Разделение функций СРО

Помимо определения, какие возможности и настройки GPO будут использованы, необходимо еще решить, как развертывать эти настройки. При управлении GPO необходимо ответить на один важный вопрос: нужно ли создать один GPO, содержащий все необходимые настройки, или несколько отдельных GPO для отдельных наборов возможностей или функций? Вообще-то разделение функций между несколькими GPO увеличивает гибкость, хотя увеличивает и объем необходимого для них администрирования. Кроме того, при этом появляются дополнительные возможности для отладки, а также привязки GPO и их фильтрации. В качестве примера разделения функций GPO можно привести следующий список GPO, который можно применить к OU филиала организации, содержащей объекты пользователей, групп и компьютеров. Объект GPO службы тегаической поддержки филиала. Этот GPO содержит настройки, облегчающие администраторам службы поддержки ручное выполнение обновлений Windows, доступ ко всем средствам паиели управления и запуск всех программ с неограниченным доступом. Этот GPO должен применяться последним и переопределять все конфликтные параметры. Его статус следует установить в Computer Configuration Settings Disabled, а фильтр доступа должен быть настроен на использование группы доступа Branch Office Help Desk технической поддержки филиала), в которую должен входить персонал сопровождения из службы поддержки.

Объект GPO серверов филиала. Этот GPO может содержать стандартные настройки безопасности и программные пакеты, характерные для серверов данного филиала. Кроме того, эта политика должна задавать специальные политики аудита, настройки управления учетными записями и назначение прав доступа пользователей к серверам. Значение статуса GPO можно установить равным User Configuration Settings Disabled, и к нему можно привязать фильтр, который содержит компьютеры с операционной системой, в названии которой имеется слово “server”.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *