GPO замыкания пользовательской политики / User Group Policy Loopback processing mode

Видно, что вы сами не до конца понимаете, как работает Loopback processing mode и Security Filtering.

Когда GPO линкуется к какому-то OU, то по умолчанию политики из раздела Computer Configuration данной GPO применяются ко всем компьютерным объектам внутри этого OU (и его подконтейнеров), а политики из раздела User Configuration применяются ко всем пользовательским объектам внутри этого OU (и его подконтейнеров).

Если вы прилинкуете GPO к OU, в котором лежат только компьютерные объекты, и в этом GPO укажете какие-то настройки в разделе User Configuration, то по умолчанию эти пользовательские настройки будут проигнорированы и никем не будут использоваться (т.к. я уже указал выше, что по умолчанию к компьютерным объектам применяются только настройки из Computer Configuration).

Так вот, чтобы к пользователям, которые логинятся на какие-то машины, применялись пользовательские настройки (раздел User Configuration) из GPO, которая прилинкована к компьютерному объекту, и включается «User Group Policy Loopback processing mode».

При этом в режиме Replace пользовательские настройки (User Configuration) из других GPO, назначенных на пользовательский объект, будут отменены и будут действовать только пользовательские настройки (User Configuration) из GPO, назначенного на компьютерный объект, куда логинится пользователь.
А в режиме Merge эти настройки совместятся (ранее назначенные сохранятся, новые добавятся, конфликтующие перезапишутся). Т.е. частично у пользователя останутся настройки, назначенные на самого пользователя через другие GPO, плюс добавятся пользовательские настройки (User Configuration) из GPO, назначенного на компьютер.


Но нужно понимать, что хоть в этом случае меняются пользовательские настройки, но сам GPO назначается всё же на компьютерный объект. И при настройке линковки Security Filtering про это не нужно забывать.

Если вы для GPO, прилинкованному к OU, настраиваете Security Filtering, тогда политики из этого GPO применяются не ко всем объектам внутри данного OU, а только к тем, которые указаны в фильтре безопасности прямо или косвенно (через группы).
Чтобы данный GPO применился к какому-то объекту, этот объект:
а) должен быть внутри OU, к которому прилинкован GPO;
б) должен подпадать под указанный фильтр безопасности (с правами: read group policy + apply group policy).
В Security Filter нет смысла включать объекты, которые не содержатся внутри OU, к которому вы линкуете GPO, — политики к таким объектам всё равно не применятся.

Итого, как было правильно реализовать замыкание групповой политики:

Вариант 1 (с созданием отдельного OU для терминальных серверов).
1. Создаёте отдельный подконтейнер для ТС: ou=terminal servers,ou=servers,dc=example,dc=org
2. В этот контейнер перемещаете компьютерные объекты всех терминальных серверов.
3. Создаёте GPO, например, TermSrv_Minimal_UserConf.
4. В настройках GPO TermSrv_Minimal_UserConf:
— в разделе User Configuration: задаёте нужные вам разрешения для пользователя.
— в разделе Computer Configuration включаете «User Group Policy Loopback processing mode» в режим Merge (или Replace).
5. Линкуете GPO TermSrv_Minimal_UserConf к OU, в котором находятся терм.серверы, т.е. к ou=terminal servers,ou=servers,dc=example,dc=org
6. Настройки безопасности GPO оставляете по умолчанию, т.е. Authenticated Users: Read+apply group policy.

Вариант 2 (без создания отдельного OU для терминальных серверов).
1. Терминальные серверы лежат в одном OU с прочими компьюьерными объектами (например, в ou=servers,dc=example,dc=org).
2. Создаёте доменную группу, например, TermServers (domain local, security), включаете в неё все терминальные серверы (комп. объекты).
3. Создаёте GPO, например, TermSrv_Minimal_UserConf.
4. В настройках GPO TermSrv_Minimal_UserConf:
— в разделе User Configuration: задаёте нужные вам разрешения для пользователя.
— в разделе Computer Configuration включаете «User Group Policy Loopback processing mode» в режим Merge (или Replace).
5. Линкуете GPO TermSrv_Minimal_UserConf к OU, в котором находятся терм.серверы (и не только), т.е. к ou=servers,dc=example,dc=org
6. Настраиваете для этого GPO Security Filtering: удаляете Authenticated User, добавляете созданную вами ранее группу TermServers (с правами по умолчанию: Read+apply group policy).

Вот и всё. При этом:
а) Если юзеры будут логиниться на свою рабочцю станцию и на какие-то прочие нетерминальные серверы (куда им разрешено), то к ним будут применяться пользовательские настройки из GPO, назначенных на их пользовательскую учётку (в частности из Default Domain Policy И прочих, созданных вами).
б) Если юзеры будут логиниться на терминальные серверы, то к ним сначала, как обычно, будут применяться пользовательские настройки из GPO, назначенных на их пользовательскую учётку, а потом сразу же поверх них будут накатываться пользовательские настройки из GPO TermSrv_Minimal_UserConf, прилинкованного к контейнеру с терминальными серверами, путём полной замены (Replace) или дополнения с перезаписью конфликтных значений (Merge).

Источник

Реклама

4 responses to “GPO замыкания пользовательской политики / User Group Policy Loopback processing mode

  1. Увы и ах. И этот способ работать не будет. Вернее, будет, но… В общем, к пользователю, залогинившемуся на машине, для которой включена перемычка правил, будут применены пользовательские правила из всех GPO, которые «встречаются» на пути к учетной записи машины — независимо от того, применяется это GPO к самой машине или нет. Т. е. безразлично, включена ли обработка машинной части правил в этом GPO и не отфильтровывается ли GPO по безопасности, — к пользователю правила будут применены.
    В приведенной мною выше (вернее, ниже) схеме все ухищрения с группами Deny_GPOx окажут влияние только на машинные части GPO — к пользователю будут применены правила из всех GPO. Прискорбно, но факт.

  2. Хм, как оказалось, и этот способ не работает. Тогда по-другому.
    Создаем две группы — Deny_GPO1 и Deny_GPO2. Deny_GPO1 оставляем пустой, в Deny_GPO2 включаем компьютер A. Оба компьютера (а в общем случае — все компьютеры) помещаем в OU _Computers, привязываем к нему GPO1 и GPO2. В свойствах безопасности GPO1 добавляем группу Deny_GPO1 и запрещаем для этой группы применение групповой политики. Аналогично настраиваем безопасность для GPO2. Методологически такое решение выглядит некрасиво, но других вариантов не вижу.

    • Спасибо, GCRaistlin, за комментарии. Самому пока не было времени проверить, но приятно узнать, что кто-то читает этот бложек.

  3. Вариант 2 нерабочий: к пользователям, вошедшим на терминальный сервер, настройки из GPO TermSrv_Minimal_UserConf применены не будут из-за фильтрации по безопасности — ведь у Authenticated Users мы право применять политику убрали. Без дополнительного OU здесь не обойтись. Тем не менее, неудобства этого можно нивелировать.
    Рассмотрим такую ситуацию: есть две политики GPO1 и GPO2, каждая из которых предполагает использование перемычки правил. При этом на компьютере A должно применяться GPO1, а на компьютере B — GPO1 и GPO2. На первый взгляд, задача неразрешима: и в один OU оба компьютера помещать нельзя (т. к. GPO2 на компьютере A применяться не должна), и компьютер B в двух OU одновременно находиться не может. Но выход есть.
    Создаем два OU — GPO1 и GPO2 — и две группы — тоже GPO1 и GPO2. Группы помещаем в соответствующие OU. В группу GPO1 включаем компьютеры A и B, в группу GPO2 — только B. И получим искомое.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s