如何在组策略中做例外?
Cae*_*lan 5 active-directory group-policy
我们是第一次在我们的组织中实施组策略,并且对最佳实践和功能有一些疑问。我们已经做了一些工作,想看看是否有更好的方法。
我们目前的设置
我们的安全过滤设置如下:
EXCEPT Firewall AllowFilePrintSharing
Group: Firewall AllowFilePrintSharing PCs
EXCEPT Firewall AllowRDP
Group: EXCEPT Firewall AllowRDP PCs
EXCEPT Firewall Unmanaged
Group: EXCEPT Firewall Unmanaged PCs
Workstations Policy
Authenticated Users
Folder Redirection
Group: Folder Redirection PCs
Authenticated Users
Proxy Disabled
Group: Proxy Disabled PCs
Authenticated Users
Loopback Policy Processing - Replace
Authenticated Users
我们的目标
为所有具有默认策略的最终用户 PC 设置一个 OU,然后能够通过将 PC 添加到其他地方的 AD 组来拥有覆盖某些默认策略的例外策略。将用户留在其用户 OU 下。
除了将所有 GP 和 PC 链接到工作站并删除两个内部 OU 之外,它基本上都在上面。
例子
工作站 OU 有 100 台 PC,其中 10 台应启用文件夹重定向。识别这 10 台 PC 并将它们添加到名为“文件夹重定向 PC”的 AD 组中。登录到这 10 个工作站的任何用户都将启用文件夹重定向。
我们的尝试
我们尝试将所有 PC 添加到工作站 OU 并按照我们的目标部分中的描述构建组。由于文件夹重定向(和禁用代理)设置是用户策略,我们无法将它们应用到 PC。我们让它工作,但前提是我们将用户添加到策略的安全过滤器以及 AD 组。由于我们希望任何登录这些 PC 的用户都被重定向到文件夹,因此我们必须将其分配给“经过身份验证的用户”,然后将其应用于此 OU 中的所有 PC。
环回策略处理
我们已经在许多配置中尝试过这个,但无法让它按照我们认为的预期运行。我们的理解是,我们应该能够将用户设置与计算机设置一起链接到工作站。如果启用了环回策略处理,那么它应该运行所有计算机策略、所有用户策略,然后是在替换或合并模式下分配给这些计算机的所有用户策略。
问题
- 有没有更好的方法来完成我们想要完成的任务?
- 大多数组织是将所有工作站都保存在一个 OU 中(就像我们试图做的那样),还是将其分开(就像我们已经实施的那样)?
- 我们想要的异常类型是否有意义?防火墙的工作正常,因为它们是计算机策略,但是当我们想要将用户策略应用于登录到这些 PC 的所有用户时,该系统就会崩溃。
- 除了 GPRESULT/RSOP 之外,是否还有其他工具可以很好地解决此类问题?
- 任何人都可以推荐任何视频/博客/专家以了解有关 GP 最佳实践的更多信息吗?微软在某处有这个文档吗?似乎很难找到。
有没有更好的方法来完成我们想要完成的任务?
使用安全组过滤来使计算机免受各种计算机策略的影响是有意义的,我认为您的处理方式是正确的。
我不确定我是否 100% 清楚您在文件夹重定向设置方面实际想要完成的任务。最终的业务目标是什么?这些特殊的文件夹重定向计算机是否配置为允许用户在它们之间自由移动?在使用了应用了文件夹重定向的计算机(并且找不到文件)后,使用未应用文件夹重定向的计算机时,预期的用户体验是什么?我不确定你是否已经完全考虑清楚了这一部分。
您似乎不愿意将组策略应用于用户对象。我很想知道原因。仅当用户登录到某些计算机时才应用“文件夹重定向”有点不合常规。更一般地说,组策略的环回处理并不是常态,尽管我承认我经常使用它。从学习的角度来看,立即投入环回处理是一个大胆的举动。
特别要谈到文件夹重定向,我通常发现文件夹重定向在整个组织中作为默认设置应用时效果最佳。与漫游用户配置文件一起,它可以使客户端计算机在用户数据方面几乎“无状态”。我通常希望几乎每个用户都能够访问几乎任何计算机、登录并访问他们的文件和用户设置。
这并不是说没有计算机可以使用环回处理来“免除”文件夹重定向(并且我可能只强制启用本地配置文件),但这些计算机只是少数和例外,而不是默认设置。(例如,自助服务终端计算机和专用单任务计算机。)
我还存在需要使用户免于文件夹重定向的场景(承包商、面向任务的用户等),并且由于我几乎专门对用户应用文件夹重定向策略,这最终会成为一个 OU 层次结构,其中“无文件夹”定位“重定向”用户,或者安全组过滤以免除用户的文件夹重定向。
大多数组织是否将所有工作站保留在一个 OU 中(就像我们正在尝试做的那样),还是将其分开(就像我们已经实现的那样)?
在实践中,我已经见过这两种情况,但我发现“让我们将所有计算机堆放在一个 OU 中”很笨拙,通常会导致过度使用安全组成员资格对组策略应用程序进行过滤。我个人从来没有这样做过。如果不出意外,我仍然会将客户端计算机分解为描述其物理位置的 OU,以便更容易查找。
您的 OU 层次结构应首先设计用于委派 Active Directory 对象的管理控制。通常情况下,公司不会对客户端计算机对象的管理控制进行划分。请记住,我不是在谈论计算机上的“本地管理员权限”,而只是在管理 AD 中的计算机对象的管理控制。
满足控制委派需求后,OU 层次结构的第二个设计决策应与组策略的应用相关。我更喜欢尽可能使用 OU 来控制组策略的应用,因为它消除了安全组过滤的需要(并且这样做,消除了忘记填充计算机的安全组成员身份的可能性)。可能存在需要应用于 OU 层次结构中计算机的“分散式”分布的 GPO,这是使用安全组过滤的最佳位置。
我们想要的例外类型有意义吗?防火墙工作正常,因为它们是计算机策略,但是当我们想要将用户策略应用于登录到这些 PC 的所有用户时,该系统就会崩溃。
根据您关于该主题的段落最后一句的阐述,您对环回处理的理解似乎是正确的。需要明确的是:环回处理可以正常工作。我在几个客户站点上几乎所有计算机上都相当广泛地使用它。
您尝试通过有选择地应用文件夹重定向来执行的操作是可以完成的,但我要提醒您的是,文件夹重定向的作用不一定与从管理模板应用于用户注册表的设置相同。如果没有看到您广告的所有细节,我很难说出为什么您没有看到您期望的结果。举个例子:如果用户配置了漫游用户配置文件并登录到具有环回处理的计算机,以便将文件夹重定向应用于该用户的配置文件,则文件夹重定向设置将“粘住”他们的配置文件并“跟随”他们甚至到未通过环回处理应用文件夹重定向的计算机。
除了 GPRESULT/RSOP 之外,是否还有其他工具适合解决此类问题?
可以肯定的是,我发现这些工具很有用。有时,如果我觉得某个组策略客户端扩展 (CSE) 出现问题,我可能会启用调试输出(使用GPSvcDebugLevelWindows 7 中的设置,或Windows XP 上的UserEnvDebugLevel或RunDiagnosticLoggingGlobal设置)。
主要是,我认为能够在脑海中概念化组策略应用程序过程非常重要。我认为组策略管理控制台中的“建模”和规划功能是支撑系统管理员的拐杖,他们懒得去了解产品如何制定策略应用决策。
用于确定给定计算机或用户对象(我称之为“主题”)的组策略应用程序的算法如下:
从域的顶部开始,查找任何链接的组策略对象。不用担心安全组或 WMI 过滤 - 只需找到域顶部链接的所有 GPO 即可。在标题为“非强制 GPO”的列表底部按链接顺序对它们进行注释。如果您发现某个 GPO 与“强制”(或者过去为“禁止覆盖”)选项集链接,请将其添加到标题为“强制 GPO”的第二个列表的底部,而不是“非强制 GPO”列表。始终按照 GPO 在每个 OU 链接的顺序将 GPO 添加到列表(链接顺序很重要)。
将 OU 层次结构向下移至主题所在的 OU。在每个 OU 中,找到任何链接的 GPO 并将它们添加到您的列表之一(“非强制 GPO”或“强制 GPO”),就像您在域顶部所做的那样。如果您发现某个 OU 设置了“阻止继承”选项,请先清除“非强制”列表中的所有内容,然后再将链接到该 OU 的 GPO 添加到列表中。不过,“阻止继承”不会影响“强制”列表。
当您向下浏览 OU 时,您可能会发现多次链接的相同 GPO。没关系。按照您找到它的顺序将其添加到相应列表的底部,即使它已经在列表中。
在这里,了解环回处理背后的机制非常重要。启用的所有环回处理都会导致构建要应用的 GPO 列表的算法发生更改。
当在“替换”模式下启用环回处理时,您只需将登录计算机所在的 OU 视为用户登录位置,并相应地构建 GPO 列表。当处于“合并”模式时,您首先在自己的 OU 中为用户构建列表,然后在域的顶部重新开始,并添加到已构建的列表中,添加在域顶部链接的 GPO并将层次结构中的每个 OU 向下移动到计算机对象。
在到达主题所在的 OU 后,您创建的列表是可应用于该主题的 GPO 列表。它们的应用顺序是从上到下首先是“非强制 GPO”列表,然后是“强制 GPO”列表,如下所述。
您可以使用以下过程从这些列表中计算策略结果集:
首先检查“非强制 GPO”列表中的第一个 GPO,检查其权限和 WMI 筛选设置,以确定它是否可以应用于主题。当您计算计算机的 RSoP 时,请考虑计算机的组成员身份以确定安全筛选资格。当您计算用户的 RSoP 时,请考虑该用户的组成员身份。在环回处理模式下计算用户 RSoP 时,仅用户的组成员身份适用于安全过滤器(即,启用环回处理时,计算机组成员身份对用户登录的 RSoP没有影响)。
如果可以应用 GPO,则根据安全组筛选和 WMI 筛选,在标题为“策略结果集”的新列表中注释其应用的设置。(显然,如果您正在为计算机构建 RSoP,则只需查看 GPO 的计算机部分进行设置,以及用户部分进行设置。)
当您向下移动 GPO 列表时,如果较低的 GPO 更改了已放置在“策略结果集”列表中的设置,请删除已存在的设置,并将其替换为较低位置的 GPO 中的设置。列表。这就是 GPO 相互“覆盖”的方式——这些设置只是应用到已经应用的设置上。没什么特别的。
如果您发现列表中多次链接相同的 GPO,请不要执行任何特殊操作。只需对其应用相同的逻辑即可。对于该算法来说,它的多个链接这一事实是无关紧要的。
浏览完所有“非强制 GPO”条目后,对“强制 GPO”列表执行相同的操作,从列表顶部开始,将列表中每个 GPO 的设置应用到相同的“结果集”已应用“非强制 GPO”设置的策略”列表。通过最后执行“强制 GPO”列表,您可以使它们的设置比“非强制 GPO”具有更多“权重”。在幕后,“强制”并没有什么特别之处。该设置只是使“强制”GPO 在此过程中稍后应用。
上述算法有一个特殊的例外:域控制器计算机仅识别来自域顶层链接的 OU 的“计算机配置/Windows 设置/安全设置/帐户策略”设置。这些 GPO 为域创建密码和帐户策略。(可以使用细粒度密码策略进一步覆盖这些设置,但这超出了本讨论的范围。)链接到低于顶部的 OU 的 GPO 的“计算机配置/Windows 设置/安全设置/帐户策略”部分中的任何设置域控制器计算机会忽略域的级别。
就是这样。这就是组策略应用算法。(它在产品中的实现方式略有不同,但此方法在功能上是等效的。)实际上,没有什么太多的。
我在一所社区大学教授“微软官方课程”的认证课程多年。我发现,一旦学生理解了这个算法,“灯就会亮起来”,我收到的关于“为什么这个政策不适用?”的问题数量也随之增加。下降到几乎为零。
谁能推荐一些视频/博客/专家来查找以了解有关全科医生最佳实践的更多信息?微软有这个文档吗?好像很难找。
在Active Directory 设计方面,针对Windows 2000 Server 和Windows Server 2003 的文档仍然完全有效。如今,影响 Active Directory 结构设计决策的基本功能和因素与 AD 发布时相同。
同样,组策略也没有发生显着变化。是的,组策略可以影响的特定设置已更改,但管理应用程序进程的规则是相同的,尽管某些内容的名称已更改(例如,“禁止覆盖”变为“强制”)并且添加了功能(如 WMI 过滤)。所有基本概念仍然有效。
我见过的大多数组策略文档和参考网站似乎都陷入了“哦,天哪,看看你可以应用的所有这些令人兴奋的设置”,并将了解应用程序过程视为事后的想法,你只是使用 GPMC 建模处理。对我来说,这是一种倒退的想法。一旦您了解了 GPO 的实际应用方式,您就可以深入了解这些设置。(先了解如何启动汽车,然后再了解音响系统和电动车窗的工作原理。当然,敞篷车顶很华丽,但如果你无法启动汽车,它就无法工作。)
以下是一些我认为合理的与 Active Directory 设计相关的 Microsoft 资源:
Designing the Active Directory Logical Structure - 与组策略没有直接关系,但对 Active Directory 设计进行了很好的讨论
除了参考资料之外,我认为进行实验和测试非常重要,既可以熟悉产品的功能集,也可以验证您的设计。
假设您正在使用一组独立的 OU 和“一次性”用户和计算机对象,您可以在生产域中“使用”组策略而不受惩罚(至少对于客户端计算机 - 对于服务器,尤其是域控制器,在测试环境中玩可能会更好)。如果需要,您可以使用“块继承”OU 来模拟域的顶部,并在其下构建整个模拟环境。(如果您需要模拟站点级组策略,您还必须创建一个模拟站点对象......不过,除了我之外,几乎没有人使用它。)
旁白:Zow——在使用服务器故障近 5 年之后,我终于有时间和机会写下我以前在社区大学课堂上的 GPO 处理讲座。所以,让我们看看这里 - 我已经根据旧的讲义写了 IPv4 子网划分文章,我已经达到 100K,并且即将获得“传奇”徽章。
我在这里的任务即将完成。
| 归档时间: |
|
| 查看次数: |
6966 次 |
| 最近记录: |