フィルタリング基準は満たされていますが、GPOは拒否されています
私が達成しようとしていること
1つのオフィスでのみ集中印刷を使用しているため、ユーザーがターミナルサーバーにログオンするときに、このオフィスに関連するネットワークプリンターが存在することを確認し、ローカルプリンターがリダイレクトされないようにする必要があります。
問題
特定のOU内のいずれかのターミナルサーバーにログオンしているユーザーが特定のセキュリティグループに属している場合にのみ適用したい2つのGPOがあります。セキュリティフィルタリングを介してそのグループを追加しましたが、GPOが適用されておらず、GPモデリングで「アクセスが拒否されました(セキュリティフィルタリング)」と表示されています。
TechNet によると、しかし、そうではないはずです-
コンピューターアカウントまたはユーザーアカウントがセキュリティフィルタリング基準を満たしていない場合、GPO全体がそのクライアントで拒否されます。
上記の私の理解は、ユーザーアカウントがセキュリティフィルタリング基準を満たしている(つまり、ユーザーが指定されたセキュリティグループのメンバーである)ため、GPOを拒否しないでください。
適用しようとしている設定
これが私が現在行っていることのステップバイステップです。 GPOは、ユーザーがOU DD Terminal Serversでターミナルサーバーにログオンするたびに適用されます。
最初のポリシーはこれらの設定を適用する必要があります-
- コンピューター -
- 管理用テンプレート\システム\グループポリシー-
- グループポリシーの低速リンクの検出(無効)
- スクリプトポリシー処理(有効、無効、有効)
- ユーザーグループポリシーのループバック処理モード(置換)
- 管理用テンプレート\システム\グループポリシー-
- ユーザー-
- Windows設定\スクリプト\ログオン
add_network_printers.vbsというスクリプト
- Windows設定\スクリプト\ログオン
2番目のポリシーはこの設定を適用する必要があります(振り返ってみると、同じユーザーに影響するため、上記のポリシーにロールインできます)-
- コンピューター -
- 管理用テンプレート\ Windowsコンポーネント/ターミナルサービス/クライアント/サーバーデータリダイレクト-
- クライアントプリンターのリダイレクトを許可しない(有効)
- 管理用テンプレート\ Windowsコンポーネント/ターミナルサービス/クライアント/サーバーデータリダイレクト-
画像
これは、GPO権限と関連するテストユーザーのグループメンバーシップを示す画像です。オブジェクトDD\SherborneにApply Group Policy権限があることを確認したことに注意してください。ここには表示されていません-
これらのGPOが拒否されている理由を誰かが理解するのを手伝ってくれませんか。ありがとう。
2番目のポリシーはこの設定を適用する必要があります(振り返ってみると、同じユーザーに影響するため、上記のポリシーにロールインできます)-
コンピューター-管理用テンプレート\ Windowsコンポーネント/ターミナルサービス/クライアント/サーバーデータのリダイレクト-クライアントプリンターのリダイレクトを許可しない(有効)
これは、ソリューションの中心的な問題です。上記のポリシーはマシン全体の構成であり、ユーザーごとに適用することはできません。これを構成してターミナルサーバーを構成することも、構成しないこともできます。選択したポリシーの間にはありません。
次に、最初のポリシー(Loopback Stuffとvbsスクリプト)は2つの別個のポリシーである必要があります。
1つ目は、コンピューター構成のもののみを含む必要があり、理想的には、「認証されたユーザー」、または少なくともターミナルサーバーのアカウント/グループに適用する必要があります。
2番目のポリシーはユーザー構成設定であり、そのプリンターを使用するユーザーにのみ適用する必要があります。
これがどのように機能するかわかりません。ループバックポリシー処理を実行して、ユーザーがこのマシンにログオンしたときにセキュリティグループのユーザーにユーザー構成設定が適用されるようにするには、コンピューター構成設定を処理するマシンが必要ですが、必要なアクセス許可をマシンに拒否しましたグループポリシーオブジェクトを読み取って適用します。あなたはちょっとしたキャッチ22にいます。マシンがこのGPOを読み取って適用できるようにするには、セキュリティフィルタリングを設定する必要があります。
ここを参照してください: