Группы Active Directory Windows Server 2012
У вас есть быстрый вопрос. Я работаю в большой компании, и мне всегда говорили, что если пользователю нужно, скажем, получить доступ к его электронной почте по телефону, он должен быть членом определенной группы (помимо активации активной синхронизации в консоли обмена, конечно) или если пользователю требуются определенные разрешения для просмотра Интернета, он должен быть членом другой группы или какого-либо ресурса или разрешения, которые нужны пользователю, для этого существует группа.
Итак, я также просматривал объекты групповой политики, но не вижу никаких отношения между Gpo и группами, так как же они на самом деле обеспечивают членам определенной группы доступ к тому, к чему они хотят, чтобы пользователь имел доступ?
На самом деле нет связи между группами и групповыми политиками. Оглядываясь назад, можно сказать, что групповая политика - не лучший выбор имен. Групповые политики - это механизм централизованного управления настройками и политиками безопасности, которые необходимо применять к пользователям и компьютерам. Предоставление доступа к ресурсу - это то, что обычно предпочитают делать для группы, в случае, если есть другие люди, которые могут нуждаться в этом, их нужно только добавить в группу, и эта активность запроса членства в группе намного проще с точки зрения аудита и соответствия.
Объекты групповой политики содержат параметры, которые применяются к пользователям и компьютерам. Вы можете применить настройки, которые влияют на такие вещи, как доступ к Интернету и т. Д. Группы могут использоваться для фильтрации объектов групповой политики. Чтобы объект групповой политики мог применяться к вашей учетной записи пользователя или учетной записи компьютера, пользователю или компьютеру потребуются разрешения на чтение и применение объекта групповой политики. Если вы откажетесь от любого из них, GPO не будет применяться. Если вы предоставите оба этих разрешения, то объект групповой политики будет применяться, пока он связан с подразделением (или связан с родительским подразделением / доменом).
Что мы можем сделать, так это использовать группы для фильтрации объектов групповой политики, допустим, вы хотите чтобы предоставить определенный уровень доступа в Интернет для группы пользователей, вы можете создать объект групповой политики, создать группу с названием что-то вроде G_InternetAccess, а затем убедиться, что у группы есть разрешения на чтение и применение. свяжите группу с подразделениями, которые содержат ваших пользователей, и она будет работать. в качестве альтернативы, если у вас есть группа людей, которых вы не применили к GPO, чтобы убедиться, что у них нет разрешения на чтение и применение.
Просто имейте в виду, что разрешения по умолчанию для любого нового объекта групповой политики - это AuthenticatedUsers Read and Apply, поэтому по умолчанию GPOS применяется ко всем пользователям и компьютерам, когда они связаны с OU или доменом.
Чтобы изменить разрешения для GPO, перейдите на вкладку делегирования,нажмите «Дополнительно», и вы увидите все разрешения, перечисленные в настоящее время.
Групповые политики применяются к контейнерным структурам (организационным единицам). Эта политика будет применяться к пользователям и компьютерам, которые являются членами OU.
У вас нет дополнительных членств или групповой политики. Владельцы почтовых ящиков по умолчанию могут получить доступ к своим почтовым ящикам через Active Sync. Вам необходимо прямое подключение к серверу клиентского доступа через порт 443.
Чтобы проверить, подключено ли устройство, введите
Get-MobileDevice
в оболочке управления Exchange.
В зависимости от конфигурации Exchange вам может потребоваться разблокировать новый добавлено устройство из карантина.