Привязка GPO к доменам

При развертывании Active Directory создаются две заранее настроенных стандартных групповых политики. Одна из них привязана к домену и называется Default Domain Policy, а другая привязана к OU контроллеров домена и называется Default Domain Controllers Policy. Стандартная политика домена содержит стандартные параметры безопасности для всего домена, в том числе и политики учетных записей и паролей. Рекомендуется применять эту политику только для управления стандартными политиками учетных записей для всего домена. Все дополнительные параметры GPO, которые нужно применять ко всем пользователям и/или компьютерам следует добавлять в новые объекты групповых политик и привязывать их на уровне домена. Необходимо, чтобы количество политик, привязанных к доменному уровню, было минимальным — иначе обработка групповых политик в организации может замедлиться. Изменения в стандартной политике контроллера домена будут применены ко всем контроллерам домена, поэтому к ним надо относиться с осторожностью или реализовать различные GPO, привязанные к организационной единице контроллера домена. Привязки GPO к организационным единицам — наиболее распространенное применение связей GPO. Они обеспечивают точную настройку приложений и подробный административный контроль задач, относящихся к GPO организационных единиц, а также к настройке и управлению объектами, содержащимися в OU. Единственный способ более точно привязку к GPO организационной единицы — применить фильтр доступа или фильтр MI к этому объекту GPO, но это повлияет на все привязки GPO, относящиеся к данной политике. Новая возможность в GPMC позволяет администраторам принудительно обновить компьютеры в OU, и, хотя это не обязательно изменит привязку или размещение GPO, все же она может повлиять на проектирование OU.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *