我正在尝试为终端服务器及其登录的用户配置组策略。
我在活动目录中创建了一个名为 TERMINAL-SERVERS 的 OU,然后将 Terminalsrv1 和 Terminalsrv2 移动到该 ou。
创建了一个链接到 OU TERMINAL-SERVERS 的 GPO,并对策略做了一些更改以允许终端服务器的漫游配置文件。
这很有效,并且它似乎将策略应用于终端服务器。
但是,当我更改用户配置并以用户身份登录到终端服务器时,它不会应用该策略。执行 GPresult /r 时,它显示它既没有应用也没有拒绝我在 OU TERMINAL-SERVERS 中创建的策略。
但是当我将 TERMINAL-SERVERS GPO 链接到 MYBUSINESS\Users\SBSUSers 下的 SBSUsers 时
它将其应用于用户,问题是它会对每台计算机都这样做。
我只想将该策略应用于登录终端服务器的用户。
问题究竟出在哪里?
OU=TERMINAL-SERVERS 适用于已验证的用户。
答案1
您正在寻找启用组策略的环回处理。
组策略默认由对象所在的 OU 决定。由于您的用户不在终端服务器OU,则策略不适用于他们。启用环回处理会改变如果他们登录到位于终端服务器欧亚
答案2
您在这里有三个主要误解:
1)默认情况下,GPO 仅适用于 OU 中的对象
2)计算机只会处理政策的“计算机”方面
3)用户只会应用策略的“用户”端
通常认为,最佳做法是将用户和计算机策略的 GPO 分开,以帮助避免混淆,并更清楚地了解在哪里应用什么。
就您而言,您既需要为用户创建单独的策略,并将其应用于您的 SBSUsers OU,或者使用 LoopBack 策略来避免 (1) 中列出的限制