Фільтрування об’єктів групової політики щодо груп безпеки
Структура організаційної одиниці (Organizational Unit, OU) в домені Active Directory має важливе значення. Вона повинна забезпечувати повноцінне централізоване управління, бути гнучкою і водночас простою. Тим не менш, бувають ситуації, в яких потрібне застосування глобальних налаштувань для користувачів або комп'ютерів, що належать до різних організаційних одиниць.
Існує можливість створити об'єкт групової політики (Group Policy Object, GPO) для організаційної одиниці або всього домену та застосувати його лише до окремих користувачів або комп'ютерів, що входять до певної групи безпеки. Це особливо актуально у випадках, коли вимоги конфігурації окремих облікових записів не узгоджуються зі структурою організаційної одиниці. Принцип дії однаковий як комп'ютерів, так користувачів, але для початку варто відфільтрувати їх за типами.
У моєму прикладі на верхньому рівні домену розташовані два об'єкти групової політики, які застосовуються до всіх об'єктів домену, але окремо для користувачів та комп'ютерів. На рис. A показані ці два GPO в корені домену.
Можна обійтися без GPO верхнього рівня, але для зручності в моєму прикладі буде використаний саме такий підхід. Найпростішим із найбільш оптимальних варіантів буде розташувати всіх користувачів на верхньому рівні однієї організаційної одиниці, а всі комп'ютери на верхньому рівні іншої. Тоді об'єкти групової політики для кожного типу облікових записів розміщуватимуться у відповідній організаційній одиниці.
У моєму прикладі об'єкти названі відповідно до принципів самодокументування: «Filter-GPO-ComputerAccounts» та «Filter-GPO-UserAccounts». Імена вказують на те, що дані об'єкти групової політики відфільтровані за групами«GPO-ComputerAccounts» і «GPO-UserAccounts», які теж носять назви, що говорять. Обидві групи безпеки показано на рис. B.
До групи безпеки "GPO-ComputerAccounts" входять два облікові записи комп'ютерів. Комп'ютери, як і користувачі, можуть входити до груп безпеки.
Визначивши організаційні одиниці та групи безпеки, можна налаштувати фільтри таким чином, щоб об'єкти групової політики застосовувалися лише до певних членів групи. Спочатку потрібно видалити з GPO стандартний елемент «Авторизовані користувачі» (Authenticated Users) з правами читання. Цей елемент виділено на рис. З червоним.
Після цього потрібно додати групу безпеки на вкладці «Безпека» (Security) об'єкта групової політики та дозволити їй читання та застосування групової політики. На рис. B показано настройки для групи «GPO-ComputerAccounts» та об'єкта «Filter-GPO-ComputerAccounts».
Зверніть увагу на виділену кнопку "Додатково" (Advanced) внизу вікна. Якщо параметри безпеки конфігуруються після створення GPO, можна за допомогою вікна, в якому налаштовується дозвіл застосовувати групову політику. Після цього GPO можна застосовувати до груп безпеки.