Назад | Перейти на главную страницу

Должна ли фильтрация безопасности GPO соответствовать ЛЮБОМУ или ВСЕМ правилам в фильтре?

мой главный вопрос таков:

Рассчитывается ли фильтрация безопасности для объекта групповой политики с использованием логики И или логики ИЛИ для применения фильтров?

Вот контекст моей ситуации, чтобы понять, почему я спрашиваю:

Структура OU:

-- Biz-Computers
---- Site1-Computers
---- Site2-Computers

-- Biz-Users
---- Management
---- Operations (GPO Applied here: "OperationsGPO")

У меня есть "OperationsGPO", примененный к OU "Biz-Users / Operations"

Этот объект групповой политики является объектом групповой политики на основе пользователя, но он применяется только к одной группе пользователей в рамках подразделения операций, и я хочу применить этот объект групповой политики ТОЛЬКО к пользователю, если он входит в систему на компьютере в подразделении «Site2-Computers».

Поэтому я добавил необходимых пользователей операций (не всех из них) в группу «OpsUsers» и добавил компьютеры Site2 в группу под названием «Site2Comps», и я добавил эти группы в поле «Фильтрация безопасности» объекта групповой политики.

Поскольку в фильтрации безопасности определены 2 группы («OpsUsers» и «Site2Comps»), я не понимаю, как они применяются - должны ли ОБОИМ параметрам соответствовать (логика И) или ЛЮБОЙ из объектов должен соответствовать ( ИЛИ логика)?

Спасибо!

ОТВЕТ НА ВОПРОС: Логический 'ИЛИ' - GPO будет применяться, если любой совпадений фильтров безопасности.

РЕШЕНИЕ СИТУАЦИИ: Настройка режима обработки обратной связи групповой политики пользователя

  1. Создайте групповую политику КОМПЬЮТЕР под OU желаемого компьютера (ов)

  2. Отредактируйте новый объект групповой политики и перейдите к:

    Конфигурация компьютера / Административные шаблоны / Система / Групповая политика

  3. Включите «Настроить режим обработки обратной связи групповой политики пользователя» и установите для него значение «Объединить»

  4. Добавьте любые политики ПОЛЬЗОВАТЕЛЯ, которые вы хотите включить, в эту же политику КОМПЬЮТЕРА (петля делает это законным)

  5. Убедитесь, что в новом объекте групповой политики есть фильтры безопасности для проверки нужных пользователей и компьютеров, к которым вы обращаетесь.

Петля в основном применяет «пользовательскую» политику к определенному компьютеру.

Он работает так же, как вы добавляете ACL в права доступа к файлу / папке. В типичных сценариях, когда не используется запись «запретить», и вы добавляете несколько групп разрешающих или «применяемых» разрешений, любая группа получает объект групповой политики.

edit //: Однако добавление компьютеров в вашу фильтрацию вам совсем не поможет, потому что у вас есть GPO, настроенный пользователем. Учетная запись компьютера здесь не имеет значения. Loopback, вероятно, более подходит для того, чего вы хотите достичь, но я не уверен, сработает ли loopback на компьютерах + фильтрация безопасности пользователя.