Gruppepolicy Objektfiltrering etter sikkerhetsgruppe

Organisasjonsenhetsstrukturen (OU) i et Active Directory-domene er kritisk viktig; det er en delikat balanse mellom sentraladministrasjon med full service, fleksibilitet og en enkel, intuitiv layout. Og likevel er det noen innstillinger som kanskje må brukes globalt på brukere eller datakontoer som finnes i en rekke forskjellige OUer.

Med litt arbeid på forhånd kan administratorer opprette Group Policy Objects (GPOs) for en OU eller hele domenet, men bare bruke det på brukere eller datamaskiner som er medlemmer av en sikkerhetsgruppe. Dette kan være spesielt verdifullt for datamaskin- og brukerkontoer som har konfigurasjonskrav som ikke samsvarer med OU-strukturen. Prosessen er den samme for en datamaskin eller brukerkonto, men dette er et godt første trinn for å skille filtrering for hver type.

I mitt personlige laboratorium har jeg to GPO-er øverst i domenet som vil kjøres for alle objekter i domenet, men atskilt med datamaskin- og brukerkontoer. Figur A viser disse to GPO-ene i roten til domenet. Figur A

Det er en rekke beste fremgangsmåter du kan bruke som ikke vil involvere GPO-er på toppnivå, men for omfanget av filtereksemplet vil toppen av domenet brukes. Den enkleste beste praksis ville være å plassere alle brukere i en OU på toppnivå og alle datakontoer i en annen OU på toppnivå; da vil GPO-ene for hver type ligge i den respektive OU.

Eksemplet viser også et selvdokumenterende objektnavn. I eksemplet over heter GPOs Filter-GPO-ComputerAccounts og Filter-GPO-UserAccounts; dette betegner at de er filtrerte GPO-er, og gruppene som har filtrene brukt er GPO-ComputerAccounts og GPO-UserAccounts-gruppene - igjen, selvdokumenterende. Se de tilsvarende sikkerhetsgruppene i figur B. Figur B

Klikk på bildet for å forstørre det.

GPO-ComputerAccounts-gruppen er en sikkerhetsgruppe med to datakontoer i seg. Som brukerkontoer, kan datakontoer være medlemmer av en sikkerhetsgruppe.

Når OU og sikkerhetsgruppen er definert, kan du konfigurere filtrene slik at de bare bruker en GPO på medlemmer av gruppen. Det første trinnet er å fjerne standardgodkjenningen for autentiserte brukere (lese) for GPO. Elementet som skal fjernes, vises på figur C. Figur C

Klikk på bildet for å forstørre det.
Når standard lese- og anvendelsestillatelse fra Autentiserte brukere er fjernet, blir sikkerhetsgruppen lagt til i sikkerhetsfanen til GPO, og lese- og bruk-tillatelsene blir brukt. Figur D viser at dette er konfigurert for GPO-ComputerAccounts-gruppen for Filter-GPO-ComputerAccounts GPO. Figur D

Klikk på bildet for å forstørre det.

Legg merke til den avanserte knappen som er markert nederst; hvis sikkerheten er konfigurert etter at GPO er opprettet, inneholder knappen Avansert området for å legge til tillatelsesenheten for gjeldende gruppepolicy. På det tidspunktet er GPO klar til å bli utstedt til sikkerhetsgruppene.

Hvordan bruker du GPO-filtrering? Jeg kan tenke på en rekke måter det kan være fordelaktig, selv om det også er risikabelt hvis det blir overutnyttet. Del strategiene dine i forumene.

© Copyright 2021 | pepebotifarra.com