(+84) 463.28.7979

Lọc Group policy Object bằng nhóm bảo mật


Cấu trúc đơn vị tổ chức (Organization Unit – OU) của một miền Active Directory là rất quan trọng, nó là một sự cân bằng tinh tế giữa các dịch vụ đầy đủ trung tâm quản lý, linh hoạt và đơn giản, bố trí trực quan. Thế nhưng, có một số cài đặt mà có thể cần phải được áp dụng trên toàn cầu cho người sử dụng hoặc tài khoản máy tính mà tồn tại trong một số OU khác nhau.

Các quản trị viên có thể tạo ra các đối tượng Group Policy (GPO) cho một OU hoặc toàn bộ miền nhưng chỉ áp dụng nó cho người dùng hoặc máy tính là thành viên của một nhóm bảo mật. Điều này có thể có đặc biệt giá trị cho máy tính và tài khoản người dùng có yêu cầu cấu hình không phù với cấu trúc OU. Quá trình này cho một tài khoản máy tính hoặc người sử dụng là như nhau, nhưng đây là bước đầu tiên tốt để lọc riêng biệt cho mỗi loại.

Trong bài Lab cá nhân của tôi, tôi có hai GPO ở phía trên miền mà sẽ thực hiện cho tất cả các đối tượng trong miền, nhưng cách nhau bằng tài khoản máy tính và người dùng. Hình 1 cho thấy hai GPO tại gốc của tên miền.

Có một số thực hành tốt nhất bạn có thể áp dụng mà không liên quan đến GPO ở cấp cao nhất, nhưng đối với phạm vi của ví dụ lọc, phía trên cùng của miền sẽ được sử dụng. Thực hành tốt nhất sẽ được đơn giản để đặt tất cả người dùng trong một OU cấp cao nhất và tài khoản máy tính tất cả trong một OU cấp cao nhất, sau đó các GPO cho mỗi loại sẽ nằm trong OU tương ứng.

Ví dụ này cũng cho thấy một tên đối tượng tự tài liệu. Trong ví dụ trên, GPO được đặt tên Filter-GPO-ComputerAccounts và Filter-GPO-Useraccounts, điều này biểu thị rằng chúng được lọc GPO và các nhóm đó có các bộ lọc được áp dụng là các GPO-ComputerAccounts và nhóm GPO-Useraccounts. Xem các nhóm bảo mật tương ứng trong hình 2.

Nhóm GPO-ComputerAccounts là một nhóm bảo mật với hai tài khoản máy tính trong đó. Cũng giống như tài khoản người dùng, tài khoản máy tính có thể là thành viên của một nhóm bảo mật.

Với OU và nhóm bảo mật được xác định, bạn có thể cấu hình các bộ lọc để áp dụng một GPO chỉ cho các thành viên của nhóm. Bước đầu tiên là để loại bỏ người dùng mặc định Authenticated (read) mục bảo mật cho GPO. Tài liệu đó phải được loại bỏ được thể hiện trong hình 3.

Khi mặc định chỉ read và áp dụng sự cho phép của người dùng xác thực được lấy ra, nhóm bảo mật được thêm vào tab bảo mật của GPO và read và áp dụng các điều khoản được áp dụng. Hình 4 thể hiện này đang được cấu hình cho nhóm GPO-ComputerAccounts của Filter-GPO-ComputerAccounts.

Lưu ý nút Advanced đánh dấu ở phía dưới, nếu bảo mật được cấu hình sau khi GPO được tạo ra, nút Advanced chứa khu vực để thêm nhóm đối tượng áp dụng chính sách cho phép. Vào thời điểm đó, GPO đã sẵn sàng để được cấp cho các nhóm bảo mật.

Cấu trúc đơn vị tổ chức (Organization Unit – OU) của một miền Active Directory là rất quan trọng, nó là một sự cân bằng tinh tế giữa các dịch vụ đầy đủ trung tâm quản lý, linh hoạt và đơn giản, bố trí trực quan. Thế nhưng, có một số cài đặt mà có thể cần phải được áp dụng trên toàn cầu cho người sử dụng hoặc tài khoản máy tính mà tồn tại trong một số OU khác nhau.

Các quản trị viên có thể tạo ra các đối tượng Group Policy (GPO) cho một OU hoặc toàn bộ miền nhưng chỉ áp dụng nó cho người dùng hoặc máy tính là thành viên của một nhóm bảo mật. Điều này có thể có đặc biệt giá trị cho máy tính và tài khoản người dùng có yêu cầu cấu hình không phù với cấu trúc OU. Quá trình này cho một tài khoản máy tính hoặc người sử dụng là như nhau, nhưng đây là bước đầu tiên tốt để lọc riêng biệt cho mỗi loại.

Trong bài Lab cá nhân của tôi, tôi có hai GPO ở phía trên miền mà sẽ thực hiện cho tất cả các đối tượng trong miền, nhưng cách nhau bằng tài khoản máy tính và người dùng. Hình 1 cho thấy hai GPO tại gốc của tên miền.
Hình 1
Có một số thực hành tốt nhất bạn có thể áp dụng mà không liên quan đến GPO ở cấp cao nhất, nhưng đối với phạm vi của ví dụ lọc, phía trên cùng của miền sẽ được sử dụng. Thực hành tốt nhất sẽ được đơn giản để đặt tất cả người dùng trong một OU cấp cao nhất và tài khoản máy tính tất cả trong một OU cấp cao nhất, sau đó các GPO cho mỗi loại sẽ nằm trong OU tương ứng.

Ví dụ này cũng cho thấy một tên đối tượng tự tài liệu. Trong ví dụ trên, GPO được đặt tên Filter-GPO-ComputerAccounts và Filter-GPO-Useraccounts, điều này biểu thị rằng chúng được lọc GPO và các nhóm đó có các bộ lọc được áp dụng là các GPO-ComputerAccounts và nhóm GPO-Useraccounts. Xem các nhóm bảo mật tương ứng trong hình 2.
Hình 2
Nhóm GPO-ComputerAccounts là một nhóm bảo mật với hai tài khoản máy tính trong đó. Cũng giống như tài khoản người dùng, tài khoản máy tính có thể là thành viên của một nhóm bảo mật.

Với OU và nhóm bảo mật được xác định, bạn có thể cấu hình các bộ lọc để áp dụng một GPO chỉ cho các thành viên của nhóm. Bước đầu tiên là để loại bỏ người dùng mặc định Authenticated (read) mục bảo mật cho GPO. Tài liệu đó phải được loại bỏ được thể hiện trong hình 3.
Hình 3
Khi mặc định chỉ read và áp dụng sự cho phép của người dùng xác thực được lấy ra, nhóm bảo mật được thêm vào tab bảo mật của GPO và read và áp dụng các điều khoản được áp dụng. Hình 4 thể hiện này đang được cấu hình cho nhóm GPO-ComputerAccounts của Filter-GPO-ComputerAccounts.
Hình 4
Lưu ý nút Advanced đánh dấu ở phía dưới, nếu bảo mật được cấu hình sau khi GPO được tạo ra, nút Advanced chứa khu vực để thêm nhóm đối tượng áp dụng chính sách cho phép. Vào thời điểm đó, GPO đã sẵn sàng để được cấp cho các nhóm bảo mật.

Leave a Reply

Your email address will not be published. Required fields are marked *