Grup İlkesi Güvenlik grubuna göre nesne filtreleme

Active Directory etki alanının Kuruluş Birimi (OU) yapısı kritik öneme sahiptir; tam hizmet merkezi yönetimi, esneklik ve basit, sezgisel bir düzen arasında hassas bir dengedir. Yine de, birkaç farklı OU'da bulunan kullanıcılara veya bilgisayar hesaplarına küresel olarak uygulanması gereken bazı ayarlar vardır.

Küçük bir çalışma ile, yöneticiler bir OU veya tüm etki alanı için Grup İlkesi Nesneleri (GPO) oluşturabilir, ancak bunu yalnızca bir güvenlik grubunun üyesi olan kullanıcılara veya bilgisayarlara uygulayabilir. Bu, özellikle OU yapısına uymayan yapılandırma gereksinimleri olan bilgisayar ve kullanıcı hesapları için değerli olabilir. İşlem bir bilgisayar veya kullanıcı hesabı için aynıdır, ancak bu, her tür için filtrelemeyi ayırmak için iyi bir ilk adımdır.

Kişisel laboratuvarımda, etki alanının en üstünde, etki alanındaki tüm nesneler için çalıştırılacak ancak bilgisayar ve kullanıcı hesaplarıyla ayrılmış iki GPO'um var. Şekil A, bu iki GPO'yu alan adının kökünde göstermektedir. Şekil A

Uygulayabileceğiniz en üst düzey GPO'ları içermeyen en iyi uygulamalar vardır, ancak filtreleme örneğinin kapsamı için alanın üstü kullanılır. En basit uygulama, tüm kullanıcıları bir üst düzey OU'ya ve tüm bilgisayar hesaplarını başka bir üst düzey OU'ya yerleştirmek olacaktır; her bir türün GPO'ları ilgili OU'da bulunur.

Örnek ayrıca kendi kendini belgeleyen bir nesne adını gösterir. Yukarıdaki örnekte, GPO'lar Filter-GPO-ComputerAccounts ve Filter-GPO-UserAccounts olarak adlandırılmıştır; bu, filtrelenmiş GPO'lar olduklarını ve filtrelerin uygulandığı grupların GPO-ComputerAccounts ve GPO-UserAccounts gruplarıdır - yine kendi kendini belgeleme. Şekil B'deki ilgili güvenlik gruplarına bakın. Şekil B

Büyütmek için resme tıklayın.

GPO-ComputerAccounts grubu, içinde iki bilgisayar hesabı bulunan bir güvenlik grubudur. Kullanıcı hesapları gibi, bilgisayar hesapları da bir güvenlik grubunun üyesi olabilir.

OU ve güvenlik grubu tanımlandığında, filtreleri yalnızca grubun üyelerine GPO uygulayacak şekilde yapılandırabilirsiniz. İlk adım, GPO için varsayılan Kimliği Doğrulanmış Kullanıcılar (okuma) güvenlik öğesini kaldırmaktır. Kaldırılacak öğe Şekil C'de gösterilmektedir. Şekil C

Büyütmek için resme tıklayın.
Kimliği Doğrulanmış Kullanıcılardan varsayılan okuma ve uygulama izni kaldırıldığında, güvenlik grubu GPO'nun güvenlik sekmesine eklenir ve okuma ve uygulama izinleri uygulanır. Şekil D, Filter-GPO-ComputerAccounts GPO'sunun GPO-ComputerAccounts grubu için yapılandırıldığını gösterir. Şekil D

Büyütmek için resme tıklayın.

Altta vurgulanan Gelişmiş düğmesine dikkat edin; GPO oluşturulduktan sonra güvenlik yapılandırılırsa, Gelişmiş düğmesi grup ilkesi uygulama izni varlığını ekleyeceğiniz alanı içerir. Bu noktada, GPO güvenlik gruplarına verilmeye hazırdır.

GPO filtrelemeyi nasıl kullanıyorsunuz? Aşırı kullanıldığında da riskli olmasına rağmen, yararlı olabileceği birkaç yolu düşünebilirim. Stratejilerinizi forumlarda paylaşın.

© Copyright 2020 | mobilegn.com