Renovação completa do Active Directory e aplicação de GPO

4

Depois de muitos testes e centenas de tentativas e horas investidas, decidi consultar seus especialistas aqui.

Visão geral:

Desejo aplicar alguns GPO a nossos usuários, que adicionarão um site específico aos sites confiáveis nas configurações do Internet Explorer para todos os usuários. No entanto, quanto mais eu tento, mais confuso os resultados se tornam. O GPO é aplicado a um grupo de usuários ou a outro. Finalmente, cheguei à conclusão de que esse comportamento estranho é causado pela organização deficiente em Usuários e grupos no Active Directory. Como tal, eu quero chutar o problema da raiz: recriar os usuários e grupos do Active Directory.

Cenário:

Existe um Controlador de Domínio e usamos os Serviços de Terminal (também há um Terminal Server). Os usuários geralmente fazem logon no Terminal Server usando a Área de Trabalho Remota para executar suas tarefas diárias. Eu classificaria os usuários da seguinte maneira:

  • TI: administradores, desenvolvimento de software
  • Negócio: administração, gerenciamento

A estrutura atual dos usuários e grupos do Active Directory é resultado do gerenciamento de TI anterior. A empresa utilizou o Small Business Server, que criou vários grupos de usuários e contêineres padrão.

Infelizmente, os caras que trabalham antes de mim não têm nenhuma documentação. Agora, enquanto herdo essa estrutura, estou na terra de ninguém. Não faço ideia de qual direção ir primeiro.

Como você pode ver, o usuário e os grupos do Active Directory se tornaram um pouco confusos. Não há mais SBS, mas ao migrar do SBS para o ambiente atual do Windows Server 2008 R2, os caras antes de mim simplesmente copiaram a mesma estrutura.

A verdadeira questão:

De onde devo começar a limpeza, garantindo que não vou quebrar totalmente a infraestrutura atual? O que é uma boa organização para o cenário que expliquei acima?

Possíveis informações úteis sobre a estrutura atual:

  1. A pasta

    Computers contém Terminal Services Computers grupo de usuários

    • Membros: TerminalServer computer localizado em Server -> Terminalserver OU
    • Membro de: NONE
  2. Foreign Security Principals : EMPTY

  3. Managed Service Accounts : EMPTY

  4. Microsoft Exchange Security Groups : não tenho certeza se necessário, nossos e-mails são administrados pelo provedor de serviços externo

  5. Distribution Groups : não tenho certeza se necessário

  6. Security Groups : há alguns grupos que são necessários

  7. SBS users : contém todos os usuários

  8. Terminalserver : contém apenas a máquina TerminalServer

por Kristof Tak 18.08.2014 / 12:04

2 respostas

6

Eu lidei com problemas semelhantes no passado.

Dito isto, a sua organização não parece muito longe do normal. Muitas pequenas empresas são construídas exatamente como você descreve.

Se você realmente deseja reestruturar a melhor solução que encontrei, é configurar uma UO com herança de política de grupo de bloqueio na raiz do seu domínio. Crie sua nova estrutura sob essa UO e aplique suas políticas de grupo também. Você pode então mover seus objetos de computador e usuário de maneira controlada.

Em relação ao design - use o que funciona. Não tente imitar o arranjo físico do negócio com muita atenção. Agrupe seus sistemas para facilitar sua administração.

Edições para esclarecimento:

'Bloqueio de herança' é uma opção que permite configurar uma unidade organizacional que ganhou aceite todas as políticas definidas acima. Isso permite uma ardósia totalmente em branco. Quaisquer objetos que são movidos posteriormente aqui não terão nenhum das políticas existentes aplicadas, mesmo que de outro modo seriam. Quaisquer objetos deixados em suas casas originais ainda terão suas políticas atuais aplicadas.

Embora um pouco datado a modelagem lógica aqui fornece algumas orientações excelentes sobre a estrutura geral do AD.

Um ponto adicional, que é extremamente importante - documente tudo que você está fazendo. Inclua por que isso é feito dessa maneira e também como está configurado. O método exato que você escolheu para isso não importa, mas eu pessoalmente prefiro um dos vários Wikis por aí. Construir uma história detalhada para o seu ambiente é uma dádiva de Deus.

Edição adicional em resposta a Joe Qwerty

Eu não preciso defender uma reestruturação. Fazer isso pode ser uma dor intensa e demorada. Eu estou apenas aconselhando como fazer isso se essa é a rota que o OP escolhe. Pessoalmente, isso seria um último recurso. Eu contratei lugares em que todos eram administradores de domínio e as políticas de contas / grupo eram uma bagunça total e uma reestruturação é a opção mais viável.

Dada a escolha, eu optaria por trabalhar dentro da estrutura do AD existente. Se as convenções de nomenclatura, etc incomodarem você, elas sempre podem ser alteradas. As OUs, nomes de grupos, etc, todos têm GUIDs que não serão quebrados por uma renomeação. As entradas do SBS provavelmente não foram copiadas do servidor SBS antigo. O SBS inclui o Active Directory. Um caminho de migração comum à medida que as organizações se expandem é adicionando um servidor 2008 R2 / 2012, promovendo-o ao controlador de domínio, movendo as funções FSMO e, em seguida, rebaixando o servidor SBS original. Se o antigo administrador passou muito tempo no console original do SBS AD, eu poderia ver por que você não deseja alterar a convenção de nomenclatura.

    
por 18.08.2014 / 14:11
4

Eu vou diferir da resposta de Tim e dizer que você deve tentar resolver seu problema descobrindo por que as configurações de GPO pretendidas não estão funcionando, não "reestruturando" sua configuração atual. Reestruturar sua configuração atual não resolverá seu problema se você estiver configurando o GPO errado para começar. Com a exceção de algumas UOs adicionais, a "estrutura" parece típica para o SBS. Só porque você não tem mais SBS, não significa que você precisa jogar fora o bebê com a água do banho. Perguntar se você pode ou não excluir o Microsoft Exchange Security Groups OU me leva a acreditar que você não tem o conhecimento e a experiência apropriados para assumir um novo design.

Suspeito que seu verdadeiro problema é que você está tentando definir algumas configurações para os usuários quando eles fazem logon no Terminal Server, mas você está configurando as configurações no GPO vinculado à UO do usuário, em vez de definir as configurações em o GPO vinculado à UO do Terminal Server e usando o Loopback Policy Processing, que seria a maneira de fazer isso se esse fosse o seu cenário.

Então, você está tentando definir configurações para os usuários quando eles fazem logon no Terminal Server? Em caso afirmativo, em qual GPO você está configurando essas configurações?

    
por 18.08.2014 / 16:54