jeśli chcesz przeczytać pozostałe części z tej serii artykułu, przejdź do:

  • Top 10 powodów, dla których zasady grupy nie mają zastosowania (Część 1)
  • Top 10 powodów, dla których zasady grupy nie mają zastosowania (część 2)

wprowadzenie

w pierwszych dwóch odsłonach tego tematu przyjrzeliśmy się 7 powodom, dla których Polityka grupy może nie działać poprawnie w Twoim środowisku. Patrząc wstecz na te 7 powodów, ujawniono kilka kluczowych czynników dotyczących Polityki grupy. Po pierwsze, zasady grupy opierają się na prawidłowym uwierzytelnianiu przez DNS do kontrolerów domeny, użyciu Kerberos do protokołu uwierzytelniania, zakresu zarządzania i użyciu właściwego typu obiektu dla każdego ustawienia w GPO. Następnie przyjrzeliśmy się pierwszeństwu GPO (LSDOU) i filtrowaniu zabezpieczeń. W tej odsłonie przyjrzymy się filtrom no override, Block inheritance i WMI.

wymuszone (no override) jest ustawiane na GPO

domyślnie każdy skonfigurowany GPO nie ma żadnego filtrowania zabezpieczeń, wymuszonego (No override), dziedziczenia bloków itp. Jednak może być czas, że ktoś skonfiguruje jedną z tych funkcji. Przyjrzeliśmy się filtrowaniu zabezpieczeń, ale teraz patrzymy na wymuszone (bez nadpisania). Wymuszone (no override) to ustawienie, które jest nakładane na GPO, wraz ze wszystkimi ustawieniami w GPO, tak aby każdy GPO o wyższym priorytecie nie „wygrywał”, jeśli istnieje sprzeczne ustawienie.

ważne jest, aby zrozumieć, że dziedziczenie GPO działa z LSDOU (Local, site, domain, OU). Gdy ustawisz no override na GPO, ta koncepcja pierwszeństwa jest negowana. Wymuszone (no override) ustawia DANE dane GPO tak, aby nie były nadpisywane przez żadne inne dane GPO (oczywiście domyślnie).

dobrym przykładem jest ustawienie domyślnej Polityki domeny dla wymuszonej (bez nadpisania), tak aby Ustawienia Polityki haseł zawarte w niej nie były podważane przez GPO w domenie dla użytkowników domeny lub w OU dla lokalnych użytkowników SAM na komputerach znajdujących się w OU. Widać, że jest to ustawione na domyślnej zasadzie domeny na rysunku 1.


Rysunek 1:
wymuszone (bez nadpisania) jest ustawione dla domyślnej zasady domeny.

jest kilka rzeczy do rozważenia podczas ustawiania wymuszonego (bez nadpisania). Po pierwsze, GPO zostanie ustawiony na najwyższy priorytet od lokalizacji, w której GPO jest połączony w dół przez strukturę reklam. Po drugie, jeśli wyższy priorytet GPO (na przykład na poziomie OU w naszym przykładzie) jest również ustawiony na wymuszony (bez nadpisania), nie będzie miał wyższego priorytetu niż GPO połączony wyżej w strukturze AD. Jest tak, że administrator OU nie może ustawić GPO, aby miał wyższy priorytet niż administrator domeny.

dziedziczenie bloków jest ustawiane na węźle Active Directory

inną funkcją, chociaż nie zaleca się jej regularnego używania, jest możliwość blokowania dziedziczenia standardowych zasad grupy przetwarzanych przez Active Directory. Jak już wielokrotnie wspomniano w tym zestawie artykułów, pierwszeństwo LSDOU jest przestrzegane w przypadku stosowania zasad grupowych i rozwiązywania konfliktów.

funkcja dziedziczenia bloków jest ustawiona na węźle domeny lub jednostce organizacyjnej. Mimo że witryny mogą mieć połączony GPO, jedynym GPO, który ma słabszy priorytet niż witryna połączona GPO, jest lokalny, a lokalne GPO nie mogą być blokowane za pomocą tej funkcji.

funkcja blokuje wszystkie słabsze GPO związane z poziomem, na którym ustawione jest dziedziczenie bloków. Tak więc, jeśli dziedziczenie bloków jest ustawione na drugim poziomie OU, wszystkie GPO ustawione na domenie i najwyższym poziomie OU zostaną zablokowane, nie wpływając na użytkowników i komputery znajdujące się na drugim poziomie OU. Tylko GPO związane z drugim poziomem OU miałoby jakikolwiek wpływ. Oczywiście, gdyby było więcej poziomów ou pod drugim poziomem, te GPO byłyby również skuteczne, tylko nie te, które mają słabszy priorytet. Możesz zobaczyć, jak to wpływa na GPO, patrząc na Rysunek 2 i 3. Rysunek 2 nie ma zestawu dziedziczenia bloków, podczas gdy rysunek 3 ma ustawienie ustalone na drugim poziomie OU.


Rysunek 2:
standardowy priorytet GPO i dziedziczenie na drugim poziomie OU.


Rysunek 3:
dziedziczenie bloków jest ustawiane na drugim poziomie OU.

filtr WMI jest nieprawidłowy

filtry WMI są potężnym sposobem kontrolowania, które obiekty (użytkownicy lub komputery) otrzymują ustawienia w GPO. Filtr WMI jest samodzielnym plikiem, który jest połączony z jednym lub więcej GPO. Podczas oceny ustawień zasad grupy z każdego GPO filtr WMI określi, czy zapytania zawarte w filtrze WMI wrócą jako pozytywne czy negatywne. Jeśli jest pozytywny, spełniający kryteria w filtrze WMI, zostaną zastosowane ustawienia w GPO, do których jest podłączony filtr WMI.

oczywiście możesz zobaczyć, gdzie może być wiele obszarów w tym procesie, że filtr WMI sprawi, że GPO wydaje się zawieść. Po pierwsze, jeśli plik filtra WMI zostanie zmieniony lub usunięty, ale łącze filtra WMI pozostanie nienaruszone, filtr WMI nie zostanie spełniony, a zatem ustawienia w GPO nie będą miały zastosowania. Następnie, jeśli filtr WMI ma jakiekolwiek błędy składniowe, powodujące niepowodzenie zapytania, ustawienia w GPO również nie będą miały zastosowania. Wreszcie, jeśli zapytanie zostało zaprojektowane źle lub logika sukcesu zapytania WMI jest nieprawidłowa, ustawienia GPO nie będą miały zastosowania.

Używaj filtrów WMI tylko tam, gdzie nie ma innych opcji, ponieważ filtry WMI mają wiele obszarów, w których mogą negować wszystkie ustawienia w GPO od zastosowania, a filtry WMI są bardzo powolne do oceny i zastosowania. Nawet w Targetowaniu na poziomie elementów (ILT) znajdującym się w preferencjach zasad grupy, Używaj filtrów WMI oszczędnie, ponieważ w ILT mogą również występować problemy.

podsumowanie

w tej serii artykułów przyjrzeliśmy się dziesięciu różnym sposobom, w jakie Polityka grupy może zawieść, a przynajmniej wyglądać tak, jakby zawodziła. W rzeczywistości sama polityka grupy rzadko zawodzi. To, co zwykle zawodzi, to konfiguracja GPO, linków, struktury zasad grupy itp. które są nieprawidłowe, powodując, że GPO i ustawienia nie mają zastosowania do pożądanych celów. Zawsze sugeruję, że powrót do podstaw i podstaw polityki grupowej pomoże znaleźć, gdzie podstawowe kwestie są zakorzenione. Ponadto uważam, że podstawowe, fundamentalne konfiguracje powodują większość problemów z Polityką grupy. Zasadniczo upewnij się, że używasz struktury OU do wdrażania ustawień zasad grupy, tak aby wszystkie obiekty w OU otrzymały ustawienia. Gdy próbujesz zmienić domyślne uprawnienia, aplikację i pierwszeństwo zasad grupy, to właśnie wtedy problemy zaczynają się kumulować. Tylko w bardzo rzadkich sytuacjach zaleca się używanie takich funkcji, jak filtrowanie zabezpieczeń, dziedziczenie bloków, egzekwowanie i filtry WMI. Trzymanie się z dala od tych opcji i funkcji pomoże Ci utrzymać środowisko zasad grupy prostsze, stabilne i łatwiejsze w rozwiązywaniu problemów, gdy wystąpią prawdziwe problemy.

jeśli chcesz przeczytać pozostałe części z tej serii artykułu, przejdź do:

  • Top 10 powodów, dla których zasady grupy nie mają zastosowania (Część 1)
  • Top 10 powodów, dla których zasady grupy nie mają zastosowania (część 2)
Post Views:54,660

Ezoiczgłoś to ogłoszenie

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.