Назад | Перейти на главную страницу

Группы Active Directory Windows Server 2012

У меня быстрый вопрос. Я работаю в крупной компании, и мне всегда говорили, что если пользователю нужно, скажем, получить доступ к его электронной почте по телефону, он должен быть членом определенной группы (кроме активации активной синхронизации в консоли обмена, конечно) или Если пользователю требуются определенные разрешения для просмотра Интернета, он должен быть членом другой группы или любого ресурса или разрешения, которые нужны пользователю, для этого существует группа.

Итак, я также смотрел на GPO, но я не вижу никакой связи между Gpo и группами, так как же они на самом деле предоставляют членам определенной группы доступ к тому, к чему они хотят, чтобы пользователь имел доступ?

На самом деле нет связи между группами и групповыми политиками. Оглядываясь назад, можно сказать, что групповая политика - не лучший выбор имен. Групповые политики - это механизм для централизованного управления параметрами и политиками безопасности, которые необходимо применять к пользователям и компьютерам. Предоставление доступа к ресурсу - это то, что обычно предпочтительно делать для группы, в случае, если есть другие люди, которые могут нуждаться в этом, их нужно только добавить в группу, и эта активность запроса членства в группе намного проще с точки зрения аудита и соответствия.

Объекты групповой политики содержат параметры, которые применяются к пользователям и компьютерам. Вы можете применять настройки, которые влияют на такие вещи, как доступ к Интернету и т. Д. Группы могут использоваться для фильтрации объектов групповой политики. Чтобы объект групповой политики применялся к вашей учетной записи или учетной записи компьютера, пользователю или компьютеру потребуются разрешения на чтение и применение объекта групповой политики. Если вы откажетесь от любого из них, GPO не будет применяться. Если вы предоставите оба этих разрешения, то GPO будет применяться, пока он связан с OU (или связан с родительским OU / доменом).

Что мы можем сделать, так это использовать группы для фильтрации объектов групповой политики, допустим, вы хотите предоставить определенный уровень доступа в Интернет набору пользователей, вы можете создать объект групповой политики, создать группу под названием что-то вроде G_InternetAccess, затем убедиться, что группа прочитала оба и применить разрешения. свяжите группу с подразделениями, которые содержат ваших пользователей, и она будет работать. в качестве альтернативы, если у вас есть группа людей, к которым вы не применили объект групповой политики, чтобы убедиться, что у них нет разрешения на чтение и применение.

Просто имейте в виду, что разрешения по умолчанию для любого нового объекта групповой политики - это AuthenticatedUsers Read and Apply, поэтому по умолчанию GPOS применяется ко всем пользователям и компьютерам, когда они связаны с OU или доменом.

Чтобы изменить разрешения для объекта групповой политики, перейдите на вкладку его делегирования, нажмите «Дополнительно», и вы увидите все разрешения, перечисленные в данный момент.

Групповые политики применяются к контейнерным структурам (организационным единицам). Эта политика будет применена к пользователям и компьютерам, которые являются членами подразделения.

У вас нет дополнительного членства или GPO. Владельцы почтовых ящиков по умолчанию могут получить доступ к своим почтовым ящикам через Active Sync. Вам нужно прямое подключение к серверу клиентского доступа через порт 443.

Чтобы проверить, подключено ли устройство, введите

Get-MobileDevice

в командной консоли Exchange.

В зависимости от конфигурации Exchange вам может потребоваться разблокировать недавно добавленное устройство из карантина.