Не могу поверить, что я здесь, но я прошу о помощи. :)
Я думал, это будет просто ...
в любом случае ...
Группа AD: "Синяя команда" Участники: "Папа Смурф"
AD Группа: "Red Team" Участники: «BSD devil dude»
Компьютер: RDSSERVER (хост сеанса RDS Server 2019; TS старой школы)
Я бы хотел, чтобы у членов «Синей команды» был ярлык на рабочем столе под названием «bluestuff.lnk» (I копирую это из UNC-пути, отлично работает); Я хотел бы, чтобы у членов «Red Team» был ярлык на рабочем столе под названием «redstuff.lnk» ... но любой ярлык должен находиться только на рабочем столе RDSSERVER.
Члены Blue Team проживают в OU под названием Blue Team; то же самое для Red Team. Я бы предпочел не использовать группы AD, поскольку эти пользователи уже находятся в OU, но я не могу использовать OU и применять его только к RDSSERVER с использованием фильтрации безопасности в Scope.
EDIT:
Я почти уверен, что у меня была (есть) следующая иерархия GP:
Разобрался. Ключом было таргетинг на уровне элементов на вкладке «Общие».
Завершено с использованием OU «Серверы RDS», как было предложено / пробовано ранее, с включенной обработкой обратной связи (слияние); RDSSERVER, очевидно, существует в OU "Серверы RDS".
Я создал два объекта GPO ниже этого GPO родительского OU:
Red Team Shortcuts (Фильтрация безопасности по умолчанию «Прошедшие проверку»), но на вкладке Общие в Конфигурации пользователей> «Настройки»> «Файл», я выбрал таргетинг на уровне элемента, выбрав «Пользовательское подразделение» и «Красная команда» в качестве значения.
То же самое для ярлыков синей команды с другим значением таргетинга на уровне элементов и ярлыком.
Это Похоже, что мне почему-то не понравился таргетинг на уровне элементов> «Группа пользователей», но уже поздно / я устал, и мне все равно.
Вам необходимо включить политику Loopback processing при слиянии или замене. Это изменяет OU, которые учитываются при входе пользователя в систему.
Таким образом, по умолчанию политики пользователя будут извлечены из пользовательских OU (или родительских OU). В режиме слияния пользовательские политики извлекаются из пользовательского OU и компьютерного OU. В режиме замены пользовательские политики будут поступать только из подразделения компьютера.
С его помощью вы можете создавать политики в подразделении, содержащем ваш сервер RDS, с фильтрацией на основе групп безопасности, и это должно применять правильные политики.