Фильтрация объектов групповой политики по группам безопасности
Структура организационной единицы (Organizational Unit, OU) в домене Active Directory имеет критически важное значение. Она должна обеспечивать полноценное централизованное управление, быть гибкой и в то же время простой. Тем не менее, бывают ситуации, в которых требуется применение глобальных настроек для пользователей или компьютеров, принадлежащих к разным организационным единицам.
Существует возможность создать объект групповой политики (Group Policy Object, GPO) для организационной единицы или всего домена и применить его только к отдельным пользователям или компьютерам, входящим в конкретную группу безопасности. Это особенно актуально в тех случаях, когда требования конфигурации отдельных учетных записей не согласуются со структурой организационной единицы. Принцип действия одинаков как для компьютеров, так и для пользователей, но для начала стоит отфильтровать их по типам.
В моем примере на верхнем уровне домена расположены два объекта групповой политики, которые применяются ко всем объектам домена, но раздельно для пользователей и компьютеров. На рис. A показаны эти два GPO в корне домена.
Рисунок A
Можно обойтись и без GPO верхнего уровня, но для удобства в моем примере будет использован именно такой подход. Самым простым из наиболее оптимальных вариантов будет расположить всех пользователей на верхнем уровне одной организационной единицы, а все компьютеры — на верхнем уровне другой. Тогда объекты групповой политики для каждого типа учетных записей будут размещаться в соответствующей организационной единице.
В моем примере объекты названы в соответствии с принципами самодокументирования: «Filter-GPO-ComputerAccounts» и «Filter-GPO-UserAccounts». Имена указывают на то, что данные объекты групповой политики отфильтрованы по группам «GPO-ComputerAccounts» и «GPO-UserAccounts», которые тоже нося говорящие названия. Обе группы безопасности показаны на рис. B.
Рисунок B. Нажмите на изображении для увеличения.
В группу безопасности «GPO-ComputerAccounts» входят две учетные записи компьютеров. Компьютеры, как и пользователи, могут входить в группы безопасности.
Определив организационные единицы и группы безопасности, можно настроить фильтры таким образом, чтобы объекты групповой политики применялись только к определенным членам группы. Для начала нужно удалить из GPO стандартный элемент «Авторизованные пользователи» (Authenticated Users) с правами чтения. Этот элемент выделен на рис. C красным.
Рисунок C. Нажмите на изображении для увеличения.
После этого нужно добавить группу безопасности на вкладке «Безопасность» (Security) объекта групповой политики и разрешить ей чтение и применение групповой политики. На рис. B показаны настройки для группы «GPO-ComputerAccounts» и объекта «Filter-GPO-ComputerAccounts».
Рисунок D. Нажмите на изображении для увеличения.
Обратите внимание на выделенную кнопку «Дополнительно» (Advanced) внизу окна. Если параметры безопасности конфигурируются после создания GPO, с ее помощью можно вызвать окно, в котором настраивается разрешение применять групповую политику. После этого GPO можно применять к группам безопасности.
А вы как используете фильтрование объектов групповой политики? Я могу предложить сразу несколько полезных вариантов применения, хотя злоупотреблять этой возможностью рискованно. Поделитесь своим опытом в комментариях!
