Questione : Pratica ottimale limitata dei gruppi

Attualmente stiamo migrando tutti i nostri assistenti alla nube e strenghthening la nostra sicurezza sui nostri assistenti e facciamo alcuni installare questions.

Our: il

I ha cominciato utilizzare i gruppi limitati nella politica del gruppo per dare i diritti di admin ai gruppi di assistenti (gli assistenti di base di dati permettono il DB Admins e Admins da controllare, servres di fotoricettore permette il fotoricettore Admins e Admins, ecc…)il

I ha questa messa a punto come segue: il

- genera un gruppo la base di dati Users
- di politica sconnette gli utenti autenticati dalla politica del gruppo, il
- degli assistenti di base di dati del gruppo di sicurezza locale di collegamento (membri sono assistenti di base di dati) genera il

In di Admins della base di dati del gruppo di sicurezza locale (membri sono clienti del coordinatore di base di dati) la politica del gruppo ho aggiunto il gruppo di Admins della base di dati ed i nostri admins accounts.

We dell'azienda stanno ottenendo alla necessità del punto I di ripensare la mia procedura ed ora realizzare esso o la conservazione che cosa sto facendo ed aggiungere a it.

We avranno assistenti in città multiple nella nube e voglio installare le politiche del gruppo per permettere che soltanto i admins locali della città abbiano controllo di questi assistenti, admins specifici (DB Admins che - sarà nazione sparsa largamente) e

If dei admins (chi possono amministrare tutto) io generano una politica del gruppo ed i gruppi di sicurezza locale appartenenti per ogni piano d'azione (appena come il DB Admins è già) un briscola un altro? il

What sarebbe un buon senso di fare questo? il

If che comincio realizzare un nuovo senso io deve ripartire gli assistenti? Non sto indovinando…

Just che cerca l'input su come dovremmo andare circa this. class= del

Risposta : Pratica ottimale limitata dei gruppi

Ciao,

Le politiche limitate dei gruppi non si fonderanno… Significo, se generate parecchio GPOs che contiene le regolazioni limitate dei gruppi per controllare lo stesso gruppo locale, l'ultimo GPO applicato scrivo sopra che cosa il precedenti hanno fatto.

Infatti, una forza limitata di politica del gruppo il contenuto di un gruppo locale da abbinare esattamente che cosa è fatto esplicitamente nel GPO, niente più, niente di meno.

Così se realmente volete usare i gruppi limitati per raggiungere il vostro obiettivo dovete accertarti che per un gruppo locale specifico soltanto UN GPO faccia domanda su ogni assistente e che forza di GPO l'intero contenuto del gruppo locale.

Potete usare parecchi gruppi limitati GPO per controllare parecchi gruppi locali fino a che 2 dei questi GPOs non si comportino mai uno lo stesso gruppo locale.

Se capissi bene il vostro caso che volete alcuni gruppi globali specifici essere membro di dipendenza del gruppo locale di Admin della posizione, l'altro gruppo globale specifico se l'assistente è il membro “del gruppo dei calcolatori degli assistenti di DB„…
Nel mio parere questo sembra impossible da verificarsi da un senso ragionevole using i gruppi limitati, perché sareste forza per avere un GPO per ogni combinazione di posizione e di codice categoria dell'assistente.
E più codici categoria dell'assistente avete di meno che è possibile perché il numero delle combinazioni è esponenziale.

Nel mio parere, soltanto scripting può dargli una buona soluzione. Immaginiamo quello:

1) avete un primo GPO contenere uno scritto startup che rimuove tutti i gruppi globali “nei coordinatori„ ed aggiunge il gruppo globale dei admins corporativi soltanto.
2) avete altri GPO contenere uno scritto startup che aggiungono il gruppo globale dei admins della città nella dipendenza del gruppo locale “dei coordinatori„ del luogo dell'ANNUNCIO (esempio: un GPO per luogo dell'ANNUNCIO o soltanto un GPO ma con la dipendenza dello scritto comportandosi diversamente del luogo dell'ANNUNCIO).
3) avete un terzo GPO che aggiunge “il gruppo globale dei admins di DB„ al gruppo locale “dei coordinatori„.
4) avete un quarto GPO che aggiunge “il gruppo globale dei admins di fotoricettore„ al gruppo locale “dei coordinatori„.

Allora fate le cose sulla priorità di GPO in moda da applicare inizialmente il primo GPO.
Per il terzo GPO usate il gruppo che filtra per applicare GPO soltanto se l'assistente è membro “degli assistenti di DB„
Per il quarto GPO usate il gruppo che filtra per applicare GPO soltanto se l'assistente è membro “dei web server„
L'ordine d'applicazione fra secondo, terzo e quarto GPOs non è importante perché questi scritti aggiungono soltanto i nuovi membri “in coordinatori„ e non rimuovono niente

Un altro senso è di avere uno scritto unico che fa le prove degli insiemi dei membri e si comporta diversamente dipendenza dell'insieme dei membri dell'assistente. Ciò facilita la struttura di GPO ma fa lo scritto complicato.

Il problema se usate scripting è che “gli scritti startup„ funzionano soltanto una volta alla partenza dell'assistente. Così i cambiamenti nei gruppi “dei coordinatori„ soltanto si applicheranno o riapplicheranno a ripartenza.

Avere un buon giorno.

Altre soluzioni

Sysprepping Windows 7 pc

Ciclaggio complesso di domanda di Coldfusion

SPContext.Current sta restituendo la posizione di segnale minimo nell'alimentatore di evento “di SPItemEventReceiver„.

IL CSS che IL MIME errato scriv dentro Firefox a macchina su Apache, il testo/css .css di AddType è là

MAcbook pro rifiuta di collegarsi via Ethernet ma impianti via il wifi

Cliente del Java applet - Eccezione di sicurezza

Mostrare tutte le annotazioni nella domanda se niente selezionato in Listbox - la parte II

Mouseover su div.a cambia la disposizione di div.b (CSS puro)

Azionamento duro PowerEdge guast 1850 di incursione 1

asp - La risorsa non ha potuto essere trovata