jos haluat lukea muut osat tämän artikkelin sarjassa siirry:

  • Top 10 Syitä, miksi Ryhmäkäytäntö ei päde (Osa 1)
  • Top 10 Syitä, miksi Ryhmäkäytäntö ei päde (Osa 2)

Johdanto

tämän aiheen kahdessa ensimmäisessä erässä tarkastelimme 7 syytä, miksi Ryhmäkäytäntö ei ehkä toimi kunnolla ympäristössäsi. Tarkasteltaessa näitä 7 syitä paljasti joitakin keskeisiä tekijöitä ryhmäpolitiikan. Ensinnäkin Ryhmäkäytäntö perustuu asianmukaiseen todennukseen DNS: n kautta toimialueen ohjaimiin, kerberosin avulla todennusprotokollaan, hallinnan laajuuteen ja oikean objektityypin käyttämiseen kunkin ryhmäkäytäntöobjektin asetuksen osalta. Sitten, katsoimme GPO ensisijaisuus (LSDOU) ja turvasuodatus. Tässä erässä, tarkastelemme ei ohitus, block perintö, ja WMI suodattimet.

Pakollinen (Ei ohitusta) on asetettu GPO

oletusarvoisesti jokaisella GPO: lla, joka on määritetty, ei ole mitään suojaussuodatusta, pakotettua (ei ohitusta), lohkoperintää jne. Kuitenkin, voi olla aika, että joku perustaa yksi näistä ominaisuuksista. Tutkimme turvasuodatuksia, mutta nyt tarkastelemme pakotettuja (ei ohituksia). Pakotettu (ei ohitus) on asetus, joka on määrätty RYHMÄPOIKKEUSASETUKSELLE yhdessä kaikkien yleisten ryhmäpoikkeusasetusten kanssa, jotta mikä tahansa ryhmäpoikkeusasetus, jolla on korkeampi etuoikeus, ei ”voita”, jos on ristiriitainen asetus.

on tärkeää ymmärtää, että GPO-perintö toimii LSDOU: n (paikallinen, sivusto, domain, OU) kanssa. Kun GPO: ta ei ohiteta, tämä arvojärjestys kumotaan. Pakotettu (ei ohitusta) asettaa kyseessä olevan yleisen ryhmäpoikkeusasetuksen siten, että mikään muu ryhmäpoikkeusasetus ei kumoa kyseistä ryhmäpoikkeusasetusta (oletusarvoisesti tietenkin).

hyvä esimerkki tässä on asettaa oletuskäytännön täytäntöönpantavaksi (ei ohitusta), jotta sen sisältämiä Salasanakäytäntöasetuksia ei päihitä ryhmäkäytäntöobjekti verkkotunnuksen käyttäjille tai OU paikallisille SAM-käyttäjille OU: ssa sijaitsevissa tietokoneissa. Näet, että tämä on asetettu Oletuskäytännössä kuvassa 1.


Kuva 1:
Pakollinen (Ei ohitusta) on asetettu toimialueen Oletuskäytännölle.

on muutamia asioita, jotka on otettava huomioon asetettaessa Pakko (Ei ohitusta). Ensinnäkin ryhmäpoikkeusasetuksessa asetetaan korkein arvo siitä paikasta, jossa ryhmäpoikkeusasetukseen on liitetty alas mainoksen rakenteen kautta. Toiseksi, jos korkeampi ensisijainen yleinen RYHMÄPOIKKEUSASETELMA (kuten ESIMERKKITAPAUKSESSAMME OU: n tasolla) asetetaan myös täytäntöönpantavaksi (ei ohitusta), sillä ei ole korkeampaa etuoikeutta kuin korkeampi ryhmäpoikkeusasetuksella, joka liittyy ylempään AD-rakenteeseen. Tämä on niin OU admin ei voi asettaa GPO on korkeampi etuoikeus kuin verkkotunnuksen admin.

Block periytyminen on asetettu Active Directory solmu

toinen ominaisuus, vaikka ei ole ehdotettu käytettäväksi säännöllisesti, on kyky estää perintö standardin Ryhmäkäytäntö käsittelyn kautta Active Directory. Kuten on mainittu monta kertaa tässä joukko artikkeleita, lsdou ensisijaisuus noudatetaan Ryhmäkäytäntö soveltaminen ja konfliktien ratkaisu.

Lohkoperinnön ominaisuus on sellainen, joka asetetaan joko toimialueen solmuun tai organisaatioyksikköön. Vaikka sivustoilla voi olla linkitetty ryhmäpoikkeusasetus, ainoa ryhmäpoikkeusasetus, joka on heikompi kuin sivustoon linkitetty ryhmäpoikkeusasetus, on paikallinen ja paikallisia Yleispalvelupoikkeuksia ei voi estää tällä toiminnolla.

ominaisuus estää kaikki heikommat etuoikeusasetukset, jotka liittyvät tasoon, jolla lohkon Perintöasetus on perustettu. Niin, jos lohkon perintö on asetettu toisella tasolla OU, kaikki GPO asetettu verkkotunnuksen ja ylimmän tason ou olisi estetty, ei vaikuta käyttäjien ja tietokoneiden sijaitsee toisen tason OU. Vain GPO liittyvät toisen tason OU olisi mitään vaikutusta. Tietenkin, jos olisi enemmän tasoja OUs alle toisen tason yksi, nämä GPO olisi myös tehokas, vain ei niitä, jotka ovat heikompia etusijalla. Voit nähdä, miten tämä vaikuttaa GPO katsomalla kuva 2 ja 3. Kuviossa 2 ei ole Ryhmäperintöasetusta, kun taas kuviossa 3 asetus on vahvistettu toisella tasolla OU.


kuva 2:
standard GPO etuoikeus ja perintö toisella tasolla OU.


kuva 3:
Lohkoperintä sijoittuu toiselle tasolle OU.

WMI-suodatin on virheellinen

WMI-suodattimet ovat tehokas tapa hallita, mitkä objektit (käyttäjät tai tietokoneet) vastaanottavat GPO: n asetukset. WMI-suodatin on itsenäinen tiedosto, joka on linkitetty yhteen tai useampaan GPO-tiedostoon. Kun ryhmäkäytäntöasetukset kustakin RYHMÄKÄYTÄNTÖOBJEKTISTA arvioidaan, WMI-suodatin määrittää, ovatko WMI-suodattimeen sisältyvät kyselyt positiivisia vai negatiivisia. Jos positiivinen, täyttää kriteerit WMI suodatin, sitten Asetukset GPO että WMI suodatin on liitetty sovelletaan.

tietenkin näet, missä voi olla monia alueita tässä prosessissa, että WMI-suodatin saa GPO: n näyttämään epäonnistuneelta. Ensinnäkin, jos WMI-suodatintiedostoa muutetaan tai poistetaan, mutta WMI-suodatinlinkki pysyy ehjänä, WMI-suodatin ei täyty, jolloin GPO: n asetukset eivät päde. Seuraavaksi, jos WMI-suodattimessa on syntaktisia virheitä, jotka aiheuttavat kyselyn epäonnistumisen, GPO: n asetukset eivät myöskään toimi. Lopuksi, jos kysely on suunniteltu väärin tai WMI-kyselyn onnistumisen logiikka on virheellinen, GPO-asetukset eivät päde.

käytä WMI-suodattimia vain, jos muita vaihtoehtoja ei ole, sillä WMI-suodattimilla on monia alueita, joilla ne voivat estää kaikkia GPO: n asetuksia soveltamasta, ja WMI-suodattimet ovat hyvin hitaita arvioimaan ja soveltamaan. Käytä WMI-filttereitä säästeliäästi myös Ryhmäkäytäntöasetuksissa (ILT), sillä myös ILT: ssä voi olla ongelmia.

Yhteenveto

tässä juttusarjassa tarkastelimme kymmentä eri tapaa, joilla ryhmäpolitiikka saattaa epäonnistua tai ainakin näyttää siltä kuin se olisi epäonnistumassa. Todellisuudessa ryhmäpolitiikka itsessään epäonnistuu harvoin. Se, mikä yleensä epäonnistuu, on ryhmäkäytäntöobjektin kokoonpano, linkit, Ryhmäkäytäntörakenne jne. jotka ovat virheellisiä, jolloin GPO ja asetukset eivät koske haluttuja tavoitteita. Väitän aina, että ryhmäpolitiikan perusasioihin ja perusteisiin palaaminen auttaa selvittämään, mihin ydinkysymykset ovat juurtuneet. Olen myös sitä mieltä, että Keskeiset perustavat kokoonpanot aiheuttavat suurimman osan ryhmäpolitiikan ongelmista. Varmista nyrkkisääntönä, että käytät Ryhmäkäytäntöasetusten käyttöönottoon OU: n rakennetta siten, että kaikki OU: n objektit saavat asetukset. Kun yrität muuttaa oletusoikeuksia, sovellus, ja ensisijaisuus ryhmäkäytännön, tämä on, jos ongelmia todella alkaa kasaantua. On ehdotettu, vain hyvin harvoissa tilanteissa, että käytät ominaisuuksia, kuten turvasuodatus, Block perintö, täytäntöönpano, ja WMI suodattimet. Pysyminen poissa näistä vaihtoehdoista ja ominaisuuksista auttaa sinua pitämään Ryhmäkäytäntöympäristösi yksinkertaisempana, vakaana ja helppona vianmäärityksenä, kun todellisia ongelmia ilmenee.

jos haluat lukea tämän artikkelisarjan muut osat, siirry osoitteeseen:

  • Top 10 Reasons Why Group Policy Fails to Apply (Part 1)
  • Top 10 Reasons Why Group Policy Fails to Apply (Part 2)
Näytä:54,660

Ezoicreport this ad

Vastaa

Sähköpostiosoitettasi ei julkaista.