Windows Server 2016 远程桌面服务安装,包含 3 个会话主机服务器、一个 DC。从头开始全新安装。
创建了一个具有用户和计算机设置的单一 RDS 策略,该策略正在应用于 RDS 用户组以及会话主机服务器。
我的理解是,该 GP 的计算机策略部分将适用于会话主机服务器,而用户策略将适用于 GP 配置的用户,即 RDS 用户组。
然而:
如果我使用域管理员帐户(不在 RDS 用户组中)登录其中一个会话主机服务器,我无论如何都会应用所有 RDS 用户组策略设置。
我该如何解决这个问题?我是否需要创建两个策略,一个仅包含计算机设置,另一个仅包含用户设置?
更新:
RDS 用户组策略的链接位置是整个域。
安全过滤:
更明确地说,安全过滤中包含的对象是 3 个 RDS 会话主机的 3 个计算机对象和 RDS 用户组。当然,此安全过滤器不包括“经过身份验证的用户”。
更新2
对其中一台受影响的服务器(其名称为 XXSERVER22 ... 24,域称为“外部”)和绝对不属于用户组的管理用户运行 GP 结果向导。
如图所示,应用了两个 GPO - 几乎为空的默认域策略(安装默认值)和“RDS 用户策略”。
安全过滤器显示该 GPO 已应用于 3 台服务器和用户组。
在 RDS 用户策略中,我有许多用户设置,例如:用户配置 > 管理模板 > 系统 > 防止访问命令提示符
该策略的结果是,当打开命令提示符时,用户会收到消息“命令提示符已被管理员禁用”。
我运行了 GP 结果下的管理员用户,该用户不属于“RDS 用户组 1”,当他尝试打开命令提示符时,也会收到“已禁用”消息。以本地管理员身份登录时,不会出现此消息。该 GPO 的所有用户策略也是如此。
应用的 GPO
默认域策略 [{31B2F340-016D-11D2-945F-00C04FB984F9}]
...
RDS 用户策略 [{5E9FA90A-7A2E-4B8D-968A-0C5684020FC6}]
链接位置 external.mydomain.com
扩展配置 802.3 组策略
{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}
注册表强制执行否
已禁用 无
安全过滤器
外部\XSVR24$
外部\XSVR22$
外部\XSVR23$
EXTERNAL\RDS 用户组 1
修订版 AD (28)、SYSVOL (28)
WMI 筛选器