Grupos de computadores / máquinas no Active Directory

Navegue suas respostas
2

Eu estava curioso quando uma pessoa deveria usar grupos de máquinas no Active Directory? Quais são os casos de uso comuns para eles? Como mantê-los atualizados enquanto as máquinas são embaralhadas por uma operação de TI de várias camadas? Existe alguma implicação para os grupos de máquinas se uma pessoa não tiver acesso aos objetos do usuário para se movimentar em relação à aplicação da política, etc.

    
por John 08.11.2011 / 21:34

3 respostas

3

Os grupos de computadores são úteis quando certas coisas locais do SYSTEM acontecem e você deseja que esses eventos afetem os recursos fora da máquina, como o registro de instalações de software enviadas pelo GPO em um local central. Se você tiver um grupo de máquinas que está fazendo as instalações e definir esse grupo de máquinas para permitir gravações no diretório de log, essas instalações de software serão registradas centralmente.

O mesmo vale para um script de inicialização. Se você estiver coletando dados nesse script e quiser soltar os arquivos em algum lugar central, um grupo de máquinas é útil para isso.

A coisa a ser lembrada é que os usuários não herdam nenhum priv da máquina na qual efetuam login. AD considera-os duas entidades separadas. Isso pode ser bom e ruim dependendo do que você está tentando fazer, mas você precisa se lembrar disso.

    
por 08.11.2011 / 21:45
3

Ocasionalmente, uso grupos de máquinas para aplicar Políticas de grupo . Com algumas políticas mais avançadas, a aplicação baseada apenas em OU não funcionaria. Eu tenho políticas, que devem um conjunto de servidores que tenham cerca de 40 políticas aplicadas a eles. Mas algumas dessas políticas são aplicadas apenas a um subconjunto e, em alguns casos, esses subconjuntos de máquinas se sobrepõem, portanto, fazer isso apenas com OU resultaria em uma estrutura de UO desagradável como essa (já vi isso em produção em clientes rede).

  • foo
  • foo \ policya
  • foo \ policyb
  • foo \ policyc
  • foo \ policya + policyb
  • foo \ policyb + policyc
  • foo \ policya + policyc
  • foo \ policya + policyb + policyc

É muito mais limpo, apenas deixar as políticas, no topo, e apenas as políticas se aplicam apenas a grupos específicos, e o grupo de membros inclui máquinas, às quais a política deve se aplicar.

Isso realmente me incomoda quando vejo pessoas com estruturas de UO insanamente feias porque estão tentando fazer com que as políticas funcionem. A Microsoft chamou a tecnologia Group Polices e não a política de UO por um motivo.

    
por 08.11.2011 / 21:45
2

Honestamente, o único uso que encontrei para os Grupos no AD for Computers é limitar o escopo das políticas de grupo aplicadas às estações de trabalho. As melhores práticas da Microsoft sugerem que você deve aplicar políticas a UOs e, em seguida, colocar estações de trabalho em UOs mencionadas ... mas eu acho que isso é menos que ideal ... Grupos permitem refinar um pouco mais para definir os papéis em máquinas específicas.

    
por 08.11.2011 / 21:44

Tags

Precisamos de Eset e SuperAntiSpyware? executa um script no servidor remoto