Groepsbeleid Objectfiltering op beveiligingsgroep

De organisatie-eenheid (OU) -structuur van een Active Directory-domein is van cruciaal belang; het is een delicaat evenwicht tussen full-service centraal beheer, flexibiliteit en een eenvoudige, intuïtieve lay-out. En toch zijn er enkele instellingen die mogelijk wereldwijd moeten worden toegepast op gebruikers of computeraccounts die in een aantal verschillende OE's bestaan.

Met een beetje werk vooraf kunnen beheerders Groepsbeleidsobjecten (GPO's) maken voor een OE of het hele domein, maar alleen toepassen op gebruikers of computers die lid zijn van een beveiligingsgroep. Dit kan vooral waardevol zijn voor computer- en gebruikersaccounts die configuratievereisten hebben die niet overeenkomen met de OE-structuur. Het proces is hetzelfde voor een computer- of gebruikersaccount, maar dit is een goede eerste stap om de filtering voor elk type te scheiden.

In mijn persoonlijke labo heb ik twee groepsbeleidsobjecten bovenaan het domein die zouden worden uitgevoerd voor alle objecten in het domein, maar gescheiden door computer- en gebruikersaccounts. Afbeelding A toont deze twee groepsbeleidsobjecten in de hoofdmap van het domein. Figuur A

Er zijn een aantal best practices die u zou kunnen toepassen die geen GPO's op het hoogste niveau zouden betreffen, maar voor het toepassingsgebied van het filtervoorbeeld wordt de bovenkant van het domein gebruikt. De eenvoudigste beste praktijk zou zijn om alle gebruikers in één OE op het hoogste niveau te plaatsen en alle computeraccounts in een andere OE op het hoogste niveau; dan zouden de groepsbeleidsobjecten voor elk type zich in de respectieve OE bevinden.

Het voorbeeld toont ook een zelfdocumenterende objectnaam. In het bovenstaande voorbeeld worden de groepsbeleidsobjecten Filter-GPO-ComputerAccounts en Filter-GPO-UserAccounts genoemd; dit geeft aan dat het gefilterde groepsbeleidsobjecten zijn, en de groepen waarop de filters zijn toegepast, zijn de groepen GPO-ComputerAccounts en GPO-UserAccounts - wederom zelfdocumenterend. Zie de bijbehorende beveiligingsgroepen in afbeelding B. Figuur B

Klik op de afbeelding om te vergroten.

De groep GPO-ComputerAccounts is een beveiligingsgroep met twee computeraccounts. Net als gebruikersaccounts kunnen computeraccounts lid zijn van een beveiligingsgroep.

Met de OE en de beveiligingsgroep gedefinieerd, kunt u de filters configureren om alleen een groepsbeleidsobject toe te passen op leden van de groep. De eerste stap is het verwijderen van het standaard beveiligingsitem voor geverifieerde gebruikers (lezen) voor het groepsbeleidsobject. Het te verwijderen item wordt getoond in figuur C. Figuur C

Klik op de afbeelding om te vergroten.
Nadat de standaardrechten voor lezen en toepassen van geverifieerde gebruikers is verwijderd, wordt de beveiligingsgroep toegevoegd aan het tabblad Beveiliging van het groepsbeleidsobject en worden de machtigingen voor lezen en toepassen toegepast. Afbeelding D laat zien dat dit is geconfigureerd voor de groep GPO-ComputerAccounts voor het GPO Filter-GPO-ComputerAccounts. Figuur D

Klik op de afbeelding om te vergroten.

Let op de knop Geavanceerd onderaan; Als de beveiliging is geconfigureerd nadat het groepsbeleidsobject is gemaakt, bevat de knop Geavanceerd het gebied om de toe te passen entiteit entiteitsbeleidsrechten toe te voegen. Op dat moment is het groepsbeleidsobject gereed om aan de beveiligingsgroepen te worden uitgegeven.

Hoe gebruik je GPO-filtering? Ik kan een aantal manieren bedenken waarop het voordelig kan zijn, hoewel het ook riskant is als het te veel wordt gebruikt. Deel uw strategieën op de forums.

© Copyright 2020 | mobilegn.com