Limitar programas baseados na política de grupo

2

O que estou tentando realizar é ter certos executáveis permitidos em um ambiente do Active Directory 2012 com base em uma política de grupo.

Eu tenho três tipos diferentes de usuários no meu anúncio.

O grupo A só deve ter acesso ao foo.exe. Grupo B deve ter acesso ao bar.exe. E finalmente o Grupo C deve ter acesso a foo.exe e bar.exe.

Como faço isso usando meu servidor de 2012? Já vi sites diferentes usando a máquina física com gpedit.msc, mas gostaria que isso fosse implementado em um nível de servidor, porque tenho perfis móveis configurados e seria facilmente dimensionável.

    
por hyperj123 18.01.2016 / 01:08

2 respostas

1

having certain executables allowed in a 2012 Active Directory environment based off of a group policy.

Group A should only have access to foo.exe. Group B should have access to bar.exe. And finally Group C should have access to foo.exe and bar.exe. How do I accomplish this using my 2012 server?

Portanto, supondo que estes sejam .NET ou algum tipo de arquivo executável que pode ser executado no lado do cliente sem ser instalado localmente ou um servidor de terminal, etc. você pode colocar cada arquivo executável do aplicativo em sua própria pasta de compartilhamento de rede .

Cada pasta de aplicativos teria seu próprio grupo de segurança do AD separado com qualquer acesso necessário para executá-lo (por exemplo, ler e executar, etc.). Dessa forma, você pode colocar cada conta de usuário do AD individual no grupo de segurança do aplicativo para cada uma, para garantir que elas tenham acesso a uma, a outra ou a ambas. Você também pode aninhar os grupos e, se tiver grupos de segurança do AD que contenham Grupo A, Grupo B e Grupo C, você poderá tornar cada um deles um membro dos grupos de segurança de aplicativos correlatos aos quais eles precisam acessar.

Por fim, você configura as Preferências da Política de Grupo , para depois crie um atalho para esses locais como ícones na área de trabalho ou em outros locais apenas para as contas de usuário que estão em um grupo de segurança específico do AD.

Veja os detalhes abaixo (e capturas de tela) para a navegação e as opções que você selecionaria ao configurar algo para essa necessidade. Você obviamente precisa inserir os detalhes do seu ambiente para os nomes de grupos e caminhos UNC, e assim por diante.

Basta testar para confirmar todas as obras como esperado com sua conta do AD (dar tempo suficiente para propagar em todo o domínio) ou uma conta do AD / teste quando você tiver o GPP, grupos de segurança, locais de pastas e segurança, etc. .

EXEMPLO DE ESTRUTURA DE PASTA

  • %código%
    • Grupo A e Grupo C - Acesso de leitura
  • %código%
    • Grupo B e Grupo C - Acesso de leitura

INFORMAÇÕES SOBRE POLÍTICAS DE GRUPO

Navegação: Configuração do usuário | Preferências | Configurações do Windows | Atalhos

  • Atalho para o botão direito do mouse | Novo | Atalho

Guia geral

Guiacomum

Opçãodesegmentaçãodaguiacomum

    
por 18.01.2016 / 07:17
1

Observe que, ao usar a abordagem de compartilhamento descrita por 1Fish_2Fish_RedFish_BlueFish, os usuários ainda poderão acessar os aplicativos se souberem os nomes dos compartilhamentos (e eles poderão procurá-los facilmente)

Para proteger o método acima, oculte os compartilhamentos (anexe um sinal "$" ao final do nome do compartilhamento) ou (ou e ) altere as propriedades de segurança dos compartilhamentos para permitir apenas acesso dos grupos individuais discutidos.

Você também pode querer dar uma olhada no recurso "applocker":

Como configurar a Diretiva de Grupo do AppLocker para impedir que o software seja executado

Como gerenciar o AppLocker em Windows Server 2012 e Windows 8 / 8.1

    
por 21.01.2016 / 13:50