Group Policy Security Filtering (I)

By Bogdan Morosan - Last updated: Tuesday, November 10, 2009 - Save & Share - Leave a Comment

 

In ciuda numelui, Group Policy nu se aplica grupurilor ci utilizatorilor si calculatoarelor in functie de containerul (OU), domeniul sau site-ul in care se afla. Si totusi cum putem controla aplicarea Group Policy in functie de un grup de securitate? Raspunsul este prin intermediul “security filtering”.

Obiectele de tip Group Policy au, ca orice alt obiect din Active Directory, un set de liste de control al accesului (ACL) care determina permisiunile. Prin intermediul acestor ACLs putem filtra accesul pentru anumite grupuri sau conturi de utilizator/computer. Care sunt ACL-urile implicite ale unui GPO?

Deschideti consola Group Policy Management:

GPMgmt 

Click pe politica dorita in partea stanga a ferestrei de browsing si selectati tab-ul Delegation:

Delegation

Pentru o afisare mai familiara a permisiunilor click pe butonul Advanced:

ACLs

Pentru ca un GPO sa se aplice unui cont de utilizator/computer trebuie ca acest cont, sau grupul din care face parte, sa aiba cel putin permisiunea “Allow” pentru “Read” si “Apply group policy”. Aceasta inseamna ca implicit pentru toti membrii grupului “Authenticated Users” se va aplica politica respectiva. Membrii acestui grup sunt toate conturile de utilizator sau computer care au fost autentificate de catre un Domain Controller. Desi membrii “Domain Admins” nu au permisiunea “Allow” “Apply group policy”, politica li se va aplica prin intermediul apartenentei implicite la grupul “Authenticated Users”.

DomAdm

In cazul in care doriti sa aplicati o politica noua pentru toti utilizatorii din domeniu, dar sa nu si pentru administratorii de domeniu (Domain Admins) aveti doua variante la dispozitie:

1. Scoateti grupul “Authenticated Users” din lista si folositi in locul lui un grup specific.

Filt1

Atentie! In cazul folosirii grupului “Domain Users” contul “Administrator” nu va fi exceptat de la aplicarea politicii pentru ca face parte si din acest grup.

2. Pentru grupul “Domain Admins” activati permisiunea “Deny” “Apply Group Policy”.

Filt2

 

In partea a doua a articolului va voi prezenta un scenariu mai complex de filtrare a Group Policy.

Posted in Active Directory, Security • Tags: Top Of Page

Write a comment