Authenticated users là gì

Sử dụng kỹ năng thanh lọc bảo mật nhằm vận dụng chế độ team vào Windows 2003
*
- Điều khiến nhầm lẫn về chế độ đội là tên gọi của chính nó làm cho không ít người tưởng rằng các chế độ nhóm sẽ tiến hành vận dụng trực tiếp cho những đội (group). Tuy nhiên, chế độ team chỉ được vận dụng cho tài khoản người tiêu dùng hoặc tài khoản thiết bị, bằng phương pháp link các đối tượng người sử dụng chính sách đội (GPO), tức tập đúng theo các thiết lập về cơ chế, tới một đơn vị chức năng tổ chức triển khai (OU) miền (domain) hoặc địa bàn (site) chứa tài khoản đó. Một số bạn rất có thể đặt câu hỏi: “Làm cố kỉnh nào tôi có thể áp dụng GPO cho một nhóm?”. Tính năng lọc bảo mật sẽ là câu vấn đáp mang lại thắc mắc này.

 

 

 

  Tìm hiểu về security filtering

Việc áp dụng security filtering dựa trên hiệ tượng các GPO cũng khá được link với cùng 1 ACL (danh sách điều hành và kiểm soát tróc nã nhập). ACL là một trong tập phù hợp những ACE (đầu mục kiểm soát truy tìm nhập) chế độ quyền truy nhập lệ đối tượng người sử dụng cho các đội khác biệt. Quý khách hàng rất có thể xem ACL bằng phương pháp sau đây:

1. Mnghỉ ngơi Group Policy Management Console (GPMC)

2. Mngơi nghỉ rộng lớn cây điều khiển phía bên trái cho đến khi bạn tra cứu thấy node Group Policy Objects

3. Chọn GPO bạn muốn coi ACL mặc định bên dưới node Group Policy Object (trong trường vừa lòng này là Vancouver GPO)

4. Chọn tab Delegation sinh sống size mặt đề nghị (Hình 1)

*
Hình 1: Sử dụng tab Delegation để thấy ACL của Vancouver GPO

Muốn coi các ACE của ACL links với GPO này, kích con chuột vào phím Advanced để hiển thị hành lang cửa số ACL Editor (Hình 2):

*
Hình 2: Sử dụng ACL Editor để xem ACL của Vancouver GPO

Điểm khác biệt cơ bạn dạng giữa 2 hình bên trên là ACL Editor hiển thị quyền Apply Group Policy trong khi tab Delegation không hiển thị quyền này. Đó là do tab Delegation chỉ hiển thị những ACE cho những đội thực hiện vấn đề xử trí GPO và gần như nhóm này được ngầm đọc gồm quyền Apply Group Policy. Nếu bạn có nhu cầu một nhóm trong một OU vẫn cách xử trí những thiết lập vào một GPO link cùng với OU đó, đội này đang nên gồm về tối thiểu các quyền sau đây:

- Allow Read

- Allow Apply Group Policy

Các ACE mặc định của một GPO mới được sinh sản có thể phức tạp rộng tuỳ vào Việc bạn gán thêm các quyền ra làm sao tuy thế đứng bên trên góc nhìn của security filtering, dưới đây là các quyền cơ bản:

 

Nhóm Read Apply Group Policy Authenticated Users Allow Allow CREATOR OWNER Allow (implicit) Domain Admins Allow Enterprise Admins Allow ENTERPRISE DOMAIN Allow

CONTROLLERS SYSTEM Allow

Lưu ý rằng những đội Domain Admins, Enterprise Admins sẽ sở hữu thêm một vài quyền không giống (Write, Create, Delete), cho phép những người dân thuộc những team này tạo với quản lý những GPO. Bởi vày đều quyền này sẽ không tương quan tới security filtering đề xuất tạm thời chúng ta ko lưu ý tới.

Bạn đang xem: Authenticated users là gì

Nhóm Authenticated Users gồm cả quyền Read và Apply Group Policy, tức thị các tùy chỉnh thiết lập trong GPO sẽ được vận dụng so với đội kia Lúc GPO được xử trí. Nhưng thực sự Authenticated Users gồm gần như ai? Thành viên của nó là toàn bộ những đối tượng bảo mật thông tin, tức tất cả những user tài khoản cùng computer account của miền đã có được AD chuẩn xác. Điều đó Tức là theo mang định toàn bộ số đông tùy chỉnh cấu hình trong GPO sẽ được áp dụng với cả user account cùng computer trương mục nằm trong container gồm GPO liên kết cho tới.

Sử dụng security filtering

Giả sử chúng ta đứng trước một tình huống nên sử dụng nhân kiệt security filtering để giải quyết và xử lý một sự việc tương quan tới vấn đề thiết kế Group Policy. Hình 3 cho thấy thêm cấu tạo của OU của hệ thống. OU mức tối đa Vancouver có 3 OU cấp hai, mỗi OU cho một phòng không giống nhau, các user account với computer tài khoản trong mỗi chống được đưa vào các OU cung cấp 3 riêng biệt rẽ.

*
Hình 3: Cấu trúc OU mang đến văn chống Vancouver

Giả sử rằng trong các 15 tín đồ thao tác trong phòng Sales & Markeitng Department nghỉ ngơi Vancouver, bao gồm 3 bạn là nhân viện làm chủ và rất cần được cấp một trong những quyền quan trọng, chẳng hạn rất có thể áp dụng 1 phần mượt làm sao đó mà những người dân khác vào vnạp năng lượng phòng không được phép. Quý Khách hoàn toàn có thể cung cấp ứng dụng đó mang đến chúng ta bằng phương pháp tiếp thị nó vào Add or Remove sầu Programs thông qua một GPO. Vấn đề là ở vị trí, nếu như khách hàng liên kết GPO này cùng với OU Sales and Marketing Users thì tất cả 15 người sử dụng vào chống sẽ rất có thể cài đặt ứng dụng này trải qua quy định Add or Remove sầu Program. Nhưng bạn có nhu cầu chỉ 3 nhân viên cấp dưới cao cấp này được phxay thực hiện ứng dụng, vậy đề nghị làm như vậy nào?

Quý Khách rất có thể sản xuất một OU không giống dưới OU Sales và Marketing User cùng khắc tên đến OU này là Senior Sales and Marketing Users OU, tiếp đến bạn gửi thông tin tài khoản của 3 nhân viên cấp dưới cao cấp tới OU bắt đầu với sản xuất một GPO triển khai phần mềm rồi liên kết nó với OU bắt đầu. Cách tiếp cận này trọn vẹn khả thi song nó có một trong những điểm bất lợi:

- Nó sẽ tạo nên cấu trúc OU có tương đối nhiều cung cấp và phức tạp hơn, cực nhọc phát âm hơn

- Nó vẫn phân tán thông tin tài khoản người tiêu dùng vào nhiều container hơn và những điều đó việc quản trị vẫn khó hơn

Một giải pháp tốt rộng là giữ nguyên cấu trúc OU với vẫn nhằm ngulặng 15 người tiêu dùng trong OU Sales & Marketing Users rồi tạo thành một GPO tiến hành ứng dụng cùng link cùng với OU này (Hình 4) cùng tiếp nối áp dụng khả năng security filtering nhằm chỉ được cho phép 3 nhân viên cấp dưới V.I.P nhận ra chính sách.

*
Hình 4: GPO tiến hành ứng dụng cho các nhân viên cấp dưới thời thượng vào OU Sales và Marketing Users

 

Để lọc GPO thực thi phần mềm làm sao để cho chỉ Bob Smith, Mary Jones với Tom được áp dụng chế độ, đầu tiên các bạn hãy vào vẻ ngoài quản lí trị Active sầu Directory Users & Computers để tạo ra một tổ global với viết tên đến team này là Senior Sales and Marketing Users với những thành viên là 3 nhân viên cao cấp bên trên (hình 5).

*
Hình 5: Các member của nhóm global Senior Sales & Marketing Users

Lưu ý rằng chúng ta có thể lưu lại team bảo mật này vào vào bất kỳ container như thế nào của tên miền mà lại nhằm dễ dàng bạn hãy đặt nó trong Sales and Marketing Users GPO vì đây cũng là nơi cất các member của nhóm.

Xem thêm: Cung Chấn Hợp Hướng Nào - Phương Hướng Làm Nhà Của Người Mạng Chấn

Bây giờ đồng hồ trở về GPMC, chọn GPO triển khai phần mềm trong size phía trái cùng bên trên tab Scope ngơi nghỉ khung mặt yêu cầu hãy loại trừ nhóm Authenticated User ngoài mục Security Filtering và sau đó gửi vào mục này team global Senior Sales và Marketing Users vừa sinh sản (Hình 6).

*
Hình 6: Lọc GPO để chỉ tác động tới team Senior Sales & Marketing Users

 Đó là tất cả rất nhiều gì họ cần làm. Từ giờ đồng hồ trsống đi Lúc cơ chế được xử lý cho tất cả những người sử dụng trong OU Sales and Marketing Users, hộp động cơ xử ký Group Policy sinh sống thứ trạm đang xác định mọi GPO nào sẽ được áp dụng so với người sử dụng kia. Nếu người sử dụng là member của nhóm Senior Sales và Marketing Users, số đông GPO sau sẽ tiến hành áp dụng theo như đúng thiết bị tự trong list (mang sử họ không thanh lọc chặn GPO ngơi nghỉ bất cứ khu vực nào).

1. Default Domain Policy

2. Vancouver GPO

3. Sales and Marketing GPO

4. Sales and Marketing Users GPO

5. Senior Sales and Marketing Users GPO

6. Default Domain Policy

7. Vancouver GPO

8. Sales and Marketing GPO

9. Sales và Marketing Users GPO

10. Senior Sales & Marketing Users GPO

Nếu người tiêu dùng ko nằm trong nhóm 3 nhân viên thời thượng sinh hoạt bên trên thì cơ chế cuối cùng (Senior Sales & Marketing Users GPO) sẽ không áp dụng đối với họ. Nói phương pháp khác, chỉ Bob, Mary với Tom nhận ra gói phần mềm tiếp thị như bọn họ ước muốn.

Ưu điểm của security filtering

Ưu điểm của security filtering là nó cho phép chúng ta đơn giản dễ dàng hóa cấu tạo OU trong lúc vẫn bảo vệ các chế độ nhóm được giải pháp xử lý theo cách chúng ta mong ước. Lấy ví dụ, vào kết cấu OU cho Vancouver làm việc nội dung bài viết này, chúng ta bao gồm 3 OU riêng rẽ rẽ mang đến 3 phòng ban khác nhau: IT Department, Management với Sales & Marketing. Tại một vị trí không giống, Toronto lớn, chúng ta có thể tiếp cận theo một biện pháp không giống và dồn tất từ đầu đến chân áp dụng với máy tính lại nhỏng vào Hình 7.

*
Hình 7: Toronkhổng lồ có cấu trúc OU đơn giản hơn Vancouver

Chúng ta rất có thể nhóm những thông tin tài khoản người dùng với tài khoản máy tính xách tay sống Toronto lớn vào những nhóm global nhỏng sau:

- IT Department Users

- IT Department Computers

- Management Users

- Management Computers

- Sales & Marketing Users

- Sales & Marketing Computers

Sau đó chúng ta sẽ khởi tạo GPO cho mỗi team nhóm người tiêu dùng và laptop trên Toronto lớn, liên kết phần đông GPO này với những OU khớp ứng với áp dụng tính security filtering nhằm đảm bảo an toàn bọn chúng chỉ vận dụng cho phần nhiều đội cố định. (Hình 8)

*
Hình 8: Sử dụng Group Policy để làm chủ người sử dụng tại Toronto

Nhược điểm của cách tiếp cận này là nó làm cho phẳng cấu trúc OU và làm tăng số GPO link với mỗi OU. Đối với những người quản trị, mới đầu vẫn cực nhọc nhận thấy đa số cơ chế như thế nào sẽ tiến hành vận dụng đối với từng người tiêu dùng với máy vi tính trừ Khi bọn họ để ý một biện pháp cảnh giác vào tùy chỉnh cấu hình của security filtering. 

Kết luận

Đây thực ra là một trong sự tiến công thay đổi thân hai biện pháp: giữ lại mang đến kết cấu OU được phẳng tuy vậy lại khó quản lý chính sách đội tốt upgrade kết cấu OU cơ mà bài toán làm chủ thông tin tài khoản lại nặng nề hơn. Lựa chọn sau cùng sẽ nằm trong về các bạn Lúc thực thi Group Policy trong phạm vi doanh nghiệp lớn. Hy vọng qua bài viết này, các bạn sẽ biết cách áp dụng các chế độ tất cả công dụng hơn mang đến mạng của bạn bản thân.