Em um domínio com Active Directory utilizando Terminal Service, pode ocorrer de ser necessário aplicar diretivas de grupos diferentes para a máquina local e o terminal service.
Quando por exemplo o TS é utilizado somente para acesso a uma determinada aplicação, e na máquina local o acesso é mais abrangente, como acessos a aplicativos de e-mails, planilhas, ect .
A primeira solução que vem em mente é criar dois usuários para a mesma pessoa que irá utilizar, e cada usuário seria alocado em Unidades Organizacionais (OUs) diferentes, aplicando assim uma GPOs para cada OU.
Entretanto, utilizando filtragem WMI (Instrumentação de Gerenciamento do Windows) usando GPMC , é possível aplicar diretivas diferentes para um único usuário da máquina local e do TS, veja o exemplo de um DC WS2003 e máquinas locais com Windows XP Professional:
- Na OU onde foram criados os usuários, crie duas GPOs ("ts" / "local" ).
- Quando uma GPO é criada, por padrão a GPO é aplicada no grupo de usuários autenticados, fazendo com que todos os usuários logados no domínio, participantes da OU onde se aplica a GPO sejam afetados pelas diretivas configuradas. Sendo assim, é recomendável que o grupo de usuários autenticados sejam removidos da aba segurança em propiedades da GPO.
- Para a GPO "local", em propiedades, na aba Filtro WMI, adicione um filtro com as seguintes intruções:
Root\CimV2; Select * from Win32_OperatingSystem where
Caption = "Microsoft Windows XP Professional"
As intruções do filtro, diz para a GPO "local" que seja aplicada somente em máquinas cujo o sistema operacional seja Windows XP, ou seja, o filtro é verdadeiro para Windows XP e falso para outros sistemas operacionas.
- Já na GPO "ts", podemos inserir um filtro onde diz que as diretivas não sejam aplicadas nas máquinas cujo o sistema operacional seja Windows XP, ou seja, o filtro é falso para Windows XP e não serão aplicadas nos computadores do domínio com Windows XP.
Root\CimV2; Select * from Win32_OperatingSystem where
Caption <> "Microsoft Windows XP Professional"
- Após criar as GPOs na mesma OU, com filtros diferentes, cada uma pode ser configurada individualmente com as suas diretivas em particular.
OBS.: A filtragem WMI usando GPMC é muito poderosa, e pode ser usada para outras atribuições de software e também hardware , como outro exemplo a aplicar a GPO em computadores que possuem pelo menos 600 MB de disco disponíveis:
Root\CimV2; Select * from Win32_LogicalDisk where FreeSpace
> 629145600 AND Description <> "Network Connection"
Referência:
Nenhum comentário:
Postar um comentário