главная    •    Новости    •    софт    •    RSS-ленты    •    реклама    •    PDA-Версия    •    Контакты
Windows XP     •    Windows 7    •    Windows 8    •    Windows 10   •    Windows Server     •    Железо
Полезные советы      •     Администрирование      •     Сеть      •     Безопасность      •     статьи
Реклама на сайте
Книга жалоб и предложений
Правила на сайте
О Winblog.ru и о копирайте
Написать в редакцию
Конфиденциальность
                       
  • Настольные Windows-программы будут работать на смартфонах
  • Windows 10 Insider Preview: вышла сборка 14986
  • Windows 10 Creators Update сделают безопаснее для организаций
  • В Windows 10 будет поддержка шрифта Брайля
  • Структура организационной единицы (Organizational Unit, OU) в домене Active Directory имеет критически важное значение. Она должна обеспечивать полноценное централизованное управление, быть гибкой и в то же время простой. Тем не менее, бывают ситуации, в которых требуется применение глобальных настроек для пользователей или компьютеров, принадлежащих к разным организационным единицам.

    Существует возможность создать объект групповой политики (Group Policy Object, GPO) для организационной единицы или всего домена и применить его только к отдельным пользователям или компьютерам, входящим в конкретную группу безопасности. Это особенно актуально в тех случаях, когда требования конфигурации отдельных учетных записей не согласуются со структурой организационной единицы. Принцип действия одинаков как для компьютеров, так и для пользователей, но для начала стоит отфильтровать их по типам.

    В моем примере на верхнем уровне домена расположены два объекта групповой политики, которые применяются ко всем объектам домена, но раздельно для пользователей и компьютеров. На рис. A показаны эти два GPO в корне домена.

    Фильтрация объектов групповой политики по группам безопасности
    Рисунок A


    Можно обойтись и без GPO верхнего уровня, но для удобства в моем примере будет использован именно такой подход. Самым простым из наиболее оптимальных вариантов будет расположить всех пользователей на верхнем уровне одной организационной единицы, а все компьютеры — на верхнем уровне другой. Тогда объекты групповой политики для каждого типа учетных записей будут размещаться в соответствующей организационной единице.

    В моем примере объекты названы в соответствии с принципами самодокументирования: «Filter-GPO-ComputerAccounts» и «Filter-GPO-UserAccounts». Имена указывают на то, что данные объекты групповой политики отфильтрованы по группам «GPO-ComputerAccounts» и «GPO-UserAccounts», которые тоже нося говорящие названия. Обе группы безопасности показаны на рис. B.

    Фильтрация объектов групповой политики по группам безопасности
    Рисунок B. Нажмите на изображении для увеличения.


    В группу безопасности «GPO-ComputerAccounts» входят две учетные записи компьютеров. Компьютеры, как и пользователи, могут входить в группы безопасности.

    Определив организационные единицы и группы безопасности, можно настроить фильтры таким образом, чтобы объекты групповой политики применялись только к определенным членам группы. Для начала нужно удалить из GPO стандартный элемент «Авторизованные пользователи» (Authenticated Users) с правами чтения. Этот элемент выделен на рис. C красным.

    Фильтрация объектов групповой политики по группам безопасности
    Рисунок C. Нажмите на изображении для увеличения.


    После этого нужно добавить группу безопасности на вкладке «Безопасность» (Security) объекта групповой политики и разрешить ей чтение и применение групповой политики. На рис. B показаны настройки для группы «GPO-ComputerAccounts» и объекта «Filter-GPO-ComputerAccounts».

    Фильтрация объектов групповой политики по группам безопасности
    Рисунок D. Нажмите на изображении для увеличения.


    Обратите внимание на выделенную кнопку «Дополнительно» (Advanced) внизу окна. Если параметры безопасности конфигурируются после создания GPO, с ее помощью можно вызвать окно, в котором настраивается разрешение применять групповую политику. После этого GPO можно применять к группам безопасности.

    А вы как используете фильтрование объектов групповой политики? Я могу предложить сразу несколько полезных вариантов применения, хотя злоупотреблять этой возможностью рискованно. Поделитесь своим опытом в комментариях!

    Автор: Rick Vanover
    Перевод SVET


    Оцените статью:
    Голосов 2

    Материалы по теме:
  • Отключение контроля учетных записей в Windows Server с помощью групповой политики
  • Настройка выполнения сценариев PowerShell с помощью групповой политики
  • Изменение имени пользователя и пароля на локальном компьютере при помощи групповой политики
  • Отключение съемных носителей с помощью групповой политики Windows Server 2008
  • Быстрое резервное копирование объектов групповой политики.


    • bowtiesmilelaughingblushsmileyrelaxedsmirk
      heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
      winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
      worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
      expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
      disappointedconfoundedfearfulcold_sweatperseverecrysob
      joyastonishedscreamtired_faceangryragetriumph
      sleepyyummasksunglassesdizzy_faceimpsmiling_imp
      neutral_faceno_mouthinnocent

    Для отправки комментария, обязательно ответьте на вопрос

    Вопрос:
    Сколько будет шесть минус один?
    Ответ:*




    ВЕРСИЯ ДЛЯ PDA      СДЕЛАТЬ СТАРТОВОЙ    НАПИШИТЕ НАМ    РЕКЛАМА

    Copyright © 2006-2016 Winblog.ru All rights reserved.
    Права на статьи принадлежат их авторам. Копирование и использование материалов разрешается только в случае указания явной гиперссылки на веб-сайт winblog.ru, как на источник получения информации.
    Сайт для посетителей возрастом 18+