在群里有人讨论如何限制在终端服务器上登录用户的文件夹重定向路径的问题,我给出的建议是采用组策略Loopback来做。

要采用这种方法,我们就需要先了解一下Loopback的原理:默认情况下,计算机在启动时会去取对该计算机生效的GPO中的Computer configuration,用户在logon时会去取对该用户生效的GPO中的User configuration。如果在某个GPO上设置了loopback,则当该GPO运用到计算机时,在这台计算机上logon的用户就会取对该计算机生效的GPO的User configuration,而不会取对该用户生效的GPO中的User configuration。同时loopback分为replace和merge两种模式,replace是用计算机GPO的User configuration完全替换用户的GPO的User configuration, merge模式是将计算机GPO的User configuration和用户GPO的User configuration融合,如果有矛盾就以计算机GPO的User configuration为准。

知道了原理,那么如何去进行loopback的设置呢?方法很简单,网上也讨论也非常细致,我在这简单的把步骤写出来:

1. 新建一个OU
2. 将终端服务器放在这个OU中
3. 新建一个GPO,并将这个GPO应用到新建的OU上
a. 设置该GPO中的User configuration中的文件夹重定向
b. 设置该GPO中的Computer configuration中的loopback: 将Computer Configuration->Administrative Template->System->Group Policy->User Group Policy loopback processing mode的值设为Enable,并且根据需要选择Replace模式或Merge模式

设置完毕。