Sua mais melhor fonte da informação e da notícia aproximadamente ferragem, janelas Vista e ferragem no Internet

ARTIGOS de Vista ALTO 50 Vista VIDEOS Vista MACIO AJUDA de Vista

Sim naturalmente você pode atribuir políticas do grupo aos grupos da segurança!


Eu tenho que blog esta direita - afastado - ele serei a parte de um “GP maior que processa” o artigo em algum ponto though… Mas este é o material importante do IMHO que necessidades sair lá rapidamente :)

 

Eu ouvi a seguinte sentença vezes demais (no one-way ou no outro): “Você pode somente atribuir objetos da política do grupo ao local, ao nível do domínio ou aos OU”…

- mas aquele é somente em parte verdadeiro! Normalmente nos newsgroup, nos forums etc. isto sae dos leitores (por exemplo. alguém que fizeram uma pergunta do GP ou o que quer que) com a impressão que você não pode “bateu” membros de um certo Grupo da segurança somente (que o deixa com Do “filtrar local/Domain/OU” e/ou De “filtrar WMI” como único possível escolhas disponíveis). Mas isso não é simplesmente justo à política surpreendente do grupo que processa o motor!

Mesmo que “WMI que filtra” seja consideravelmente well-known estes dias (depois que WS2003 chegou), muitos povos tendem a esquecer-se do pouco - mas extremamente eficaz e flexível - coisa chamada Da “filtrar segurança” (mesmo que é um tanto mais “básico” comparado a WMI)…

 

Vamos falar sobre ele para um minuto ou dois se você for interessado…

 

Você pode ajustar este tipo de filtrar dentro do console da gerência da política do grupo (GPMC) no um ou outro a aba do espaço:

imagem

- ou a aba do Delegation (um bocado mais avançado):

imagem

Como você pode ver, perto DEFEITO todos os objetos da política do grupo (GPO) incluem “Usuários Authenticated” com ambos Reserve: “Leia” e Reserve: “Aplique a política do grupo” permissões ajustadas. Ambas estas permissões são needed para usuários e computadores para fazer exame (ou processo) em um GPO dado:

imagem

A coisa sobre “o grupo muito importante dos usuários Authenticated” é que inclui TODOS OS clientes do usuário E do computador/objetos dentro do domínio do ANÚNCIO (Controladores do domínio demasiado, para a direita). Opte assim, perto por um GPO aplica-se a ambos os computadores e usuários (nós não estamos indo falar sobre incapacitar as peças etc. de GPO. agora).

Aquela é a explanação “técnica” porque as políticas colocadas sobre
a) o local aplica-se a TODOS OS usuários e computadores dentro do local (o local dos usuários segue o local de computador, local segue o IP address)
b) o nível do domínio aplica-se a TODOS OS usuários e computadores dentro do domínio
c) todo o OU dado aplica-se a TODOS OS usuários e computadores dentro daquele OU (e secundário-OUs particulares para essa matéria)
=> porque “o grupo da segurança dos usuários Authenticated” está lá perto defeito. Estes optam por permissões em GPOs novo são segurados por algo chamado Da “Descriptors segurança”, mas mais nisso em algum outro blog ou artigo.

So, we have Security permission on all of our GPOs (unfortunately not the GPO links, but that’s another talk) - leaving us with GREAT power to control to whom he particular GPO should be assigned (or ‘applied’). All we need to do is to change the default permissions and <Zaboooka!> we are in complete control.

First step is generally to remove the "Authenticated Users" group from the GPO in question. Click Remove (below Security Filtering section) on the Scope tab and click OK:

image 

Click Add… and select the domain security group you want to "hit" - click OK when done:

image

And <poof>, this GPO will only apply to members of "The Sales Group" - or whatever group (or user, or computer object…) you selected:

image

Now all you need to do is to link the GPO to the Domain Level (or Site or OU if that’s better in your case) - but the Domain Level should be fine for most environments.

Now, you could turn this around and Exclude certain groups, users or computers - by setting Deny:"Apply Group Policy" instead. In some cases that might be the best choice - but as always with "deny" you have to watch out (manly because deny overwrites allow)!

Also note, that Security groups can include both user and computer accounts - we are maybe used to thinking that groups are for users only (in my experience most admins know the "Domain Users" group - but the "Domain Computers" group is not that well known)… But, with this in mind, you could make a group of computers instead of applying a WMI filter for instance (which is generally slower).

You could use other methods for setting permissions than the GPMC (like scripts) - but the GPMC is a wonderful tool for doing this easily - no sweat!

One way of automatically creating Security Groups from members of an OU is described in my article "Configuring Granular Password Settings in Windows Server 2008, Part 2" - these groups are referred to as Shadow Groups (cool, right). In some "filtering situations" that is nice to know…

 

Wow - that was nice getting it off my shoulders, and now I can refer to this blog entry whenever I get the question again - and so can you of course :-)

.

Popularity: unranked

Popularity: unranked


Written by Jakob H. Heidelberg. Read more great feeds at is source WEBSITE
no comments.
Read more articles on otherSoftware and Group Policy and GPO.

Related articles

No comments

There are still no comments on this article.

Leave your comment...

If you want to leave your comment on this article, simply fill out the next form:




You can use these XHTML tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <code> <em> <i> <strike> <strong> .