Как применить политику на уровне подразделения в Windows 2003

Question 1

Чтобы применить групповую политику на уровне OU, вам просто нужно зайти в AD users and computers, щелкнуть правой кнопкой мыши по OU, к которому вы хотите применить политику, а затем перейти в свойства. Здесь выберите вкладку групповой политики, здесь настраиваются политики.

Нажмите на new, чтобы создать новую политику, дайте ей имя, затем нажмите edit. Это откроет окно редактирования, где вы можете перейти к настройкам безопасности (Конфигурация компьютера -> Параметры Windows) или к любым другим параметрам, которые вы хотите, и изменить политику на нужную вам.

Чтобы сохранить, просто закройте окно. После того, как вы закончите, вы можете запустить gpupdate из команды, чтобы убедиться, что политика обновлена.

Answer

Чтобы применить групповую политику на уровне OU, вам просто нужно зайти в AD users and computers, щелкнуть правой кнопкой мыши по OU, к которому вы хотите применить политику, а затем перейти в свойства. Здесь выберите вкладку групповой политики, здесь настраиваются политики.

Нажмите на new, чтобы создать новую политику, дайте ей имя, затем нажмите edit. Это откроет окно редактирования, где вы можете перейти к настройкам безопасности (Конфигурация компьютера -> Параметры Windows) или к любым другим параметрам, которые вы хотите, и изменить политику на нужную вам.

Чтобы сохранить, просто закройте окно. После того, как вы закончите, вы можете запустить gpupdate из команды, чтобы убедиться, что политика обновлена.

Question 2

Я тот парень, который дал вам ответ по поводу политики паролей... >улыбка<

Ответ Сэма в целом правильный. Чтобы сделать его немного более конкретным для ваших обстоятельств, вы хотите связать GPO с настройками вашей политики паролей с OU, где находится серверный компьютер, которому нужна другая политика паролей. Имейте в виду, что если в этом OU есть другие компьютеры, они также применят политику. Это может быть не совсем то, что вам нужно.

Примите во внимание следующее:

 [domain] domain.com
   |
   |- [OU] Member Server Computers
   |   |
   |   |- [Computer] SERVER01
   |   |
   |   |- [Computer] SERVER02

Предположим, что вы хотите, чтобы измененные параметры политики паролей применялись только к SERVER02, тогда лучшим решением будет создать дочернее подразделение подразделения «Member Server Computers» и поместить в него SERVER2, например:

 [domain] domain.com
   |
   |- [OU] Member Server Computers
   |   |
   |   |- [Computer] SERVER01
   |   |
   |   |- [OU] Relaxed Local Password Policy Computers
  ...  |   |
      ...  |- [Computer] SERVER02

Таким образом, все объекты групповой политики, которые уже применяются к «Компьютерам рядовых серверов», будут по-прежнему применяться к SERVER2 (поскольку его расположение в каталоге по-прежнему ниже «Компьютеров рядовых серверов»), но объект групповой политики, который вы создаете и связываете с «Компьютерами с ослабленной локальной политикой паролей», будет применяться только к SERVER02.

Делать это с sub-OU тоже неплохо, предполагая, что в том же OU, что и "SERVER02", есть и другие компьютеры, потому что это ограничивает применение политики в случаях, когда вы делаете что-то, чего не хотите. С помощью групповой политики можно очень быстро и эффективно повредить множество компьютеров... >улыбка< Это отличный инструмент для усиления человеческих ошибок.

(Тамявляются(Другие способы сделать так, чтобы GPO применялся только к SERVER02 без создания под-OU. Здесь не место обсуждать их, но когда будете готовы, найдите фразу «разрешение фильтрации групповой политики» в вашем любимом поисковике, и вы сможете узнать об этом.)

Я обнаружил, что документация ОС для групповой политики действительно запутанная и ужасная — что за разговоры о «приоритетах» и т. д. Это очень простой алгоритм, который групповая политика использует для определения «эффективных» настроек на основе применения набора объектов групповой политики к пользователю или компьютеру, но технические писатели Microsoft, похоже, хотят сделать это «магическим» и, таким образом, они, похоже, делают документацию слишком сложной. Мне следует как-нибудь сесть с микрофоном и утилитой для захвата экрана и сделать видео «руководство по применению групповой политики» или что-то в этом роде. (Да... в мое обильное свободное время...)

Answer

Я тот парень, который дал вам ответ по поводу политики паролей... >улыбка<

Ответ Сэма в целом правильный. Чтобы сделать его немного более конкретным для ваших обстоятельств, вы хотите связать GPO с настройками вашей политики паролей с OU, где находится серверный компьютер, которому нужна другая политика паролей. Имейте в виду, что если в этом OU есть другие компьютеры, они также применят политику. Это может быть не совсем то, что вам нужно.

Примите во внимание следующее:

 [domain] domain.com
   |
   |- [OU] Member Server Computers
   |   |
   |   |- [Computer] SERVER01
   |   |
   |   |- [Computer] SERVER02

Предположим, что вы хотите, чтобы измененные параметры политики паролей применялись только к SERVER02, тогда лучшим решением будет создать дочернее подразделение подразделения «Member Server Computers» и поместить в него SERVER2, например:

 [domain] domain.com
   |
   |- [OU] Member Server Computers
   |   |
   |   |- [Computer] SERVER01
   |   |
   |   |- [OU] Relaxed Local Password Policy Computers
  ...  |   |
      ...  |- [Computer] SERVER02

Таким образом, все объекты групповой политики, которые уже применяются к «Компьютерам рядовых серверов», будут по-прежнему применяться к SERVER2 (поскольку его расположение в каталоге по-прежнему ниже «Компьютеров рядовых серверов»), но объект групповой политики, который вы создаете и связываете с «Компьютерами с ослабленной локальной политикой паролей», будет применяться только к SERVER02.

Делать это с sub-OU тоже неплохо, предполагая, что в том же OU, что и "SERVER02", есть и другие компьютеры, потому что это ограничивает применение политики в случаях, когда вы делаете что-то, чего не хотите. С помощью групповой политики можно очень быстро и эффективно повредить множество компьютеров... >улыбка< Это отличный инструмент для усиления человеческих ошибок.

(Тамявляются(Другие способы сделать так, чтобы GPO применялся только к SERVER02 без создания под-OU. Здесь не место обсуждать их, но когда будете готовы, найдите фразу «разрешение фильтрации групповой политики» в вашем любимом поисковике, и вы сможете узнать об этом.)

Я обнаружил, что документация ОС для групповой политики действительно запутанная и ужасная — что за разговоры о «приоритетах» и т. д. Это очень простой алгоритм, который групповая политика использует для определения «эффективных» настроек на основе применения набора объектов групповой политики к пользователю или компьютеру, но технические писатели Microsoft, похоже, хотят сделать это «магическим» и, таким образом, они, похоже, делают документацию слишком сложной. Мне следует как-нибудь сесть с микрофоном и утилитой для захвата экрана и сделать видео «руководство по применению групповой политики» или что-то в этом роде. (Да... в мое обильное свободное время...)

Question 3

Ну, я укажу вам наЭтот, но вы можете попробовать использовать групповые политики в непроизводственной среде, так как есть некоторые вещи, которые могут стать немного... запутанными. Однако, как только вы привыкнете к ним, они станут очень эффективным способом управления вашими рабочими станциями и серверами. Я бы рекомендовал взять книгу, посвященную администрированию серверов Windows и групповой политике, издательства Microsoft Press или O'Reilly.

Answer

Ну, я укажу вам наЭтот, но вы можете попробовать использовать групповые политики в непроизводственной среде, так как есть некоторые вещи, которые могут стать немного... запутанными. Однако, как только вы привыкнете к ним, они станут очень эффективным способом управления вашими рабочими станциями и серверами. Я бы рекомендовал взять книгу, посвященную администрированию серверов Windows и групповой политике, издательства Microsoft Press или O'Reilly.

Question 4

Невозможно применить групповые политики к определенному пользователю или группам пользователей. Предположим, мы хотим создать отдельную политику для определенного пользователя, тогда мы должны сначала создать OU и применить GP, как вам угодно, а затем переместить пользователя или группу в OU. Это лучшая практика для управления пользователем и группой пользователей.

Answer

Невозможно применить групповые политики к определенному пользователю или группам пользователей. Предположим, мы хотим создать отдельную политику для определенного пользователя, тогда мы должны сначала создать OU и применить GP, как вам угодно, а затем переместить пользователя или группу в OU. Это лучшая практика для управления пользователем и группой пользователей.

Как применить политику на уровне подразделения в Windows 2003

решение1

решение2

решение3

решение4

Связанный контент