1. Location:
  2. / Computer learning >> Datamaskin læring >> system >> windows 2003 >>

Hvordan implementere Group Policy Security Filtering


Den mest misvisende ting om Group Policy er navnet-Group Policy er rett og slett ikke en måte å bruke politikk til grupper! I stedet er Group Policy brukes på individuelle brukerkontoer og datamaskinkontoer ved å knytte Group Policy Objects (GPOer), som er samlinger av policyinnstillinger, til Active Directory-beholdere (vanligvis OUS, men også domener og nettsteder) der disse bruker og datamaskin kontoer bor. Så newbie spørsmål om Group Policy er vanligvis, "Hvordan kan jeg få denne GPO å gjelde for denne gruppen?" Svaret på dette spørsmålet er: ved å implementere sikkerhetsfiltrering

Forståelse Security. Filtrering

Sikkerhet filtrering er basert på det faktum at GPOer har tilgangskontrollister (ACL) forbundet med dem. Disse ACL inneholde en serie i ess for ulike sikkerhets rektorer (brukerkontoer, datamaskinkontoer, sikkerhetsgrupper og innebygd spesielle identiteter), og du kan se standard ACL på en typisk GPO som følger:

  • Åpne Group Policy Management Console (GPMC)
  • Utvid konsolltreet til du ser Group Policy Objects node.
  • Velg en bestemt GPO under Group Policy Objects node.
  • Velg fanen delegasjonen i den høyre ruten (se figur 1).


    Figur 1: Visning av ACL for Vancouver GPO bruker delegasjon kategorien

    For en mer detaljert visning av essene i denne GPO ACL, klikker du på Avansert-knappen for å vise kjent ACL Editor (figur 2):


    Figur 2: Vise ACL for Vancouver GPO bruker ACL Editor

    En åpenbar forskjell mellom disse to visningene er at ACL Editor viser Apply Group Policy tillatelse mens kategorien delegasjon ikke. Dette er fordi den kategorien delegasjon viser bare ACE'er for sikkerhetsprinsipper som faktisk behandler GPO, og som implisitt betyr de sikkerhets rektorer har Apply Group Policy tillatelsen satt til Tillat. Mer spesifikt, hvis du ønsker en GPO å bli behandlet av en sikkerhets rektor i en container knyttet til GPO, krever sikkerhet rektor på et minimum følgende tillatelser:

  • Tillat Les
  • Tillat Apply Group Policy < .no>

    Den faktiske detaljer om standard oppføringer for en nyopprettet GPO er noe komplisert hvis du inkluderer avanserte tillatelser, men her er de essensielle såvidt sikkerhetsfiltrering er bekymret:

    Sikkerhet Principal

    Les

    Apply Group Policy

    Godkjente brukere

    Tillat

    Tillat

    CREATOR OWNER

    tillater (implisitte)

    Domain Admins

    tillater

    Enterprise Admins Anmeldelser

    Tillat

    Domenekontrollere

    Tillat

    SYSTEM

    Tillat

    Merk at Domain Admins, Enterprise Admins og systemet innebygd identitet har flere tillatelser (Skriv, Lag, Slett) som lar disse brukerne opprette og administrere GPO. Men siden disse ekstra tillatelser er ikke relevant så langt som sikkerhetsfiltrering er opptatt av, vil vi ignorere dem nå.

    Det faktum at Godkjente brukere har både lese og Apply Group Policy tillatelse betyr at innstillingene i GPO brukes på dem når GPO er behandlet, det vil si, hvis de bor i en container som GPO er knyttet til. Men hvem som egentlig er godkjente brukere? Medlemskap i denne spesielle identitet er alle sikkerhetskontoinnehavere som har blitt bekreftet av Active Directory. Med andre ord, Godkjente brukere inkluderer alle domenebrukerkontoer og datamaskinkontoer som har blitt bekreftet av en domenekontroller på nettverket. Så hva dette betyr er at som standard innstillingene i en GPO gjelder for alle bruker og datamaskin kontoer bosatt i beholderen knyttet til GPO.

    Bruke sikkerhets Filtrering

    La oss nå se på et enkelt scenario der du kan bruke sikkerhetsfiltrering for å løse et problem i Group Policy design. Figur 3 nedenfor viser en OU struktur utviklet jeg i en tidligere artikkel. Merk at Vancouver toppnivå OU har tre avdelinger under den definert som andre-nivå organisasjonsenheter, med bruker og datamaskin kontoer som er lagret under disse avdelingene i tredje nivå organisasjonsenheter:


    Figur 3: Eksempel på OU struktur for Vancouver kontoret

    La oss si at av de femten brukere som jobber i salgs- og markedsføringsavdeling i Vancouver, tre av dem er eldre mennesker som har spesielle behov, for eksempel tilgang til bestemt programvare som andre mennesker i avdelingen bør ikke ha tilgang til. Slik programvare kan bli gitt til dem ved å publisere det i Legg til eller fjern programmer ved hjelp av en brukerpolicy-baserte programvareinstallasjon GPO. Problemet er, hvis du koble denne GPO til salgs- og markedsførings Brukere OU deretter alle femten brukere i avdelingen vil ha tilgang til det gjennom Legg til eller fjern programmer. Men du bare vil denne spesielle gruppen av tre brukere skal kunne få tilgang til programvaren, så hva gjør du?

    Du kan opprette en annen OU under Salg og markedsføring Brukere OU og kaller denne nye OU Senior Sales and Marketing Brukere OU. Deretter kan du flytte brukerkontoer for de tre ledende ansatte til denne nye OU og lage din programvare installasjon GPO og koble den til den nye OU. Mens denne tilnærmingen vil fungere, har det flere ulemper:

  • Det gjør OU struktur dypere og mer komplisert, noe som gjør det vanskeligere å forstå.
  • Det sprer brukerkontoer i flere containere som gjør dem vanskeligere å håndtere.

    En bedre løsning er å la den eksisterende OU struktur intakt og alle femten salgs- og markedsførings brukere i salg og markedsføring Brukere OU, lage din programvare installasjon GPO og koble det til salg og markedsføring Brukere OU (se figur 4), og deretter bruke sikkerhetsfiltrering til å konfigurere ACL på programvare-GPO for å sikre at bare de tre senior brukerne mottar politikken.


    Figur 4: Senior Sales and Marketing Brukere programvareinstallasjon GPO

    For å filtrere programvareinstaller GPO slik at kun brukere Bob Smith, Mary Jones og Tom Lee motta den i løpet av politikk behandling , la oss først bruke Active Directory Users and Computers å skape en global gruppe som heter Senior Sales and Marketing Brukere som har bare disse tre brukerne som medlemmer (se figur 5):


    Figur 5: Medlemskap i Senior Salg og markedsføring Brukere global gruppe

    Merk at du kan lagre denne sikkerhetsgruppen i noen container i domenet, men for enkelhets skyld vil du sannsynligvis ønske å lagre den i salg og markedsføring Brukere GPO siden det er der medlemmene bor.

    Nå gå tilbake til GPMC å installere programvaren GPO valgt i venstre rute, og på fanen Omfang av høyre ruten, fjerne Godkjente brukere spesielle identitet fra sikkerhetsfiltrering og deretter legge Senior Sales and Marketing Brukere global gruppe (figur 6):


    Figur 6: Filtrere GPO slik at den bare retter seg mot det Senior Sales and Marketing brukergruppen

    Det er det, vi er ferdig! Nå når politikken er behandlet for en brukerkonto bosatt i salg og markedsføring Brukere OU vil Group Policy-motoren på klienten først avgjøre hvilke GPOer må brukes til brukeren. Hvis brukeren er medlem av Senior Sales and Marketing Brukere sikkerhetsgruppe, vil følgende GPOer brukes i følgende rekkefølge (forutsatt at vi ikke har brukt blokkere eller håndheving hvor som helst):

  • Standard domenepolicy
  • Vancouver GPO
    Salg og markedsføring GPO
    Salg og markedsføring Brukere GPO
  • Senior Sales and Marketing Brukere GPO

    Hvis derimot brukeren er en av de andre tolv (junior) medlemmer av salg og markedsføring, så den siste politikk ovenfor (Senior Sales and Marketing Brukere GPO) vil ikke bli brukt til dem. Med andre ord, vil den publiserte programvaren kun gjøres tilgjengelig for Bob, Mary og Tom som ønsket.

    The Power of Security Filte

    Kraften av sikkerhetsfiltrering er at det tillater oss å forenkle vår OU struktur samtidig sikre at gruppepolicy er behandlet som utformet. For eksempel, i min opprinnelige OU struktur for Vancouver (se Figur 3 ovenfor) Jeg opprettet egen organisasjonsenheter i tre avdelinger i den posisjonen, nemlig IT-avdelingen, ledelse og salg og markedsføring. I Toronto men jeg kunne ha tatt en annen tilnærming og klump alle mine brukere og datamaskiner sammen som dette (figur 7):


    Figur 7: Toronto har en enklere OU struktur enn Vancouver

    Så jeg kunne gruppen bruker og datamaskin kontoer i Toronto i globale grupper som dette:

    IT-avdeling Brukere
    IT-avdeling Datamaskiner
    Administrasjons Brukere

  • Ledelse Datamaskiner
    Salg og markedsføring Brukere < li> Salg og markedsføring Datamaskiner

    Jeg kunne deretter lage GPOer for hver gruppe av brukere og datamaskiner i Toronto, knytte disse GPOer til riktig container, og bruke sikkerhetsfiltrering for å sikre at de brukes bare til ønskede sikkerhets rektorer (figur 8):


    Figur 8: Bruk av Group Policy for å administrere brukere i Toronto

    Den viktigste ulempen med denne tilnærmingen er at når du flat din OU struktur du kan ende opp med masse GPOer knyttet til hver OU, som kan gjøre det vanskeligere ved første øyekast å finne ut hvilken politikk blir behandlet av hver bruker eller datamaskin med mindre du undersøke i detalj sikkerhetsfiltrering oppsettet.

    Konklusjon

    Til slutt så er det en enkel sak å gi og ta-ta din OU struktur for flat, og det kan være vanskeligere å håndtere politikk; gjøre OU struktur for dypt, og det kan være vanskeligere å administrere kontoer. Det er opp til deg å bestemme hvilken tilnærming til å ta for å gjennomføre gruppepolicy for bedriften. Og til slutt, for flere tips om å designe Group Policy-distribusjoner, sjekk ut bloggen min. Anmeldelser



    Previous: