有用户也都采用 TS-NoTimeout 作为他们的策略。
我在这里到底做错了什么?
我还应该提供任何其他信息吗?
答案1
当您说“超时”时,我怀疑您正在谈论以下一个或多个设置:
- 设置断开连接的会话的时间限制
- 设置活动但空闲的终端服务会话的时间限制
- 设置活动终端服务会话的时间限制
这些设置可以根据每个用户或每台计算机指定,具体取决于您是在 GPO 中的“计算机配置”还是“用户配置”节点下指定设置。
当您说“...也添加本地机器”和“适用于管理员...”时,我怀疑您已经在“计算机配置”节点中指定了设置,并将 GPO 链接到某个位置以使其适用于终端服务器计算机。
如果是这种情况,我会取消链接 GPO,然后将它们重新链接到将应用于您希望它们影响的用户帐户的位置,然后修改它们以使用每个用户的设置(在“用户配置”下)。
重新链接并修改 GPO 的内容后,请验证“TS-Timeout”GPO 上的权限是否包括“经过身份验证的用户/读取和应用组策略”和“管理员/拒绝应用组策略”。验证“TS-NoTimeout”GPO 是否具有权限“管理员/应用组策略”(以及分配了所有默认权限“管理员”),并且默认的“经过身份验证的用户”ACL 已被删除。我建议通过在组策略编辑器中右键单击 GPO 的顶部节点来编辑权限,而不是使用组策略管理控制台中“友好”且不太“标准”的权限界面。
(如果您坚持使用“管理员”帐户而不是“管理员”组,请更改我的权限建议。如果有多个独立的人员使用“管理员”帐户,那么您做错了……但这是另一个问题的抱怨。)
通过在“TS-Timeout”GPO 上使用“管理员/拒绝应用组策略”权限,您无需担心 GP 链接的“优先级”。即使 UI 会因为您使用“拒绝”而责骂您,但这样做并没有错,在这种情况下,我认为它使最终配置比仅依赖 GP 链接“优先级”更容易理解。我还认为修改权限有助于意图更清楚地是——让“TS-NoTimeout”适用于“管理员”而不是“经过身份验证的用户”,并且让“TS-Timeout”不适用于“管理员”,无论他们链接到哪里。