Оптимальные методы GPO: фильтрация групп безопасности в сравнении с OU

Добрый день, всем,

Я довольно новичок в материалах Active Directory. После обновления функционального уровня нашего AD с 2003 по 2008 год R2 (мне нужно, чтобы он применял мелкозернистую политику паролей), я тогда начал реорганизовывать свои подразделения. Я помню, что хорошая организация OU облегчает применение GPO (и, возможно, GPP). Но в конце мне кажется более естественным использовать фильтрацию групп безопасности (со вкладки Scope) для применения моих политик вместо прямого OU .

Как вы думаете, это хорошая практика или я должен придерживаться OU?

Мы небольшая организация с 20 пользователями и 30-35 компьютерами. Итак, мы получили простое дерево OU, но более тонкое разделение с группами безопасности.

Дерево OU не содержит никаких объектов, кроме нижнего уровня. Каждое подразделение нижнего уровня содержит компьютеры, пользователи и, конечно же, группы безопасности. Эти группы безопасности содержат Users & Компьютеры того же OU.

Спасибо за ваши советы, Оливье

7 голосов | спросил Olivier Rochaix 29 42012vEurope/Moscow11bEurope/MoscowThu, 29 Nov 2012 20:32:35 +0400 2012, 20:32:35

2 ответа


7

Преимущества использования макета GPO на основе OU

  • Легче сразу увидеть выполненный набор объектов

  • Меньше служебных обязанностей, чем управление дополнительными группами безопасности

  • Меньшая репликация на другие контроллеры домена и меньшие токены пользователя, так как вам не нужна группа дополнительных групп безопасности (это, вероятно, не имеет большого значения для меньшей инфраструктуры, как вы описываете)

  • В большинстве организаций почти все политики могут применяться на уровне OU в хорошо спроектированном AD

  • Простое делегирование

Преимущества использования макета GPO на основе области

  • Более гибкий

  • Решает проблему where should I put this object?, которая возникает для сотрудников, которые могут «разделять» отделы

  • Вы можете делегировать возможность добавления членов в группы, что позволит сотрудникам службы поддержки управлять политиками, где не предоставляется доступ к изменяющимся объектам групповой политики


В действительности, большинство организаций, с которыми я столкнулся, используют гибридный подход. Объект групповой политики, который может применяться на основе OU, обычно присваивается подразделению, а все, что «пересекает» OU или нуждается в фильтрации для подмножества OU, использует фильтрацию безопасности или таргетинг на уровне объекта.

Фактически, я на самом деле просто развернул один объект групповой политики, чтобы сопоставить 50 принтеров с различными отделами, и он был связан на уровне домена и использует таргетинг на уровне позиции. Однако почти все другие объекты групповой политики, которые у нас есть, связаны с подразделением с фильтрами безопасности по умолчанию.

TL; DR - делать то, что имеет смысл для вашей организации.

ответил MDMarra 29 42012vEurope/Moscow11bEurope/MoscowThu, 29 Nov 2012 20:46:12 +0400 2012, 20:46:12
0

Я думаю, все зависит от сложности среды, которую вы пытаетесь настроить с помощью групповой политики. Помня о том, что объект может находиться только в одном подразделении, где объект может находиться в более одной группе безопасности. В простых средах (например, как вам кажется) я бы предложил также поддерживать ваши политики и применение этих политик.

ответил Brian W 29 42012vEurope/Moscow11bEurope/MoscowThu, 29 Nov 2012 20:47:43 +0400 2012, 20:47:43

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132