Вопросы Теги

Примените групповую политику к определенным пользователям (в OU) на определенных компьютерах (не в OU)

Это прослушивало меня некоторое время. Вот установка:

  • У нас есть серверы ~20 Win2k8r2. Они разделены на различный OUs, который я не могу изменить. Я создал группу безопасности "DevHostsSG", которые содержат компьютеры, где эта политика должна применяться.
  • У нас есть ~40 пользователей. Существует определенный OU "DevUsersOU", который содержит дюжину пользователей, к которым я хочу применить политику. Я также создал группу безопасности DevUsersSG, который содержит тех же пользователей.

Мне нужно определенное перенаправление папки, GPO относился только к пользователям в DevUsersOU и только на серверах в группе безопасности DevHostsSG. У пользователей в DevUsersOU не должно быть политики перенаправления, применяются на любые другие серверы, и ни у каких других пользователей не должно быть перенаправления, когда они входят в систему сервер в группе безопасности DevHostsSG.

Мой успех до сих пор:

  • У меня есть петлевой набор обработки, таким образом, перенаправление должно применяться
  • То, когда я установил политику на DevUsersOU и затем добавляю DevHostsSG к фильтрации безопасности (с чтением, и подайте заявку), это не работает нигде (который я принимаю, - то, потому что нет никаких компьютеров в этом OU..?)
  • Когда я установил политику на домен и затем использую фильтрацию безопасности для включения DevUsersSG и DevHostsSG, политика применяется, даже когда DevUsers входят в non-DevHosts
  • Когда я применяю групповую политику только к DevHostsSG, это, кажется, не работает вообще (который заставляет меня задаться вопросом, не работает ли петлевая обработка),
  • Когда я создаю группу безопасности, которая содержит указанных пользователей и компьютеры, это, кажется, относится ко всем хостам

В этой точке я заканчиваюсь идеи и частично просто предполагаю материал, и это, кажется, ухудшается, по некоторым причинам у меня есть один хост в DevHostsSG, где перенаправление работает, два хоста, где это не работает, и один хост, это не находится в DevHostsSG, где перенаправление включено.. Я сделал несколько gpupdate / сила наряду с выходами из системы и gpresult/R каждый раз, когда я вношу изменение, и я действительно не добираюсь нигде.

Любая справка значительно ценилась бы!

----Далее тестирование----

В попытке упростить ситуацию, я попробовал следующее:

  • Очищенный группы в фильтрах защиты
  • Добавленный один определенный пользователь к фильтру защиты
  • Добавленный один определенный хост фильтра защиты
  • Выполнил gpupdate на том хосте как тот пользователь: перенаправьте включенный (хорошо)
  • Выполнил gpupdate на том хосте как другой пользователь: перенаправление, не включенное (хорошо)

  • Выполнил gpupdate на другом хосте как тот пользователь: перенаправление включило (НЕ хорошо)

  • Выключение петлевой обработки не имело значения

----Ответы----

joequerty:

  1. В основном я выполнял gpupdate на четырех хостах после каждого раза, когда я вношу изменение в управлении Групповой политикой: два хоста в группе DevHostsSG и два не в группе, и на каждом я вхожу в систему в качестве пользователя в DevUsersOU и как пользователь не в OU.
  2. Необходимость в перезагрузке звучит странной для меня.. Я просто обращаюсь к "участникам" / "член" вкладки под свойствами AD (например, в DevHostsSG участники являются DevHost1, DevHost2, и т.д.),
  3. Было бы замечательно, если бы политика не была связана с целым доменом, но я не знаю, что еще сделать
  4. Это - проблема.. Я, может казаться, не заставляю фильтр защиты GPO делать "И", фильтры защиты всегда делают "ИЛИ" (т.е. DevUser1 ИЛИ DevHost1, а не DevUser1 И DevHost1)

Текущая конфигурация вернулась для маркировки 1 выше, который должен иметь GP, относятся к DevUsersOU с набором группы безопасности к списку хостов, где GP должен применяться. Я перезагрузил один из хостов начиная с последнего изменения, и перенаправление папки теперь больше не работает (пришло в последний раз время, что я вчера проверил). Когда я выполняю gpresult/R, я не вижу GP, перечисленного вообще при КОМПЬЮТЕРНЫХ НАСТРОЙКАХ, но я действительно вижу следующее при ПОЛЬЗОВАТЕЛЬСКИХ НАСТРОЙКАХ:

The following GPOs were not applied because they were filtered out
-------------------------------------------------------------------
    Local Group Policy
        Filtering:  Not Applied (Empty)

    Default Domain Policy
        Filtering:  Not Applied (Empty)

    Folder Redirect
        Filtering:  Denied (Security)

Я предполагаю, что это перестало работать, потому что я явно не включаю DevUsersSG или как отдельная запись в фильтрации безопасности GP разделяет или включает их в группу безопасности, в которой находятся хосты, но от моих тестов кажется, что, если я делаю любого из тех, GP относится ко всем хостам, в которые входят те пользователи... Таким образом, я в значительной степени вернулся, где я запустил..

2
задан 29 January 2015 в 20:47
1 ответ

  1. Где вы запускали gpupdate? Обработка политики обратной петли - это параметр конфигурации компьютера, поэтому для ее применения к рассматриваемым серверам на этих серверах должна быть обновлена ​​групповая политика.

  2. Изменение членства учетной записи компьютера в группе требует перезагрузки этого компьютера AFAIK.

  3. Не рекомендуется использовать обработку политики Loopback на уровне домена.

  4. Если вы должны использовать ее на уровне домена, убедитесь, что в вашей фильтрации безопасности используются только определенные группы пользователей и компьютеров, которые вы создали.

I не вижу причин, по которым обработка политики Loopback в GPO, связанном с доменом с соответствующей фильтрацией безопасности, не будет работать, но я когда-либо использовал ее только в определенных OU, а не на уровне домена. При этом я подозреваю, что ваша проблема связана с пунктом № 2.

0
ответ дан 3 December 2019 в 14:49

Теги

Похожие вопросы