При входе на компьютер с доменной учетной записью пользователь вводит свои учетные данные, которые передаются на ближайший контроллер домена для проверки подлинности. Если в сетевом окружении отсутствуют доступные контроллеры домена, то учетные данные проверить некому и в систему пользователь войти не сможет.
Обычно объекты групповой политики назначаются на контейнер (домен, сайт или OU) и применяются ко всем объектам в этом контейнере. При грамотно организованной структуре домена этого вполне достаточно, однако иногда требуется дополнительно ограничить применение политик определенной группой объектов. Для этого можно использовать два типа фильтров.
Продолжая тему применения групповых политик, начатую в предыдущей статье, поговорим об особенностях применения политик в зависимости от объекта применения. Как вам наверняка известно, объект групповой политики (GPO) может быть применен как к пользователю, так и к компьютеру. Поэтому у каждого GPO имеются два независимых раздела:
Групповые политики являются одним из наиболее мощных инструментов управления пользователями и компьютерами в домене Active Directory. Однако, как и любой сложный инструмент, они требуют четкого понимания принципов своей работы и тщательного планирования. Без этого применение групповых политик может выдать не совсем тот результат, который требуется.
Active Directory — структура очень гибкая и масштабируемая, однако она все же имеет свои ограничения. Некоторые из них возможно достичь лишь в теории, с другими мы сталкиваемся регулярно. Начнем с наиболее глобальных.
Как вы помните из предыдущей статьи, по умолчанию у каждой вновь создаваемой организационной единицы (Organizational Unit, OU) в списке доступа присутствует разрешение на чтение для группы Authenticated Users, что дает всем пользователям домена возможность просматривать содержимое этой OU. Соответственно для того, чтобы скрыть OU от пользователей, необходимо каждый раз редактировать настройки безопасности. Избавиться от ручного редактирования можно, изменив дефолтные свойства класса Organizational Unit.
Каждый объект, хранящийся в Active Directory (пользователь, группа, организационная единица и т.п.) имеет свои собственные разрешения доступа. С помощью этих разрешений администратор домена может делегировать права на управление пользователями, группами или компьютерами любому пользователю, например чтобы освободиться от выполнения рутинных задач. Одной из проблем делегирования является необходимость сделать хранящиеся в AD данные видимыми только для тех пользователей, которым это необходимо для работы и скрыть от всех остальных. О том, как это можно сделать и пойдет сегодня речь.