Тонкая настройка групповых политик
Эффективное использование групповых политик может быть непростым делом. Не всегда легко найти нужную политику, а конфликт политик, применяемых к разным доменам или OU, может привести к сложному порядку предпочтительности. Побеждает политика, ближе всего расположенная к индивидууму. Т.е. если вы применили одну групповую политику на уровне домена, а другую на уровне OU, и политики конфликтуют, то политика, примененная к OU, управляет политиками, применяемыми к пользователям или компьютерам в этом OU.
Вы можете все упростить, создав OU для Terminal Services, в ней - локальную группу, а затем создав в ней группу доменных пользователей. Вы можете также создать OU для серверов MetaFrame и изменить гупповую политику, применяемую к этим компьютерам, поскольку их политики будут работать даже в том случае, если компьютеры, подключающиеся к серверам MetaFrame, выполняют ОС, которые не поддерживают групповые политики.
Для применения групповой политики зайдите в контроллер домена, щелкните правой кнопкой мыши на OU или домене, для которого вы хотите установить политику, и выберите из контекстного меню Properties. На вкладке Group Policy нажмите New для создания новой записи, или Edit для редактирования политики, включенной в этот GPO. Закончив, примените политику. По умолчанию, политика обновляется каждые 90 минут, но вы можете изменить это значение или просто перезагрузить сервер, чтобы сделать обновление системы. Вы также можете немедленно обновить параметры настройки групповой политики, используя команду secedit. Чтобы обновить групповую политику для пользователей, введите
secedit /refreshpolicy user_policy
Для обновления групповых политик, применяемых к компьютеру, введите
secedit /refreshpolicy machine_policy
Чтобы повторно применить групповую политику даже если не было никаких изменений, добавьте к любой команде опцию /enforce.
Как вариант, создайте отдельные учетные записи пользователей, которым разрешено использовать серверы MetaFrame, и настройте права для этой группы. Но имейте в виду, что если будут использоваться разные учетные записи для локальной работы и для сервера MetaFrame, это сделает невозможным использование сквозной аутентификации.
