Назад | Перейти на главную страницу

Фильтрация GPO на основе группы безопасности учетной записи компьютера

Итак, у меня есть объект групповой политики, который запускает сценарий быстрого запуска для удаления локально установленных IP-принтеров со всех компьютеров в нашем домене AD во время запуска компьютера. Это отлично работает ... проблема возникает, когда мы пытаемся освободить от этого несколько машин (несколько небольших офисов без серверов печати).

Я создал глобальную группу безопасности и поместил в нее учетные записи компьютеров (поскольку это запуск, а не сценарий входа). Затем я установил разрешения для объекта групповой политики, чтобы запретить доступ этой группе. По какой-то причине это не действует. Это также не повлияет, если я установлю для этой группы права запрета в самом скрипте.

Интересно, однако, что если я вырезал группу и установил разрешения deny для объекта групповой политики или сценария непосредственно для учетной записи компьютера, в разрешениях будет отказано должным образом.

Эти проблемы сохраняются при выполнении нескольких команд gpupdate / force, а также при перезагрузках.

Мне что-то не хватает о том, как учетные записи компьютеров группируют группы sid? Почему не работают разрешения на отказ на основе группы?

Фильтрация групповой политики: вы делаете это неправильно (или, по крайней мере, делаете это жестко).

  1. Создайте группу безопасности для компьютеров, к которым вы НЕОБХОДИМО применять политику.

  2. Добавьте в группу соответствующие учетные записи компьютеров.

  3. На вкладке «Область» объекта групповой политики в разделе «Фильтрация безопасности» удалите все сущности и добавьте группу безопасности, созданную на шаге 1.

  4. Готово.

Я все время делаю то, что ты делаешь. Когда вы говорите: «Затем я установил разрешения для объекта групповой политики, чтобы запретить доступ к этой группе», непонятно, что вы делаете. Вот мой рабочий процесс для отказа группе в праве на применение GPO:

  • Создать глобальную группу безопасности «Компьютеры, для которых не требуется удаление принтеров»
  • Откройте Управление групповой политикой, найдите объект групповой политики для удаления принтеров и «отредактируйте» объект групповой политики.
  • Щелкните правой кнопкой мыши узел верхнего уровня в консоли редактора объектов групповой политики, перейдите на вкладку «Безопасность», добавьте в разрешение «Компьютеры, для которых не требуется удаление принтеров» и установите разрешение для «Компьютеры, для которых не требуется удаление принтеров». группу, чтобы включить «Применить групповую политику» с разрешением «Запретить»

Редактор разрешений в консоли управления групповой политикой уступает редактору объектов групповой политики. Вы не увидите фактический ACL в управлении групповой политикой, если не нажмете кнопку «Дополнительно» на вкладке «Делегирование». Я "олдскульный" и привык к изменению разрешений GPO еще до появления консоли управления групповыми политиками, поэтому до сих пор делаю это так, как описал выше. А теперь слезай с моей лужайки! > улыбка <

Если вас беспокоит, что компьютер не «подбирает» членство в группах, выполните на компьютере команду «whoami / all» от имени СИСТЕМЫ и просмотрите результат. Это покажет вам, что на самом деле включает в себя токен безопасности компьютера. У меня не было опыта с компьютерами, не «распознающими» членство в группах.

Я не совсем уверен, потому что у меня нет возможности протестировать здесь, но насколько я помню, вы не сможете объединять компьютеры в группы и запрещать группу. Вы должны поставить каждый компьютер и запретить каждому ....

Может, найдешь что-нибудь с помощью GPP.