如何将计算机配置组策略应用于基于用户安全组的远程桌面服务器

Question

我们正在努力弄清楚如何让计算机策略只适用于特定安全组中的用户。本质上，我们有一组用户想要锁定服务器管理器和powershell之类的东西，但是其他用户应该可以在这个远程桌面服务器上访问它们。RDP服务器在自己的OU中应用了组策略。在组策略中，我们更新了范围，使其仅包括我们希望应用计算机策略的用户的安全组。我们还在“委托”选项卡下确保授权用户读取了对组策略的访问权限。

在运行组策略建模向导时，由于安全筛选的原因，不应用组策略。如果我们删除安全过滤并且只有经过身份验证的用户，则应用组策略.对所有用户来说，正如您所期望的那样。

提前感谢您的帮助！

丹

其他详细信息:Windows2008RDP域和Windows2012 R2 R2服务器

Answer 1

不能基于包含用户作为成员的安全组在GPO中筛选计算机配置设置。计算机配置设置适用于计算机，用户配置设置应用于用户，两者永远不会相遇。

它适用于经过身份验证的用户的原因是因为所有计算机帐户都是经过身份验证的用户的成员。

Answer 2

除了joeqwerty的答案之外，如果您需要这样做，并且可以将您的设置从计算机更改到用户，那么；

您可以使用回送处理模式。

使用组策略管理控制台，编辑所需的GPO，展开计算机配置\策略\管理模板\系统\组策略，然后双击“用户组策略回圈处理模式”。

然后选择适当的选项(替换或合并)。

一个小小的解释

解决方法是在您的安全组筛选器和WMI筛选器中使用用户配置设置，以仅针对特定的服务器。

Select * From Win32_TerminalServiceSetting Where TerminalServerMode=1