Uw beste bron van informatie en nieuws ongeveer BIOS, hardware en bestuurders op Internet

De ARTIKELEN van het uitzicht BOVENKANT 50 De VIDEO'S van het uitzicht SOFT van het uitzicht De HULP van het uitzicht

Ja natuurlijk kunt u het Beleid van de Groep aan de Groepen van de Veiligheid toewijzen!


Ik moet blog dit rechtsweg - het zal deel van een artikel groter van de „GP Verwerking“ op wat punt niettemin… uitmaken Maar dit is belangrijk materiaal IMHO dat moet weggaan daar snel :)

 

Ik heb de volgende zin teveel tijden (in unidirectioneel of andere) gehoord: „U kunt de Voorwerpen van het Beleid van de Groep aan Plaats, het Niveau van het Domein of OU“ slechts toewijzen…

- maar dat is slechts gedeeltelijk waar! Normaal in nieuwsgroepen, forums enz. dit verlaat de lezers (b.v. iemand wie een GP vraag stelde of wat) met de indruk dat u leden van bepaald „niet kunt raken“ De Groep van de veiligheid slechts (wat u met verlaat „Plaats/Domain/OU die“ filtreren en/of „WMI die“ filtreert als enige mogelijke beschikbare keuzen). Maar dat is eenvoudig niet eerlijk aan de verbazende de verwerkingsmotor van het Beleid van de Groep!

Alhoewel „WMI die“ deze dagen (na WS2003 aan kwam) filtreert vrij bekend is, neigen vele mensen om het kleine - maar uiterst efficiënt en flexibel - geroepen ding te vergeten „Veiligheid die“ filtreert (alhoewel het enigszins meer „Basis“ in vergelijking met WMI) is…

 

Spreek over het voor een minuut of twee als u… interessant bent

 

U kunt dit soort plaatsen het filtreren van binnen de Console van het Beheer van het Beleid van de Groep (GPMC) op één van beide het lusje van het Werkingsgebied:

beeld

- of het lusje van de Delegatie (een Geavanceerder beetje):

beeld

Aangezien u kunt zien, langs GEBREK alle Voorwerpen van het Beleid van de Groep (GPO) omvatten „Voor authentiek verklaarde Gebruikers“ met allebei Sta toe: „Lezen“ en Sta toe: „Pas het Beleid van de Groep toe“ geplaatste toestemmingen. Beide toestemmingen zijn nodig voor gebruikers en computers om (of proces) een bepaalde GPO over te nemen:

beeld

Het ding over de zeer groep belangrijke van „Voor authentiek verklaarde Gebruikers“ is dat het omvat AL Gebruiker EN de Computer geven/voorwerpen binnen het domein van de ADVERTENTIE rekenschap (De Controlemechanismen van het Domein ook, net). Zo, door gebrek is een GPO op zowel computers als gebruikers van toepassing (wij gaan niet over onbruikbaar makende GPO delen enz. spreken. nu).

Dat is de „technische“ verklaring waarom het beleid op plaatste
a) de plaats is op ALLE gebruikers en computers van toepassing binnen de Plaats (de gebruikersplaats volgt computerplaats, volgt de plaats IP adres)
b) het niveau van het Domein is op ALLE gebruikers en computers van toepassing binnen het Domein
c) om het even welke bepaalde OU is op ALLE gebruikers en computers van toepassing binnen dat bepaalde OU (en sub-OUs voor die kwestie)
=> omdat de veiligheidsgroep de van „Voor authentiek verklaarde Gebruikers“ daar door gebrek is. Deze standaardtoestemmingen op nieuwe GPOs worden behandeld door geroepen iets De „beschrijvers van de veiligheid“, maar meer op dat in wat andere blog of artikel.

So, we have Security permission on all of our GPOs (unfortunately not the GPO links, but that’s another talk) - leaving us with GREAT power to control to whom he particular GPO should be assigned (or ‘applied’). All we need to do is to change the default permissions and <Zaboooka!> we are in complete control.

First step is generally to remove the "Authenticated Users" group from the GPO in question. Click Remove (below Security Filtering section) on the Scope tab and click OK:

image 

Click Add… and select the domain security group you want to "hit" - click OK when done:

image

And <poof>, this GPO will only apply to members of "The Sales Group" - or whatever group (or user, or computer object…) you selected:

image

Now all you need to do is to link the GPO to the Domain Level (or Site or OU if that’s better in your case) - but the Domain Level should be fine for most environments.

Now, you could turn this around and Exclude certain groups, users or computers - by setting Deny:"Apply Group Policy" instead. In some cases that might be the best choice - but as always with "deny" you have to watch out (manly because deny overwrites allow)!

Also note, that Security groups can include both user and computer accounts - we are maybe used to thinking that groups are for users only (in my experience most admins know the "Domain Users" group - but the "Domain Computers" group is not that well known)… But, with this in mind, you could make a group of computers instead of applying a WMI filter for instance (which is generally slower).

You could use other methods for setting permissions than the GPMC (like scripts) - but the GPMC is a wonderful tool for doing this easily - no sweat!

One way of automatically creating Security Groups from members of an OU is described in my article "Configuring Granular Password Settings in Windows Server 2008, Part 2" - these groups are referred to as Shadow Groups (cool, right). In some "filtering situations" that is nice to know…

 

Wow - that was nice getting it off my shoulders, and now I can refer to this blog entry whenever I get the question again - and so can you of course :-)

.

Popularity: 6%


Written by Jakob H. Heidelberg. Read more great feeds at is source WEBSITE
no comments.
Read more articles on otherSoftware and Group Policy and GPO.

Related articles

No comments

There are still no comments on this article.

Leave your comment...

If you want to leave your comment on this article, simply fill out the next form:




You can use these XHTML tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <code> <em> <i> <strike> <strong> .