Ja selbstverständlich können Sie Gruppe politische Richtlinien Sicherheit Gruppen zuweisen!
Ich muß blog dieses sofort - es ist ein Teil eines größeren „GP, der zwar verarbeitet“ Artikel an etwas Punkt… Aber dieses ist IMHO wichtiges Material, das Notwendigkeiten, dort schnell hinauszugehen 
Ich habe den folgenden Satz zu viele Male gehört (im One-way oder im anderen): „Sie können Gruppe Politik-Gegenstände Aufstellungsort, Gebiet Niveau oder OU nur zuweisen“…
- aber das ist nur teils zutreffend! Normalerweise in den newsgroup, in den Foren etc. dieses verläßt die Leser (z.B. jemand, das eine GP Frage stellten, oder was auch immer) mit dem Eindruck, den Sie nicht „können, schlug“ Mitglieder von einem sicherem Sicherheit Gruppe nur (dem Sie mit läßt „Entstörung des Aufstellungsort-/Domain/OU“ und/oder „WMI Entstörung“ als einzige mögliche Wahlen vorhanden). Aber das ist einfach nicht zur erstaunlichen Gruppe Politik angemessen, die Maschine verarbeitet!
Obwohl „WMI, das“ filtert, diese Tage recht weithin bekannt ist (nachdem WS2003 ankam), neigen viele Leute, das wenig zu vergessen - aber extrem wirkungsvoll und flexibel - die benannte Sache „Sicherheit Entstörung“ (obwohl es ist ein wenig mehr „grundlegendes“ verglichen mit WMI)…
Lassen Sie uns über es für eine Minute oder zwei sprechen, wenn Sie sind interessiert…
Sie können diese Art der Entstörung innerhalb der Gruppe Politik-Management-Konsole (GPMC) auf jedem des Bereichvorsprunges einstellen:
- oder der Delegationvorsprung (eine Spitze vorgerückt):
Wie Sie sehen können, vorbei RÜCKSTELLUNG alle Gruppe Politik-Gegenstände (GPO) schließen ein „Beglaubigte Benutzer“ mit beiden Gewähren Sie: „Lesen Sie“ und Gewähren Sie: „Wenden Sie Gruppe Politik“ an Erlaubnis eingestellt. Beide dieser Erlaubnis sind für erforderlich Benutzer und Computer auf (oder Prozeß) einem gegebenen GPO nehmen:
Die Sache über die sehr wichtige Gruppe „der beglaubigten Benutzer“ ist, daß sie einschließt ALLE Benutzer- UND Computerkonten/Gegenstände innerhalb des ANZEIGE Gebietes (Gebiet Steuerpulte auch, nach rechts). So, fallen Sie vorbei ein GPO wendet an beide Computer und Benutzer zurück (wir werden nicht über sperrenGPO Teile etc. sprechen. jetzt).
Die ist die „technische“ Erklärung warum die Politik, die an gesetzt wird
a) der Aufstellungsort trifft auf ALLE Benutzer und Computer innerhalb des Aufstellungsortes zu (Benutzeraufstellungsort folgt Computeraufstellungsort, Aufstellungsort folgt IP address)
b) das Gebiet Niveau trifft auf ALLE Benutzer und Computer innerhalb des Gebietes zu
c) jedes mögliches gegebene OU trifft auf ALLE Benutzer und Computer innerhalb dessen bestimmtes OU zu (und Vor-OUs für diese Angelegenheit)
=> weil die Gruppe Sicherheit „der beglaubigten Benutzer“ dort vorbei Rückstellung ist. Diese fallen Erlaubnis auf neuem GPOs werden angefaßt durch benanntes etwas zurück „Sicherheit Beschreiber“, aber mehr auf dem in etwas anderem blog oder Artikel.
So, we have Security permission on all of our GPOs (unfortunately not the GPO links, but that’s another talk) - leaving us with GREAT power to control to whom he particular GPO should be assigned (or ‘applied’). All we need to do is to change the default permissions and <Zaboooka!> we are in complete control.
First step is generally to remove the "Authenticated Users" group from the GPO in question. Click Remove (below Security Filtering section) on the Scope tab and click OK:
Click Add… and select the domain security group you want to "hit" - click OK when done:
And <poof>, this GPO will only apply to members of "The Sales Group" - or whatever group (or user, or computer object…) you selected:
Now all you need to do is to link the GPO to the Domain Level (or Site or OU if that’s better in your case) - but the Domain Level should be fine for most environments.
Now, you could turn this around and Exclude certain groups, users or computers - by setting Deny:"Apply Group Policy" instead. In some cases that might be the best choice - but as always with "deny" you have to watch out (manly because deny overwrites allow)!
Also note, that Security groups can include both user and computer accounts - we are maybe used to thinking that groups are for users only (in my experience most admins know the "Domain Users" group - but the "Domain Computers" group is not that well known)… But, with this in mind, you could make a group of computers instead of applying a WMI filter for instance (which is generally slower).
You could use other methods for setting permissions than the GPMC (like scripts) - but the GPMC is a wonderful tool for doing this easily - no sweat!
One way of automatically creating Security Groups from members of an OU is described in my article "Configuring Granular Password Settings in Windows Server 2008, Part 2" - these groups are referred to as Shadow Groups (cool, right). In some "filtering situations" that is nice to know…
Wow - that was nice getting it off my shoulders, and now I can refer to this blog entry whenever I get the question again - and so can you of course
.
Popularity: unranked
Popularity: unranked
Written by Jakob H. Heidelberg. Read more great feeds at is source WEBSITE
no comments.
Read more articles on otherSoftware and Group Policy and GPO.
- [+] Digg: Feature this article
- [+] Del.icio.us: Bookmark this article
- [+] Furl: Bookmark this article
