[ Pobierz całość w formacie PDF ]
.Management.Oprócz uprawnienia Stosowanie zasad Zasad grupy Grupy (Apply Group Policy) dlagrupy Zarz¹dzanie (mManagement) Management zaznacz pole wyboru Zezwalaj(AaAllow) i wyczyœæ to pole wyboru dla grupy Zatwierdzeni uU¿ytkownicy(aAuthenicated uUsers).Authenticated Users.Dany Oobiekt zasad grupy (GPO)jest skonfigurowany tak, by dotyczy³ tylko cz³onków grupy Zarz¹dzanie(mManagement).Management.Na rysunku 3.17.przedstawiono zrzuty ekranów dlatych operacji.Zamknij konsolê naciskaj¹c dwukrotnie OK.OTRZE¯ENIE! Przy korzystaniu z opcji Odmów (DdDeny) nale¿y zachowaæ szczególn¹ostro¿noœæ.Dla ka¿dej grupy wybór tej opcji Odmów (Deny) ma pierwszeñstwo,nawet jeœli u¿ytkownik lub komputer, dziêki cz³onkostwu w innej grupie, maustawione Zezwalaj (AaAllow).Wskazówka: Te same opcje mo¿na zastosowaæ w przypadku skryptów logowania,przygotowanych zgodnie z poprzedni¹ procedur¹.Mo¿na skrypt skonfigurowaæ w tensposób, by by³ uruchamiany tylko dla cz³onków konkretnej grupy lub dlawszystkich, za wyj¹tkiem cz³onków okreœlonej grupy.Filtrowanie grup zabezpieczeñ (security group filtering) ma dwie funkcje.Pierwsza¹ to jest zmiana grupy, na któr¹ oddzia³uje dany obiekt zasad grupy(GPO).Druga — to przekazanie modyfikowania zawartoœci obiektu zasad grupowych(GPO) poprzez nadanie uprawnienia FPe³nej kKontroli (fFull CcControl)ograniczonej grupie administratorów.Dzia³anie to jest zalecane, poniewa¿zmniejszaZaleca siê to, poniewa¿ minimalizuje to szansê na to, by równoczeœnierównoczesne dokonywanie ³o zmian przez kilku administratorów.Nale¿y zwróciæ uwagê, ¿e najwy¿szy stopieñ bezpieczeñstwa ustawieñ zasad(policy settings security) osi¹gniêto za pomoc¹ filtrowania grup zabezpieczeñ(security group filtering).Domyœlnie ustawienia listy kontroli dostêpu (ACL)zasad grupowych (Group Policy) aktualizuj¹ dan¹ zasadê (policy) tylko wtedy,kiedy gdy ustawienia s¹ nowe lub zmienione.Filtrowanie grup zabezpieczeñ(security group filtering) gwarantuje, ¿e wybrane ustawienia stosowane s¹ przyka¿dym logowaniu do Active Directory.Jednak wybór tej opcji anulujeoptymalizacjê wydajnoœci osi¹gniêt¹ przez pomijanie stosowania ustawieñ zasad(policy settings), kiedy gdy nie zosta³y zmienione.Rysunek 3.17.Ustawienia dla grup Administrowanie (mManagement) Management iZatwierdzeni uU¿ytkownicy (AaAuthenticated UuUsers).Dopasowanie zasad (policies) do danego komputera za pomoc¹ przetwarzaniasprzê¿enia zwrotnego (loopback processing)Czasami zachodzi potrzeba zastosowania dla u¿ytkowników zasad grupowych (GroupPolicy) na podstawie lokalizacji obiektu komputera w strukturze ActiveDirectory, zamiast na podstawie lokalizacji obiektu u¿ytkownika.Innymi s³owy,wszyscy u¿ytkownicy loguj¹cy siê na okreœlonym komputerze bêd¹ podlegalij¹takim samym ograniczeniom zasad (policyies).Funkcja zasad grupowych (GroupPolicy) sSprzê¿enie zwrotne (loopbackLoopback) daje administratorowi mo¿liwoœæstosowania zasad grupowych dostosowanych do komputera (computer-based GroupPolicy).Funkcjê tê¹ najlepiej zilustruje przyk³ad.W domenie przedstawionej na rysunku3.18.do cz³onków grupy SObroty (sSales) z jednostki administracyjnejPNadrzêdna (pParent), podczas logowania siê do ich stacji roboczych, stosujesiê obiekty zasad grupowych Obowi¹zkowy (MmMandatory) i Domyœlny (DdDefault).Jednak, jeœli cz³onek grupy Obroty (sSales) Sales loguje siê na komputerze,który jest cz³onkiem jednostki administracyjnej RKomputery o ograniczonymdostêpie (rRestricted cCComputers), to wtedy stosowane s¹ zasady (policies) zobiektu zasad grupy (GPO) Ssprzê¿enie zwrotne (lLLoopback).Ten obiekt zasadgrupy nie musi nazywaæ siê Loopback — nazwa ta zosta³a wybrana dlaprzejrzystoœci.Poni¿ej opisano dwa sposoby zastosowania zasad grupowych (Group Policy)Sprzê¿enie zwrotne (lLoopback)Loopback:tTTryb Sscalania (MmMerge mode) — Ww trakcie logowania lista obiektów zasadgrupowych (GPOs) danego u¿ytkownika jest tworzona w sposób zwyk³y, a nastêpnielista obiektów zasad grupowych (GPOs) komputera jest dodawana na koñcu listyobiektów zasad grupowych (GPOs) u¿ytkownika.Powoduje to, ¿e obiekty zasadgrupowych tego komputera maj¹ wy¿szy priorytet ni¿ obiekty zasad grupowychdanego u¿ytkownika.W przyk³adzie przedstawionym na rysunku 3.18
[ Pobierz całość w formacie PDF ]