Назад | Перейти на главную страницу

Полная переработка Active Directory и применение GPO

После долгих испытаний и сотен попыток и потраченных часов я решил проконсультироваться с вами здесь.

Обзор:

Я хочу применить к нашим пользователям некоторый объект групповой политики, который добавит определенный сайт в список надежных сайтов в настройках Internet Explorer для всех пользователей. Однако чем больше я стараюсь, тем более запутанными становятся результаты. GPO применяется либо к одной группе пользователей, либо к другой. Наконец, я пришел к выводу, что это странное поведение вызвано скорее плохой организацией пользователей и групп в Active Directory. Таким образом, я хочу устранить проблему с корнем: перепроектировать пользователей и группы Active Directory.

Сценарий:

Существует один контроллер домена, и мы используем службы терминалов (так что есть и сервер терминалов). Пользователи обычно входят на сервер терминалов с помощью удаленного рабочего стола для выполнения своих повседневных задач. Я бы классифицировал пользователей следующим образом:

Текущая структура пользователей и групп Active Directory является результатом предыдущего управления ИТ. Компания использовала Small Business Server, который создал несколько групп пользователей и контейнеров по умолчанию.

К сожалению, ребята, работавшие до меня, вообще не имеют документации. Теперь, когда я унаследовал эту структуру, я нахожусь на нейтральной территории. Не знаю, в каком направлении двигаться в первую очередь.

Как видите, пользователь и группы Active Directory стали немного запутанными. SBS больше нет, но при переходе с SBS на текущую среду Windows Server 2008 R2 ребята до меня просто скопировали ту же структуру.

Настоящий вопрос:

С чего начать уборку, чтобы не нарушить полностью существующую инфраструктуру? Какая хорошая организация для сценария, который я объяснил выше?

Возможная полезная информация о текущей структуре:

  1. Computers папка содержит Terminal Services Computers группа пользователей

    • Члены: TerminalServer компьютер, расположенный в Server -> Terminalserver ОУ
    • Член: НЕТ

  2. Foreign Security Principals : ПУСТО

  3. Managed Service Accounts : ПУСТО

  4. Microsoft Exchange Security Groups : не уверен, если нужно, наши электронные письма администрируются внешним поставщиком услуг

  5. Distribution Groups : не уверен, если нужно

  6. Security Groups : есть пара групп, которые необходимы

  7. SBS users : содержит всех пользователей

  8. Terminalserver : содержит только машину TerminalServer

Раньше я сталкивался с подобными проблемами.

При этом ваша организация не выглядит слишком далекой от обычной. Многие предприятия малого бизнеса строятся именно так, как вы описали.

Если вы действительно хотите реструктурировать, лучшее решение, которое я нашел, - это настройка OU с наследованием групповой политики блоков в корне вашего домена. Создайте новую структуру в рамках этого OU и примените там свои групповые политики. Затем вы можете перемещать свой компьютер и пользовательские объекты контролируемым образом.

Что касается дизайна - используйте то, что работает. Не пытайтесь слишком точно имитировать физическое устройство бизнеса. Сгруппируйте свои системы, чтобы упростить администрирование.

Правки для пояснения:

'Блокировать наследование' - это опция, которая позволяет вам настроить OU, которое не будет принимать никакие политики, определенные выше. Это позволяет получить полностью чистый лист. Любые объекты, которые позже будут перемещены сюда, будут иметь никто существующих политик, даже если они были бы в противном случае. К любым объектам, оставленным в их первоначальных домах, по-прежнему будут применяться текущие политики.

Хотя немного устаревшее логическое моделирование Вот дает отличное руководство по общей структуре AD.

Еще один чрезвычайно важный момент - документ все ты делаешь. Включите, почему это делается таким образом, а также как это настроено. Точный метод, который вы выбрали для этого, не имеет значения, но я лично предпочитаю один из различных Вики там. Создание подробной истории вашей среды - находка.

Дополнительное редактирование в ответ на Джо Кверти

Я не обязательно выступаю за реструктуризацию. Это может потребовать много времени и вызвать серьезную боль в ***. Я просто советую, как это сделать, если ОП выбирает именно такой маршрут. Лично это было бы крайней мерой. Я договорился о местах, где все были администраторами домена, а политики учетных записей / групп были полным беспорядком, а реструктуризация - наиболее жизнеспособный вариант.

Имея выбор, я бы предпочел работать в существующей структуре AD. Если вас беспокоят соглашения об именах и т. Д., Их всегда можно изменить. Все подразделения, имена групп и т. Д. Имеют идентификаторы GUID, которые не будут нарушены при переименовании. Записи SBS, вероятно, были не скопировано со старого сервера SBS. SBS включает Active Directory. Распространенный путь миграции по мере расширения организаций - это добавление сервера 2008 R2 / 2012, его повышение до контроллера домена, перемещение ролей FSMO и последующее понижение уровня исходного сервера SBS. Если бы старый администратор проводил много времени в исходной консоли SBS AD, я мог бы понять, почему вы не хотели бы менять соглашение об именах.

Я собираюсь не согласиться с ответом Тима и сказать, что вам следует взглянуть на решение своей проблемы, выяснив, почему ваши предполагаемые настройки GPO не работают, а не путем «реструктуризации» вашей текущей настройки. Реструктуризация вашей текущей настройки не решит вашу проблему, если вы изначально настраиваете неправильный объект групповой политики. За исключением нескольких дополнительных OU, «структура» выглядит типичной для SBS. Тот факт, что у вас больше нет SBS, не означает, что вам нужно выбросить ребенка вместе с водой для ванны. На вопрос, можете ли вы удалить Microsoft Exchange Security Groups OU заставляет меня поверить, что вам не хватает соответствующих знаний и опыта, чтобы заняться редизайном.

Я подозреваю, что ваша настоящая проблема заключается в том, что вы пытаетесь настроить некоторые параметры для своих пользователей, когда они входят на сервер терминалов, но вы настраиваете параметры в объекте групповой политики, связанном с подразделением пользователей, вместо настройки параметров в связанном объекте групповой политики. в подразделение сервера терминалов и с помощью обработки политики петли, что было бы способом сделать это, если это ваш сценарий.

Итак, вы пытаетесь настроить параметры для пользователей, когда они входят на сервер терминалов? Если да, то в каком объекте групповой политики вы настраиваете эти параметры?