,,,,, at de vildledende med koncernens politik er dens navn - koncernens politik er ikke en måde at anvende politikker til grupper.i stedet for gruppen politik anvendes til den enkelte brugers regnskabs - og edb - regnskaber ved at forbinde gruppe politik genstande (gpos), som er en samling af politiske indstillinger til active directory beholdere (normalt fire, men også områder og steder), hvor disse bruger og edb - regnskaber er bosat.så det her er spørgsmål om koncernens politik er normalt, "hvordan kan jeg få det gpo gælder for denne gruppe.svaret på dette spørgsmål er: ved at gennemføre, sikkerhed, filtrering,.,, forståelse, sikkerhed, sikkerhed, filtrering, filtrering, er baseret på den kendsgerning, at gpos har adgang til lister (acls), der er forbundet med dem.disse acls indeholder en række esser for forskellige sikkerheds - lederne (brugerkonti, edb - regnskaber, sikkerhedsgrupper og indbygget særlige identitet), og du kan se misligholdelse knæ på en typisk gpo som følger:,,, - koncernens politik forvaltning konsol (gpmc), udvide konsollen træ, indtil du ser gruppen politik objekter knude.vælg en særlig gpo under gruppens politiske objekter node.vælg den delegation regning i højre side (se fig. 1).,,,,,,, figur 1, hvorefter knæ for vancouver gpo med delegationen regning,,, på et mere detaljeret overblik over esser i dette gpo ledbåndet, klik avanceret knap til at vise den velkendte ledbåndet redaktør (figur 2):,,,,,,, se figur 2: de knæ for vancouver gpo ved hjælp af ledbåndet redaktør,,, en tydelig forskel mellem disse to synspunkter er, at avs - redaktør viser anvende koncernens politik tilladelse, mens den delegation, tab ikke. det er fordi delegationen tab kun skærme esser sikkerhedsprincipper, der faktisk proces for posthuset, og som implicit betyder de hovedforpligtede har sikkerhed anvendelse af koncernens politik tilladelse, der tillader det.mere specifikt, hvis du vil have en gpo forarbejdes af en sikkerhed vigtigste i en container, der er knyttet til posthuset, sikkerheden vigtigste kræver mindst følgende tilladelser:,,, at læse, at anvende koncernens politik,,, de faktiske oplysninger om misligholdelse esser i en nyoprettet gpo er temmelig kompliceret, hvis du omfatter avancerede tilladelser, men her er det væsentlige, for så vidt angår sikkerhed er filtrering:,,, sikkerhed vigtigste,,,,,,,, anvende koncernens politik, autentificeres brugere, tillade, at, skaber ejer, tillade (implicit), område admins, tillade, enterprise admins, tillade, enterprise domænecontrollere, tillade, system, tillade, at bemærke, that område admins, virksomhed admins og systemet indbyggede identitet har yderligere tilladelser (skrive, skabe, ikke at lade disse brugere) oprette og forvalte posthuset.men da disse supplerende tilladelser, er ikke relevante for sikkerhed, er filtrering, vi ignorerer dem for nu, er den omstændighed, at bekræftet brugere har både læse og anvende koncernens politik tilladelse betyder, at indstillingerne på posthuset, anvendes på dem, da posthuset er forarbejdet, det vil sige, hvis de er bosat i en container. som posthuset er forbundet.men hvem er bekræftet brugere?medlemskab af denne særlige identitet er sikkerhed hovedforpligtede, der er blevet bekræftet af active directory.med andre ord, autentificeres brugere omfatter alle tilgængelige brugerkonti og edb - regnskab, som er blevet bekræftet af et område registeransvarlige på nettet.så det betyder, at ved misligholdelse indstillinger i en gpo gælder for alle brugere og edb - regnskaber, der er bosat i den beholder, der er knyttet til posthuset., ved hjælp af sikkerhed, filtrering, lad os se på et enkelt scenario, hvor du kan bruge sikkerhed filtrering for at løse et problem i gruppe udformning af politik.figur 3 nedenfor viser en ou struktur, jeg har udviklet i foregående artikel.noterer sig, at du har tre afdelinger i vancouver på det defineret som andet niveau vedrørende edb - regnskaber lagres under med brugerne, og disse afdelinger i tredje niveau fire:,,,,,, figur 3:, stikprøve ou struktur til vancouver kontor,,, lad os sige, at af de 15 brugere, der arbejder i salgs - og marketingafdeling i vancouver, tre af dem er ældre mennesker, der har særlige behov, f.eks. adgang til visse software, som andre folk i afdelingen ikke skulle have adgang til.denne software kan gives til dem ved at offentliggøre det i tilføje eller fjerne programmer ved hjælp af en bruger politik baseret software anlæg gpo.problemet er, at hvis du forbinde dette gpo til salg og markedsføring, så brugerne alle 15 brugere i afdelingen vil have adgang til det ved at tilføje eller fjerne programmer.men du vil kun have denne særlige gruppe af tre brugere for at få adgang til software, hvad laver du?,, du kunne skabe en ou under salg og marketing - og kalder det nye de brugere, den øverste salg og markedsføring brugere ou.så du kan flytte brugerkonti, for de tre ledende medarbejdere til dette nye kontor og skabe jeres software anlæg gpo og forbinde dem med nye kontor.selv om denne tilgang vil arbejde, og det har adskillige ulemper:,,, det er din ou struktur, dybere og mere kompliceret, hvilket gør det sværere at forstå.det spreder brugerkonti i flere beholdere, gøre dem mere vanskeligt at forvalte.,,, en bedre løsning at lade deres eksisterende ou struktur intakt og alle 15 salg og markedsføring brugere i salg og markedsføring brugere, du skaber din software anlæg gpo og knytte den til salg og markedsføring brugere ou (se figur 4), - - og så bruge sikkerhed filtrering man konstruerer knæ på software - anlæg gpo for at sikre, at kun de tre øverste brugere får den politik.,,,,,, figur 4, senior, salg og markedsføring brugere software anlæg gpo,, at filtrere software - anlæg gpo, således at kun brugere bob smith, mary jones, og tom lee modtage det i politik, forarbejdning, lad os først bruge active directory brugere og computere, til at skabe en global gruppe kaldet senior sales og markedsføring af brugere, der kun har disse tre brugere som medlemmer (se figur 5):,,,,,, figur 5: medlemskab af det sidste salg og markedsføring brugere global group,,, konstaterer, at de kan lagres sikkerhed - gruppen, i en container på området for enkelhed, men du vil sikkert opbevarer det i salg og markedsføring brugere gpo siden det var, hvor medlemmerne bor.og nu tilbage til gpmc med software - anlæg gpo udvalgt i venstre side, og om omfanget af regning i højre side, fjerne den særlige identitet autentificeres brugere fra den sikkerhed, filtrering, afsnit og derefter tilsættes senior salg og markedsføring brugere global group (figur 6):,,,,,, figur 6.:, filtrering posthuset, så det er kun rettet mod den øverste salg og markedsføring brugergrupper,,,,,, det er det, vi er færdige.nu, hvor politik er forarbejdet til en brugerkonto, der opholder sig i salg og markedsføring brugere ou, gruppens politiske motor på kunden vil først fastslå, hvilke gpos skal anvendes til brugeren.hvis brugeren er et medlem af den øverste salg og markedsføring brugere sikkerhed - gruppen følgende gpos skal anvendes i følgende rækkefølge (forudsat, at vi ikke har brugt blokering eller håndhævelse overalt):,,, default område politik, vancouver gpo, salg og markedsføring gpo, salg og markedsføring brugere gpo, senior, salg og markedsføring brugere gpo,,, hvis de bruger, er en af de andre tolv (junior) medlemmer af salg og afsætning - afdelingen, så de sidste politiske ovenfor (senior salg og markedsføring brugere gpo) ikke finder anvendelse på dem.med andre ord, offentliggjort software vil kun blive stillet til rådighed for bob, mary og tom som ønsket., styrken af sikkerhed, filtrering, strømmen af sikkerhed, filtrering, er, at det giver os mulighed for at forenkle vores ou struktur, samtidig med at gruppen politik er forarbejdet til designet.for eksempel i min oprindelige ou struktur til vancouver (se figur 3) skabte jeg særskilt ændring for tre afdelinger i det sted, nemlig den afdeling, forvaltning, salg og markedsføring.i toronto, men jeg kunne have taget en anden tilgang og faste alle brugere og computere sammen (figur 7):,,,,,, fig. 7:, toronto har en enklere ou struktur end vancouver,,, så jeg kunne gruppe bruger - og edb - regnskaber i toronto i globale grupper som denne:,, den afdeling, brugere, den afdeling, computere, forvaltning af brugere, forvaltning, computere, salg og markedsføring af brugere, salg og markedsføring computere,,, jeg kunne skabe gpos for hver gruppe af brugere og computere i toronto, forbindelsen mellem disse gpos til passende beholder, og bruge sikkerhed filtrering for at sikre, at de anvendes kun til den ønskede sikkerhed den hovedforpligtede (figur 8):,,,,,, fig. 8: ved hjælp af koncernens politik til forvaltning af brugere i toronto,,,han største ulempe ved denne metode er, at du og din ou struktur kan ende med en masse gpos knyttet til hvert kontor, som kan gøre det sværere ved første øjekast at finde ud af, hvilke politikker der er forarbejdet af den enkelte bruger eller computer medmindre du undersøge i detaljer, sikkerheden filtrering fælde.,, indgåelse, i sidste ende, så er det et spørgsmål om at give og tage din ou struktur for fast, og det kan være sværere at håndtere politik, gør din ou struktur for dybt, og det kan være sværere at klare konti.det er op til dem at afgøre, om, hvilken tilgang for at tage til gennemførelse af koncernens politik for din virksomhed.og endelig, mere tips om udformningen af koncernens politik udstationeringer, tjek min blog.