Aplicar política de grupo a usuários específicos (em uma UO) em computadores específicos (não em uma UO)

2

Isso tem me incomodado por um tempo. Aqui está a configuração:

  • Temos ~ 20 servidores Win2k8r2. Eles são separados em várias UOs que não posso alterar. Eu criei um grupo de segurança "DevHostsSG" que contém os computadores onde esta política deve ser aplicada.
  • Temos ~ 40 usuários. Há uma OU "DevUsersOU" específica que contém uma dezena de usuários aos quais desejo aplicar uma política. Eu também criei um grupo de segurança DevUsersSG que contém os mesmos usuários.

Eu preciso de um GPO de redirecionamento de pasta específico aplicado somente aos usuários no DevUsersOU e apenas nos servidores do grupo de segurança DevHostsSG. Os usuários em DevUsersOU não devem ter a diretiva de redirecionamento aplicável em nenhum outro servidor, e nenhum outro usuário deve ter redirecionamento quando fizer logon em um servidor no grupo de segurança DevHostsSG.

Meu progresso até agora:

  • Eu tenho o conjunto de processamento de loopback para que o redirecionamento seja aplicado
  • Quando defino a política para o DevUsersOU e, em seguida, adiciono o DevHostsSG à filtragem de segurança (com leitura e aplicação) ele não funciona em lugar algum (o que estou assumindo é porque não há computadores nesse formato) OU ..?)
  • Quando defino a política para o domínio e, em seguida, uso o filtro de segurança para incluir DevUsersSG e DevHostsSG, a política se aplica mesmo quando DevUsers efetuam login em não DevHosts
  • Quando eu aplico a política de grupo apenas ao DevHostsSG, parece não funcionar (o que me faz pensar se o processamento de loopback não está funcionando)
  • Quando eu crio um grupo de segurança que contém os usuários e computadores especificados, ele parece se aplicar a todos os hosts

Neste momento eu estou ficando sem ideias e parcialmente adivinhando coisas e parece estar piorando, por alguma razão eu tenho um host no DevHostsSG onde o redirecionamento está funcionando, dois hosts onde ele não está funcionando, e um host que não está no DevHostsSG onde o redirecionamento está habilitado .. Eu fiz vários gpupdate / force junto com logoffs e gpresult / R toda vez que faço uma mudança e não estou chegando a lugar nenhum.

Qualquer ajuda seria muito apreciada!

---- Mais testes ----

Na tentativa de simplificar a situação, tentei o seguinte:

  • Limpou os grupos nos filtros de segurança
  • Adicionou um usuário específico ao filtro de segurança
  • Adicionou um host específico ao filtro de segurança
  • Executou gpupdate nesse host como aquele usuário: redirecionado ativado (OK)
  • Executou o gpupdate nesse host como outro usuário: o redirecionamento não está ativado (OK)
  • Executou o gpupdate em outro host como aquele usuário: redirecionamento ativado (NÃO OK)

  • Desativar o processamento de loopback não fez diferença

---- Respostas ----

joequerty:

  1. Basicamente, tenho executado gpupdate em quatro hosts depois de cada alteração no Gerenciamento de Diretiva de Grupo: dois hosts no grupo DevHostsSG e dois não no grupo, e em cada um deles eu faço logon como usuário no grupo. DevUsersOU e como usuário não na OU.
  2. Precisar de uma reinicialização soa estranho para mim ... Estou apenas me referindo à guia "members" / "member of" nas propriedades do AD (por exemplo, no DevHostsSG, os membros são DevHost1, DevHost2, etc)
  3. Seria ótimo se a política não estivesse vinculada a todo o domínio, mas eu não sei mais o que fazer
  4. Esse é o problema. Não consigo fazer com que o filtro de segurança do GPO faça um "AND", os filtros de segurança sempre "OR" (ou seja, DevUser1 OU DevHost1 em vez de DevUser1 e DevHost1)

A configuração atual está de volta ao item 1 acima, que é para que o GP seja aplicado ao DevUsersOU com o grupo de segurança configurado para a lista de hosts onde o GP deve ser aplicado. Eu reiniciei um dos hosts desde a última mudança e redirecionamento de pasta agora não está mais funcionando (foi a última vez que verifiquei ontem). Quando eu executo um gpresult / R, eu não vejo o GP listado sob as CONFIGURAÇÕES DO COMPUTADOR, mas vejo o seguinte em USER SETTINGS:

The following GPOs were not applied because they were filtered out
-------------------------------------------------------------------
    Local Group Policy
        Filtering:  Not Applied (Empty)

    Default Domain Policy
        Filtering:  Not Applied (Empty)

    Folder Redirect
        Filtering:  Denied (Security)

Suponho que isso falhou porque não incluo explicitamente o DevUsersSG como uma entrada separada na seção de filtragem de segurança do GP ou incluo-os no grupo de segurança em que os hosts estão, mas a partir dos meus testes parece que se eu fazer qualquer um desses, o GP se aplica a todos os hosts que esses usuários logam ... Então, eu estou praticamente de volta onde eu comecei ..

    
por Martin 28.01.2015 / 20:50

1 resposta

0

  1. Onde você executou o gpupdate? O processamento da diretiva de loopback é uma configuração de Configuração do Computador, portanto, para que seja aplicada aos servidores em questão, esses servidores precisam ter a Diretiva de Grupo atualizada.

  2. Uma alteração na associação ao grupo de uma conta de computador requer uma reinicialização desse computador AFAIK.

  3. Não é recomendado usar o processamento de políticas de Loopback no nível do domínio.

  4. Se você deve usá-lo no nível do domínio, em seguida, verifique se o filtro de segurança tem apenas os grupos de usuários e computadores específicos que você criou.

Eu não vejo nenhuma razão para que o processamento da política de auto-retorno em um GPO vinculado ao domínio com a filtragem de segurança apropriadas não iria funcionar, mas eu só já é usado em OU do específico, não no nível do domínio. Dito isto, suspeito que o seu problema esteja no item número 2.

    
por 28.01.2015 / 21:14