By: adminPosted on

hvis du gerne vil læse de andre dele i denne artikelserie, skal du gå til:

  • Top 10 grunde til, at gruppepolitikken ikke finder anvendelse (Del 1)
  • Top 10 grunde til, at gruppepolitikken ikke finder anvendelse (Del 2)

introduktion

i vores første to rater af dette emne kiggede vi på 7 grunde til, at Gruppepolitik muligvis ikke fungerer korrekt i dit miljø. Ser tilbage på dem 7 grunde udsatte nogle nøglefaktorer omkring Gruppepolitik. For det første er Gruppepolitik afhængig af korrekt godkendelse via DNS til domænecontrollere ved hjælp af Kerberos til godkendelsesprotokollen, omfanget af styring og brug af den korrekte objekttype for hver indstilling i en GPO. Derefter kiggede vi på GPO-forrang (LSDOU) og sikkerhedsfiltrering. I denne rate, vi vil se på ingen tilsidesættelse, blok arv, og VMI filtre.

håndhævet (ingen tilsidesættelse) er indstillet på GPO

som standard har hver GPO, der er konfigureret, ingen sikkerhedsfiltrering, håndhævet (ingen tilsidesættelse), blokarv osv. Imidlertid, der kan være et tidspunkt, hvor nogen opretter en af disse funktioner. Vi kiggede på sikkerhedsfiltrering, men nu ser vi på håndhævet (ingen tilsidesættelse). Håndhævet (ingen tilsidesættelse) er en indstilling, der pålægges en GPO sammen med alle indstillingerne i GPO, så enhver GPO med højere forrang ikke “vinder”, hvis der er en modstridende indstilling.

det er vigtigt at forstå, at GPO-arv fungerer med LSDOU (lokalt, sted, domæne, OU). Når du ikke har indstillet nogen tilsidesættelse på en GPO, negeres dette begreb om forrang. Håndhævet (ingen tilsidesættelse) indstiller den pågældende GPO til ikke at blive tilsidesat af nogen anden GPO (som standard, selvfølgelig).

et godt eksempel her er at indstille Standarddomænepolitikken for håndhævet (ingen tilsidesættelse), så indstillingerne for adgangskodepolitik indeholdt i den ikke trumfes af en GPO på domænet for domænebrugere eller på en OU for lokale SAM-brugere i computere placeret i OU. Du kan se, at dette er angivet på Standarddomænepolitikken i Figur 1.


Figur 1:
håndhævet (ingen tilsidesættelse) er indstillet til Standarddomænepolitikken.

der er et par ting, du skal overveje, når du indstiller håndhævet (ingen tilsidesættelse). Først indstilles GPO til den højeste forrang fra det sted, hvor GPO er knyttet ned gennem ANNONCESTRUKTUREN. For det andet, hvis en højere forrang GPO (såsom på et OU-niveau i vores eksempel) også er indstillet til håndhævet (ingen tilsidesættelse), vil den ikke have højere forrang end den GPO, der er knyttet højere i ANNONCESTRUKTUREN. Dette er så en ou-administrator kan ikke indstille en GPO til at have højere forrang end en domæneadministrator.

blok arv er indstillet på Active Directory Node

en anden funktion, selvom det ikke foreslås at bruge regelmæssigt, er evnen til at blokere arv af standard Gruppepolitik behandling ned gennem Active Directory. Som det er blevet nævnt mange gange i dette sæt artikler, overholdes LSDOU-forrang for anvendelse af Gruppepolitik og konfliktløsning.

funktionen Blokarv er en, der er indstillet på enten domæneknudepunktet eller en organisatorisk enhed. Selvom sider kan have en linket GPO, er den eneste GPO, der har svagere forrang end den linkede GPO, lokal, og lokale Gpo ‘ er kan ikke blokeres med denne funktion.

hvad funktionen gør, er at blokere alle svagere forrang Gpo ‘ er forbundet med det niveau, hvor indstillingen Blok arv er etableret. Så hvis Blokarv er indstillet på et andet niveau OU, vil alle Gpo ‘ er, der er indstillet på domænet og det øverste niveau OU, blive blokeret, hvilket ikke påvirker brugerne og computere, der er placeret i det andet niveau OU. Kun de Gpo ‘ er, der er knyttet til ou på andet niveau, ville have nogen virkning. Selvfølgelig, hvis der var flere niveauer af OU ‘er under det andet niveau, ville disse Gpo’ er også være effektive, bare ikke dem, der har svagere forrang. Du kan se, hvordan dette påvirker Gpo ‘ er ved at se på figur 2 og 3. Figur 2 har ingen blok arv sæt, mens figur 3 har indstillingen etableret på andet niveau OU.


figur 2:
standard GPO forrang og arv på andet niveau OU.


figur 3:
Blokarv er indstillet på andet niveau OU.

VMI-filter er forkert

VMI-filtre er en effektiv måde at kontrollere, hvilke objekter (brugere eller computere) der modtager indstillingerne i en GPO. Dette filter er en enkeltstående fil, der er knyttet til en eller flere Gpo ‘ er. Når Gruppepolitikindstillingerne fra hver GPO evalueres, afgør filteret, om de forespørgsler, der er inkluderet i filteret, kommer tilbage som positive eller negative. Hvis det er positivt og opfylder kriterierne i filteret, vil indstillingerne i GPO, som filteret er knyttet til, blive anvendt.

selvfølgelig kan du se, hvor der kan være mange områder i denne proces, som f.eks. For det første, hvis filen ændres eller slettes, men linket til filteret forbliver intakt, vil filteret ikke blive opfyldt, og indstillingerne i GPO vil derfor ikke gælde. Dernæst, hvis filteret har syntaktiske fejl, hvilket får forespørgslen til at mislykkes, vil indstillingerne i GPO heller ikke gælde. Endelig, hvis forespørgslen er designet forkert, eller logikken for succesen med den generelle anmodning er forkert, gælder GPO-indstillingerne ikke.

brug kun filtre, hvor der ikke er andre muligheder, da filtre har mange områder, hvor de kan negere alle indstillingerne i GPO fra at anvende, plus filtre er meget langsomme til at evaluere og anvende. Selv i PUNKTMÅLRETNING (ILT), der er placeret i gruppepolitiske præferencer, skal du bruge vandfiltre sparsomt, da de inden for ILT også kan have problemer.

Resume

i denne serie af artikler kiggede vi på ti forskellige måder, hvorpå gruppepolitik kan mislykkes, eller i det mindste se ud som om den fejler. I virkeligheden fejler gruppepolitikken sjældent. Hvad der typisk fejler er konfigurationen af GPO, links, gruppepolitisk struktur osv. hvilket er forkert, hvilket får GPO og indstillingerne til ikke at gælde for de ønskede mål. Jeg foreslår altid, at gå tilbage til det grundlæggende og grundlæggende i gruppepolitikken vil hjælpe med at spore, hvor kerneproblemerne er rodfæstet. Jeg finder også, at kerne, grundlæggende konfigurationer forårsager de fleste problemer med gruppepolitikken. Som en tommelfingerregel skal du sørge for at bruge ou-strukturen til at implementere gruppepolitiske indstillinger, således at alle objekter i OU ‘ en modtager indstillingerne. Når du forsøger at ændre standardtilladelser, applikation og forrang for gruppepolitik, er det her, hvor problemer virkelig begynder at hobe sig op. Det foreslås, kun i meget sjældne situationer, at du bruger funktioner som sikkerhedsfiltrering, Bloker nedarvning, håndhævelse og VMI-filtre. At holde dig væk fra disse indstillinger og funktioner hjælper dig med at holde dit gruppepolitiske miljø enklere, stabilt og lettere at fejlfinde, når der opstår reelle problemer.

hvis du gerne vil læse de andre dele i denne artikelserie, skal du gå til:

  • Top 10 grunde til, at gruppepolitikken ikke finder anvendelse (Del 1)
  • Top 10 grunde til, at gruppepolitikken ikke finder anvendelse (Del 2)
indlæg visninger:54,660

Esoicrapporter denne annonce

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.