Best Practices für Gruppenrichtlinienobjekte: Filterung von Sicherheitsgruppen im Vergleich zu Organisationseinheiten

7

Guten Abend allerseits,

Ich bin ziemlich neu in Active Directory. Nachdem ich die Funktionsebene unseres AD von 2003 auf 2008 R2 aktualisiert habe (ich benötige sie, um eine genau abgestimmte Kennwortrichtlinie zu erstellen), beginne ich mit der Neuorganisation meiner Organisationseinheiten. Ich denke daran, dass eine gute Organisationseinheit die Anwendung des Gruppenrichtlinienobjekts (und möglicherweise des Gruppenrichtlinienobjekts) erleichtert. Letztendlich ist es für mich jedoch natürlicher, die Sicherheitsgruppenfilterung (auf der Registerkarte "Bereich") zum Anwenden meiner Richtlinien anstelle der direkten Organisationseinheit zu verwenden .

Halten Sie es für eine gute Praxis oder sollte ich mich an OU halten?

Wir sind eine kleine Organisation mit 20 Benutzern und 30-35 Computern. Wir haben also einen einfachen OU-Baum, der jedoch subtiler mit Sicherheitsgruppen aufgeteilt ist.

Der OU-Baum enthält keine Objekte außer auf der untersten Ebene. Jede Organisationseinheit der untersten Ebene enthält Computer, Benutzer und natürlich Sicherheitsgruppen. Diese Sicherheitsgruppen enthalten Benutzer und Computer derselben Organisationseinheit.

Vielen Dank für Ihre Ratschläge, Olivier

active-directory group-policy best-practices Olivier Rochaix
quelle
Die Prinzipien von KISS könnten niemals mehr als diese Situation anwenden. Ich versuche, den ersten GPO von dir zu verwenden, und wenn mir jemand eine Waffe an den Kopf legt, verwende ich die Filterung.
Tony Roth

Antworten:

7

Vorteile bei der Verwendung eines OU-basierten GPO-Layouts

  • Es ist einfacher, die betroffenen Objekte sofort zu sehen

  • Weniger Aufwand als die Verwaltung zusätzlicher Sicherheitsgruppen

  • Weniger Replikation auf andere Domänencontroller und kleinere Benutzertoken, da Sie keine zusätzlichen Sicherheitsgruppen benötigen (dies ist für eine kleinere Infrastruktur, wie Sie sie beschreiben, wahrscheinlich nicht wichtig).

  • In den meisten Organisationen können fast alle Richtlinien auf Organisationseinheitsebene in einem gut gestalteten AD angewendet werden

  • Einfachere Delegation

Vorteile der Verwendung eines bereichsbereichsbasierten Gruppenrichtlinienobjekt-Layouts

  • Flexibler

  • Behebt das where should I put this object?Problem, das bei Mitarbeitern auftritt, die möglicherweise Abteilungen überspannen

  • Sie können die Möglichkeit delegieren, Mitglieder zu Gruppen hinzuzufügen, sodass Helpdesk-Mitarbeiter verwalten können, welche Richtlinien wo gelten, ohne Zugriff auf sich ändernde Gruppenrichtlinienobjekte zu gewähren

In Wirklichkeit verfolgen die meisten Organisationen, mit denen ich mich befasst habe, einen hybriden Ansatz. Ein Gruppenrichtlinienobjekt, das basierend auf der Organisationseinheit angewendet werden kann, wird normalerweise einer Organisationseinheit zugewiesen, und alles, was Organisationseinheiten "kreuzt" oder in eine Teilmenge einer Organisationseinheit gefiltert werden muss, verwendet Sicherheitsfilterung oder Targeting auf Elementebene.

Tatsächlich habe ich nur ein einziges Gruppenrichtlinienobjekt bereitgestellt, um 50 Drucker verschiedenen Abteilungen zuzuordnen. Es wurde auf Domänenebene verknüpft und verwendet Targeting auf Elementebene. Fast alle anderen Gruppenrichtlinienobjekte, die wir haben, sind jedoch standardmäßig mit einer Organisationseinheit verknüpft Sicherheitsfilter.

TL; DR - tun Sie, was für Ihr Unternehmen sinnvoll ist.

MDMarra
quelle
Dies im Grunde. Es gibt kein allgemeines Richtig oder Falsch - nur welches ist für jedes einzelne Gruppenrichtlinienobjekt einfacher zu verwalten.
Dan
Danke für diesen klaren Vergleich. Wie Sie am Ende vorschlagen, werde ich wahrscheinlich das Gruppenrichtlinienobjekt pro Organisationseinheit anwenden und für einige von ihnen die Sicherheitsfilterung durch den Bereich anwenden. Außerdem habe ich ein GPO aus mehreren GPPs zum Mounten des Laufwerks verwendet. Jedes GPP ist ein Targeting auf Elementebene, das auf Sicherheitsgruppen basiert. Das Gruppenrichtlinienobjekt wird in der obersten Organisationseinheit ("Office" genannt) angewendet. Auf diese Weise habe ich nur eine Richtlinie für die gesamten gemounteten Laufwerke erhalten :)
Olivier Rochaix
Ich sage, dass Sie jedes Gruppenrichtlinienobjekt danach bewerten sollten, wo / wie es angewendet werden muss, und eine Entscheidung treffen sollten, die für Sie funktioniert. Die meisten Unternehmen verwenden standardmäßig eine OU-basierte Anwendung und filtern, wenn dies nicht ihren Anforderungen entspricht. Auch hier sind viele Variablen erforderlich.
MDMarra
0

Ich denke, alles hängt von der Komplexität der Umgebung ab, die Sie mit Gruppenrichtlinien konfigurieren möchten. Beachten Sie, dass sich ein Objekt nur in einer einzigen Organisationseinheit befinden kann, während sich ein Objekt in mehr als einer Sicherheitsgruppe befinden kann. In einfachen Umgebungen (wie es scheint) würde ich vorschlagen, Ihre Richtlinien und die Anwendung dieser Richtlinien ebenfalls einfach zu halten.

Brian W.
quelle