Ryhmäkäytäntöobjektien suodatus suojausryhmittäin

Active Directory -alueen organisaatioyksikön (OU) rakenne on kriittisen tärkeä; se on hieno tasapaino täyden palvelun keskushallinnan, joustavuuden ja yksinkertaisen, intuitiivisen asettelun välillä. Ja vielä, on joitain asetuksia, joita on ehkä sovellettava maailmanlaajuisesti käyttäjille tai tietokonetileille, jotka ovat olemassa useissa erilaisissa yksiköissä.

Pienellä työllä etukäteen järjestelmänvalvojat voivat luoda ryhmäkäytäntöobjekteja (GPO) OU: lle tai koko verkkotunnukselle, mutta soveltaa sitä vain suojaryhmän jäseniin tai tietokoneisiin. Tämä voi olla erityisen arvokasta tietokone- ja käyttäjätileille, joilla on kokoonpanovaatimukset, jotka eivät vastaa OU-rakennetta. Prosessi on sama tietokone- tai käyttäjätilille, mutta tämä on hyvä ensimmäinen askel suodatuksen erottamiseksi jokaiselle tyypille.

Henkilökohtaisessa laboratoriossani on verkkotunnuksen yläosassa kaksi GPO: ta, jotka suoritettaisiin kaikille verkkotunnuksen objekteille, mutta jotka on erotettu tietokone- ja käyttäjätileillä. Kuvio A näyttää nämä kaksi GPO: ta verkkotunnuksen juuressa. Kuvio A

Voitte soveltaa useita parhaita käytäntöjä, joihin ei sisälly ylimmän tason GPO-ryhmiä, mutta suodatusesimerkissä käytetään verkkotunnuksen yläosaa. Yksinkertaisin paras tapa olisi sijoittaa kaikki käyttäjät yhteen ylimmän tason organisaatioon ja kaikki tietokonetilit toiseen ylimmän tason organisaatioon. silloin kunkin tyypin GPO: t asuisivat vastaavassa OU: ssa.

Esimerkki näyttää myös itse dokumentoivan objektin nimen. Yllä olevassa esimerkissä GPO-nimet ovat Filter-GPO-ComputerAccounts ja Filter-GPO-UserAccounts; tämä tarkoittaa, että ne ovat suodatettuja GPO-ryhmiä, ja ryhmät, joissa suodattimet ovat käytössä, ovat GPO-ComputerAccounts- ja GPO-UserAccounts -ryhmät - taas itse dokumentointi. Katso vastaavat suojausryhmät kuvassa B. Kuvio B

Napsauta kuvaa suurentaaksesi.

GPO-ComputerAccounts -ryhmä on suojausryhmä, jossa on kaksi tietokonetiliä. Kuten käyttäjätilit, myös tietokonetilit voivat olla suojausryhmän jäseniä.

Kun OU ja suojausryhmä on määritetty, voit määrittää suodattimet käyttämään GPO: ta vain ryhmän jäsenille. Ensimmäinen vaihe on poistaa GPO: n oletustodennetut käyttäjät (lue) -suojauskohta. Poistettava esine on esitetty kuvassa C. Kuvio C

Napsauta kuvaa suurentaaksesi.
Kun todennettujen käyttäjien oletus luku- ja sovelluslupa on poistettu, suojausryhmä lisätään GPO: n suojausvälilehteen, ja luku- ja sovellusluvat otetaan käyttöön. Kuvio D osoittaa, että tämä on määritetty GPO-ComputerAccounts-ryhmälle Filter-GPO-ComputerAccounts GPO. Kuvio D

Napsauta kuvaa suurentaaksesi.

Huomaa alaosassa korostettu Lisäasetukset-painike; Jos tietoturva määritetään GPO: n luomisen jälkeen, Lisäasetukset-painike sisältää alueen, jolla lisätään sovellettava ryhmäkäytäntöoikeusyksikkö. Tässä vaiheessa GPO on valmis myöntämään suojausryhmille.

Kuinka käytät GPO-suodatusta? Voin ajatella useita tapoja, joista voi olla hyötyä, vaikka se on myös vaarallista, jos niitä käytetään liikaa. Jaa strategioita foorumeilla.

© Copyright 2020 | mobilegn.com