A filtragem de segurança do GPO precisa corresponder a QUALQUER ou TODAS as regras do Filtro?

Navegue suas respostas
1

a minha principal questão é esta:

A filtragem de segurança de um GPO é calculada usando a lógica AND ou com a lógica OR para aplicar os filtros?

Aqui está o contexto da minha situação para um pano de fundo sobre por que estou perguntando:

Estrutura da UO: 

-- Biz-Computers
---- Site1-Computers
---- Site2-Computers

-- Biz-Users
---- Management
---- Operations (GPO Applied here: "OperationsGPO")

Eu tenho o "OperationsGPO" aplicado à OU "Biz-Users / Operations"

Esse GPO é um GPO baseado em usuário, mas só se aplica a um único grupo de usuários dentro da UO Operations, e eu quero aplicar o GPO somente ao usuário se eles estiverem efetuando login em um computador na UO "Site2-Computers"

Portanto, adicionei os usuários necessários do Operations (não todos eles) a um grupo "OpsUsers" e adicionei os computadores Site2 a um grupo chamado "Site2Comps" e adicionei esses grupos ao campo "Filtragem de segurança" do GPO.

Como existem dois grupos definidos na Filtragem de segurança ("OpsUsers" e "Site2Comps"), não estou claro como eles são aplicados - ambos os parâmetros precisam corresponder (lógica AND) ou QUALQUER um dos objetos precisa para combinar (lógica OR)?

Obrigado!

    
por emmdee 21.06.2016 / 06:09

2 respostas

1

RESPOSTA À PERGUNTA: Lógico 'OR' - o GPO será aplicado se qualquer dos Filtros de segurança corresponderem.

SOLUÇÃO PARA SITUAÇÃO: Configurar o modo de processamento de loopback da política de grupo do usuário

  1. Crie uma política de grupo COMPUTADOR sob a UO do (s) computador (es) desejado (s)

  2. Edite o novo GPO e navegue para:

    Configuração do Computador / Modelos Administrativos / Sistema / Diretiva de Grupo

  3. Habilite "Configurar o modo de processamento de loopback da política de grupo do usuário" e defina-o como "Mesclar"

  4. Adicione qualquer política de usuário que você queira habilitar para esta mesma política COMPUTER (o loopback torna isso legal)

  5. Certifique-se de que o novo GPO tenha filtros de segurança para validar os usuários desejados e o (s) computador (es) ao qual você está se candidatando.

O loopback basicamente aplica uma política de "usuário" a um computador específico.

    
por 21.06.2016 / 08:46
0

Funciona da mesma maneira que você adiciona ACL na permissão de arquivo / pasta. Em cenários típicos em que nenhuma entrada "negar" está envolvida e você adiciona vários grupos "permitir" ou "aplicar" permissões, qualquer um do grupo obtém o GPO.

edit //: No entanto, adicionar computadores à sua filtragem não ajudará em nada, pois o que você tem é um usuário definindo o GPO. Conta de computador é irrelevante aqui. Loopback provavelmente é mais apropriado para o que você deseja alcançar, mas não tenho certeza se o loopback em computadores + filtragem de segurança do usuário funcionará do seu jeito.

    
por 21.06.2016 / 06:59

Tags

Problema de instalação do certificado de importação do servidor de borda do Skype for Business 2015 DHCPv6 não funciona quando o UFW está ativado (Ubuntu 16.04 LTS)