Главная » Microsoft

Фильтрация объектов групповой политики

18 января 2011 Нет комментариев

Структура организационной единицы (Organizational Unit, OU) в домене Active Directory имеет довольно важное значение. Ее основная задача – обеспечение полноценного централизованного управления, ей необходимо быть гибкой и одновременно простой. Но, бывают и такие ситуации, когда необходимо прибегнуть к применению глобальных настроек для пользователей или компьютеров, которые относятся к разным организационным единицам.

Возможно создать объект групповой политики (Group Policy Object, GPO) для организационной единицы или всего домена и применить его относительно только отдельных пользователей или компьютерам, которые входят в конкретную группу безопасности. Такой ход очень актуален относительно случаев, когда требования конфигурации отдельных учетных записей не согласуются со структурой организационной единицы. Сам принцип действия одинаков, касаемо и компьютеров, и пользователей, но сначала, их необходимо отфильтровать по типам.

Приведем небольшой пример: на верхнем уровне домена, существуют два объекта групповой политики, они применяются абсолютно относительно всех объектов домена, но раздельно для пользователей и компьютеров. На рисунке, расположенном ниже, показаны как раз эти два GPO в корне домена.

Самый простой из вариантов – это расположить всех пользователей на верхнем уровне одной организационной единицы, а все компьютеры — на верхнем уровне другой. Вследствие чего, объекты групповой политики будут размещаться в соответствующей организационной единице, для каждого типа учетных записей без исключения.

В данном примере, объекты имеют название в соответствии с принципами самодокументирования: «Filter-GPO-ComputerAccounts» и «Filter-GPO-UserAccounts». Такие имена указывают на то, что данные объекты групповой политики отфильтрованы по группам «GPO-ComputerAccounts» и «GPO-UserAccounts», а они в свою очередь, тоже носят говорящие за себя названия. Эти группы безопасности показаны на рисунке.

Группа безопасности «GPO-ComputerAccounts» имеет две учетные записи компьютеров. Компьютеры, аналогично пользователям, могут входить в группы безопасности.

После того, как мы определили организационные единицы и группы безопасности, теперь можно настроить фильтры так, чтобы объекты групповой политики применялись лишь к определенным членам группы. Но, для осуществления данной процедуры, необходимо удалить из GPO стандартный элемент «Авторизованные пользователи» (Authenticated Users) с правами чтения. Элемент выделен на следующем рисунке.

После этого нужно добавить группу безопасности на вкладке «Безопасность» (Security) объекта групповой политики и разрешить ей чтение и применение групповой политики. На втором рисунке, отображены настройки настройки для группы «GPO-ComputerAccounts» и объекта «Filter-GPO-ComputerAccounts».

Посмотрите: внизу окна, выделена кнопка «Дополнительно» (Advanced). Если параметры безопасности конфигурируются после создания GPO, с ее помощью можно вызвать окно, в котором настраивается разрешение применять групповую политику. После этого GPO можно применять к группам безопасности.

Оставить комментарий или два

Будте вежливы. Не ругайтесь. Оффтоп тоже не приветствуем. Спам убивается моментально.

Вы можете использовать эти тэги:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>