Могу ли я проверить, какие политики применяются к определенной группе безопасности в ADUC?

Question

Мне дали задание очистить ADUC/ групповую политику.

Весьма пугающе из-за недоумения, как все было собрано. Кажется, он был объединен с методом «попробуй, не сработал, не беспокойся об удалении, просто попробуй, промой / повтори».

Двигаемся дальше. Я организовал пользователей так, как мне бы хотелось. Но прежде чем я начну удалять / добавлять объекты в группы безопасности, я бы хотел посмотреть, какие политики они наследуют. Я делаю это с надеждой, что есть оправдание тому, что я вижу.

Другими словами: как я могу узнать, какие политики применяются к определенной группе безопасности?

Answer 1

То , что вы хотите это GPMC - консоль управления групповыми политиками. Он позволяет вам запускать отчеты на пользователях и компьютерах, чтобы увидеть, что такое "RSOP" или "Результирующий набор политик".

Answer 2

Политики не применяются к группам безопасности (они предназначены для настроек безопасности, а не для политик); Политики применяются через членство в группе / подразделении.

Если вы редактируете определенную политику, то в редакторе объектов групповой политики вы можете щелкнуть правой кнопкой мыши имя политики и выбрать «Свойства». Затем на вкладке «Ссылки» вы можете использовать кнопку «найти сейчас», чтобы определить, к какой группе (группам) политики или подразделениям политики применяется политика.

Получите консоль управления групповыми политиками от MS, если у вас ее еще нет. Это сделает его гораздо более очевидна , так как к тому , что политика распространяется на какие группы.

Также вы можете использовать RSOP.MSC на рабочей станции, чтобы определить, как политики влияют на эту рабочую станцию / пользователя.

Надеюсь, это поможет...

Answer 3

Глобальные группы очень часто используются в качестве фильтров для групповой политики. Я искал ответ на первоначальный вопрос и нашел, что представленные ответы менее чем полезны. В нашей среде есть сотни объектов групповой политики и сотни глобальных групп (групп безопасности), поэтому я надеялся, что кто-то еще придумал ответ ... Время освежить навык PowerShell!

Технически говоря, политики применяются на основе наборов правил, определенных иерархическим образом. В настоящее время мы фильтруем в первую очередь членство в глобальных группах. Основным ограничением этого метода является то, что операция происходит в контексте безопасности пользователя. Мы также используем фильтры WMI для пользовательских настроек для изменения уровня машины. Изменения машины обычно выполняются без фильтров глобальных групп, чтобы они могли работать в контексте безопасности машины. Членство на основе машин / подразделений сложно поддерживать в масштабе предприятия.