Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум

Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2008/2008 R2 » 2008 R2 - О влияние объектов GPO на группы

Ответить
Настройки темы
2008 R2 - О влияние объектов GPO на группы

Аватара для hozman

Старожил


Сообщения: 321
Благодарности: 0


Конфигурация

Профиль | Отправить PM | Цитировать

Назрел такой вопрос. Ведь, судя по всему, чтоб объект GPO влиял на компьютер или пользователя, нужно прилепить данный объект GPO к соответствующему подразделению(OU). Соответственно, к какому OU я применю GPO.. это и определяет действие глобальной политики. Тогда зачем в Управлении групповой политикой имеется фильтр безопасности, который, как я понимаю, нужен для того, чтоб задать группы, к которым применяется данный GPO. Смысл? Гораздо логичнее не задавать его там, а сразу прилепить к выбранному OU. разве нет? Причина какая в этом?

Отправлено: 18:20, 06-03-2015

 

Ветеран


Сообщения: 567
Благодарности: 146

Профиль | Отправить PM | Цитировать

А если у вас структура OU, например по географическому признаку сделана. OU города, а в них сразу аккаунты. Чтобы применить политику на бухгалтерию Омска вам как раз и пригодится фильтр безопасности. Сделано это для гибкости.

-------
MCSA:Windows Server 2012, MCSE:Messaging, MCSE:Communication, VCP5:Datacenter Virtualization, CCENT
Ит блог, бесплатные курсы по администрированию

Это сообщение посчитали полезным следующие участники:

Отправлено: 20:07, 06-03-2015 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Ветеран


Сообщения: 508
Благодарности: 140

Профиль | Отправить PM | Цитировать

hozman, цитирую отсюда:
Цитата:
По умолчанию объект групповой политики применяется ко всем пользователям и компьютерам на связанном сайте, в домене или подразделении. Однако к объекту групповой политики можно применить фильтры безопасности, позволяющие применить этот объект только к конкретному пользователю, членам группы безопасности Active Directory или компьютеру. Фильтры безопасности применяются путем изменения разрешений на объект групповой политики. Путем сочетания фильтров безопасности с соответствующим размещением в подразделениях можно задать любое желаемое множество пользователей или компьютеров.
Представьте, что в вашем OU есть десять пользователей, но применить политику (скажем, сменить фон рабочего стола на корпоративные обои) нужно лишь на двоих человек. Если фильтрацию оставить по умолчанию, то настройка рабочего стола произойдет у всех десяти пользователей.
Вы же добавляете нужных людей в группу "Corp-Screensaver-Enabled" (например), и в политике фильтруете по этой группе. В итоге политика применится лишь у тех членов данного OU, кто состоит в указанной выше группе.
Это сообщение посчитали полезным следующие участники:

Отправлено: 20:25, 06-03-2015 | #3


Аватара для cameron

Ветеран


Сообщения: 4677
Благодарности: 1092

Профиль | Отправить PM | Цитировать

hozman,
основа ответа такова:
есть область применения (site-domain-ou) и есть фильтрация (SecGroups-WMI), с помощью этих инструментов вы можете гранулировать применение политик.

-------
в личке я не консультирую и не отвечаю на профессиональные вопросы. для этого есть форум.

Отправлено: 21:49, 06-03-2015 | #4


ИО Капитана Очевидности


Contributor


Сообщения: 5387
Благодарности: 1105

Профиль | Отправить PM | Цитировать

hozman, допустим, у вас в одном отделе есть компьютеры с Windows 7 и с Windows XP.
Для этого отдела в домене создан один OU, однако для разных систем схожие действия приходится выполнять разными способами.
Вы создаёте две GPO (для XP и 7), записываете в них соответсвующие параметры, а потом создаёте две группы ACL (для XP и для 7), разносите компьютеры по группам и указываете соответствующей политике соответствующую группу.
Правда, такое делается автоматически через фильтр WMI с запросом на выборку компьютеров по версии операционной системы. Однако если вы слабо разбираетесь в этих запросах и боитесь ошибиться, то надёжнее сделать это вручную через группы ACL.


Другой пример.
Нужно установить программу на все компьютеры отдела, кроме одного рабочего места.
Вы можете создать для этого компьютера отдельную OU, но тогда придётся привязать к нему все прочие действующие политики и в дальнейшем следить за привязкой новых политик.
Или вы можете создать группу ACL, которая будет включать все компьютеры данного отдела, кроме искомого.

-------
Самое совершенное оружие, которым забиты арсеналы богатых и процветающих наций, может легко уничтожить необразованного, больного, бедного и голодного. Но оно не может уничтожить невежество, болезнь, нищету и голод. (Фидель Кастро)

Почему всех осужденных за измену Родине при Сталине реабилитировали при Горбачёве по отсутствию состава преступления? Потому что при Горбачёве измену Родине перестали считать преступлением.

Отправлено: 02:48, 10-03-2015 | #5



Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2008/2008 R2 » 2008 R2 - О влияние объектов GPO на группы

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
2008 R2 - Удалить всех доменных юзеров из группы Администраторы с помощью GPO nikitos435 Windows Server 2008/2008 R2 13 16-05-2012 18:00
Влияние GPO на Администратора DeniTornado Microsoft Windows NT/2000/2003 1 21-01-2011 13:04
[решено] GPO.. настройка чистки группы.. stolyar Microsoft Windows NT/2000/2003 2 14-05-2009 07:32
GPO + WMI = фильтрация группы Spooner Microsoft Windows NT/2000/2003 0 27-11-2008 10:28
GPO. Группы с ограниченным доступом. fat_cat Microsoft Windows NT/2000/2003 9 28-12-2007 11:22


« Предыдущая тема | Следующая тема »


 
Переход