Grupppolicy Objektfiltrering efter säkerhetsgrupp

Organisationsenhetsstrukturen (OU) för en Active Directory-domän är kritiskt viktig. det är en känslig balans mellan fullservicecentraladministration, flexibilitet och en enkel, intuitiv layout. Och ändå finns det några inställningar som kan behöva tillämpas globalt på användare eller datorkonton som finns i ett antal olika OU: er.

Med lite arbete på förhand kan administratörer skapa grupppolicyobjekt (GPO: er) för en OU eller hela domänen men endast tillämpa det på användare eller datorer som är medlemmar i en säkerhetsgrupp. Detta kan vara särskilt värdefullt för dator- och användarkonton som har konfigureringskrav som inte är anpassade till OU-strukturen. Processen är densamma för ett dator- eller användarkonto, men detta är ett bra första steg för att separera filtrering för varje typ.

I mitt personliga labb har jag två GPO: er på toppen av domänen som skulle köras för alla objekt i domänen men separerade av dator- och användarkonton. Figur A visar dessa två GPO: er vid roten till domänen. Figur A

Det finns ett antal bästa metoder som du kan tillämpa som inte skulle involvera toppnivåer för toppnivåer, men för filterexemplets räckvidd kommer toppens domän att användas. Den enklaste bästa praxisen skulle vara att placera alla användare i en OU på toppnivå och alla datorkonton i en annan OU på toppnivå; då skulle GPO: erna för varje typ ligga i respektive OU.

Exemplet visar också ett självdokumenterande objektnamn. I exemplet ovan heter GPO: erna Filter-GPO-ComputerAccounts och Filter-GPO-UserAccounts; detta indikerar att de är filtrerade GPO: er, och grupperna som har filtren applicerade är GPO-ComputerAccounts och GPO-UserAccounts-grupperna - igen, självdokumenterande. Se motsvarande säkerhetsgrupper i figur B. Figur B

Klicka på bilden för att förstora.

Gruppen GPO-ComputerAccounts är en säkerhetsgrupp med två datorkonton i sig. Liksom användarkonton kan datorkonton vara medlemmar i en säkerhetsgrupp.

Med OU och säkerhetsgruppen definierad kan du konfigurera filtren för att tillämpa en GPO endast på medlemmar i gruppen. Det första steget är att ta bort standardverktyget för autentiserade användare (läs) för GPO. Objektet som ska tas bort visas i figur C. Figur C

Klicka på bilden för att förstora.
När standardläsnings- och tillämpningstillståndet från autentiserade användare har tagits bort läggs säkerhetsgruppen till säkerhetsfliken i GPO och läsnings- och tillämpningsbehörigheterna tillämpas. Figur D visar att detta är konfigurerat för GPO-ComputerAccounts-gruppen för Filter-GPO-ComputerAccounts GPO. Figur D

Klicka på bilden för att förstora.

Notera den avancerade knappen markerad längst ner; om säkerheten är konfigurerad efter att GPO skapats, innehåller knappen Avancerat området för att lägga till tillåtelseenheten för tillämpning av grupppolicy. Vid den tidpunkten är GPO redo att utfärdas till säkerhetsgrupperna.

Hur använder du GPO-filtrering? Jag kan tänka på ett antal sätt det kan vara fördelaktigt, även om det också är riskabelt om det används för mycket. Dela dina strategier i forumen.

© Copyright 2020 | mobilegn.com