Разрешить группе безопасности выполнять rdp только для определенного компьютера

Question

В основном я пытаюсь повторить свою работу Active Directory дома в образовательных целях.

На работе у нас есть компьютеры и ноутбуки с разных сайтов, сгруппированные в разные OU, например, Laptop1 и Computer1 будут в BRISTOL OU, а Laptop2 и Computer2 будут в BIRMINGHAM OU,

Мой менеджер может RDP на любой сайт из-за его разрешений (с которыми я полностью согласен), и я могу только RDP на компьютеры сайта BRISTOL, теперь я знаю, что это будет связано с группой безопасности и групповыми политиками.

Я просто хочу знать, какие параметры групповой политики позволят вам назначить удаленный доступ к другому подразделению в групповой политике.

Благодарю.

Answer 1

Управление RDP для данного компьютера основано на том, что учетная запись пользователя пытается подключиться к RDC или в группе внутри группы пользователей удаленного рабочего стола локального компьютера.

Обычный способ размещения пользовательских объектов AD или групп безопасности в этой локальной группе - использование групповой политики.

Групповые политики могут применяться к определенным объектам или группам объектов на основе очень широкого набора критериев, начиная от организационной единицы (OU), в которой они существуют, и заканчивая любыми критериями, которые могут быть запрошены инструментарием управления Windows (WMI).

Самый простой способ назначить отдельные группы безопасности локальной группе пользователей «Удаленный рабочий стол» компьютеров в определенном подразделении - это связать и активировать групповую политику в этом конкретном подразделении, которая назначает пользователей / группы AD локальной группе. Вы найдете эту политику в разделе Computer Configuration \ Preferences \ Control Panel Settings \ Local Users and Groups.