Início / server / Perguntas / 1085740
Accepted
duckbjarne
Asked: 2021-12-09 07:02:48 +0800 CST

Restringir GPOs ao Host de Sessão RD sem processamento de loopback

  • 772

Meu objetivo seria dividir nossa enorme UO "Usuário" (não a padrão!) em diferentes sub-OUs do respectivo departamento. Então, quero vincular os GPOs aos diferentes departamentos, mas de alguma forma "restringir" a aplicação deles ao Host de Sessão RD. Eu queria saber se existe uma maneira de fazer isso sem ter cerca de 15 GPOs vinculados apenas à UO "Host de Sessão RD" e nenhum às UOs do departamento. Além disso, seria bom poder ter o mínimo possível de segmentação no nível do item.

As razões são: Parece mais agradável, administração mais rápida, melhor visão geral.

Eu gostaria de conseguir isso sem software de terceiros, ou seja:

https://www.policypak.com/resources/pp-blog/group-policy-loopback/

Você também poderia comentar se você também se deparou com o mesmo problema?

Diga-me se você sabe que não é possível.

windows group-policy active-directory

2 respostas

  1. Best Answer

    Você pode criar um grupo de segurança contendo todos os computadores na UO do Host de Sessão RD e, em seguida, usar Delegação ou Filtragem de Segurança em seus GPOs, de modo que os Computadores do Domínio não tenham acesso de leitura e apenas o grupo de Host de Sessão RD tenha acesso de leitura e Usuários do Domínio (ou outro grupo mais direcionado) leu e se inscreveu. Indiscutivelmente, você poderia simplesmente colocar os dois grupos na Filtragem de Segurança do GPO que alcançaria a mesma coisa (embora concederia a permissão Aplicar aos computadores - o que não deve ter efeito desde que o GPO não esteja vinculado à UO). Como os GPOs são recuperados pela conta do computador, garantir que apenas os computadores desejados possam recuperar a política significa que os GPOs devem ser aplicados apenas aos usuários ao efetuar login nessas máquinas.

    Comentários / Pensamentos:

    • Você não pode/não deve impedir que os controladores de domínio leiam esses GPOs, o que levaria a consequências não intencionais - portanto, usando essa técnica, os GPOs poderiam ser aplicados se os usuários estivessem efetuando login em um controlador de domínio. Dito isto - contas administrativas com acesso a DCs devem estar em uma UO totalmente separada de qualquer maneira.
    • Projetar GPOs com base em "aparências" (na minha opinião) leva a possíveis complicações na solução de problemas, definitivamente ao trazer colaboradores externos, novas contratações qualificadas e buscar assistência de uma comunidade (como Server Fault)
    • Acredito que os motivos que você expôs são todos subjetivos - o que é bom, não preciso administrar seu ambiente
    • 0

  2. Como mais de 95% dos GPOs são baseados no registro, você pode usar a seguinte solução fácil de aplicar: localize as chaves do registro usadas pelos GPOs. Implante-os usando itens de preferência de política de grupo ("GPP") (em vez de usar GPOs padrão). Dentro de GPPs, você pode usar "segmentação em nível de item", que é um conjunto de filtros WMI predefinidos que permitem distinguir onde aplicar esses GPPs.

    • 0

relate perguntas