главная    •     Новости      •     софт      •     RSS-ленты     •     реклама      •     PDA-Версия      •    Контакты
Windows XP    •      Windows 7     •    Windows 8    •    Windows 9-10-11     •    Windows Server     •    Железо
Советы      •     Администрирование      •     Сеть      •     Безопасность      •     Статьи      •     Материалы
Реклама на сайте
Книга жалоб и предложений
Правила на сайте
О Winblog.ru и о копирайте
Написать в редакцию
Конфиденциальность
                       
  • Microsoft Edge - еще более безопасный!
  • ActiveCloud - надежный провайдер облачных услуг для вашей компании
  • ANYSERVER - ваш поставщик б/у серверов из Европы
  • Настройка контекстной рекламы в Yandex и Google: Эффективный путь к росту вашего бизнеса
  • Коммутаторы с функцией PoE: Обеспечение эффективной передачи данных и питания
  • Очередное обновление сломало выключатель компьютеров на Windows 11
  • Структура организационной единицы (Organizational Unit, OU) в домене Active Directory имеет критически важное значение. Она должна обеспечивать полноценное централизованное управление, быть гибкой и в то же время простой. Тем не менее, бывают ситуации, в которых требуется применение глобальных настроек для пользователей или компьютеров, принадлежащих к разным организационным единицам.

    Существует возможность создать объект групповой политики (Group Policy Object, GPO) для организационной единицы или всего домена и применить его только к отдельным пользователям или компьютерам, входящим в конкретную группу безопасности. Это особенно актуально в тех случаях, когда требования конфигурации отдельных учетных записей не согласуются со структурой организационной единицы. Принцип действия одинаков как для компьютеров, так и для пользователей, но для начала стоит отфильтровать их по типам.

    В моем примере на верхнем уровне домена расположены два объекта групповой политики, которые применяются ко всем объектам домена, но раздельно для пользователей и компьютеров. На рис. A показаны эти два GPO в корне домена.

    Фильтрация объектов групповой политики по группам безопасности
    Рисунок A


    Можно обойтись и без GPO верхнего уровня, но для удобства в моем примере будет использован именно такой подход. Самым простым из наиболее оптимальных вариантов будет расположить всех пользователей на верхнем уровне одной организационной единицы, а все компьютеры — на верхнем уровне другой. Тогда объекты групповой политики для каждого типа учетных записей будут размещаться в соответствующей организационной единице.

    В моем примере объекты названы в соответствии с принципами самодокументирования: «Filter-GPO-ComputerAccounts» и «Filter-GPO-UserAccounts». Имена указывают на то, что данные объекты групповой политики отфильтрованы по группам «GPO-ComputerAccounts» и «GPO-UserAccounts», которые тоже нося говорящие названия. Обе группы безопасности показаны на рис. B.

    Фильтрация объектов групповой политики по группам безопасности
    Рисунок B. Нажмите на изображении для увеличения.


    В группу безопасности «GPO-ComputerAccounts» входят две учетные записи компьютеров. Компьютеры, как и пользователи, могут входить в группы безопасности.

    Определив организационные единицы и группы безопасности, можно настроить фильтры таким образом, чтобы объекты групповой политики применялись только к определенным членам группы. Для начала нужно удалить из GPO стандартный элемент «Авторизованные пользователи» (Authenticated Users) с правами чтения. Этот элемент выделен на рис. C красным.

    Фильтрация объектов групповой политики по группам безопасности
    Рисунок C. Нажмите на изображении для увеличения.


    После этого нужно добавить группу безопасности на вкладке «Безопасность» (Security) объекта групповой политики и разрешить ей чтение и применение групповой политики. На рис. B показаны настройки для группы «GPO-ComputerAccounts» и объекта «Filter-GPO-ComputerAccounts».

    Фильтрация объектов групповой политики по группам безопасности
    Рисунок D. Нажмите на изображении для увеличения.


    Обратите внимание на выделенную кнопку «Дополнительно» (Advanced) внизу окна. Если параметры безопасности конфигурируются после создания GPO, с ее помощью можно вызвать окно, в котором настраивается разрешение применять групповую политику. После этого GPO можно применять к группам безопасности.

    А вы как используете фильтрование объектов групповой политики? Я могу предложить сразу несколько полезных вариантов применения, хотя злоупотреблять этой возможностью рискованно. Поделитесь своим опытом в комментариях!

    Автор: Rick Vanover
    Перевод SVET


    Оцените статью: Голосов

    Материалы по теме:
  • Изменение имени пользователя и пароля на локальном компьютере при помощи групповой политики
  • Как обеспечить обмен данными Windows Vista и Windows Server 2008 с системами, на которых установлена старая версия Samba
  • Перемещение объектов из Active Directory при помощи команды dsmove
  • Создание ярлыка для быстрого редактирования объекта групповой политики
  • Сценарии для управления членством в группах



  • Для отправки комментария, обязательно ответьте на вопрос

    Вопрос:
    Сколько будет десять плюс три?
    Ответ:*




    ВЕРСИЯ ДЛЯ PDA      СДЕЛАТЬ СТАРТОВОЙ    НАПИШИТЕ НАМ    МАТЕРИАЛЫ    ОТ ПАРТНЁРОВ

    Copyright © 2006-2022 Winblog.ru All rights reserved.
    Права на статьи принадлежат их авторам. Копирование и использование материалов разрешается только в случае указания явной гиперссылки на веб-сайт winblog.ru, как на источник получения информации.
    Сайт для посетителей возрастом 18+