Csoportházirend-objektum szűrés biztonsági csoport szerint

Az Active Directory tartomány szervezeti egységének (OU) felépítése kritikus jelentőségű; ez egy finom egyensúly a teljes körű szolgáltatás központi kezelése, a rugalmasság és az egyszerű, intuitív elrendezés között. És mégis, vannak olyan beállítások, amelyeket globálisan alkalmazni kell a felhasználókra vagy a számítógépes fiókokra, amelyek számos különböző OU-ban léteznek.

Egy kis előrelépéssel az adminisztrátorok létrehozhatnak csoportházirend-objektumokat (GPO) egy szervezeti egységhez vagy a teljes domainhez, de csak a biztonsági csoport tagjaira használó felhasználókra vagy számítógépekre alkalmazhatják. Ez különösen értékes lehet olyan számítógépes és felhasználói fiókok esetén, amelyek konfigurációs követelményei nem igazodnak az OU struktúrájához. A folyamat ugyanaz a számítógép vagy a felhasználói fiók esetében, de ez jó első lépés a szűrés különválasztása az egyes típusoknál.

Személyes laboratóriumomban két GPO van a domain tetején, amely a tartomány összes objektumára végrehajtható, de számítógépes és felhasználói fiókokkal elválasztva. Az A ábra ezt a két GPO-t mutatja a domain gyökerében. A ábra

Számos olyan bevált gyakorlat alkalmazható, amelyek nem érintik a legfelső szintű GPO-kat, de a szűrési példa hatóköreként a tartomány felső részét kell használni. A legegyszerűbb legjobb gyakorlat az lenne, ha az összes felhasználót egy legfelső szintű OU-ba, és az összes számítógépes fiókot egy másik legfelső szintű OU-ba helyezné; akkor az egyes típusok GPO-jainak a megfelelő OU-ban kell lennie.

A példa egy öndokumentáló objektumnevet is mutat. A fenti példában a GPO-k Filter-GPO-ComputerAccounts és Filter-GPO-UserAccounts nevek; ez azt jelzi, hogy szűrt GPO-k, és a szűrőket alkalmazó csoportok a GPO-ComputerAccounts és a GPO-UserAccounts csoportok - ismét öndokumentáció. Lásd a megfelelő biztonsági csoportokat a B. ábrán . B. ábra

Kattintson a képre a nagyításhoz.

A GPO-ComputerAccounts csoport egy biztonsági csoport, amelyben két számítógépes fiók van. A felhasználói fiókokhoz hasonlóan a számítógépes fiókok is lehetnek biztonsági csoport tagjai.

Az OU és a biztonsági csoport meghatározásával konfigurálhatja a szűrőket úgy, hogy GPO-t csak a csoport tagjaira alkalmazzanak. Az első lépés az alapértelmezett hitelesített felhasználók (olvasási) biztonsági elem eltávolítása a csoportházirend-objektumhoz. Az eltávolítandó cikket a C. ábra mutatja. C. ábra

Kattintson a képre a nagyításhoz.
Miután eltávolították a hitelesített felhasználók által alapértelmezett olvasási és alkalmazási engedélyeket, a biztonsági csoport hozzáadódik a csoportházirend-objektum biztonsági füléhez, és az olvasási és alkalmazási engedélyeket alkalmazzák. A D ábra azt mutatja, hogy a GPO-ComputerAccounts csoporthoz van-e konfigurálva a Filter-GPO-ComputerAccounts GPO-hoz. D. ábra

Kattintson a képre a nagyításhoz.

Vegye figyelembe az alsó részben kiemelt Speciális gombot; Ha a biztonságot a csoportházirend-objektum létrehozása után konfigurálják, akkor az Speciális gomb tartalmazza az alkalmazni kívánt csoportházirend-engedély entitás hozzáadására szolgáló területet. Ezen a ponton a GPO készen áll a biztonsági csoportok számára történő kiadásra.

Hogyan használja a GPO-szűrést? Számos gondolatra gondolok, amelyek hasznosak lehetnek, bár kockázatosak is, ha túlzottan kihasználják azokat. Ossza meg stratégiáit a fórumokon.

© Copyright 2020 | mobilegn.com