Filterung von Gruppenrichtlinienobjekten nach Sicherheitsgruppen

Die Organisationseinheitsstruktur (OU) einer Active Directory-Domäne ist von entscheidender Bedeutung. Es ist eine empfindliche Balance zwischen zentralem Full-Service-Management, Flexibilität und einem einfachen, intuitiven Layout. Es gibt jedoch einige Einstellungen, die möglicherweise global auf Benutzer oder Computerkonten angewendet werden müssen, die in verschiedenen Organisationseinheiten vorhanden sind.

Mit ein wenig Arbeit im Voraus können Administratoren Gruppenrichtlinienobjekte (Group Policy Objects, GPOs) für eine Organisationseinheit oder die gesamte Domäne erstellen, diese jedoch nur auf Benutzer oder Computer anwenden, die Mitglieder einer Sicherheitsgruppe sind. Dies kann insbesondere für Computer- und Benutzerkonten hilfreich sein, für die Konfigurationsanforderungen gelten, die nicht an der OU-Struktur ausgerichtet sind. Der Vorgang ist für einen Computer oder ein Benutzerkonto der gleiche, dies ist jedoch ein guter erster Schritt, um die Filterung für jeden Typ zu trennen.

In meinem persönlichen Labor befinden sich oben in der Domäne zwei Gruppenrichtlinienobjekte, die für alle Objekte in der Domäne ausgeführt werden, jedoch durch Computer- und Benutzerkonten getrennt sind. Abbildung A zeigt diese beiden Gruppenrichtlinienobjekte im Stammverzeichnis der Domäne. Abbildung A.

Es gibt eine Reihe von Best Practices, die Sie anwenden können und die keine Gruppenrichtlinienobjekte der obersten Ebene beinhalten. Für den Umfang des Filterbeispiels wird jedoch die oberste Domäne verwendet. Die einfachste bewährte Methode wäre, alle Benutzer in einer Organisationseinheit der obersten Ebene und alle Computerkonten in einer anderen Organisationseinheit der obersten Ebene zu platzieren. dann würden sich die Gruppenrichtlinienobjekte für jeden Typ in der jeweiligen Organisationseinheit befinden.

Das Beispiel zeigt auch einen selbstdokumentierenden Objektnamen. Im obigen Beispiel heißen die Gruppenrichtlinienobjekte Filter-GPO-ComputerAccounts und Filter-GPO-UserAccounts. Dies bedeutet, dass es sich um gefilterte Gruppenrichtlinienobjekte handelt, und die Gruppen, auf die die Filter angewendet werden, sind die Gruppen GPO-ComputerAccounts und GPO-UserAccounts - wiederum selbstdokumentierend. Siehe die entsprechenden Sicherheitsgruppen in Abbildung B. Abbildung B.

Klicken Sie auf das Bild, um es zu vergrößern.

Die Gruppe GPO-ComputerAccounts ist eine Sicherheitsgruppe mit zwei Computerkonten. Computerkonten können wie Benutzerkonten Mitglieder einer Sicherheitsgruppe sein.

Wenn die Organisationseinheit und die Sicherheitsgruppe definiert sind, können Sie die Filter so konfigurieren, dass ein Gruppenrichtlinienobjekt nur auf Mitglieder der Gruppe angewendet wird. Der erste Schritt besteht darin, das Standard-Sicherheitselement Authentifizierte Benutzer (Lesen) für das Gruppenrichtlinienobjekt zu entfernen. Das zu entfernende Element ist in Abbildung C dargestellt . Abbildung C.

Klicken Sie auf das Bild, um es zu vergrößern.
Sobald die Standardberechtigung zum Lesen und Anwenden von authentifizierten Benutzern entfernt wurde, wird die Sicherheitsgruppe zur Registerkarte "Sicherheit" des Gruppenrichtlinienobjekts hinzugefügt und die Berechtigungen zum Lesen und Anwenden werden angewendet. Abbildung D zeigt, wie dies für die Gruppe GPO-ComputerAccounts für das Gruppenrichtlinienobjekt Filter-GPO-ComputerAccounts konfiguriert wird. Abbildung D.

Klicken Sie auf das Bild, um es zu vergrößern.

Beachten Sie die unten hervorgehobene Schaltfläche Erweitert. Wenn die Sicherheit nach dem Erstellen des Gruppenrichtlinienobjekts konfiguriert wird, enthält die Schaltfläche Erweitert den Bereich, in dem die Berechtigung zum Anwenden von Gruppenrichtlinienberechtigungen hinzugefügt werden kann. Zu diesem Zeitpunkt kann das Gruppenrichtlinienobjekt an die Sicherheitsgruppen ausgegeben werden.

Wie verwenden Sie die Gruppenrichtlinienobjektfilterung? Ich kann mir eine Reihe von Möglichkeiten vorstellen, wie es nützlich sein kann, obwohl es auch riskant ist, wenn es überbeansprucht wird. Teile deine Strategien in den Foren.

© Copyright 2020 | mobilegn.com