Η καλύτερη πηγή σας πληροφοριών και ειδήσεων περίπου ΖΩΝΤΑΝΟ ΟΝ, ΖΩΝΤΑΝΟ ΟΝ και vista παραθύρων στο διαδίκτυο

Vista ΑΡΘΡΑ ΚΟΡΥΦΗ 50 Vista ΒΙΝΤΕΟ Vista SOFT Vista ΒΟΗΘΕΙΑ

Ναι φυσικά μπορείτε να ορίσετε τις πολιτικές ομάδας στις ομάδες ασφάλειας!


Πρέπει blog αυτό αμέσως - θα είναι μέρος ενός μεγαλύτερου άρθρου «GP επεξεργασίας» σε κάποιο βαθμό εν τούτοις… Αλλά αυτό είναι σημαντική ουσία IMHO που πρέπει να φθάσει έξω εκεί γρήγορα :)

 

Έχω ακούσει την ακόλουθη πρόταση πάρα πολλοί χρόνοι (σε μονόδρομο ή άλλος): «Μπορείτε μόνο να ορίσετε τα πολιτικά αντικείμενα ομάδας στην περιοχή, το επίπεδο περιοχών ή του OU»…

- αλλά αυτός είναι μόνο εν μέρει αληθινός! Κανονικά στις ομάδες πληροφόρησης, τα φόρουμ κ.λπ. αυτό αφήνει τους αναγνώστες (π.χ. κάποιος που υπέβαλε μια GP ερώτηση ή οποιοσδήποτε) με την εντύπωση ότι δεν μπορείτε «να χτυπήσετε» τα μέλη ενός ορισμένου Ομάδα ασφάλειας μόνο (που σας αφήνει με «Περιοχή/Domain/OU που φιλτράρει» ή/και «WMI που φιλτράρει» σαν μόνο πιθανό επιλογές διαθέσιμες). Αλλά αυτός δεν είναι απλά δίκαιος στην καταπληκτική μηχανή πολιτικής επεξεργασίας ομάδας!

Ακόμα κι αν «WMI που φιλτράρει» είναι αρκετά γνωστό αυτές τις μέρες (μετά από WS2003 έφθασε), πολλοί άνθρωποι τείνουν να ξεχάσουν το μικρό - αλλά εξαιρετικά αποτελεσματικός και εύκαμπτος - πράγμα αποκαλούμενο «Ασφάλεια που φιλτράρει» (ακόμα κι αν είναι κάπως περισσότερο «βασικό» έναντι WMI)…

 

Μιλήστε για το για ένα λεπτό ή δύο εάν ενδιαφέρεστε…

 

Μπορείτε να θέσετε αυτό το είδος φιλτραρίσματος μέσα στην κονσόλα πολιτικής διαχείρισης ομάδας (GPMC) στο καθένα της ετικέττας πεδίου:

εικόνα

- ή η ετικέττα αντιπροσωπείας (λίγο πιό προηγμένη):

εικόνα

Όπως μπορείτε να δείτε, κοντά ΠΡΟΕΠΙΛΟΓΗ όλα τα πολιτικά αντικείμενα ομάδας (GPO) περιλαμβάνουν «Επικυρωμένοι χρήστες» και με τους δύο Επιτρέψτε: «Να διαβάσει» και Επιτρέψτε: «Εφαρμόστε την πολιτική ομάδας» άδειες καθορισμένες. Και οι δύο άδειες απαιτούνται για χρήστες και υπολογιστές για να πάρει (ή διαδικασία) ένα δεδομένο GPO:

εικόνα

Το πράγμα για την πολύ σημαντική ομάδα «επικυρωμένων χρηστών» είναι ότι περιλαμβάνει ΟΛΟΙ ο χρήστης ΚΑΙ ο υπολογιστής λογαριάζουν/αντικείμενα μέσα στην περιοχή ΑΓΓΕΛΙΩΝ (Ελεγκτές περιοχών επίσης, δεξιά). Έτσι, εξ ορισμού ένα GPO ισχύει και για τους υπολογιστές και για τους χρήστες (δεν πρόκειται να μιλήσουμε για τα βλαβερά GPO μέρη κ.λπ. τώρα).

Αυτή είναι η «τεχνική» εξήγηση γιατί οι πολιτικές τοποθέτησαν
a) η περιοχή ισχύει για ΟΛΟΥΣ τους χρήστες και τους υπολογιστές μέσα στην περιοχή (η περιοχή χρηστών ακολουθεί την περιοχή υπολογιστών, η περιοχή ακολουθεί τη διεύθυνση IP)
b) το επίπεδο περιοχών ισχύει για ΟΛΟΥΣ τους χρήστες και τους υπολογιστές μέσα στην περιοχή
c) οποιοδήποτε δεδομένο OU απευθύνεται σε ΌΛΟΥΣ τους χρήστες και τους υπολογιστές μέσα σε εκείνο το ιδιαίτερο OU (και υπο--OUs για εκείνο το θέμα)
=> επειδή η ομάδα ασφάλειας «επικυρωμένων χρηστών» είναι εκεί εξ ορισμού. Αυτές οι άδειες προεπιλογής σε νέο GPOs αντιμετωπίζονται από κάτι αποκαλούμενο «Περιγραφείς ασφάλειας», αλλά περισσότεροι σε αυτός σε κάποιο άλλο blog ή άρθρο.

So, we have Security permission on all of our GPOs (unfortunately not the GPO links, but that’s another talk) - leaving us with GREAT power to control to whom he particular GPO should be assigned (or ‘applied’). All we need to do is to change the default permissions and <Zaboooka!> we are in complete control.

First step is generally to remove the "Authenticated Users" group from the GPO in question. Click Remove (below Security Filtering section) on the Scope tab and click OK:

image 

Click Add… and select the domain security group you want to "hit" - click OK when done:

image

And <poof>, this GPO will only apply to members of "The Sales Group" - or whatever group (or user, or computer object…) you selected:

image

Now all you need to do is to link the GPO to the Domain Level (or Site or OU if that’s better in your case) - but the Domain Level should be fine for most environments.

Now, you could turn this around and Exclude certain groups, users or computers - by setting Deny:"Apply Group Policy" instead. In some cases that might be the best choice - but as always with "deny" you have to watch out (manly because deny overwrites allow)!

Also note, that Security groups can include both user and computer accounts - we are maybe used to thinking that groups are for users only (in my experience most admins know the "Domain Users" group - but the "Domain Computers" group is not that well known)… But, with this in mind, you could make a group of computers instead of applying a WMI filter for instance (which is generally slower).

You could use other methods for setting permissions than the GPMC (like scripts) - but the GPMC is a wonderful tool for doing this easily - no sweat!

One way of automatically creating Security Groups from members of an OU is described in my article "Configuring Granular Password Settings in Windows Server 2008, Part 2" - these groups are referred to as Shadow Groups (cool, right). In some "filtering situations" that is nice to know…

 

Wow - that was nice getting it off my shoulders, and now I can refer to this blog entry whenever I get the question again - and so can you of course :-)

.

Popularity: unranked

Popularity: unranked


Written by Jakob H. Heidelberg. Read more great feeds at is source WEBSITE
no comments.
Read more articles on otherSoftware and Group Policy and GPO.

Related articles

No comments

There are still no comments on this article.

Leave your comment...

If you want to leave your comment on this article, simply fill out the next form:




You can use these XHTML tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <code> <em> <i> <strike> <strong> .