Timka » 29 апр 2009 11:53, Ср
Возникла необходимость организовать Сервер Терминалов в сети без домена. Решил воспользоваться групповыми политиками для настройки интерфейса Windows для пользователей удалённого рабочего стола. Проблема в том что групповые политики на локальном компьютере находящимся в сети без домена нельзя приминить к конкретному пользователю или группе пользователей(локальные). Пошарив в нете нашёл статью на сайте мелко-мягких
Применение локальных политик ко всем пользователям за исключением администраторов в Windows Server 2003 при использовании рабочих групп.
Предложеные ими манипуляции исключают возможности непреминения групповых политик для 2 и более Администраторов, а также возможность состоять в иной группе(без применения на них групповых политик), кроме Администраторы для всех Администраторов компьютера. Если коротко - шляпа.
Решения оказалось простым и изящным Груповые политики находяться в %systemroot%\system32\GroupPolicy в папке Machine - политики применяеые к компьютеру(применяются до входа пользователя в систему), в папке User - применяемые соответственно к пользователям при входе в систему. Чтобы настроить интерфейс пользователя делаем: пуск->выполнить->gpedit.msc->Конфигурация пользователя->Административные шаблоны. Настраиваем интерфейс как нам нужно(изменения сразу или после выполения команды gpupdate видим на своём пользователе), главное не перестараться Далее заходим в %systemroot%\system32 и кликаем на папку GroupPolicy правой кнопкой->Общий доступ и безопасность->Безопасность->Дополнительно, кликаем 2 раза на Администраторы, в Разрешениях запрещаем:
Обзор папок/Выполнение файлов
Содержание папки/Чтение данных
Чтение атрибутов
и чтобы не потерять возможность редактирования прав Администраторами ставим разрешить:
Чтение разрешений
Смена разрешений
Смена владельца
Жмём ок, ставим глочку "Заменить разрешения для всех дочерних объектов..." жмём дадада, применить, ок. Теперь групповые политики не будут применяться к пользователям находящимся группе Администраторы, даже если они состоят в других группах, т.к. приоритет запрета доступа выше чем разрешение доступа в NTFS. Если нужно отредактировать групповые политики, меняем права на Полный доспуп, редактируем, и меняем права обратно.
Возникла необходимость организовать Сервер Терминалов в сети без домена. Решил воспользоваться групповыми политиками для настройки интерфейса Windows для пользователей удалённого рабочего стола. Проблема в том что групповые политики на локальном компьютере находящимся в сети без домена нельзя приминить к конкретному пользователю или группе пользователей(локальные). Пошарив в нете нашёл статью на сайте мелко-мягких
[url=http://support.microsoft.com/kb/325351]Применение локальных политик ко всем пользователям за исключением администраторов в Windows Server 2003 при использовании рабочих групп[/url].
Предложеные ими манипуляции исключают возможности непреминения групповых политик для 2 и более Администраторов, а также возможность состоять в иной группе(без применения на них групповых политик), кроме Администраторы для всех Администраторов компьютера. Если коротко - шляпа.
Решения оказалось простым и изящным :) Груповые политики находяться в [b]%systemroot%\system32\GroupPolicy[/b] в папке Machine - политики применяеые к компьютеру(применяются до входа пользователя в систему), в папке User - применяемые соответственно к пользователям при входе в систему. Чтобы настроить интерфейс пользователя делаем: пуск->выполнить->gpedit.msc->Конфигурация пользователя->Административные шаблоны. Настраиваем интерфейс как нам нужно(изменения сразу или после выполения команды gpupdate видим на своём пользователе), главное не перестараться :) Далее заходим в %systemroot%\system32 и кликаем на папку GroupPolicy правой кнопкой->Общий доступ и безопасность->Безопасность->Дополнительно, кликаем 2 раза на Администраторы, в Разрешениях [b]запрещаем[/b]:
[b]Обзор папок/Выполнение файлов[/b]
[b]Содержание папки/Чтение данных[/b]
[b]Чтение атрибутов[/b]
и чтобы не потерять возможность редактирования прав Администраторами ставим [b]разрешить[/b]:
[b]Чтение разрешений[/b]
[b]Смена разрешений[/b]
[b]Смена владельца[/b]
Жмём ок, ставим глочку "[b]Заменить разрешения для всех дочерних объектов[/b]..." жмём дадада, применить, ок. Теперь групповые политики не будут применяться к пользователям находящимся группе Администраторы, даже если они состоят в других группах, т.к. приоритет запрета доступа выше чем разрешение доступа в NTFS. Если нужно отредактировать групповые политики, меняем права на [b]Полный доспуп[/b], редактируем, и меняем права обратно.