dacă doriți să citiți celelalte părți din această serie de articole, vă rugăm să mergeți la:

  • Top 10 motive pentru care politica de grup nu se aplică (Partea 1)
  • Top 10 motive pentru care politica de grup nu se aplică (Partea 2)

Introducere

în primele două tranșe ale acestui subiect, am analizat 7 motive pentru care politica de grup ar putea să nu funcționeze corect în mediul dvs. Privind înapoi la aceste 7 motive expuse unii factori cheie despre politica de grup. În primul rând, Politica de grup se bazează pe autentificarea corectă prin DNS către controlerele de domeniu, folosind Kerberos pentru protocolul de autentificare, domeniul de gestionare și folosind tipul de obiect corect pentru fiecare setare dintr-un GPO. Apoi, ne-am uitat la precedența GPO (LSDOU) și filtrarea securității. În această tranșă, ne vom uita la nici o suprascriere, moștenire bloc, și filtre WMI.

Enforced (no override) este setat pe GPO

în mod implicit fiecare GPO care este configurat nu are nici o filtrare de securitate, Enforced (no override), moștenire bloc, etc. Cu toate acestea, ar putea exista un moment în care cineva stabilește una dintre aceste caracteristici. Ne-am uitat la filtrarea securității, dar acum ne uităm la Enforced (fără suprascriere). Enforced (no override) este o setare care este impusă unui GPO, împreună cu toate setările din GPO, astfel încât orice GPO cu prioritate mai mare să nu „câștige” dacă există o setare conflictuală.

este important să înțelegem că moștenirea GPO funcționează cu Lsdou (Local, site, domeniu, OU). Odată ce ați setat nici o suprascriere pe un GPO, acest concept de prioritate este negată. Enforced (no override) stabilește GPO în cauză să nu fie suprascrisă de orice alt GPO (în mod implicit, desigur).

un bun exemplu aici este să setați Politica de domeniu implicită pentru Enforced (no override), astfel încât setările politicii de parolă conținute în ea să nu fie trumped de un GPO la domeniu pentru utilizatorii de domeniu sau la un OU pentru utilizatorii SAM locali din computerele situate în OU. Puteți vedea acest lucru este setat pe Politica de domeniu implicit în Figura 1.


Figura 1:
Enforced (no override) este setat pentru politica de domeniu implicită.

există câteva lucruri de luat în considerare la setarea forțată (fără suprascriere). În primul rând, GPO va fi setat la cea mai mare prioritate din locația în care GPO este legat în jos prin structura anunțului. În al doilea rând, dacă un GPO cu prioritate mai mare (cum ar fi, la un nivel OU în exemplul nostru) este, de asemenea, setat la Forțat (Fără suprascriere), acesta nu va avea o prioritate mai mare decât GPO legat mai mare în structura anunțului. Acest lucru este astfel încât un administrator OU nu poate seta un GPO să aibă prioritate mai mare decât un administrator de domeniu.

bloc moștenire este setat pe Active Directory nod

o altă caracteristică, deși nu a sugerat să folosească în mod regulat, este capacitatea de a bloca moștenirea standard de prelucrare Politica de grup în jos prin Active Directory. Așa cum s-a menționat de multe ori în acest set de articole, prioritatea LSDOU este respectată pentru aplicarea politicii de grup și rezolvarea conflictelor.

caracteristica moștenire bloc este una care este setată fie pe nodul de domeniu, fie pe o unitate organizațională. Chiar dacă site-urile pot avea un GPO legat, singurul GPO care are o prioritate mai slabă decât GPO-ul legat de site este local, iar GPO-urile locale nu pot fi blocate cu această caracteristică.

ceea ce face caracteristica este să blocheze toate GPO-urile de prioritate mai slabe asociate cu nivelul în care este stabilită setarea de moștenire a blocurilor. Deci, dacă moștenirea blocului este setată la un al doilea nivel OU, toate GPO-urile setate la domeniu și nivelul superior OU ar fi blocate, fără a afecta utilizatorii și computerele situate în al doilea nivel OU. Numai GPO legate de al doilea nivel OU ar avea nici un efect. Desigur, dacă ar exista mai multe niveluri de uu sub cel de-al doilea nivel, aceste GPO-uri ar fi, de asemenea, eficiente, nu doar cele care au o prioritate mai slabă. Puteți vedea cum acest lucru afectează GPO uitându-vă la figurile 2 și 3. Figura 2 nu are un set de moștenire bloc, în timp ce figura 3 are setarea stabilită la al doilea nivel OU.


Figura 2:
standard GPO prioritate și moștenire la al doilea nivel OU.


Figura 3:
moștenirea blocului este setată la al doilea nivel OU.

filtrul WMI este incorect

filtrele WMI sunt o modalitate puternică de a controla ce obiecte (utilizatori sau computere) primesc setările într-un GPO. Filtrul WMI este un fișier autonom care este legat de unul sau mai multe GPO-uri. Când se evaluează setările politicii de grup din fiecare GPO, filtrul WMI va determina dacă interogările incluse în filtrul WMI revin ca pozitive sau negative. Dacă este pozitiv, îndeplinind criteriile din filtrul WMI, atunci se vor aplica setările din GPO la care este legat filtrul WMI.

desigur, puteți vedea în cazul în care ar putea exista mai multe domenii în acest proces că filtrul WMI va face GPO par să eșueze. În primul rând, dacă fișierul filtru WMI este modificat sau șters, dar legătura filtrului WMI rămâne intactă, filtrul WMI nu va fi îndeplinit, astfel setările din GPO nu se vor aplica. Apoi, dacă filtrul WMI are erori sintactice, determinând eșecul interogării, setările din GPO nu se vor aplica. În cele din urmă, dacă interogarea este proiectată greșit sau logica pentru succesul interogării WMI este incorectă, setările GPO nu se vor aplica.

utilizați numai filtrele WMI acolo unde nu există alte opțiuni, deoarece filtrele WMI au multe zone în care pot anula toate setările din GPO de la aplicare, plus filtrele WMI sunt foarte lente pentru a evalua și aplica. Chiar și în direcționarea la nivel de element (ILT) situată în preferințele Politicii de grup, utilizați filtrele WMI cu ușurință, deoarece în ILT pot avea și probleme.

rezumat

în această serie de articole am analizat zece moduri diferite în care politica de grup ar putea eșua sau cel puțin să pară că eșuează. În realitate, Politica de grup în sine rareori eșuează. Ceea ce eșuează de obicei este configurația GPO, link-uri, structura politicii de grup, etc. care sunt incorecte, determinând GPO și setările să nu se aplice țintelor dorite. Întotdeauna sugerez că revenirea la elementele de bază și fundamentele Politicii de grup va ajuta la depistarea problemelor de bază. De asemenea, mi se pare că de bază, configurații fundamentale cauza majoritatea problemelor cu Politica de grup. Ca regulă generală, asigurați-vă că utilizați structura OU pentru a implementa setările politicii de grup, astfel încât toate obiectele din OU să primească setările. Când încercați să modificați permisiunile implicite, aplicația și precedența Politicii de grup, aici încep să se acumuleze problemele. Se sugerează, numai în situații foarte rare, să utilizați funcții precum filtrarea securității, blocarea moștenirii, aplicarea și filtrele WMI. Evitarea acestor opțiuni și caracteristici vă va ajuta să vă mențineți mediul de politică de grup mai simplu, stabil și mai ușor de rezolvat atunci când apar probleme reale.

dacă doriți să citiți celelalte părți din această serie de articole, vă rugăm să mergeți la:

  • Top 10 motive pentru care politica de grup nu se aplică (Partea 1)
  • Top 10 motive pentru care politica de grup nu se aplică (Partea 2)
Vizualizări Post:54,660

EzoicRaportați acest anunț

Lasă un răspuns

Adresa ta de email nu va fi publicată.