none
GPO nidifcate e utenze RRS feed

  • Domanda

  • Dunque per definizione nelle GPO ci vanno oggetti utenti o computer e non gruppi di utenti o computer.

    Ho però sempre qualche dubbio nel caso di GPO nidificate.

    Guardate la seguente immagine qui linkata:

    https://s18.postimg.org/d3atsm9w9/Cattura.jpg

    Facciamo un esempio semplice.

    Se applico una GPO alla OU TUTTI, che può o meno avere al suo interno alcuni utenti, questa dovrebbe si "propaga" su tutte le OU successive, quindi per coloro che stanno in IT / HR e le relative OU nidificate Admin e Operators. Corretto?

    Se applico una GPO specifica alla OU IT, questa, come nel caso precedente, si propaga alle OU nidificate IT/Admin e IT/Operators, ed ovviamente eredita quelle della OU TUTTI. Come si blocca, se si può questo comportamento? Di solito si opera a livello di OU IT e si imposta il "block inherintance" ma questo blocca qualsiasi GPO. C'è modo di filtrare quali GPO invece far passare? Devo assegnare la GPO come "enforced" o c'è un altra via? Con l'enforced però dovrebbe appunto "applicarsi ovunque" in cascata; e non otterei l'intento di bloccarla dove non mi serve.

    Se un utente specifico/alcuni utenti, sta invece nella OU HR/Admin ma deve anche ereditare una GPO della OU IT/Operators, oltre quelle già assegnate a HR/Admin, come si può fare per ottenere questo comportamento?

    Grazie in anticipo.

    mercoledì 31 agosto 2016 12:10

Risposte

  • Qualche anno fa, durante un corso per un moc che riguardava anche AD, ci fu espressamente detto che, in parole povere, all'interno di OU solo utenti (a me pareva già una stro....ata) e che le GPO se anche facevi un gruppo all'interno della medesima OU non veniva applicata.

    Non posso parlare per il Trainer che ha erogato il corso. Devo però constatare che c'è qualche imprecisione nei termini.

    Le GPO sono linkate alle OU, applicate agli account (utente o computer) e filtrate sui gruppi (di sicurezza).

    Quindi linki la GPO ad una OU e ti aspetti che sia applicata agli account presenti nella OU ed in quelle discendenti (al netto di ereditarietà, blocco ed enforcing). Come ho già scritto ed ha confermato Andrea, quando questo non ti basta usi il security filtering sui gruppi.

    Molto importante è capire che quando linki una GPO ad una OU, la GPO si applica solo agli utenti presenti nella OU o in quelle sottostanti e non si applica invece agli utenti membri dei gruppi di sicurezza presenti nelle OU.

    E' buona prassi per la manutenzione di AD mantenere in OU separate Account utente, Account computer e Gruppi di sicurezza. Ovviamente poi puoi scegliere diversamente, l'importante è documentare bene le scelte fatte.

    Distinti saluti.

    • Contrassegnato come risposta winfabero giovedì 1 settembre 2016 10:43
    giovedì 1 settembre 2016 07:31
  • Dunque per definizione nelle GPO ci vanno oggetti utenti o computer e non gruppi di utenti o computer.

    In realtà le GPO vengono linkati alle OU

    Facciamo un esempio semplice.

    Se applico una GPO alla OU TUTTI, che può o meno avere al suo interno alcuni utenti, questa dovrebbe si "propaga" su tutte le OU successive, quindi per coloro che stanno in IT / HR e le relative OU nidificate Admin e Operators. Corretto?

    Si a patto che non venga bloccata l'ereditarietà in qualche OU.

    Se applico una GPO specifica alla OU IT, questa, come nel caso precedente, si propaga alle OU nidificate IT/Admin e IT/Operators, ed ovviamente eredita quelle della OU TUTTI.

    Esatto.

    Come si blocca, se si può questo comportamento? Di solito si opera a livello di OU IT e si imposta il "block inherintance" ma questo blocca qualsiasi GPO. C'è modo di filtrare quali GPO invece far passare? Devo assegnare la GPO come "enforced" o c'è un altra via?

    La strada corretta è quella che hai indicato, le GPO marcate come enforced vengono comunque applicate a tutte le OU sottostanti anche se l'ereditarietà è stata bloccata.

    Con l'enforced però dovrebbe appunto "applicarsi ovunque" in cascata; e non otterei l'intento di bloccarla dove non mi serve.

    Se un utente specifico/alcuni utenti, sta invece nella OU HR/Admin ma deve anche ereditare una GPO della OU IT/Operators, oltre quelle già assegnate a HR/Admin, come si può fare per ottenere questo comportamento?

    Grazie in anticipo.

    Se la suddivisione in OU non ti è sufficiente puoi filtrare ulteriormente l'applicazione delle GPO a gruppi di utenti sfruttando il Filtering: https://technet.microsoft.com/en-us/library/cc752992(v=ws.11).aspx

    Ciao


    Andrea Sistarelli
    Blog
    Datacen srl - Consulenza informatica

    • Contrassegnato come risposta winfabero giovedì 1 settembre 2016 10:43
    mercoledì 31 agosto 2016 12:33
  • BANALIZZO un argomento che dovrebbe essere trattatato in altro modo: generalmente tendo a limitare l'uso di enforcing/security/filtering, se non strettamente necessario, questo per mantenere l'infrastruttura più semplice possibile, performante, chiara e "leggibile"... penso sempre, se un collega vedesse l'implementazione realizzata, Capirebbe facilmente il funzionamento?

    Negli anni ho letto varie "best practice" e libri sul design di AD e GPO e l'idea comune è quella di progettare bene e non complicarsi la vita.


    Ti consiglio di leggere i seguenti documenti che ti possono essere di aiuto e risolverti i tuoi dubbi "basilari":

    Criteri di gruppo per principianti

    Best Practices for Optimizing Group Policy Performance

    //www.grouppolicy.biz/2010/07/best-practice-active-directory-structure-guidelines-part-1/

    Segue il link, dove potrai trovare tutto sulle group policy (da non perdere assolutamente!!)

    http://social.technet.microsoft.com/wiki/contents/articles/4715.group-policy-survival-guide.aspx

    Ciao gas


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    • Contrassegnato come risposta winfabero giovedì 1 settembre 2016 10:43
    mercoledì 31 agosto 2016 22:07
    Moderatore
  • No non si applica, una GPO linkata a una OU viene applciata solo a utenti  e computer di quella OU non ai gruppi che sono all'interno della OU.

    Se nella OU1 c'è Giovanni, PC-01, Gruppo1, e Gruppo1 contiene Luigi, la policy verrà applicata solo a Giovanni e PC-01.

    E' per questo che Rocco ti consigliava di divere le OU per contenuto, cioè una configurazione tipo potrebbe essere (sono tutte OU quelle ch scrivo):

    • IT
    • - Computer
    • - - Server
    • - - Client
    • - - - Desktop
    • - - - Notebook
    • - User
    • - User Special
    • - Groups
    • - - Distribution
    • - - Security
    • - Contacts

    etc.

    Ciao


    Andrea Sistarelli
    Blog
    Datacen srl - Consulenza informatica


    • Modificato Andrea Sistarelli giovedì 1 settembre 2016 08:46
    • Contrassegnato come risposta winfabero giovedì 1 settembre 2016 10:43
    giovedì 1 settembre 2016 08:41
  • Si è sempre valido quello che è cambiato è che quando filtri una policy per un gruppo devi comunque lasciare i diritti di Read al gruppo Authenticad Users.

    Ciao


    Andrea Sistarelli
    Blog
    Datacen srl - Consulenza informatica

    • Contrassegnato come risposta winfabero giovedì 1 settembre 2016 10:43
    giovedì 1 settembre 2016 08:45

Tutte le risposte

  • Ciao,

    sono daccordo con te sugli aspetti di ereditarietà, blocco dell'ereditarietà ed enforcement.

    Non condivido il non uso di gruppi per filtrare le GPO.

    I gruppi di sicurezza sono stati appositamente creati per distribuire i permessi NTFS (tra cui la lettura e l'esecuzione delle GPO). Pertanto non vedo alcun problema nell'usare dei gruppi di Sicurezza per filtrare le GPO verso gruppi di utenti o computer (o misti).

    L'unico problema è che non esiste un gruppo che si aggiorna in funzione degli account presenti nelle OU (ritengo comunque che sia possibile creare agilmente uno script che aggiorni un gruppo in tale maniera e probabilmente esiste già).

    Io utilizzo quotidianamente i gruppi di sicurezza per filtrare le GPO.

    Anzi, l'utilizzo diretto degli account crea un problema di manutenzione di AD.

    Sperando di essere stato utile, sono a disposizione per chiarimenti.

    Distinti saluti.

    mercoledì 31 agosto 2016 12:24
  • Dunque per definizione nelle GPO ci vanno oggetti utenti o computer e non gruppi di utenti o computer.

    In realtà le GPO vengono linkati alle OU

    Facciamo un esempio semplice.

    Se applico una GPO alla OU TUTTI, che può o meno avere al suo interno alcuni utenti, questa dovrebbe si "propaga" su tutte le OU successive, quindi per coloro che stanno in IT / HR e le relative OU nidificate Admin e Operators. Corretto?

    Si a patto che non venga bloccata l'ereditarietà in qualche OU.

    Se applico una GPO specifica alla OU IT, questa, come nel caso precedente, si propaga alle OU nidificate IT/Admin e IT/Operators, ed ovviamente eredita quelle della OU TUTTI.

    Esatto.

    Come si blocca, se si può questo comportamento? Di solito si opera a livello di OU IT e si imposta il "block inherintance" ma questo blocca qualsiasi GPO. C'è modo di filtrare quali GPO invece far passare? Devo assegnare la GPO come "enforced" o c'è un altra via?

    La strada corretta è quella che hai indicato, le GPO marcate come enforced vengono comunque applicate a tutte le OU sottostanti anche se l'ereditarietà è stata bloccata.

    Con l'enforced però dovrebbe appunto "applicarsi ovunque" in cascata; e non otterei l'intento di bloccarla dove non mi serve.

    Se un utente specifico/alcuni utenti, sta invece nella OU HR/Admin ma deve anche ereditare una GPO della OU IT/Operators, oltre quelle già assegnate a HR/Admin, come si può fare per ottenere questo comportamento?

    Grazie in anticipo.

    Se la suddivisione in OU non ti è sufficiente puoi filtrare ulteriormente l'applicazione delle GPO a gruppi di utenti sfruttando il Filtering: https://technet.microsoft.com/en-us/library/cc752992(v=ws.11).aspx

    Ciao


    Andrea Sistarelli
    Blog
    Datacen srl - Consulenza informatica

    • Contrassegnato come risposta winfabero giovedì 1 settembre 2016 10:43
    mercoledì 31 agosto 2016 12:33
  • BANALIZZO un argomento che dovrebbe essere trattatato in altro modo: generalmente tendo a limitare l'uso di enforcing/security/filtering, se non strettamente necessario, questo per mantenere l'infrastruttura più semplice possibile, performante, chiara e "leggibile"... penso sempre, se un collega vedesse l'implementazione realizzata, Capirebbe facilmente il funzionamento?

    Negli anni ho letto varie "best practice" e libri sul design di AD e GPO e l'idea comune è quella di progettare bene e non complicarsi la vita.


    Ti consiglio di leggere i seguenti documenti che ti possono essere di aiuto e risolverti i tuoi dubbi "basilari":

    Criteri di gruppo per principianti

    Best Practices for Optimizing Group Policy Performance

    //www.grouppolicy.biz/2010/07/best-practice-active-directory-structure-guidelines-part-1/

    Segue il link, dove potrai trovare tutto sulle group policy (da non perdere assolutamente!!)

    http://social.technet.microsoft.com/wiki/contents/articles/4715.group-policy-survival-guide.aspx

    Ciao gas


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    • Contrassegnato come risposta winfabero giovedì 1 settembre 2016 10:43
    mercoledì 31 agosto 2016 22:07
    Moderatore
  • Ciao,

    sono daccordo con te sugli aspetti di ereditarietà, blocco dell'ereditarietà ed enforcement.

    Non condivido il non uso di gruppi per filtrare le GPO.

    ALT! La tua risposta è molto interessante, e mi consola in parte.. Però cercherò di essere specifico e racconto anche un piccolo aneddoto.. Qualche anno fa, durante un corso per un moc che riguardava anche AD, ci fu espressamente detto che, in parole povere, all'interno di OU solo utenti (a me pareva già una stro....ata) e che le GPO se anche facevi un gruppo all'interno della medesima OU non veniva applicata. Ora da li tanti casini spesso per giostrarmi.. Perchè sempre nel caso precedente, io potrei fare una serie di gruppi di utenti, che potrebbero per assurdo anche contenere un utente solo (il medesimo in ambo i gruppi), e questi gruppi o anche un singolo utente che è ibrido e mettere i 2 grupppi nelle OU che mi interessano. Esempio: utente WINFABERO che deve prendere le policy di IT/Admin e HR/Admin, se creo 2 gruppi IT_Admin e HR_Admin e lo piazzo in entrambi i gruppi, e sposto questi gruppi all'interno delle relative OU dovrebbe applicarsi le GPO relative.. Oppure no?
    giovedì 1 settembre 2016 06:20
  • In realtà le GPO vengono linkati alle OU

    Si infatti rileggendo ho scritto una sonora cappellata.

    Se la suddivisione in OU non ti è sufficiente puoi filtrare ulteriormente l'applicazione delle GPO a gruppi di utenti sfruttando il Filtering: 

    Questa cosa è interessante.. Ho visto un commento è valido ancora?

    P.S. Qualcuno sa come verificare il profilo che non mi fa inserire immagini o link? :D

    giovedì 1 settembre 2016 06:26
  • BANALIZZO un argomento che dovrebbe essere trattatato in altro modo: generalmente tendo a limitare l'uso di enforcing/security/filtering, se non strettamente necessario, questo per mantenere l'infrastruttura più semplice possibile, performante, chiara e "leggibile"... penso sempre, se un collega vedesse l'implementazione realizzata, Capirebbe facilmente il funzionamento?

    Vero, ma caspita, ho fatto degli esempi tanto stupidi o impossibili? Non può esistere una situazione in cui un utente debba stare idealmente in due OU e quindi debba recepire serie di GPO diverse? I link interessanti e alcuni li conoscevo, ma ti ringrazio, fan sempre comodo!!!
    giovedì 1 settembre 2016 06:28
  • Certo che può esistere e li devi usare i filtri sui gruppi, l'idea di fondo è quella di lavorare principalmente con le OU quando non sono sufficienti usi i filtri :)

    Ciao


    Andrea Sistarelli
    Blog
    Datacen srl - Consulenza informatica

    giovedì 1 settembre 2016 06:44
  • Qualche anno fa, durante un corso per un moc che riguardava anche AD, ci fu espressamente detto che, in parole povere, all'interno di OU solo utenti (a me pareva già una stro....ata) e che le GPO se anche facevi un gruppo all'interno della medesima OU non veniva applicata.

    Non posso parlare per il Trainer che ha erogato il corso. Devo però constatare che c'è qualche imprecisione nei termini.

    Le GPO sono linkate alle OU, applicate agli account (utente o computer) e filtrate sui gruppi (di sicurezza).

    Quindi linki la GPO ad una OU e ti aspetti che sia applicata agli account presenti nella OU ed in quelle discendenti (al netto di ereditarietà, blocco ed enforcing). Come ho già scritto ed ha confermato Andrea, quando questo non ti basta usi il security filtering sui gruppi.

    Molto importante è capire che quando linki una GPO ad una OU, la GPO si applica solo agli utenti presenti nella OU o in quelle sottostanti e non si applica invece agli utenti membri dei gruppi di sicurezza presenti nelle OU.

    E' buona prassi per la manutenzione di AD mantenere in OU separate Account utente, Account computer e Gruppi di sicurezza. Ovviamente poi puoi scegliere diversamente, l'importante è documentare bene le scelte fatte.

    Distinti saluti.

    • Contrassegnato come risposta winfabero giovedì 1 settembre 2016 10:43
    giovedì 1 settembre 2016 07:31
  • Molto importante è capire che quando linki una GPO ad una OU, la GPO si applica solo agli utenti presenti nella OU o in quelle sottostanti e non si applica invece agli utenti membri dei gruppi di sicurezza presenti nelle OU


    Scusate son tosto ma non ho capito. Nella OU ci metto o no un gruppo? Per proprietà transitiva un gruppo ha al suo interno utenti/computer, quindi si applica o no a questi membri del gruppo la GPO indicata? Da qui la, credo, mia confusione. Perchè come scrivevo uno user può stare in più gruppi e di consuegenza in più GPO e di conseguenza gli verrebbero applicate più policy.
    giovedì 1 settembre 2016 08:35
  • Certo che può esistere e li devi usare i filtri sui gruppi, l'idea di fondo è quella di lavorare principalmente con le OU quando non sono sufficienti usi i filtri :)

    Ciao

    Capito. Nel link che mi hai postato, ci sono delle note di alcuni utenti, che dicono che è cambiato qualcosa in seguito ad una patch. E' sempre valido il comportamento descritto in origine, o bisogna invece tenere conto di quanto indicato dagli utenti? 

    giovedì 1 settembre 2016 08:40
  • No non si applica, una GPO linkata a una OU viene applciata solo a utenti  e computer di quella OU non ai gruppi che sono all'interno della OU.

    Se nella OU1 c'è Giovanni, PC-01, Gruppo1, e Gruppo1 contiene Luigi, la policy verrà applicata solo a Giovanni e PC-01.

    E' per questo che Rocco ti consigliava di divere le OU per contenuto, cioè una configurazione tipo potrebbe essere (sono tutte OU quelle ch scrivo):

    • IT
    • - Computer
    • - - Server
    • - - Client
    • - - - Desktop
    • - - - Notebook
    • - User
    • - User Special
    • - Groups
    • - - Distribution
    • - - Security
    • - Contacts

    etc.

    Ciao


    Andrea Sistarelli
    Blog
    Datacen srl - Consulenza informatica


    • Modificato Andrea Sistarelli giovedì 1 settembre 2016 08:46
    • Contrassegnato come risposta winfabero giovedì 1 settembre 2016 10:43
    giovedì 1 settembre 2016 08:41
  • Si è sempre valido quello che è cambiato è che quando filtri una policy per un gruppo devi comunque lasciare i diritti di Read al gruppo Authenticad Users.

    Ciao


    Andrea Sistarelli
    Blog
    Datacen srl - Consulenza informatica

    • Contrassegnato come risposta winfabero giovedì 1 settembre 2016 10:43
    giovedì 1 settembre 2016 08:45
  • No non si applica, una GPO linkata a una OU viene applciata solo a utenti  e computer di quella OU non ai gruppi che sono all'interno della OU.

    Se nella OU1 c'è Giovanni, PC-01, Gruppo1, e Gruppo1 contiene Luigi, la policy verrà applicata solo a Giovanni e PC-01.

    E' per questo che Rocco ti consigliava di divere le OU per contenuto, cioè una configurazione tipo potrebbe essere (sono tutte OU quelle ch scrivo):

    Quindi quello che mi dissero, era corretto: non posso usare OU e al suo interno un gruppo, che quindi contiene oggetti omogenei (fossero users o computers). I gruppi li posso usare per "filtrare", tramite il link che mi hai indicato..

    Ho già OU omogenee, quello che appunto chiedevo, e mi accorgo di essermi spiegato male, era come disambiguare nel caso di oggetti che devono avere policy di una OU e di un'altra OU, mi mancava il concetto/possibilità di filtering. 

    E di questo ringrazio per essermi stato messo al corrente :)

    giovedì 1 settembre 2016 09:50
  • Si è sempre valido quello che è cambiato è che quando filtri una policy per un gruppo devi comunque lasciare i diritti di Read al gruppo Authenticad Users.


    Quindi al posto di fare come indicato e rimuovere il gruppo Authenticad Users, lo lascio e solo in Read.

    Grazie anche per questo chiarimento.

    giovedì 1 settembre 2016 09:52
  • Esatto, altrimenti la policy non viene applicata.

    Ciao


    Andrea Sistarelli
    Blog
    Datacen srl - Consulenza informatica

    giovedì 1 settembre 2016 09:56