Обработка на политиката на Loopback - О, MSBRO!

Бележки за мрежовия администратор на системата

Няколко статии за това как работи.

ОБЯСНЕНИЕ 1

Например на фиг. 5 показва домейн с две организационни единици - OU1 и OU2.
Първият съдържа обекти за потребителски акаунти и техните локални компютри, вторият съдържа обекти за RDS сървъри.
Ако даден потребител влезе в локалния компютър, той е обект на правилата за домейн по подразбиране, след това на правилата за локален компютър GP1 (които са били приложени, когато е бил включен) и на GP2 политиката на потребителя (приложени при влизане).
Ако потребителят влезе в RDS сървъра, ще се прилагат правилата за домейна, GP3 сървърната политика и GP2 потребителската политика.
Ако включите Обработка на политиката на Loopback, тогава при влизане в RDS сървъра ще бъдат в сила политиката на домейн, GP3 сървърната политика и политиката на потребителя GP2 + GP4 (в режим Обединяване) или само GP4 (в режим Замяна).
В случай на конфликт на конфигурация между потребителското подразделение и правилата за подразделение на сървъра в режим на обединяване, правилото в подразделението на сървъра ще има по-висок приоритет.

политиката

С множество RDS сървъри в клъстер просто трябва да управлявате потребителски профили. За щастие има много възможности за това със собствените си силни и слаби страни. Остава само да изберете комбинацията, която ще е най-подходяща за всеки конкретен случай.

(взето от тук: http://www.xnets.ru/plugins/content/content.php?content.240.4)

ОБЯСНЕНИЕ 2

Когато GPO е свързан с OU, по подразбиране правилата от раздела Computer Configuration на този GPO се прилагат към всички компютърни обекти в този OU (и неговите подконтейнери), а правилата от раздела User Configuration се прилагат към всички потребителски обекти вътре в този OU (и неговите подконтейнери).

Ако свържете GPO с OU, съдържащ само компютърни обекти и в този GPO посочите някои настройки в раздела User Configuration, тогава по подразбиране тези потребителски настройки ще бъдат игнорирани и няма да бъдат използвани от никого (тъй като вече посочих по-горе, че по подразбиране към компютърни обекти се прилагат само настройки от Computer Configuration).

Така че, така че потребителските настройки (раздел Конфигурация на потребителя) от GPO, който е свързан с компютърния обект, се прилагат към потребители, които влизат в някои машини, и "Режим на обработка на Loopback на потребителските правила на потребителя".

В този случай в режим Замяна потребителската конфигурация от други GPO, присвоени на потребителския обект, ще бъде отменена и ще влезе в сила само потребителска конфигурация от GPO, присвоена на компютърния обект, където потребителят е влязъл.
И в режим Merge тези настройки ще бъдат комбинирани (предварително зададените ще бъдат запазени, ще бъдат добавени нови, конфликтните ще бъдат заменени). Тези. частично потребителят ще запази зададените на самия потребител настройки чрез други GPO, плюс ще бъдат добавени потребителски конфигурации от GPO, присвоени на компютъра.

Но трябва да разберете, че дори в този случай потребителските настройки се променят, но самият GPO все още е присвоен на компютърния обект. И когато конфигурирате връзката за филтриране на защитата, не трябва да забравяте за нея.