Cuestión : Mejor práctica restricta de los grupos

Estamos emigrando todos nuestros servidores a la nube y strenghthening actual nuestra seguridad en nuestros servidores y hacemos algunos questions.

Our fijar: el

I ha comenzado a utilizar a grupos restrictos en la política del grupo para dar las derechas del admin a los grupos de servidores (los servidores de base de datos permiten que el DB Admins y Admins controle, los servres del Web permiten el Web Admins y Admins, etc…) que el

I tiene esta disposición como sigue: el

- crea a grupo que la base de datos Users
- de la política desata a usuarios authenticados de la política del grupo, el
- de los servidores de base de datos del grupo de seguridad local del acoplamiento (los miembros son servidores de base de datos) crea el

In de Admins de la base de datos del grupo de seguridad local (los miembros son cuentas del administrador de base de datos) la política del grupo agregué a grupo de Admins de la base de datos y nuestros admins accounts.

We de la compañía están consiguiendo a la necesidad del punto I de repensar mi procedimiento y ahora ejecutar lo o la subsistencia qué estoy haciendo y agregar a it.

We tendrán servidores en ciudades múltiples en la nube y quiero fijar políticas del grupo para permitir que solamente los admins locales de la ciudad tengan control de éstos ¿los servidores, los admins específicos (el DB Admins - será nación dispersada de par en par), y el

If de los admins (quién pueden administrar todo) yo crearon a una política del grupo y a grupos de seguridad local que pertenecen para cada panorama (apenas como el DB Admins es ya) un triunfo otro? ¿el

What sería una buena manera de hacer esto? ¿el

If que comienzo a ejecutar una nueva manera yo necesita reanudar los servidores? No estoy conjeturando ninguÌn…

Just que busca la entrada en cómo debemos ir alrededor this. class= del

Respuesta : Mejor práctica restricta de los grupos

Hola,

Las políticas restrictas de los grupos no se combinarán… Significo, si usted crea vario GPOs que contiene ajustes restrictos de los grupos para controlar al mismo grupo local, el GPO aplicado pasado sobreescribo lo que han hecho el anteriores.

De hecho, una fuerza restricta de la política del grupo el contenido de un grupo local a emparejar exactamente qué se hace explícitamente en el GPO, nada más, nada menos.

Tan si usted quiere realmente utilizar a grupos restrictos para alcanzar su meta usted debe asegurarse de que un grupo local específico solamente UN GPO solicite en cada servidor y de que fuerza de GPO el contenido entero del grupo local.

Usted puede utilizar varios grupos restrictos GPO para controlar a varios grupos locales hasta que 2 de estos GPOs nunca actúen uno el mismo grupo local.

Si entendía bien su caso que usted quisiera que algunos grupos globales específicos fueran miembro de la dependencia del grupo local del Admin de la localización, el otro grupo global específico si el servidor es el miembro “del grupo de las computadoras de los servidores del DB”…
En mi opinión esto parece imposible de obtener por una manera razonable usar grupos restrictos, porque usted sería fuerza para tener un GPO para cada combinación de localización y de clase del servidor.
Y más clases del servidor usted tiene menos que es posible porque el número de combinaciones es exponencial.

En mi opinión, solamente el scripting puede darle una buena solución. Imaginémosnos eso:

1) usted tiene un primer GPO el contener de una escritura de lanzamiento que quite a todos los grupos globales en los “administradores” y agregue el grupo global de los admins corporativos solamente.
2) usted tiene otros GPO el contener de una escritura de lanzamiento que agreguen el grupo global de los admins de la ciudad en la dependencia del grupo local de los “administradores” del sitio del ANUNCIO (ejemplo: un GPO por sitio del ANUNCIO o solamente un GPO pero con la dependencia de la escritura actuando diferentemente del sitio del ANUNCIO).
3) usted tiene un tercer GPO que agregue “el grupo global de los admins del DB” al grupo local de los “administradores”.
4) usted tiene un cuarto GPO que agregue “el grupo global de los admins del Web” al grupo local de los “administradores”.

Entonces usted hace cosas en prioridad de GPO para aplicar el primer GPO al principio.
Para el tercer GPO usted utiliza a grupo que filtra para aplicar GPO solamente si el servidor es miembro de los “servidores del DB”
Para el cuarto GPO usted utiliza a grupo que filtra para aplicar GPO solamente si el servidor es miembro de “web server”
La orden de aplicación entre 2do, 3ro y 4to GPOs no es importante porque estas escrituras agregan solamente a nuevos miembros en “administradores” y no quitan nada

Otra manera es tener una escritura única que haga pruebas de calidades de miembro y actúe diferentemente dependencia de la calidad de miembro del servidor. Esto simplifica la estructura de GPO pero hace la escritura complicada.

El problema si usted utiliza scripting es que las “escrituras de lanzamiento” funcionan solamente una vez en el arranque del servidor. Los cambios en grupos de los “administradores” se aplicarán tan o reaplicarán solamente en la reinicialización.

Tener un buen día.

Otras soluciones

Cómo fijar un número de líneas en un informe

Cómo fijar extremo del aeropuerto como servidor del DHCP en el LAN con SonicWall

Ediciones del enlace hipertexto

Agregar la fecha a MySQL

Pares de las preguntas de Apple

El DNS reverso no empareja la bandera del smtp

¿Cómo puedo funcionar conmigo PC en modo seguro?

HISTOGRAMA CON EL CP Y EL ANÁLISIS DE CPK

reglas no corrientes de la perspectiva

volver un valor