Блокиране на наследяване на групови правила

правила
Може би сте научили много за технологията на груповите правила от моите статии. Например в статията „Управление на груповите политики в организацията. Част 2 "беше подробно описана във връзката на личните обекти и в статията„ Управление на груповите политики в организацията. Част 3 ”беше за приоритетите на GPO и как да делегирате разрешения за GPO. Съответно помните, че приоритетът на GPO определя коя настройка на политиката се прилага към клиента, а именно, че ако създадете GPO и ги свържете към сайт, домейн и OU, тогава тези GPO ще бъдат наследени от OU, по-големи от ниско -ниво ниво на GPO, където GPO с по-висок приоритет ще има привилегии пред GPO с по-нисък приоритет. С други думи, когато клиентският компютър стартира, клиентът на груповите правила анализира местоположението на компютъра или потребителския обект в Active Directory и прилага политики в следния ред: GPO, свързани със сайта, след това с домейна, след това с родителския OU на първото ниво, а след това с OU, където се намира потребителят или компютърният обект. Извиква се кумулативният резултат от това приложение на GPO наследяване на политика. Но нито една статия не е говорила за толкова важно свойство като блокиране на наследството, които всъщност ще бъдат обсъдени в тази кратка статия.

С наследяването на групови правила имате възможност да планирате внимателно прилагането на групови правила към повечето части на всяка организация. Понякога обаче има ситуации, при които за конкретна единица искате да заключите всички настройки на груповите правила от GPO, свързани с родители в йерархията на GPO. С други думи, ако блокирате наследяването за конкретен OU, тогава прилагането на GPO ще започне само с GPO, които са пряко свързани с текущия OU, и всички GPO, свързани с по-високи нива на йерархията, както и политики, свързани с домейн или сайтът няма да се прилага.

Използване на блокиращо наследство

За прилагането на блокиране на наследство можете да разгледате прост пример с фиктивна организация. Има Биофармацевтична организация, в която работят 2000 потребители в 50 подразделения. Тази организация има отдел за развитие със спомагателен отдел за тестване. Всички OU имат по един GPO, който е свързан със сайта и домейна. Има още три GPO, приложени към отдела за разработчици, като GPO на Enforceable Security е избран да бъде принуден. Но за да работят тестерите, които се намират в отдел „Тестване“, е необходимо нито един от GPO да не е приложен към тях, с изключение на тези, назначени директно в техния отдел. Съответно в този случай трябва да се използва блокиране на наследство. Но тук си струва да се обърне внимание на факта, че дори ако блокирането на наследяването е активирано, GPO, за който е зададена принудителната връзка, ще бъде приложено към този OU, тъй като този обект получава най-висок приоритет. За да настроите блокиране на наследяване, изпълнете следните стъпки:

Фигура: 1. Референтен ред на GPO за тестващото подразделение

Фигура: 2. Блокиране на наследяването

  1. На домейн контролер отворете добавката „Управление на групови политики“, разгънете възела в дървото на конзолата „Гора:% име на гората%“, в този пример се извиква този възел „Гора: Biopharmaceutic.com“, възел Домейни, в този пример това е домейнът "Biopharmaceutic.com". Тъй като обектите на потребителските акаунти на тази компания се намират в организационната единица „Потребители“, в моя случай трябва да разположа тази единица, след което единицата "Развитие" и изберете дивизия "Тестване". Както можете да видите на следващата илюстрация, в раздела Наследяване на групова политика, 8 GPO са свързани с това устройство:
  2. За да се предотврати наследяването на настройки на GPO за организационна единица "Тестване", щракнете с десния бутон върху текущата единица и изберете командата от контекстното меню „Блокиране на наследство“. Както е показано на следващата илюстрация, след прилагане на това свойство, върху иконата на единицата се появява син кръг с удивителен знак, показващ, че заключването на наследство е приложено към текущата единица;

Както се вижда на предишната илюстрация, сега към отдела за тестване се прилага само GPO Тестване на GPO, който е свързан директно с текущата OU, както и с наложен GPO "Развитие на GPO 3", свързани "Развитие", и този GPO има най-висок приоритет.

Сега нека разгледаме как да приложите GPO за обекти на потребителски акаунти, разположени в OU за разработка и тестване. Обектите на груповите правила ще бъдат приложени към OU за разработка в следния ред: GPO на обекта на груповата политика на организационния сайт се прилага първо към целия сайт на Active Directory. След това се прилагат обектът на груповите правила за домейни на BIOPHARMACEUTIC.COM и GPO на политиката по подразбиране, свързани с домейна. Тъй като родителското подразделение е потребителско подразделение, следните GPO се прилагат за потребителските подразделения на потребителския обект и настройките на потребителския екран. И последните, които се прилагат са Development GPO 2, Development GPO 1 и Development GPO 3, който има принудителна връзка. На свой ред за отдел „Тестване“ се блокират всички горепосочени GPO, с изключение на принудителния и се прилагат само обектите „GPO на отдел„ Тестване “и принудителният обект„ GPO на отдел „Разработка“ 1.

Заключение

В тази статия научихте за блокирането на наследяването на групови правила, което ви позволява да блокирате всички настройки на груповите правила от GPO, свързани с родители в йерархия на GPO за конкретна OU. Използвайки опростен пример, беше разгледано практическото приложение на блокирането на наследяването и беше показан редът на обработка на GPO за организационни единици.