Вопросы Теги

Полная модернизация Active Directory и приложение GPO

после того, как много тестирования и сотни попыток и часы вложили капитал, я решил консультироваться с Вами эксперты здесь.

Обзор:

Я хочу применить некоторый GPO к нашим пользователям, которые добавят некоторый определенный сайт к надежным сайтам в настройках Internet Explorer для всех пользователей. Однако, чем больше я пробую, тем более сбивающими с толку результаты становятся. GPO или применяется к одной группе пользователей, или к другому. Наконец, я пришел к выводу, что это странное поведение является причиной скорее плохой организацией в Пользователях и Группами в Active Directory. Как таковой я хочу ударить проблему от корня: Перепроектируйте Пользователей Active Directory и Группы.

Сценарий:

Существует один Контроллер домена, и мы используем Службы удаленных рабочих столов (таким образом, существует Терминальный сервер также). Пользователи обычно входят в систему Терминального сервера с помощью Удаленного рабочего стола для выполнения их ежедневных задач. Я классифицировал бы пользователей следующим образом:

  • IT: администраторы, разработка программного обеспечения
  • Бизнес: администрация, управление

Текущая структура Пользователей Active Directory и Групп является результатом предыдущего управления IT. Компания использовала Сервер Малого бизнеса, который создал несколько групп пользователей по умолчанию и контейнеров.

К сожалению, парни, работающие передо мной, имеют, не делают никакой документации вообще. Теперь, когда я наследовал эту структуру, я нахожусь в, не укомплектовывает землю. Никакая идея, который направление направиться сначала.

enter image description here

Как Вы видите, Пользователь Active Directory и Группы стали немного сбивающими с толку. Нет никакого SBS больше, но при миграции от SBS до текущей среды Windows Server 2008 R2, парни передо мной просто скопировали ту же структуру.

Реальный вопрос:

Где я должен начать убирать от, удостоверившись, что я не буду повреждать полностью текущую инфраструктуру? Что такое хорошая организация по сценарию, который я объяснил выше?

Возможная полезная информация о текущей структуре:

  1. Computers папка содержит Terminal Services Computers группа пользователей

    • Участники: TerminalServer компьютер, расположенный в Server -> Terminalserver OU
    • Член:Ничего

  2. Foreign Security Principals : ПУСТОЙ

  3. Managed Service Accounts : ПУСТОЙ

  4. Microsoft Exchange Security Groups : не уверенный в случае необходимости, наши электронные письма администрируемы внешним поставщиком услуг

  5. Distribution Groups : не уверенный в случае необходимости

  6. Security Groups : существует несколько групп, которые необходимы

  7. SBS users : содержит всех пользователей

  8. Terminalserver : содержит только машину TerminalServer

4
задан 19 August 2014 в 13:45
2 ответа

Я сталкивался с похожими проблемами в прошлом.

Сказав, что ваша организация не выглядит слишком далекой от обычной. Многие малые предприятия построены так же, как и вы сами.

Если вы действительно хотите реструктурировать, лучшим решением, которое я нашел, является настройка OU с наследованием политики блочных групп в корне вашего домена. Постройте свою новую структуру в рамках этой OU и применяйте свои групповые политики также и там. Затем вы можете перемещать свой компьютер и пользовательские объекты контролируемым образом.

Что касается дизайна - используйте все, что работает. Не пытайтесь эмулировать физическое расположение бизнеса слишком близко. Группируйте свои системы так, чтобы их было легко администрировать.

Правки для пояснения:

'Block Inheritance' - опция, позволяющая настроить OU, которая не будет принимать никаких политик, определенных над ней. Это позволяет сделать полностью пустую строку. Любые объекты, которые будут позже перемещены сюда, не будут иметь ни одной из существующих политик, даже если бы они были в противном случае. Любые объекты, оставленные в их оригинальных домах, все равно будут иметь примененные политики.

Хотя немного устаревшее логическое моделирование здесь дает отличное руководство по общей структуре AD.

Один дополнительный момент, который чрезвычайно важен - документ все , что вы делаете. Укажите, почему это делается таким образом, а также как это конфигурируется. Точный метод, который Вы выбрали для этого, не имеет значения, но лично я предпочитаю одну из различных вики-проектов . Построение подробной истории для вашего окружения - это находка для бога.

Дополнительное редактирование в ответ на Джо Кверти

Мне не нужно выступать за реструктуризацию. Это может быть трудоемкой и серьезной болью в ***. Я просто советую, как это сделать, если это тот путь, который выберет ОП. Лично это было бы последним средством. Я заключил контракт с местами, где все были администраторами домена, а учетные записи / групповые политики были полным бардаком, и реструктуризация является наиболее жизнеспособным вариантом.

Учитывая выбор, я бы предпочел работать в рамках существующей структуры AD. Если вас беспокоят соглашения об именовании и т.д., их всегда можно изменить. OUs, имена групп и т.д. имеют GUID, которые не будут нарушены при переименовании. Вероятно, записи в SBS были , а не скопированы со старого сервера SBS. SBS включает в себя Active Directory. Общим путем миграции по мере расширения организаций является добавление сервера 2008 R2 / 2012, продвижение его на контроллер домена, перемещение ролей FSMO и последующая выгрузка оригинального сервера SBS. Если бы старый администратор проводил много времени в оригинальной консоли SBS AD, я бы понял, почему вы не хотите изменять соглашение об именовании.

6
ответ дан 3 December 2019 в 02:35

Я буду отличаться от ответа Тима и скажу, что вы должны смотреть на решение вашей проблемы, выясняя, почему не работают ваши предполагаемые настройки GPO, а не "перестраивать" вашу текущую установку. Реструктуризация вашей текущей настройки не решит вашу проблему, если вы начнете с настройки неправильного GPO. За исключением нескольких дополнительных OU, "структура" выглядит типичной для SBS. То, что у вас больше нет SBS, не означает, что вам нужно выбросить ребенка с водой для ванны. Вопрос о том, можете ли вы удалить Microsoft Exchange Security Groups OU, приводит меня к мысли, что вам не хватает соответствующих знаний и опыта, чтобы взять на себя переделку.

Я подозреваю, что ваша настоящая проблема заключается в том, что вы пытаетесь настроить некоторые параметры для ваших пользователей, когда они входят на сервер терминала, но вы настраиваете параметры в GPO, связанном с OU пользователей, вместо того, чтобы настраивать параметры в GPO, связанном с OU сервера терминала, и использовать Loopback Policy Processing, что было бы способом сделать это, если бы это был ваш сценарий.

Итак, вы пытаетесь настроить параметры для пользователей, когда они входят на сервер терминала? Если да, то в каком GPO вы настраиваете эти параметры?

.
4
ответ дан 3 December 2019 в 02:35

Теги

Похожие вопросы