no AD, explique-me os benefícios de colocar usuários em UOs

3

Até agora, deixei todos os usuários e computadores em meu domínio na raiz do domínio.

Eu estive pensando em como organizar melhor meu AD, mas não vejo a vantagem de usar OUs ainda.

Agora, organizo tudo usando grupos de segurança e, em seguida, aplico o GPO usando a filtragem de segurança.

Se eu organizar tudo por OU, parece que tudo o que posso fazer é remover a filtragem de segurança em alguns GPOs. Mas também parece que vai tornar a associação e a herança mais complexa no geral.

O que estou perdendo aqui?

Encontrei esses dois segmentos nos quais parece que outros estão igualmente confusos sobre como fazer bom uso das UOs:

Estruturando uma UO para modelar adequadamente uma Hierarquia Organizacional

    
por Daniel 14.09.2016 / 19:29

2 respostas

5

Principalmente, o motivo para colocar usuários em UOs é para Organização, como o nome desejado.

Principalmente, o motivo mais importante é os GPOs. As OUs ajudam você a isolar GPOs, pode direcionar GPOs usando as opções de segurança ou filtros WMI, mas os filtros WMI são matadores reais de desempenho e geralmente causam logon lento.

Outro benefício importante é a possibilidade de delegar o controle da UO aos usuários. Dessa forma, você pode fortalecer sua segurança e delegar funções a usuários que não são administradores. Quanto menos privilégios um usuário tiver, melhor.

    
por 14.09.2016 / 21:07
0

Acho que você está perguntando por que usar UOs com GPOs quando posso usar grupos de segurança? Eu posso pensar em algumas razões:

1) Clareza. Se você criar uma estrutura de UO lógica (por exemplo, criar UOs base de "computador" e "usuário", criar UOs filho "servidor" e "PC" em "computador", criar UOs "administradores" e "contábeis" no PC etc.) e vincular GPOs a sua UO apropriada sem alterar o filtro de segurança, você poderá entender rapidamente quais GPOs estão afetando quais grupos de usuários ou computadores. Se você usar somente filtragem de grupo de segurança, precisará examinar o filtro de segurança de cada GPO ou usar outro método demorado para ver o que está acontecendo. Se você tiver apenas alguns GPOs e for o único a gerenciar os GPOs, isso pode não importar, mas como o número de GPOs e o número de pessoas que gerenciam GPOs aumentam, o método de filtragem de grupo de segurança se torna muito confuso muito rapidamente.

2) Eficiência e gerenciabilidade. Os GPOs vinculados a unidades organizacionais de nível superior se aplicam a todas as unidades organizacionais subordinadas. Por meio de uma estrutura de UO bem projetada, você pode aplicar políticas de grupo com precisão e redundância mínima. Por exemplo, políticas de computador mais genéricas que se aplicam a computadores e servidores devem ser vinculadas à UO do computador (por exemplo, configurações genéricas do IE / Edge, implantação genérica de certificado de segurança, configurações do ambiente powershell etc.) para aplicar especificamente aos PCs (por exemplo, somente cliente As regras de firewall do Windows, as regras relacionadas ao MS Office, as regras de implantação de software cliente) devem ser vinculadas à UO PC e as regras personalizadas devem estar vinculadas a UOs de nível inferior (por exemplo, mapeamento de compartilhamento de arquivo específico, permissões especiais etc.). Se todos os seus GPOs estiverem vinculados à mesma OU, você precisará se lembrar sempre de alterar a ordem de prioridade do GPO para que diretivas mais importantes / específicas tenham precedência sobre políticas mais genéricas (isso é extremamente fácil de esquecer). Acho que você acha que a solução de problemas "GPOs não aplicando" problemas se torna muito mais fácil se você tiver uma estrutura de UO lógica com filtragem de grupo de segurança minimizada. (Observação: algumas diretivas de grupo, como a diretiva de loopback de diretiva de grupo, podem se comportar de maneiras inesperadas se você usar a filtragem de grupo de segurança).

3) Velocidade. Os GPOs que usam a filtragem do grupo de segurança demoram um pouco mais para serem processados. Os GPOs que usam o filtro WMI levam muito mais tempo. Pode não importar apenas com alguns GPOs, mas quando seus GPOs começarem a ser numerados na casa das centenas, você precisará pensar em otimização. Se você quiser minimizar os tempos de processamento de GPO, a atribuição de GPO baseada em UO é o caminho a seguir.

    
por 21.09.2016 / 07:06