Фильтрация объектов групповой политики на основе группы безопасности учетных записей компьютеров
Итак, у меня есть объект групповой политики, который запускает скрипт быстрого запуска для удаления локально установленных IP-принтеров со всех машин в нашем домене AD во время запуска компьютера. Это прекрасно работает... проблема возникает, когда мы пытаемся освободить от этого несколько машин (несколько небольших офисов без серверов печати).
Я создал глобальную группу безопасности и поместил учетные записи компьютеров (поскольку это запуск, а не сценарий входа) в группу. Затем я установил разрешения для объекта групповой политики, чтобы запретить доступ к этой группе. По какой-то причине это не имеет никакого эффекта. Это также не имеет никакого эффекта, если я устанавливаю запрещающие разрешения для этой группы на сам скрипт.
Интересно, однако, что если я исключаю группу и устанавливаю запрещающие разрешения для объекта групповой политики или сценария непосредственно для учетной записи компьютера, то разрешения должным образом отклоняются.
Эти проблемы сохраняются в нескольких командах "gpupdate /force", а также при перезагрузках.
Я что-то упускаю из-за того, как компьютерные группы групповых sids Почему групповые запреты не работают?
3 ответа
Я делаю то, на что ты смотришь, все время. Когда вы говорите: "Затем я устанавливаю разрешения для объекта групповой политики, чтобы запретить доступ к этой группе", неясно, что вы делаете. Вот мой рабочий процесс для отказа группе в правах на применение объекта групповой политики:
- Создать глобальную группу безопасности "Компьютеры, освобожденные от удаления принтера"
- Откройте Управление групповой политикой, найдите объект групповой политики для удаления принтеров и "Изменить" объект групповой политики.
- Щелкните правой кнопкой мыши узел верхнего уровня в консоли редактора объектов групповой политики, перейдите на вкладку "Безопасность", добавьте "Компьютеры, освобождаемые от удаления принтера" к разрешению, и установите разрешение для "Компьютеры, освобожденные от удаления принтера". группа для включения "Применить групповую политику" с разрешением "Запретить"
Редактор разрешений в консоли управления групповой политикой уступает редактору объектов групповой политики. Вы не увидите фактический ACL в управлении групповыми политиками, если не нажмете кнопку "Дополнительно" на вкладке "Делегирование". Я "старая школа" и привык изменять разрешения GPO еще за несколько дней до консоли управления групповыми политиками, поэтому я все равно продолжаю в том же духе, как я описал выше. А теперь иди с моей лужайки! > Улыбка<
Если вы обеспокоены тем, что компьютер не "подхватывает" членство в группах, выполните "whoami /all" как SYSTEM на машине и просмотрите выходные данные. Это покажет вам, что на самом деле включает токен безопасности компьютера. У меня не было опыта работы с компьютерами, которые не "распознавали" членство в группах.
Фильтрация групповой политики: вы делаете это неправильно (или, по крайней мере, вы делаете это трудным путем).
Создайте группу безопасности для компьютеров, к которым вы действительно хотите применить политику.
Добавьте соответствующие учетные записи компьютеров в группу.
На вкладке Область действия объекта групповой политики в разделе Фильтрация безопасности удалите все объекты и добавьте группу безопасности, созданную на шаге 1.
Готово.
Я не совсем уверен, потому что у меня нет возможности проверить здесь, но насколько я помню, вы не сможете распределить компьютеры по группам и запретить группу. Вы должны поставить каждый компьютер и отрицать каждый....
Может быть, вы можете найти что-то с помощью GPP.