web-dev-qa-db-ja.com

ターミナルサーバー-グループポリシーはコマンドラインを防止します

Windows2008ターミナルサーバーを使用しています。ターミナルサーバーの構成(ライセンスサーバー、セッションブローカーなど)は、グループポリシーによって管理されます。次の方法でログオンを無効にしたい場合:

change logon /disable

エラーメッセージ:"Connections are currently ENABLED by Group Policy for this machine, unable to change."

これを修正する賢い方法はありますか?

ところで。セッションブローカーデータベースを調べる方法はありますか?

6
quentin

これを明示的に設定するグループポリシー設定があります:[コンピューターの構成]-> [管理用テンプレート]-> [Windowsコンポーネント]-> [ターミナルサービス]-> [ユーザーがターミナルサービスを介してリモート接続できるようにする]

この問題を修正するには、GPOでこれを設定解除する(「無効にする」のではなく)必要があります。ポリシーを更新した後、ログオンの可用性を制御する機能を取り戻す必要があります。

7
Chris Thorpe

システムなしでアクセス許可を設定することにより、その設定を実際に適用するグループポリシーの機能を削除することもできます。マーク・ルシノビッチはこれを行うための良い記事を持っています。

http://blogs.technet.com/b/markrussinovich/archive/2005/04/30/circumventing-group-policy-settings.aspx

これは、レジストリ値を変更するためのスケジュールされたタスクよりもわずかに優れています。私はそれをエレガントとは言いませんが:)

しかし実際には、これを行う正しい方法は、グループポリシーの設定を解除するか(Chris Thorpeが言ったように)、サーバーのOUの継承を無効にして、その特定のポリシーなしで別のGPOを作成することです。

編集:WMIフィルタリングを使用して、その特定のサーバーをポリシー全体の受信から除外することもできます。特定のGPOが除外された場合、GPO全体のポリシーは適用されないことに注意してください。このルートを使用する場合は、ターミナルサーバー接続ポリシーを新しいGPOに分割することをお勧めします。残りの設定は無視されません。

Microsoft TechNet情報: http://technet.Microsoft.com/en-us/library/cc779036(WS.10).aspx

コンピューター名に基づくフィルタリング(答えは下にスクロール): http://www.experts-exchange.com/Software/Server_Software/File_Servers/Active_Directory/Q_22864893.html

2
Jeff McJunkin