О влияние объектов GPO на группы - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)

- - О влияние объектов GPO на группы (http://forum.oszone.net/showthread.php?t=296528)

О влияние объектов GPO на группы

Назрел такой вопрос. Ведь, судя по всему, чтоб объект GPO влиял на компьютер или пользователя, нужно прилепить данный объект GPO к соответствующему подразделению(OU). Соответственно, к какому OU я применю GPO.. это и определяет действие глобальной политики. Тогда зачем в Управлении групповой политикой имеется фильтр безопасности, который, как я понимаю, нужен для того, чтоб задать группы, к которым применяется данный GPO. Смысл? Гораздо логичнее не задавать его там, а сразу прилепить к выбранному OU. разве нет? Причина какая в этом?

А если у вас структура OU, например по географическому признаку сделана. OU города, а в них сразу аккаунты. Чтобы применить политику на бухгалтерию Омска вам как раз и пригодится фильтр безопасности. Сделано это для гибкости.

hozman, цитирую отсюда:

Цитата:

По умолчанию объект групповой политики применяется ко всем пользователям и компьютерам на связанном сайте, в домене или подразделении. Однако к объекту групповой политики можно применить фильтры безопасности, позволяющие применить этот объект только к конкретному пользователю, членам группы безопасности Active Directory или компьютеру. Фильтры безопасности применяются путем изменения разрешений на объект групповой политики. Путем сочетания фильтров безопасности с соответствующим размещением в подразделениях можно задать любое желаемое множество пользователей или компьютеров.

Представьте, что в вашем OU есть десять пользователей, но применить политику (скажем, сменить фон рабочего стола на корпоративные обои) нужно лишь на двоих человек. Если фильтрацию оставить по умолчанию, то настройка рабочего стола произойдет у всех десяти пользователей.
Вы же добавляете нужных людей в группу "Corp-Screensaver-Enabled" (например), и в политике фильтруете по этой группе. В итоге политика применится лишь у тех членов данного OU, кто состоит в указанной выше группе.

hozman,
основа ответа такова:
есть область применения (site-domain-ou) и есть фильтрация (SecGroups-WMI), с помощью этих инструментов вы можете гранулировать применение политик.

hozman, допустим, у вас в одном отделе есть компьютеры с Windows 7 и с Windows XP.
Для этого отдела в домене создан один OU, однако для разных систем схожие действия приходится выполнять разными способами.
Вы создаёте две GPO (для XP и 7), записываете в них соответсвующие параметры, а потом создаёте две группы ACL (для XP и для 7), разносите компьютеры по группам и указываете соответствующей политике соответствующую группу.
Правда, такое делается автоматически через фильтр WMI с запросом на выборку компьютеров по версии операционной системы. Однако если вы слабо разбираетесь в этих запросах и боитесь ошибиться, то надёжнее сделать это вручную через группы ACL.

Другой пример.
Нужно установить программу на все компьютеры отдела, кроме одного рабочего места.
Вы можете создать для этого компьютера отдельную OU, но тогда придётся привязать к нему все прочие действующие политики и в дальнейшем следить за привязкой новых политик.
Или вы можете создать группу ACL, которая будет включать все компьютеры данного отдела, кроме искомого.