estratégia AD para usuários em vários departamentos

6

Eu trabalho para uma faculdade com quase mil usuários (professores e funcionários). Muitos membros da equipe também ensinam em meio período e muitos membros do corpo docente ensinam em diferentes departamentos.

Sabendo que um usuário e / ou computador só pode existir em uma única unidade organizacional, que tipo de estratégia permitiria uma estrutura hierárquica agradável e ainda seria flexível o suficiente para permitir que diferentes diretivas de grupo se aplicassem ao mesmo usuário. / p>

Isso não pode ser um cenário muito incomum, mas eu ainda não estou vendo o layout mais simples ou mais limpo.

    
por BenC 21.07.2012 / 00:31

1 resposta

10

Sem algumas explicações sobre os cenários específicos que você está procurando, é difícil fornecer "passo a passo".

A aplicação da Política de Grupo de Usuários é influenciada por:

  • O nome distinto (DN) do objeto de usuário nos objetos Active Directory e GPlink nos objetos da unidade organizacional no caminho pai do DN do objeto do usuário
  • Objetos do GPlink no objeto Site do AD contendo o endereço IP do computador em que o logon do usuário ocorre
  • O atributo "Bloquear herança" das unidades organizacionais no caminho pai do DN do objeto de usuário ou no objeto de site do AD
  • O atributo "Imposta" / "Sem substituição" de objetos do GPlink vinculados a unidades organizacionais no caminho pai do objeto de usuário ou no objeto de site do AD
  • A associação do grupo de segurança de contas de usuário e a permissão que lhes confere a aplicação dos GPOs ou a aplicação de políticas específicas ou configurações de preferência no GPO que possam ter ACLs anexadas a elas (configurações de Política de Instalação de Software e Preferência de Diretiva de Grupo ACLs dentro do GPO, por exemplo)
  • Ativando o Processamento de Diretiva de Grupo de Loopback em computadores (no modo Mesclar ou Substituir)

Esses são todos os mecanismos para controlar a aplicação da Diretiva de Grupo do usuário. Entre todas essas funções, você pode criar cenários de implantação razoavelmente complexos.

Sua hierarquia de UOs deve sempre ser projetada primeiro com base na delegação planejada de controle. Você só obtém uma hierarquia de UO e não há bons mecanismos para separar a delegação de controle da hierarquia da UO. Design para delegação de controle primeiro, segundo aplicativo de Diretiva de Grupo.

Eu me concentro em usar a participação em grupos de segurança para filtrar o aplicativo da Diretiva de Grupo. Nunca se esqueça de que algumas configurações dentro dos GPOs têm ACLs separadas do próprio GPO. As funções "Block Inheritance" e "Enforced" / "No Override" devem ser usadas com parcimônia e são tipicamente indicativas de um design quebrado. O Processamento de Política de Grupo de Loopback pode ser uma ferramenta muito poderosa e útil, mas é um pouco complexo para entender.

Você está se concentrando nos usuários, mas aproveito para mencionar computadores também. O aplicativo de Diretiva de Grupo de Computadores tem a mesma funcionalidade de filtragem que a Diretiva de Grupo do usuário, mas também inclui a Filtragem WMI. A Filtragem WMI pode permitir que você segmente os GPOs para atributos específicos de hardware ou sistema operacional dos computadores. Muitas vezes, vejo a filtragem do grupo de segurança negligenciada ao filtrar a Diretiva de Grupo do computador.

Há algumas coisas que você pode realizar com a filtragem WMI e a filtragem de grupo de segurança para a Diretiva de Grupo. A Filtragem WMI tem o recurso adicional de ser calculada dinamicamente em cada aplicativo de Diretiva de Grupo (versus participações de grupo de segurança, que devem ser alteradas manualmente para afetar a filtragem). A filtragem do grupo de segurança ainda pode ser benéfica se você tiver computadores localizados em UOs diferentes sem um atributo filtrável do WMI que precisa ter os Objetos de Diretiva de Grupo comuns aplicados. Eu uso a filtragem de grupo de segurança com computadores, freqüentemente, para controlar a política de instalação de software (em que tenho um GPO com vários pacotes de software atribuídos, cada um com uma ACL exclusiva que inclui um grupo para controlar a instalação do software).

A coisa mais importante que você pode fazer, deixando de lado tudo o que eu disse acima, é ter certeza de entender como o cliente da Diretiva de Grupo calcula o Conjunto de Diretivas Resultante e, com esse conhecimento, fazer um brainstorm e testar possíveis designs antes de colocá-los em produção. Acredito firmemente que o teste deve começar com caneta e papel (quadro branco, etc) em vez de software. Você precisa ter conhecimento organizacional suficiente para projetar cenários realistas e testá-los. Obtenha outros grupos em sua organização de TI (e fora da organização de TI, se necessário) envolvidos. Sua equipe do Helpdesk, por exemplo, terá necessidades de delegação de controle que guiarão a hierarquia da UO física. Sua equipe de suporte de desktop pode ter necessidades de instalação de software que direcionam a filtragem de diretiva de grupo de computadores. Há vários cenários possíveis que devem ser discutidos, trabalhados em papel e, finalmente, testados em um cenário de laboratório antes de serem colocados em produção.

    
por 21.07.2012 / 00:56