עוד שאלה על GPO ..

[marvin2]

עוד שאלה על GPO ..

יש לי בעיה כזו. הגדרתי על OU מסויים STARTUP SCRIPT. כאשר אני מכניס ל OU הזה מחשב - הכל עובד והמחשב מריץ את הסקריפט. עכשיו אני מעוניין לא להעביר מחשבים ל OU המיוחד הזה, אלה ליצור קבוצת מחשבים שתשב ב OU המיוחד ואליה לשייך מחשבים. כאשר אני מנסה ליישם את זה - זה לא עובד. אני עושה משהוא לא נכון, או שזה בכלל לא אפשרי ? ה DC הוא 2K.

 

[antidot]

------->

אתה לא יכול להחיל GPO על קבוצה. GPO ניתן להחיל על דומיין, OU, site. כאשר הכוונה לכך שאתמה מקשר GPO לcontainer וכל הענפים/עלים של אותו container מקבלים את הGPO. קבוצה היא לא container ולכן לא ניתן להחיל GPO עליה. תקשר את הGPO לדומיין או לOU שתחתיו יש sub-OUs ותעבוד עם security filtering של GPO, ז"א בACL של GPO תסיר את Authenticated Users: Apply ותוסיף: DOMAIN\MyGroupOfComputers: Apply ככה הGPO יחול על כל הדומיין, אבל רק לקבוצה שהגדרת יהיו הרשאות לקבל את ההגדרות של הGPO.

 

[marvin2]

תודה

אבל כאשר אני שם קבוצת מחשבים בתוך OU שיש עליו GPO , זה לא כאילו המחשבים נמצאים בתוך ה OU הזה ?

 

[antidot]

זה לא

ראה הסבר כאן: http://www.petri.co.il/forums/showthread.php?t=1358#post4408

 

[marvin2]

אוקי, ועוד שאלה (אחרונה)

מכיוון שמדובר במחשבים ולא ביוזרים, מה להוריד באבטחה, על מנת לסנן את ה GPO לקבוצה (כלומר, שזה לא ירוץ על כל שאר המחשבים בדומיין) ? Authenticated Users לא רלוונטי כאן, כי מדובר על STARTUP SCRIPT. (או שכן ?) תודה רבה, עזרת לי מאד.

 

[antidot]

------->

השם של Authenticated Users קצת מטעה. למעשה מדובר בכל security principal שעבר אוטנטיקציה בהצלחה וזה כולל מחשבים. כמו שאמרתי, תוריד את Apply GPO מ Authenticated Users ותוסיף את הקבוצה שתכלול את חשבונות המחשבים עם הרשאות Read GPO, Apply GPO.