Frage Empfohlene Vorgehensweisen für Gruppenrichtlinienobjekte: Sicherheitsgruppenfilterung und Organisationseinheit


Guten Abend allerseits,

Ich bin ziemlich neu in Sachen Active Directory. Nach dem Upgrade der Funktionsebene unserer AD von 2003 auf 2008 R2 (ich brauche es, um eine feinkörnige Passwortrichtlinie zu erstellen), beginne ich dann, meine OUs neu zu organisieren. Ich denke daran, dass eine gute OU-Organisation die Anwendung von Gruppenrichtlinienobjekten (und vielleicht GPP) erleichtert. Aber am Ende ist es für mich natürlicher, die Sicherheitsgruppen-Filterung (von der Registerkarte "Bereich") zu verwenden, um meine Richtlinien anstelle der direkten Organisationseinheit anzuwenden .

Denkst du, es ist eine gute Übung oder sollte ich bei OU bleiben?

Wir sind eine kleine Organisation mit 20 Benutzern und 30-35 Computern. Also, wir haben eine einfache OU-Struktur, aber subtilere Aufteilung mit Sicherheitsgruppen.

Die Organisationseinheitsstruktur enthält keine Objekte außer auf der untersten Ebene. Jede untergeordnete Organisationseinheit enthält Computer, Benutzer und natürlich Sicherheitsgruppen. Diese Sicherheitsgruppen enthalten Benutzer und Computer derselben Organisationseinheit.

Danke für Ihre Ratschläge, Olivier


7
2017-11-29 16:32


Ursprung


Die Prinzipien von KISS könnten niemals mehr als diese Situation anwenden. Ich versuche, die ersten gpo's zu benutzen, und wenn mir jemand eine Waffe an den Kopf setzt, benutze ich Filter. - tony roth


Antworten:


Vorteile beim Verwenden eines OU-basierten GPO-Layouts

  • Einfacher, um den betroffenen Satz von Objekten sofort zu sehen

  • Weniger Aufwand als das Verwalten zusätzlicher Sicherheitsgruppen

  • Geringere Replikation zu anderen Domänencontrollern und kleineren Benutzer-Tokens, da Sie keine zusätzlichen Sicherheitsgruppen benötigen (dies spielt für eine kleinere Infrastruktur, wie Sie sie beschreiben, wahrscheinlich keine Rolle)

  • In den meisten Organisationen können fast alle Richtlinien auf einer Organisationseinheitsebene in einem gut gestalteten AD angewendet werden

  • Einfachere Delegation

Vorteile beim Verwenden eines bereichsbasierten GPO-Layouts

  • Flexibler

  • Löst die where should I put this object? Problem für Mitarbeiter, die Abteilungen "überspreizen" können

  • Sie können die Fähigkeit zum Hinzufügen von Mitgliedern zu Gruppen delegieren, sodass Helpdesk-Mitarbeiter verwalten können, welche Richtlinien wo angewendet werden, ohne Zugriff auf sich ändernde Gruppenrichtlinienobjekte zu gewähren


In Wirklichkeit haben die meisten Organisationen, mit denen ich zu tun habe, einen hybriden Ansatz. Ein Gruppenrichtlinienobjekt, das basierend auf OU angewendet werden kann, wird in der Regel einer Organisationseinheit zugewiesen, und alles, was OUs "kreuzt" oder zu einer Untergruppe einer Organisationseinheit gefiltert werden muss, verwendet Sicherheitsfilterung oder Targeting auf Elementebene.

Tatsächlich habe ich gerade ein einzelnes Gruppenrichtlinienobjekt bereitgestellt, um 50 Drucker verschiedenen Abteilungen zuzuordnen. Es wurde auf Domänenebene verknüpft und verwendet Targeting auf Elementebene. Fast alle anderen Gruppenrichtlinienobjekte, die wir haben, sind jedoch standardmäßig mit einer Organisationseinheit verknüpft Sicherheitsfilter.

TL; DR - tun, was für Ihre Organisation sinnvoll ist.


7
2017-11-29 16:46



Das ist im Grunde genommen. Es gibt kein allgemeines Richtig oder Falsch - nur welches ist einfacher für jedes einzelne Gruppenrichtlinienobjekt zu verwalten. - Dan
Danke für diesen klaren Vergleich. Wie Sie am Ende vorschlagen, werde ich wahrscheinlich GPO pro Organisationseinheit anwenden und für einige von ihnen die Sicherheitsfilterung über den Bereich anwenden. Außerdem verwendete ich ein GPO, das aus mehreren GPPs für die Laufwerksbefestigung bestand. Jedes gpp ist ein Targeting auf Elementebene basierend auf Sicherheitsgruppen. Das Gruppenrichtlinienobjekt wird an der obersten Organisationseinheit ("Office") angewendet. Auf diese Weise habe ich nur eine Richtlinie für die gesamten gemounteten Laufwerke :) - Olivier Rochaix
Ich sage, dass Sie jedes Gruppenrichtlinienobjekt basierend darauf, wo / wie es angewendet werden sollte, bewerten und eine Entscheidung treffen sollten, die für Sie funktioniert. Was die meisten Organisationen tun standardmäßig eine OU-basierte Anwendung und tauchen in die Filterung ein, wenn dies ihre Anforderungen nicht erfüllt - aber wiederum basiert sie auf einer Vielzahl von Variablen. - MDMarra


Ich denke, alles hängt von der Komplexität der Umgebung ab, die Sie mit Gruppenrichtlinien konfigurieren möchten. Beachten Sie, dass ein Objekt sich nur in einer einzigen Organisationseinheit befinden kann, in der sich ein Objekt in mehr als einer Sicherheitsgruppe befinden kann. In einfachen Umgebungen (wie es scheint) würde ich vorschlagen, dass Sie Ihre Richtlinien und die Anwendung dieser Richtlinien ebenfalls einfach halten.


0
2017-11-29 16:47