Práticas recomendadas de GPO: Filtragem de grupos de segurança versus UO

Navegue suas respostas
7

Boa tarde a todos,

Sou bem novo no material do Active Directory. Após o nível funcional atualizado do nosso AD de 2003 para 2008 R2 (eu preciso colocar uma política de senha refinada), eu então começo a reorganizar minhas UOs. Tenho em mente que uma boa organização de OU facilita a aplicação do GPO (e talvez do GPP) .Mas, no final, parece mais natural usar a filtragem do grupo de segurança (na guia Escopo) para aplicar minhas diretivas, em vez de diretiva OU .

Você acha que é uma boa prática ou devo me ater a OU?

Somos uma pequena organização com 20 usuários e 30 a 35 computadores. Então, nós temos uma árvore de OU simples, mas uma divisão mais sutil com grupos de segurança.

A árvore da UO não contém nenhum objeto, exceto no nível inferior. Cada unidade organizacional de nível inferior contém computadores, usuários e, é claro, grupos de segurança. Esses grupos de segurança contêm Usuários & Computadores da mesma UO.

Obrigado pelos seus conselhos Olivier

    
por Olivier Rochaix 29.11.2012 / 17:32

2 respostas

7

Benefícios de usar um layout de GPO baseado em UO

  • É mais fácil ver imediatamente o conjunto afetado de objetos

  • Menos sobrecarga envolvida do que gerenciar grupos de segurança adicionais

  • Menos replicação para outros DCs e tokens de usuário menores, pois você não precisa de vários grupos de segurança extras (isso provavelmente não importa muito para uma infraestrutura menor, como você descreve)

  • Na maioria das organizações, quase todas as políticas podem ser aplicadas em um nível de UO em um AD bem projetado

  • Delegação mais fácil

Benefícios de usar um layout de GPO baseado em escopo

  • Mais flexível

  • Soluciona o problema de where should I put this object? que surge para funcionários que podem "encurralar" departamentos

  • Você pode delegar a capacidade de adicionar membros a grupos, o que permitirá que os funcionários do helpdesk gerenciem quais políticas se aplicam onde sem dar acesso à alteração de GPOs

Na realidade, a maioria das organizações com as quais lidei adotam uma abordagem híbrida. Um GPO que pode ser aplicado com base na UO geralmente é atribuído a uma UO e qualquer coisa que "cruze" UOs ou precise ser filtrada para um subconjunto de uma UO usa filtragem de segurança ou segmentação no nível do item.

Na verdade, eu acabei de implantar um único GPO para mapear 50 impressoras para vários departamentos e estava vinculado no nível do domínio e usa a segmentação no nível do item. No entanto, quase todos os outros GPOs que estão vinculados a uma unidade organizacional com os filtros de segurança padrão.

TL; DR - faça o que fizer sentido para sua organização.

    
por 29.11.2012 / 17:46
0

Acho que tudo depende da complexidade do ambiente que você está tentando configurar com a Diretiva de Grupo. Tendo em mente que um objeto pode estar em apenas uma OU, onde um objeto poderia estar em mais de um grupo de segurança. Em ambientes simples (como o seu parece ser), sugiro que também mantenha suas políticas e a aplicação dessas políticas simples.

    
por 29.11.2012 / 17:47

Tags

Deixar o verniz enviar dados antigos do cache enquanto ele está buscando um novo? avahi-daemon liga-se às portas 5353 e 53791 da eth0