نعم [أف كورس] أنت يستطيع عيّنت مجموعة سياسات إلى أمن مجموعة!

أنا أضطرّ [بلوغ] هذا [ريغت-وي] - سيكون هو جزء من كبيرة "[غب] يعالج" مادة في بعض نقطة مع ذلك… غير أنّ هذا [إيمهو] مادّة خام مهمّة أيّ حاجات أن يطلع هناك بسرعة

 

أنا قد سمعت الجملة تالي [توو مني] أوقات (في [أن-وي] أو الأخرى): "أنت يستطيع فقط عيّنت مجموعة سياسة أشياء إلى موقعة, مجال مستوى أو [أو]"…

- غير أنّ أنّ فقط جزئيّا يصحّ! عادة في مجموعة نقاش, ساحات [إتك.]. هذا يترك القارئات ([إغ.]. ضرب أحد ما الذي سأل [غب] سؤال أو ماذا) مع الإنطباع أنّ أنت تستطيع لا "" أعضاء من مؤكّدة أمن مجموعة فقط (أيّ يترك أنت مع "موقعة/[دومين/وو] يصفح" [أند/ور] "[ومي] ييصفّي" كالوحيد يمكن إختبار يتوفّر). غير أنّ ليس أنّ ببساطة عادلة إلى المدهشة مجموعة سياسة يعالج محرك!

[إفن ثوو] "[ومي] ييصفّي" يكون إلى حدّ ما معروفة [ثس دس] (عقب وصل [وس2003]), كثير الناس يميلون أن ينسى ال بعض - غير أنّ جدّا فعّالة ومرنة - شيء يدعى "أمن ييصفّي" ([إفن ثوو] هو يكون نوعا ما أكثر "أساسيّة" يقارن إلى [ومي])…

 

[لت'س] [تلك بووت] هو لدقيقة أو اثنان إن أنت يكون هممت…

 

أنت يستطيع ثبتت هذا نوع من ييصفّي ضمن المجموعة سياسة إدارة وحدة طرفيّة للتحكّم ([غبمك]) على إمّا المجال عروة حلقة:

- أو الوفد عروة حلقة (لقمة أكثر يتقدّم):

بما أنّ أنت يستطيع رأيت, جانبا تقصير كلّ مجموعة سياسة يتضمّن أشياء ([غبو]) "يصدق مستعملات" مع كلا سمحت: "يقرأ" و سمحت: "طبّقت مجموعة سياسة" أذونات يثبت. [بوث وف ثيس] أذونات لازمة ل مستعملات وحاسوبات أن يأخذ على (أو عملية) يعطى [غبو]:

الشيء حول ال جدّا مهمّة "يصدق مستعملات" مجموعة أنّ يتضمّن هو كلّ مستعملة وحاسوب حسابات/أشياء ضمن الإعلان مجال (مجال جهاز تحكّم أيضا, بشكل صحيح). قصّرت هكذا, جانبا [غبو] يطبّق إلى كلا حاسوبات ومستعملات (نحن لا نذهب أن [تلك بووت] يعجز [غبو] أجزاء [إتك.]. الآن).

أنّ ال "فنّيّة" شرح لما سياسات يوضع فوق
a) يطبّق الموقعة إلى كلّ مستعملات وحاسوبات ضمن الموقعة (مستعملات موقعة يتبع [كمبوتر ست], موقعة يتبع [إيب دّرسّ])
b) المجال يطبّق مستوى إلى كلّ مستعملات وحاسوبات ضمن المجال
c) يطبّق أيّ يعطى [أو] إلى كلّ مستعملات وحاسوبات ضمن أنّ [أو] خاصّة (و [سوب-ووس] ل أنّ أمر)
=> لأنّ ال "يصدق مستعملات" أمن مجموعة يكون هناك جانبا تقصير. هذا يقصّرون أذونات على [غبوس] جديدة عالجت ب شيء يدعى "أمن عنصر واصف", غير أنّ أكثر على أنّ في بعض أخرى [بلوغ] أو مادة.

So, we have Security permission on all of our GPOs (unfortunately not the GPO links, but that’s another talk) - leaving us with GREAT power to control to whom he particular GPO should be assigned (or ‘applied’). All we need to do is to change the default permissions and <Zaboooka!> we are in complete control.

First step is generally to remove the "Authenticated Users" group from the GPO in question. Click Remove (below Security Filtering section) on the Scope tab and click OK:

 

Click Add… and select the domain security group you want to "hit" - click OK when done:

And <poof>, this GPO will only apply to members of "The Sales Group" - or whatever group (or user, or computer object…) you selected:

Now all you need to do is to link the GPO to the Domain Level (or Site or OU if that’s better in your case) - but the Domain Level should be fine for most environments.

Now, you could turn this around and Exclude certain groups, users or computers - by setting Deny:"Apply Group Policy" instead. In some cases that might be the best choice - but as always with "deny" you have to watch out (manly because deny overwrites allow)!

Also note, that Security groups can include both user and computer accounts - we are maybe used to thinking that groups are for users only (in my experience most admins know the "Domain Users" group - but the "Domain Computers" group is not that well known)… But, with this in mind, you could make a group of computers instead of applying a WMI filter for instance (which is generally slower).

You could use other methods for setting permissions than the GPMC (like scripts) - but the GPMC is a wonderful tool for doing this easily - no sweat!

One way of automatically creating Security Groups from members of an OU is described in my article "Configuring Granular Password Settings in Windows Server 2008, Part 2" - these groups are referred to as Shadow Groups (cool, right). In some "filtering situations" that is nice to know…

 

Wow - that was nice getting it off my shoulders, and now I can refer to this blog entry whenever I get the question again - and so can you of course

.

Popularity: unranked

Popularity: unranked

Written by Jakob H. Heidelberg. Read more great feeds at is source WEBSITE
no comments.
Read more articles on otherSoftware and Group Policy and GPO.

• [+] Digg: Feature this article
• [+] Del.icio.us: Bookmark this article
• [+] Furl: Bookmark this article

Related articles

• Joe Wilcox says enough is enough (January 25th, 2008)
• Windows 7 M1, now playing in a theater near you (January 25th, 2008)
• Free Lightweight Alternatives to Bloatware (January 25th, 2008)
• SQL attacks - the lethal injection (January 25th, 2008)
• Check your Computer’s RAM in Windows Vista (January 25th, 2008)