การกรองวัตถุนโยบายกลุ่มโดยกลุ่มความปลอดภัย

โครงสร้างหน่วยองค์กร (OU) ของโดเมน Active Directory มีความสำคัญอย่างยิ่ง มันเป็นความสมดุลที่ละเอียดอ่อนระหว่างการจัดการศูนย์กลางบริการเต็มรูปแบบความยืดหยุ่นและรูปแบบที่เรียบง่ายและใช้งานง่าย และยังมีการตั้งค่าบางอย่างที่อาจต้องนำไปใช้กับผู้ใช้หรือบัญชีคอมพิวเตอร์ที่มีอยู่ใน OU ที่แตกต่างกันจำนวนมาก

ด้วยการทำงานเพียงเล็กน้อยผู้ดูแลระบบสามารถสร้าง Group Policy Objects (GPOs) สำหรับ OU หรือโดเมนทั้งหมด แต่ใช้กับผู้ใช้หรือคอมพิวเตอร์ที่เป็นสมาชิกของกลุ่มความปลอดภัยเท่านั้น สิ่งนี้มีประโยชน์อย่างยิ่งสำหรับบัญชีคอมพิวเตอร์และผู้ใช้ที่มีข้อกำหนดการกำหนดค่าที่ไม่สอดคล้องกับโครงสร้าง OU กระบวนการนี้เหมือนกันสำหรับคอมพิวเตอร์หรือบัญชีผู้ใช้ แต่นี่เป็นขั้นตอนแรกที่ดีในการแยกการกรองสำหรับแต่ละประเภท

ในห้องแล็บส่วนตัวของฉันฉันมี GPO สองตัวที่ด้านบนของโดเมนที่จะดำเนินการกับวัตถุทั้งหมดในโดเมน แต่คั่นด้วยคอมพิวเตอร์และบัญชีผู้ใช้ รูปที่ A แสดง GPO สองตัวนี้ที่รูทของโดเมน รูปที่

มีแนวปฏิบัติที่ดีที่สุดหลายประการที่คุณสามารถนำไปใช้ได้ซึ่งจะไม่เกี่ยวข้องกับ GPO ระดับบนสุด แต่สำหรับขอบเขตของตัวอย่างการกรองจะใช้โดเมนบนสุด แนวปฏิบัติที่ดีที่สุดที่ง่ายที่สุดคือการวางผู้ใช้ทั้งหมดไว้ใน OU ระดับบนสุดหนึ่งบัญชีและบัญชีคอมพิวเตอร์ทั้งหมดในอีกระดับบน OU; จากนั้น GPO สำหรับแต่ละประเภทจะอยู่ใน OU นั้น ๆ

ตัวอย่างนี้ยังแสดงชื่อวัตถุเอกสารด้วยตนเอง ในตัวอย่างด้านบน GPOs นั้นมีชื่อว่า Filter-GPO-ComputerAccounts และ Filter-GPO-UserAccounts นี่แสดงว่าพวกเขาถูกกรอง GPOs และกลุ่มที่มีการใช้ตัวกรองคือกลุ่ม GPO-ComputerAccounts และกลุ่ม GPO-UserAccounts - อีกครั้งจัดทำเอกสารด้วยตนเอง ดูกลุ่มความปลอดภัยที่เกี่ยวข้องใน รูป B รูปที่ B

คลิกที่ภาพเพื่อขยาย

กลุ่ม GPO-ComputerAccounts เป็นกลุ่มความปลอดภัยที่มีบัญชีคอมพิวเตอร์สองบัญชีอยู่ในนั้น เช่นเดียวกับบัญชีผู้ใช้บัญชีคอมพิวเตอร์สามารถเป็นสมาชิกของกลุ่มความปลอดภัยได้

ด้วย OU และกลุ่มความปลอดภัยที่กำหนดคุณสามารถกำหนดค่าตัวกรองเพื่อใช้ GPO กับสมาชิกของกลุ่มเท่านั้น ขั้นตอนแรกคือการลบรายการความปลอดภัยที่รับรองความถูกต้องผู้ใช้เริ่มต้น (อ่าน) สำหรับ GPO รายการที่จะลบจะแสดงใน รูปที่ C รูปที่ C

คลิกที่ภาพเพื่อขยาย
เมื่อสิทธิ์การอ่านและการใช้งานเริ่มต้นจากผู้ใช้ที่ได้รับการรับรองความถูกต้องถูกลบออกกลุ่มความปลอดภัยจะถูกเพิ่มไปยังแท็บความปลอดภัยของ GPO และจะมีการใช้การอนุญาตและการอ่านและการใช้งาน รูปที่ D แสดงการกำหนดค่านี้สำหรับกลุ่ม GPO-ComputerAccounts สำหรับ Filter-GPO-ComputerAccounts GPO รูป D

คลิกที่ภาพเพื่อขยาย

หมายเหตุปุ่มขั้นสูงที่ไฮไลต์ที่ด้านล่าง หากมีการกำหนดค่าความปลอดภัยหลังจากสร้าง GPO ปุ่มขั้นสูงจะมีพื้นที่สำหรับเพิ่มเอนทิตีสิทธิ์ของนโยบายกลุ่มที่ใช้ ณ จุดนั้น GPO พร้อมที่จะออกให้กับกลุ่มความปลอดภัย

คุณใช้ตัวกรอง GPO ได้อย่างไร ฉันสามารถคิดหลายวิธีที่จะเป็นประโยชน์แม้ว่ามันจะมีความเสี่ยงหากใช้มากเกินไป แบ่งปันกลยุทธ์ของคุณในฟอรัม

© Copyright 2020 | mobilegn.com