Лучшие практики GPO: фильтрация групп безопасности по сравнению с OU

Question

Лучшие практики GPO: фильтрация групп безопасности по сравнению с OU

Добрый день всем,

Я совершенно новичок в Active Directory. После обновления функционального уровня нашей AD с 2003 до 2008 R2 (мне нужно, чтобы поставить детальную политику паролей), я затем начал реорганизовывать свои подразделения. Я имею в виду, что хорошая организация OU облегчает применение GPO (и, возможно, GPP). Но в конце концов, для меня более естественно использовать фильтрацию по группам безопасности (из вкладки Scope) вместо применения моих политик вместо прямого OU,

Как вы думаете, это хорошая практика или я должен придерживаться OU?

Мы небольшая организация с 20 пользователями и 30-35 компьютерами. Итак, мы получили простое дерево OU, но более тонкое разделение с группами безопасности.

Дерево OU не содержит никаких объектов, кроме как на нижнем уровне. Каждое подразделение нижнего уровня содержит компьютеры, пользователей и, конечно, группы безопасности. Эти группы безопасности содержат пользователей и компьютеры одного подразделения.

Спасибо за советы, Оливье

7

active-directory group-policy best-practices

Источник

Olivier Rochaix 29 ноя '12 в 16:32

2 ответа

Решение

Я думаю, что все зависит от сложности среды, которую вы пытаетесь настроить с помощью групповой политики. Помня о том, что объект может находиться только в одном подразделении, а объект может находиться в нескольких группах безопасности. В простых средах (как, кажется, у вас) я бы предложил сохранить ваши политики и их применение также простыми.

0

Источник

Brian W 29 ноя '12 в 16:47

Другие вопросы по тегам active-directory group-policy best-practices

MDMarra 29 ноя '12 в 16:46 2012-11-29 16:46 · Accepted Answer · 2012-11-29 16:46

Преимущества использования макета объекта групповой политики на основе OU

Проще сразу увидеть выполненный набор объектов
Меньше накладных расходов, чем при управлении дополнительными группами безопасности
Меньше репликации на другие контроллеры домена и меньшие пользовательские токены, поскольку вам не требуется куча дополнительных групп безопасности (это, вероятно, не имеет большого значения для небольшой инфраструктуры, как вы описали)
В большинстве организаций почти все политики могут применяться на уровне подразделений в хорошо спроектированной AD.
Более легкое делегирование

Преимущества использования макета GPO на основе области действия

Более гибкий
Решает where should I put this object? проблема, которая возникает у сотрудников, которые могут "оседлать" отделы
Вы можете делегировать возможность добавлять участников в группы, что позволит сотрудникам службы поддержки управлять политиками, которые применяются там, где нет доступа к изменяющимся объектам групповой политики.

В действительности большинство организаций, с которыми я имел дело, используют гибридный подход. Объект групповой политики, который может быть применен на основе OU, обычно назначается OU, и все, что "пересекает" OU или нуждается в фильтрации для поднабора OU, использует фильтрацию безопасности или нацеливание на уровне элементов.

Фактически, я просто развернул один объект групповой политики для сопоставления 50 принтеров с различными отделами, и он был связан на уровне домена и использует таргетинг на уровне элементов, но почти все остальные имеющиеся у нас объекты групповой политики связаны с подразделением по умолчанию. фильтры безопасности.

TL; DR - делай то, что имеет смысл для твоей организации.