我通过组策略将域用户按组划分,并设置相应的权限。例如(部门 A 可以访问控制面板和安装软件,部门 B 则不能同时访问这两个权限)
我的问题:我们的一些域用户在终端服务器 (TS1 和 TS2) 上使用 RDP。我们不希望任何用户访问 TS 的任何部分,除了登录时运行的指定软件(自动启动)。
这就是我被困住的地方。我想在 TS1 和 TS2 上设置一个用户策略,其中任何通过 RDP 连接的用户都受到最大限制(没有开始菜单项、没有桌面图标、没有系统托盘,但只允许使用应用程序)。问题是我也不想让用户在自己的电脑上受到影响。这意味着,当用户登录到自己的电脑时,部门策略应该生效,当他们通过 RDP 连接到终端服务器时,另一个策略仅在 TS 上生效。
我怎样才能做到这一点?
答案1
您需要在链接到 TS OU 的 GPO 中配置您的用户配置设置,并使用组策略环回处理,以便这些用户设置在用户登录 TS 服务器时应用于用户。
http://blogs.technet.com/b/askds/archive/2013/02/08/circle-back-to-loopback.aspx