Chính sách nhóm Lọc đối tượng theo nhóm bảo mật

Cấu trúc Đơn vị tổ chức (OU) của miền Active Directory rất quan trọng; đó là sự cân bằng tinh tế giữa quản lý trung tâm đầy đủ dịch vụ, tính linh hoạt và bố cục đơn giản, trực quan. Tuy nhiên, có một số cài đặt có thể cần được áp dụng trên toàn cầu cho người dùng hoặc tài khoản máy tính tồn tại trong một số OU khác nhau.

Với một chút công việc trả trước, quản trị viên có thể tạo Đối tượng chính sách nhóm (GPO) cho OU hoặc toàn bộ miền nhưng chỉ áp dụng nó cho người dùng hoặc máy tính là thành viên của nhóm bảo mật. Điều này có thể đặc biệt có giá trị đối với tài khoản máy tính và người dùng có yêu cầu cấu hình không phù hợp với cấu trúc OU. Quá trình này giống nhau đối với máy tính hoặc tài khoản người dùng, nhưng đây là bước đầu tiên tốt để tách lọc cho từng loại.

Trong phòng thí nghiệm cá nhân của tôi, tôi có hai GPO ở đầu tên miền sẽ thực thi cho tất cả các đối tượng trong miền nhưng được phân tách bằng tài khoản người dùng và máy tính. Hình A cho thấy hai GPO này ở gốc của miền. Hình A

Có một số thực tiễn tốt nhất bạn có thể áp dụng sẽ không liên quan đến GPO cấp cao nhất, nhưng đối với phạm vi của ví dụ lọc, đầu tên miền sẽ được sử dụng. Cách thực hành tốt nhất đơn giản nhất là đặt tất cả người dùng vào một OU cấp cao nhất và tất cả các tài khoản máy tính trong OU cấp cao nhất khác; sau đó các GPO cho từng loại sẽ nằm trong OU tương ứng.

Ví dụ này cũng cho thấy một tên đối tượng tự ghi lại. Trong ví dụ trên, các GPO được đặt tên là Filter-GPO-ComputerAccounts và Filter-GPO-UserAccounts; điều này biểu thị rằng chúng là các GPO được lọc và các nhóm có các bộ lọc được áp dụng là các nhóm GPO-ComputerAccounts và GPO-UserAccounts - một lần nữa, tự ghi lại tài liệu. Xem các nhóm bảo mật tương ứng trong Hình B. Hình B

Nhấp vào hình ảnh để phóng to.

Nhóm GPO-ComputerAccounts là một nhóm bảo mật có hai tài khoản máy tính trong đó. Giống như tài khoản người dùng, tài khoản máy tính có thể là thành viên của nhóm bảo mật.

Với OU và nhóm bảo mật được xác định, bạn có thể định cấu hình các bộ lọc để chỉ áp dụng GPO cho các thành viên của nhóm. Bước đầu tiên là xóa mục bảo mật (đọc) xác thực mặc định cho GPO. Mục cần loại bỏ được hiển thị trong Hình C. Hình C

Nhấp vào hình ảnh để phóng to.
Khi quyền đọc và áp dụng mặc định từ Người dùng xác thực bị xóa, nhóm bảo mật sẽ được thêm vào tab bảo mật của GPO và các quyền đọc và áp dụng được áp dụng. Hình D cho thấy điều này đang được cấu hình cho nhóm GPO-ComputerAccounts cho GPO Filter-GPO-ComputerAccounts. Hình dung

Nhấp vào hình ảnh để phóng to.

Lưu ý nút Nâng cao được tô sáng ở phía dưới; nếu bảo mật được định cấu hình sau khi GPO được tạo, nút Nâng cao chứa khu vực để thêm thực thể cấp phép chính sách nhóm áp dụng. Tại thời điểm đó, GPO đã sẵn sàng để được cấp cho các nhóm bảo mật.

Làm thế nào để bạn sử dụng lọc GPO? Tôi có thể nghĩ ra một số cách có thể có lợi, mặc dù nó cũng có rủi ro nếu sử dụng quá mức. Chia sẻ chiến lược của bạn trong các diễn đàn.

© Copyright 2020 | mobilegn.com