Oui naturellement vous pouvez assigner des politiques de groupe aux groupes de sécurité !
Je dois blog ceci tout de suite - ce fera partie d'un plus grand « généraliste traitant » l'article à un certain point cependant… Mais c'est une substance importante d'IMHO qui les besoins de sortir là vite 
J'ai entendu la phrase suivante trop de fois (dans l'one-way ou l'autre) : « Vous pouvez seulement assigner des objets de politique de groupe à l'emplacement, au niveau de domaine ou aux OU »…
- mais celui est seulement en partie vrai ! Normalement dans les newsgroup, les forum etc. ceci laisse les lecteurs (par exemple. quelqu'un qui a posé une question de généraliste ou quoi que) avec l'impression que vous ne pouvez pas « a frappé » des membres d'un certain Groupe de sécurité seulement (avec lequel vous laisse « Filtrage de l'emplacement/Domain/OU » et/ou « Filtrage de WMI » en tant que seul possible choix disponibles). Mais ce n'est simplement pas juste à la politique étonnante de groupe traitant le moteur !
Quoique « WMI filtrant » soit assez bien connu de nos jours (après que WS2003 est arrivé), beaucoup de gens tendent à oublier le peu - mais extrêmement efficace et flexible - chose appelée « Filtrage de sécurité » (quoiqu'il est légèrement davantage « de base » comparé à WMI)…
Parlons de lui pour une minute ou deux si vous êtes intéressé…
Vous pouvez placer ce genre de filtrer dans la console de gestion de politique de groupe (GPMC) sur le l'un ou l'autre l'étiquette de portée :
- ou l'étiquette de délégation (un peu plus avancé) :
Comme vous pouvez voir, près DÉFAUT tous les objets de politique de groupe (GPO) incluent « Utilisateurs authentifiés » avec tous les deux Laissez : « Lisez » et Laissez : « Appliquez la politique de groupe » les permissions ont placé. Tous les deux permissions sont nécessaires pour utilisateurs et ordinateurs pour prendre (ou processus) un GPO donné :
La chose au sujet du groupe très important « d'utilisateurs authentifiés » est qu'elle inclut TOUS LES comptes d'utilisateur ET d'ordinateur/objets dans le domaine d'ANNONCE (Contrôleurs de domaine aussi, bien). Transférez ainsi, près un GPO s'applique aux deux ordinateurs et utilisateurs (nous n'allons pas parler des pièces de neutralisation etc. de GPO. maintenant).
C'est l'explication « technique » pourquoi des politiques placées dessus
a) l'emplacement applique à TOUS LES utilisateurs et ordinateurs dans l'emplacement (l'emplacement d'utilisateurs suit le lieu d'implantation d'ordinateur, emplacement suit l'IP address)
b) le niveau de domaine applique à TOUS LES utilisateurs et ordinateurs dans le domaine
c) n'importe quel OU donné applique à TOUS LES utilisateurs et ordinateurs dans cela OU (et secondaire-OUs particuliers pour cette matière)
=> parce que le groupe de sécurité « d'utilisateurs authentifiés » est là près défaut. Ceux-ci transfèrent des permissions sur nouveau GPOs sont manipulés par quelque chose appelée « Descripteurs de sécurité », mais plus sur cela dans un autre blog ou article.
So, we have Security permission on all of our GPOs (unfortunately not the GPO links, but that’s another talk) - leaving us with GREAT power to control to whom he particular GPO should be assigned (or ‘applied’). All we need to do is to change the default permissions and <Zaboooka!> we are in complete control.
First step is generally to remove the "Authenticated Users" group from the GPO in question. Click Remove (below Security Filtering section) on the Scope tab and click OK:
Click Add… and select the domain security group you want to "hit" - click OK when done:
And <poof>, this GPO will only apply to members of "The Sales Group" - or whatever group (or user, or computer object…) you selected:
Now all you need to do is to link the GPO to the Domain Level (or Site or OU if that’s better in your case) - but the Domain Level should be fine for most environments.
Now, you could turn this around and Exclude certain groups, users or computers - by setting Deny:"Apply Group Policy" instead. In some cases that might be the best choice - but as always with "deny" you have to watch out (manly because deny overwrites allow)!
Also note, that Security groups can include both user and computer accounts - we are maybe used to thinking that groups are for users only (in my experience most admins know the "Domain Users" group - but the "Domain Computers" group is not that well known)… But, with this in mind, you could make a group of computers instead of applying a WMI filter for instance (which is generally slower).
You could use other methods for setting permissions than the GPMC (like scripts) - but the GPMC is a wonderful tool for doing this easily - no sweat!
One way of automatically creating Security Groups from members of an OU is described in my article "Configuring Granular Password Settings in Windows Server 2008, Part 2" - these groups are referred to as Shadow Groups (cool, right). In some "filtering situations" that is nice to know…
Wow - that was nice getting it off my shoulders, and now I can refer to this blog entry whenever I get the question again - and so can you of course
.
Popularity: unranked
Popularity: unranked
Written by Jakob H. Heidelberg. Read more great feeds at is source WEBSITE
no comments.
Read more articles on otherSoftware and Group Policy and GPO.
- [+] Digg: Feature this article
- [+] Del.icio.us: Bookmark this article
- [+] Furl: Bookmark this article
