Filtrando GPOs com base no grupo de segurança de contas de computador

1

Portanto, eu tenho um GPO, que executa um script de inicialização rápida para excluir impressoras IP instaladas localmente de todas as máquinas em nosso domínio do AD durante a inicialização do computador. Isso funciona muito bem ... o problema aparece quando tentamos isentar algumas máquinas disso (alguns pequenos escritórios sem servidores de impressão).

Eu criei um grupo de segurança global e coloquei as contas do computador (já que isso é uma inicialização, não um script de login) no grupo. Em seguida, defino permissões no GPO para negar acesso a esse grupo. Por alguma razão, isso não tem efeito. Também não tem efeito se eu definir negar permissões para esse grupo no próprio script.

Curiosamente, se eu cortar o grupo e definir negar permissões diretamente no GPO ou no script da conta do computador, as permissões serão negadas corretamente.

Esses problemas persistem em vários comandos "gpupdate / force", bem como reinicializações.

Estou faltando alguma coisa sobre como as contas de computador agrupam os sids dos grupos? Por que as permissões de negação baseadas em grupo não funcionam?

    
por woodsbw 21.12.2012 / 00:06

3 respostas

4

Eu faço o que você está procurando fazer o tempo todo. Quando você diz "Eu defino permissões no GPO para negar acesso a esse grupo", não está claro o que você está fazendo. Aqui está meu fluxo de trabalho para negar a um grupo os direitos de aplicar um GPO:

  • Criar grupo de segurança global "Computadores isentos de exclusão de impressoras"
  • Abra o Gerenciamento de Diretiva de Grupo, localize o GPO para excluir impressoras e "Editar" o GPO
  • Clique com o botão direito do mouse no nó do nível superior no console do Editor de Objeto de Diretiva de Grupo, vá até a guia "Segurança", adicione a permissão "Computadores isentos de impressora" à permissão e defina a permissão para "Computadores isentos de exclusão de impressora "grupo para incluir" Aplicar Diretiva de Grupo "com permissão" Negar "

O editor de permissão no console do Gerenciamento de Diretiva de Grupo é inferior ao Editor de Objeto de Diretiva de Grupo. Você não vê a ACL real no Gerenciamento de Diretiva de Grupo, a menos que você clique no botão "Avançado" na guia "Delegação". Sou "old school" e me acostumei a modificar as permissões de GPO nos dias anteriores ao console de Gerenciamento de Diretiva de Grupo, por isso continuo seguindo o mesmo procedimento descrito acima. Agora saia do meu gramado! > sorriso <

Se você estiver preocupado que o computador não esteja "captando" suas associações de grupo, execute um "whoami / all" como SYSTEM na máquina e revise a saída. Isso mostrará o que o token de segurança do computador realmente inclui. Eu não tive experiências com computadores que não "reconhecem" associações a grupos.

    
por 21.12.2012 / 17:22
5

Filtragem de Diretiva de Grupo: Você está fazendo errado (ou, no mínimo, está fazendo isso da maneira mais difícil).

  1. Crie um grupo de segurança para os computadores para os quais você deseja aplicar a política.

  2. Adicione as contas de computador apropriadas ao grupo.

  3. Na guia Escopo do GPO, na seção Filtragem de segurança, remova todas as entidades e adicione o grupo de segurança criado na etapa 1.

  4. Concluído.

por 21.12.2012 / 01:11
1

Eu não tenho muita certeza, porque não tenho como testar aqui, mas até onde eu lembro, você não será capaz de colocar computadores em grupos e negar o grupo. Você deve colocar cada computador e negar cada um deles ....

Talvez você possa encontrar algo usando o GPP.

    
por 21.12.2012 / 16:17