Как применить групповую политику к одному компьютеру в домене

Обновлено: 21.11.2024

К компьютеру можно применить групповую политику или объект групповой политики. Самый распространенный способ сделать это — привязать объект групповой политики компьютера к организационной единице компьютера. По умолчанию политика будет применяться ко всем компьютерам, находящимся в этом подразделении. Если существует определенная политика только для нескольких конкретных компьютеров, эти компьютеры должны быть сгруппированы вместе в группу компьютеров Active Directory. В этой статье будут подробно описаны способы применения объекта групповой политики к группе компьютеров в Active Directory. Этот способ более эффективен, чем создание новой OU для этих конкретных компьютеров каждый раз, когда в этом возникает необходимость.

Как применить объект групповой политики к группе компьютеров в Active Directory

Объект групповой политики с именем «Secured Computer Policy» создан и связан с OU Prod. По умолчанию объект групповой политики применяется ко всем компьютерам в этой организационной единице.

В этом пошаговом ниже объясняется, как отфильтровать объект групповой политики «Secured Computer Policy» для применения только к WKS002 и WKS003. .

<р>1. Создайте группу.
Группа должна быть создана в подразделении, к которому привязана политика. Откройте подразделение в консоли «Пользователи и компьютеры Active Directory», щелкните правой кнопкой мыши пустую область и выберите «Создать» > «Группа»

.

Укажите имя группы, затем выберите область действия группы Global и тип группы Security.

Нажмите "ОК", чтобы сохранить параметры и убедиться, что группа создана.

<р>2. Добавьте целевые компьютеры в качестве члена группы.
Дважды щелкните имя группы, чтобы открыть ее свойства. Выберите вкладку «Участники» и нажмите кнопку «Добавить».

Появится всплывающее окно. Нажмите кнопку "Типы объектов" и убедитесь, что флажок "Компьютеры" установлен.

Теперь введите имена целевых компьютеров, разделенные точкой с запятой, затем нажмите кнопку «Проверить имена». Если он введен правильно, имена будут подчеркнуты, как показано на рисунке ниже.

Убедитесь, что все целевые компьютеры добавлены в группу, затем нажмите OK для подтверждения. После добавления компьютеров в группу перезагрузите компьютер, чтобы членство в группе вступило в силу.

<р>3. Измените фильтрацию безопасности объекта групповой политики
Переключитесь на консоль управления групповыми политиками. Выберите объект политики, который необходимо изменить, и перейдите на вкладку Область действия.

В разделе «Фильтрация безопасности» выберите группу «Прошедшие проверку» и нажмите кнопку «Удалить».

Затем, все еще находясь в разделе "Фильтрация безопасности", нажмите кнопку "Добавить".

Введите имя группы, созданное на предыдущем шаге. Убедитесь, что он введен правильно, нажав кнопку «Проверить имена», затем нажмите «ОК» для подтверждения.

Убедитесь, что группа добавлена ​​в список.

И наконец, чтобы политика работала, прошедшие проверку пользователи должны иметь доступ хотя бы для чтения к политике. В том же объекте политики перейдите на вкладку Делегации и нажмите кнопку Добавить.

Добавьте группу «Прошедшие проверку» с разрешением на чтение, как показано на рисунке ниже.

Подтверждение

Мы можем проверить правильность применения политики. На клиентском компьютере откройте командную строку с повышенными привилегиями и введите команду gpresult /r /SCOPE COMPUTER. На компьютерах, входящих в группу SECURED_COMPUTER (WKS002 и WKS003), результат покажет, что политика применяется нормально.

Но на компьютере, который не входит в группу, результат покажет, что политика отфильтрована.

Имейте в виду, что применение объекта групповой политики к группе компьютеров может быть немного сложным. Если вы видите, что объект групповой политики отфильтровывается на компьютере, который является членом целевой группы, то есть вероятность, что компьютер еще не понял, что он был членом группы. В этом случае компьютеру требуется перезагрузка, чтобы обновить свое членство в группе. Чтобы проверить членство в группе компьютеров, используйте ту же команду, что и выше, и прокрутите вниз до нижнего раздела, где вы увидите эту информацию.

И вот как применить объект групповой политики к группе компьютеров в Active Directory.

[Обновлено от: 2021-01-29] Как вы знаете, объекты групповой политики применяются к компьютерам. Наиболее распространенный способ сделать это — связать объект групповой политики компьютера с OU компьютера. По умолчанию политика применяется ко всем компьютерам, содержащим OU. Если существует определенная политика только для нескольких конкретных компьютеров, эти компьютеры должны быть в группе компьютеров Active Directory. В этой статье мы узнаем, как применить групповую политику к компьютеру в Active Directory. Вы можете посетить пакеты, доступные в Eldernode, чтобы приобрести сервер Windows VPS. Присоединяйтесь к нам, чтобы изучить это руководство.

Оглавление

Учебник по применению групповой политики к компьютеру в Active Directory

В этом руководстве мы рассмотрим, как применить объект групповой политики к группе компьютеров в Active Directory.Этот метод намного эффективнее, чем создание новой организационной единицы для компьютеров, которые хотят это сделать.

Применить групповую политику к компьютеру в Active Directory

Как отфильтровать политику защищенного компьютера для применения к WKS002 и WKS003

Следующие пошаговые инструкции показывают, как отфильтровать политику защищенного компьютера для применения к WKS002 и WKS003.

Создание группы

Группа должна быть встроена в подразделение, с которым связана политика. Откройте OU в консоли Active Directory Users and Computers.

Щелкните правой кнопкой мыши пустую область страницы и выберите "Создать" >> "Группа".

Введите название группы.

В разделе "Глобальная область" выберите "Глобальная".

В разделе типа группы выберите Безопасность.

Нажмите OK, чтобы сохранить настройки и создать группу. Как показано ниже, группа должна отображаться в подразделении.

Добавить целевые компьютеры в качестве членов группы

Дважды щелкните имя группы, чтобы открыть настройки. Выберите вкладку «Участники» и нажмите кнопку «Добавить».

Откроется следующее окно. Нажмите "Типы объектов" и убедитесь, что установлен флажок "Компьютеры" .

Теперь введите имена целевых компьютеров, упомянутых выше, разделяя их точкой с запятой (;). Затем нажмите Проверить имена. При правильном вводе имена будут отображаться, как показано ниже, с дефисом под ними.

Убедитесь, что все целевые компьютеры являются членами группы, затем нажмите OK для подтверждения.

Изменить настройки безопасности объекта групповой политики

Войдите в консоль групповой политики. Выберите политику, которую хотите изменить, и перейдите на вкладку Область действия.

В разделе "Фильтрация безопасности" выберите "Прошедшие проверку" и нажмите "Удалить".

В том же разделе "Фильтрация безопасности" нажмите кнопку "Добавить".

Введите имя группы, созданной на предыдущем шаге. Нажмите «Проверить имена», чтобы убедиться в правильности введенного имени, а затем нажмите «ОК».

Убедитесь, что группа добавлена ​​в список.

Как проверить правильность применения политики

Мы можем убедиться, что политика применяется правильно. На клиентском компьютере запустите cmd от имени администратора и введите команду gpresult /r /SCOPE COMPUTER. На компьютерах, входящих в группу SECURED_COMPUTER (например, WKS002 и WKS003), результат применяется правильно.

Но на компьютере, не входящем в группу, результат показывает, что политика не применялась.

Имейте в виду, что применение объектов групповой политики к группе компьютеров может немного сбить с толку. Если вы видите объект групповой политики, который не был применен к компьютеру, входящему в целевую группу, возможно, компьютер еще не заметил, что он является членом группы. Чтобы проверить членство вашего компьютера, используйте приведенную выше команду и прокрутите вниз, чтобы просмотреть информацию ниже.

Заключение

В этой статье мы попытались полностью объяснить, как применить групповую политику к компьютеру в Active Directory с помощью образов в Windows Server 2012. Также было пошагово показано, как отфильтровать политику защищенного компьютера для применения к WKS002 и WKS003. Наконец, были оценены результаты работы в среде CMD.

На прошлой неделе я показал вам, как исключить отдельных пользователей из применения объекта групповой политики (GPO), а на этот раз я покажу вам, как правильно применить объект групповой политики к отдельному пользователю или компьютеру. Как я упоминал ранее, всегда лучше использовать группы безопасности с фильтрацией GPO, даже если вы собираетесь применять ее только к одному пользователю или компьютеру. Это позволяет избежать необходимости возвращаться назад и изменять фильтрацию безопасности GPO, если в будущем вам понадобится добавить в политику дополнительные объекты.

Примечание. Прежде чем я начну, я должен указать на распространенную ошибку, заключающуюся в удалении каталога «Прошедшие проверку» из раздела «Фильтрация безопасности» в объекте групповой политики.

НЕ ДЕЛАЙТЕ ЭТОГО.

Вы никогда не должны этого делать, поскольку это может привести к появлению сообщений об ошибках «Недоступно» (см. изображение ниже) для объектов групповой политики в консоли управления групповой политикой для всех, кто не является администратором домена. Это происходит потому, что вы удалили возможность для пользователя читать содержимое GPO, но не беспокойтесь, это не означает, что политика будет применяться к этому пользователю.

Шаг 1. Выберите объект групповой политики в консоли управления групповыми политиками (GPMC), перейдите на вкладку «Делегирование», а затем нажмите кнопку «Дополнительно».

Шаг 2. Выберите группу безопасности «Прошедшие проверку», затем прокрутите вниз до разрешения «Применить групповую политику» и снимите флажок «Разрешить».

Примечание: разрешение «Разрешить» для «Чтения» по-прежнему должно оставаться отмеченным, поскольку это предотвращает появление сообщения «Недоступно», как упоминалось выше.

Шаг 3. Теперь нажмите кнопку «Добавить» и выберите группу (рекомендуется), к которой вы хотите применить эту политику. Затем выберите группу (например, «Учет пользователей») и прокрутите список разрешений до параметра «Применить групповую политику», а затем установите флажок «Разрешить».

Эта групповая политика теперь будет применяться только к пользователям или компьютерам, которые являются членами группы безопасности Accounting Users. Однако вам все равно нужно помнить, что пользователь и/или компьютер по-прежнему должны находиться в области действия объекта групповой политики, чтобы эта политика применялась.

Использование объектов групповой политики для применения настроек к пользователям и компьютерам всегда было отличным способом упростить администрирование и развертывание для администраторов и пользователей.

Работая со многими разными клиентами, у которых ИТ-отдел имеет различный опыт в этом, я вижу много неправильно настроенных групповых политик, так почему бы не написать об этом сообщение.

Групповая политика — это мощный инструмент, и если объект групповой политики настроен неправильно, это может иметь серьезные последствия как для пользователей, компьютеров, так и для серверов организации. правильно.

Теперь, если вы хотите ограничить степень воздействия того, к чему применяются настройки объекта групповой политики, у вас есть несколько вариантов. Здесь я расскажу об основах.

Фильтрация WMI

Фильтры групповой политики WMI появились в Windows XP и поддерживаются в Windows Server 2003, Windows Vista и Windows Server 2008. Они не поддерживаются в Windows 2000 .

Фильтры WMI позволяют установить общие критерии того, когда объект групповой политики должен вступить в силу. Они могут быть полезны, если ваша структура AD относительно плоская и не организована с отдельными подразделениями для разных объектов в AD.

Они также дают возможность применять настройки в зависимости от версии ОС, сети, ролей сервера и различных критериев.

Например, вы можете создать политику для развертывания Citrix Receiver на компьютерах в организации.
С помощью фильтра WMI вы можете поместить эту политику на верхний уровень домена — вместе с политикой домена по умолчанию примените фильтр WMI, чтобы объект групповой политики применялся только к объектам компьютеров с настольной операционной системой.
Это гарантирует, что все компьютеры в домене, независимо от размещения OU для учетной записи компьютера в AD, получат применение объекта групповой политики, в то время как серверы не получат объект групповой политики. Простой пример.

Фильтры оцениваются в следующем порядке – сверху вниз.

Итак, мы находим все политики, которые существуют в локальной иерархии пользователя/компьютера, сайта, домена и организационной единицы.
Затем мы определяем, оценивается ли фильтр WMI как TRUE.
Затем мы проверяем наличие у пользователя/компьютера разрешений на чтение и применение группы для объекта групповой политики.
Это означает, что фильтры WMI по-прежнему менее эффективны, чем иерархическое связывание, но мы можем использовать фильтры для принятия решений в неиерархической структуре Active Directory.

Связь OU с фильтрацией безопасности

Это, пожалуй, наиболее широко используемый вариант, и я лично вижу, что его конфигурация чаще всего неверна.
Вы создаете объект групповой политики с необходимыми настройками, объект групповой политики связывается с контейнером в AD (OU), и вы устанавливаете фильтрацию безопасности, чтобы решить, к кому и к чему в рамках подразделения относится объект групповой политики.

Когда вы создаете объект групповой политики, фильтрация безопасности по умолчанию устанавливается на «Прошедшие проверку» — и именно здесь часто случаются ошибки.

Итак, что такое авторизованные пользователи?

Группа «Прошедшие проверку» содержит пользователей, прошедших проверку подлинности в домене или домене, которому доверяет домен компьютера. Аутентифицированные пользователи будут содержать все созданные вручную учетные записи пользователей во всех доверенных доменах, независимо от того, являются ли они членами группы «Пользователи домена» или нет. Прошедшие проверку пользователи не включают встроенную гостевую учетную запись, но будут содержать других пользователей, созданных и добавленных в гости домена.

В следующем списке показаны участники, входящие в эту группу

Это делает объект групповой политики с пользователями, прошедшими проверку подлинности, в качестве фильтра безопасности, в значительной степени применимым ко всему в пределах связанного подразделения, а это означает, что это может привести к серьезным последствиям, если объект групповой политики будет связан с неправильным подразделением или, что еще хуже, на верхнем уровне домена. .

Это допустимо, если вы хотите, чтобы объект групповой политики применялся ко всему в связанной организационной единице, но перед включением ссылки убедитесь в настройках в объекте групповой политики и ожидаемой аудитории.

Если вы хотите отредактировать фильтрацию безопасности, чтобы она применялась только к выбранной группе AD, содержащей пользователей/компьютеры/сервер, я регулярно вижу, что администратор просто удаляет группу «Прошедшие проверку» из фильтрации безопасности следующим образом:


Затем они получают следующее сообщение, на которое, конечно же, просто отвечают "ОК", не читая:

А затем добавляет другую группу, к которой они хотят применить настройки, затем они удивляются, что объект групповой политики не применяется к их пользователям/компьютерам.

Причина этого заключается в том, что при удалении группы «Прошедшие проверку» из функции «Фильтрация безопасности» из этой группы удаляются как права на чтение, так и разрешения на применение.
Если вы хотите, чтобы настройки применялись к определенной группе, вам по-прежнему необходимы разрешения на чтение для группы «Прошедшие проверку» в объекте групповой политики.

Этим можно управлять, перейдя на вкладку "Делегирование" после выбора объекта групповой политики.

На вкладке «Безопасность» выберите «Пользователи, прошедшие проверку подлинности», и убедитесь, что разрешено «Чтение», и что флажок «Разрешить» в разделе «Применить групповую политику» не установлен.

После того, как вы сняли флажок «Применить», вы можете вернуться на вкладку «Область» и увидеть, что группа пользователей, прошедших проверку подлинности, больше не существует в разделе «Фильтрация безопасности», и вы можете добавить сюда нужную группу. Теперь у группы «Прошедшие проверку» по-прежнему есть разрешения на чтение, и ваш объект групповой политики будет применяться должным образом.

Еще один пример, который я регулярно вижу, — фильтрация безопасности содержит как группу пользователей, прошедших проверку подлинности, так и группы, выбранные администраторами.
Это просто не сработает, если вы хотите регулировать фильтрацию безопасности, обязательно применяйте разрешения на чтение только к группе «Прошедшие проверку», в противном случае ваши настройки, скорее всего, будут применяться к большему, чем вы намеренно хотели.

Настройки групповой политики — таргетинг на уровне элементов

Два предыдущих варианта связаны с тем, как вы можете использовать различные подходы для применения групповой политики к выбранным объектам.
Это относится ко всем параметрам в указанном объекте групповой политики.

Теперь с помощью настроек групповой политики один и тот же объект групповой политики может применять разные (или одинаковые) параметры к разным объектам на основе разных критериев.
В первую очередь это относится к параметрам, доступным в папке Prefrences в разделе Конфигурация компьютера/пользователя при редактировании объекта групповой политики.

Распространенным примером этого является сопоставление дисков:
перейдите в раздел "Конфигурация пользователя\предпочтения\настройки Windows\карты дисков" и добавьте новый диск

Заполните необходимые поля и перейдите на вкладку "Общие".

Установите флажок "Таргетинг на уровне элемента", а затем кнопку "Таргетинг".

Затем вы переходите к редактору таргетинга, где можете указать критерии, когда параметр должен применяться или не применяться, а параметры обеспечивают достаточную гибкость

Чтобы сделать бессмысленный пример, вы можете добавить что-то вроде этого

Подключение диска только в том случае, если пользователь является членом группы пользователей доменов, а на компьютере пользователя имеется 512 МБ свободной оперативной памяти или 80 ГБ свободного места на диске на его/ее компьютере.

Это позволяет уменьшить количество необходимых объектов групповой политики для аналогичных настроек и вместо этого использовать один и тот же объект групповой политики с таргетингом на уровне элементов, чтобы указать, когда, где и на что должна действовать политика.

Как видите, существует множество вариантов гибкой настройки объектов групповой политики.
Надеюсь, это развеяло некоторые недоразумения.

Менеджер-консультант и SME @iteam, локализованный в Кристиансунде, Норвегия.

Сосредоточено на EUC, безопасности, мобильности, виртуализации, управлении и современном рабочем месте.
Узкая специализация по RDS/Citrix/EUC/Mobility.

Читайте также: