Gruppepolitisk Objektfiltrering efter sikkerhedsgruppe

Organisationsenhedsstrukturen (OU) i et Active Directory-domæne er kritisk vigtigt. det er en delikat balance mellem fuld service central styring, fleksibilitet og en enkel, intuitiv layout. Og alligevel er der nogle indstillinger, der muligvis skal anvendes globalt på brugere eller computerkonti, der findes i en række forskellige OU'er.

Med lidt arbejde på forhånd kan administratorer oprette gruppepolitiske objekter (GPO'er) til en OU eller hele domænet, men kun anvende det til brugere eller computere, der er medlemmer af en sikkerhedsgruppe. Dette kan være specielt værdifuldt for computer- og brugerkonti, der har konfigureringskrav, der ikke er tilpasset OU-strukturen. Processen er den samme for en computer eller brugerkonto, men dette er et godt første skridt til at adskille filtrering for hver type.

I mit personlige laboratorium har jeg to GPO'er øverst på domænet, der vil køre for alle objekter i domænet, men adskilt af computer- og brugerkonti. Figur A viser disse to GPO'er ved roden af ​​domænet. Figur A

Der er en række bedste fremgangsmåder, du kan anvende, som ikke ville involvere GPO'er på øverste niveau, men til filtereksemplets anvendelsesområde bruges toppen af ​​domænet. Den enkleste bedste praksis ville være at placere alle brugere i en OU på øverste niveau og alle computerkonti i en anden OU på øverste niveau; derefter vil GPO'erne for hver type opholde sig i den respektive OU.

Eksemplet viser også et selvdokumenterende objektnavn. I eksemplet ovenfor kaldes GPO'erne Filter-GPO-ComputerAccounts og Filter-GPO-UserAccounts; dette angiver, at de er filtrerede GPO'er, og de grupper, der har filtrene anvendt, er GPO-ComputerAccounts og GPO-UserAccounts-grupperne - igen, selvdokumenterende. Se de tilsvarende sikkerhedsgrupper i figur B. Figur B

Klik på billedet for at forstørre det.

GPO-ComputerAccounts-gruppen er en sikkerhedsgruppe med to computerkonti i sig. Ligesom brugerkonti kan computerkonti være medlemmer af en sikkerhedsgruppe.

Når OU og sikkerhedsgruppen er defineret, kan du konfigurere filtre til kun at anvende en GPO på medlemmer af gruppen. Det første trin er at fjerne den standard godkendte brugere (læst) sikkerhedselement til GPO. Elementet, der skal fjernes, vises i figur C. Fig

Klik på billedet for at forstørre det.
Når standard læse og anvende tilladelse fra godkendte brugere er fjernet, tilføjes sikkerhedsgruppen til sikkerhedsfanen i GPO, og læse- og anvendelsestilladelser anvendes. Figur D viser, at dette er konfigureret til GPO-ComputerAccounts-gruppen til Filter-GPO-ComputerAccounts GPO. Figur D

Klik på billedet for at forstørre det.

Bemærk knappen Avanceret fremhævet i bunden; Hvis sikkerheden er konfigureret efter oprettelsen af ​​GPO, indeholder knappen Avanceret området for at tilføje en tilladelsesenhed til at anvende gruppepolitikken. På det tidspunkt er GPO klar til at blive udstedt til sikkerhedsgrupperne.

Hvordan bruger du GPO-filtrering? Jeg kan tænke på en række måder, det kan være fordelagtigt, selvom det også er risikabelt, hvis det bliver overudnyttet. Del dine strategier i fora.

© Copyright 2020 | mobilegn.com