1. Дано: пользователь получает список сетевых дисков из групповой политики, а точнее, из раздела Group Policy Preferences при помощи функции Replace. Назначение производится участникам группы Active Directory.
Abraham - Hello! It's for you.
2. Проблема: пользователя не устраивает назначение двух букв из множества сетевых дисков. Остальные диски ему нужны, как и другим пользователям. Сетевые шары не подходят, потому что программы старые и пользоваться шаровыми путями не умеют - им нужны буквы дисков.
Этому пользователю нужно, чтобы буква F:\ указывала на папку \\server1\share1, а G:\ на папку \\server2\share2. А в реальности ()как это сделано для остальных пользователей) все происходит наоборот.
3. Решение: поскольку пользователь находился в группе, которой в GPP присваивался целый набор сетевых дисков, было решено не удалять пользователя из группы и не создавать для него специальной группы с единичным пользователем (что было бы нерационально). Вместо этого пользователь был лишен назначения двух конкретных дисков через GPP. Вместо этого новое назначение дисков было сделано локально. Это тоже не оптимальный путь, скоре workaround, но это работает.
Каким же путем пользователь был исключен из GPP?
Для назначения дисков изначально был использован Targeting групповой политики по группе
(Item-level targeting - New Item - User).
Для каждого из двух дисков в GPP Targeting Editor, помимо строки с группой, была добавлена строка с именем пользователя.
Теперь для получения назначения этих дисков должны были удовлетворяться два условия - быть членом соответствующей группы и, в то же время, НЕ быть этим пользователем (на снимке экрана немного по-другому). Для достижения цели было использовано условие AND, смысл которого как-раз в том, что для получения дисков должны удовлетворяться оба условия.
AND the user is NOT a
В результате наш пользователь продолжил получать остальные диски, но перестал получать два ненужных.Ответственность за назначение дисков легла на самого пользователя на его локальном компьютере.
Как итог, цель была достигнута наиболее рациональным путем:
- не затрагивая скрытых в недрах фолдеров NTFS permissions (хотя была возможность сделать deny на использование), которые плохо поддаются поиску и централизованному управлению
- без создания группы для единственного пользователя.
комментарии приветствуются...
Abraham - Hello! It's for you.
Этому пользователю нужно, чтобы буква F:\ указывала на папку \\server1\share1, а G:\ на папку \\server2\share2. А в реальности ()как это сделано для остальных пользователей) все происходит наоборот.
3. Решение: поскольку пользователь находился в группе, которой в GPP присваивался целый набор сетевых дисков, было решено не удалять пользователя из группы и не создавать для него специальной группы с единичным пользователем (что было бы нерационально). Вместо этого пользователь был лишен назначения двух конкретных дисков через GPP. Вместо этого новое назначение дисков было сделано локально. Это тоже не оптимальный путь, скоре workaround, но это работает.
Каким же путем пользователь был исключен из GPP?
Для назначения дисков изначально был использован Targeting групповой политики по группе
(Item-level targeting - New Item - User).
Теперь для получения назначения этих дисков должны были удовлетворяться два условия - быть членом соответствующей группы и, в то же время, НЕ быть этим пользователем (на снимке экрана немного по-другому). Для достижения цели было использовано условие AND, смысл которого как-раз в том, что для получения дисков должны удовлетворяться оба условия.
AND the user is NOT a
В результате наш пользователь продолжил получать остальные диски, но перестал получать два ненужных.Ответственность за назначение дисков легла на самого пользователя на его локальном компьютере.
Как итог, цель была достигнута наиболее рациональным путем:
- не затрагивая скрытых в недрах фолдеров NTFS permissions (хотя была возможность сделать deny на использование), которые плохо поддаются поиску и централизованному управлению
- без создания группы для единственного пользователя.
комментарии приветствуются...
Комментариев нет:
Отправить комментарий