Предпочтения групповой политики: 5 основных параметров таргетинга на уровне элементов

Введение

Технологии иногда могут подкрасться к вам. Предпочтения групповой политики — это технология, которая существует с 2000 года (ранее известная как Desktop Standard Policy Maker) и включена в групповую политику Windows с 2007 года. Однако я по-прежнему считаю, что большинство администраторов Windows Active Directory и групповой политики не полностью осведомлены возможностей и функций, предоставляемых предпочтениями групповой политики. В частности, таргетинг на уровне элементов — это технология, о которой многие не знают, а если и знают, то не в полной мере осознают, как эта технология работает. Здесь я собираюсь дать вам список 5 лучших вариантов таргетинга на уровне элементов.

Расположение ИЛТ в ГПЗ

ILT в GPP называется общей функцией… или, по крайней мере, указан на этой вкладке в GPP. Помните, что GPP — это набор параметров, которые находятся в разделах «Конфигурация компьютера» и «Конфигурация пользователя» в GPO. Если вы выберете любой из параметров GPP, вы сможете настроить ILT так, чтобы он совпадал с ним.

Чтобы показать вам, как добраться до ILT, обратитесь к рисунку 1.

Рис. 1. Флажок ILT и кнопка «Настроить» для GPP.

ILT не настроен ни для каких параметров GPP по умолчанию. Кроме того, ILT доступен не для всего объекта групповой политики, а только для настроек, которые находятся в объекте групповой политики. Основная причина этого заключается в том, что в самом объекте групповой политики могут быть другие параметры, которые не понимают ILT. (Только настройки GPP в GPO понимают ILT, традиционные настройки, которые были в ОС с 2000 года, не понимают ILT.)

Варианты ИЛТ

ILT меняет правила игры! В этом нет никаких сомнений. Глядя на параметры ILT, открывается совершенно новый способ управления тем, какие параметры в GPP применяются к компьютеру… динамически. Полный список опций ILT можно увидеть на рисунке 2.

Рисунок 2: Варианты ILT для GPP.

Полный список опций ILT включает те, которые приведены в таблице 1.

Таблица 1: Варианты ILT для GPP

Настройка ИЛТ №1

Группа безопасности — этот параметр позволяет выбрать любую группу безопасности Windows Active Directory (локальную, глобальную или универсальную) для использования в качестве цели.

Функция — если объект, на который вы нацелены (пользователь или компьютер), находится в указанной группе безопасности, тогда будет применен параметр GPP. Поскольку членство в группе целевого объекта основано на текущем сеансе, динамическая природа группы безопасности ограничена перезапуском/включением компьютеров, а также выходом пользователей из системы и повторным входом… или только первоначальным входом в систему.

Идеальные настройки GPP — этот параметр ILT является одним из самых гибких и полезных из всех параметров ILT. Поскольку эта цель ориентирована на членство в группе, она обычно используется для пользовательской среды, такой как ярлыки, среда, файлы, общие сетевые ресурсы, запланированные задачи, источники данных, сопоставления дисков, принтеры и настройки IE.

Настройка ILT № 2

Диапазон IP-адресов — этот параметр идеально подходит для тех организаций, которые хотят использовать работу, которую они вложили в топологию своей сети. Поскольку диапазон IP-адресов полностью отличается от всего остального в Active Directory (похож на сайты, но все же отличается), он обеспечивает еще один уровень контроля, помимо того, что обеспечивает обычный AD/GPO.

Функция — если текущий IP-адрес цели попадает в указанный диапазон, будет применена настройка GPP. Ключевым моментом здесь является то, что этот параметр является динамическим, поскольку мобильное устройство перемещается из одной среды в другую. Поскольку IP-адрес является обязательным параметром для работы устройства, он идеально подходит для динамических конфигураций.

Идеальные настройки GPP. Поскольку этот параметр определяет, в какой сети находится устройство, он также идеально подходит для управления настройками сети/местоположения. Некоторые настройки GPP включают подключенные диски, принтеры, ярлыки, настройки реестра, среду, общие сетевые ресурсы, запланированные задачи, источники данных и настройки IE.

Настройка ILT № 3

Организационная единица — этот параметр очень эффективен, поскольку он позволяет связать объект групповой политики с верхней частью структуры домена Active Directory, а затем применять только к объектам, которые находятся в указанном месте внутри подразделения. Этот параметр также позволяет применять контроль над настройками на основе структуры организационной единицы.

Функция — если пользователь или компьютер находится в организационной единице, настроенной ILT, будет применяться параметр GPP. Как уже упоминалось, это идеально подходит для обеспечения того, чтобы настройки применялись в зависимости от того, как структурирован исходный/текущий дизайн OU. Без этого параметра и элемента управления параметр GPP необходимо было бы интегрировать в существующую структуру проекта OU, чтобы он применялся только к объектам, в пределах которых связан объект групповой политики.

Идеальные параметры GPP — этот параметр ILT идеально подходит для управления параметрами, которые необходимо распространять только на определенных пользователей и компьютеры в организации, которые могут не объединяться в группы безопасности вместе. Это могут быть настройки реестра, подключенные диски и принтеры.

Настройка ИЛТ № 4

Registry Match — этот параметр очень гибкий и может делать то, что не может сделать никакой другой ILT. Поскольку почти все каким-либо образом записывается в реестр, этот параметр позволяет указать запись реестра, а затем выполнить действие над ее наличием.

Функция — если указанная вами запись реестра существует (плюс есть другие переключатели), то будет применен параметр GPP. При этом, будучи GPP реестра, вы действительно можете нанести некоторый ущерб реестру с помощью этой настройки.

Идеальные настройки GPP. Мои любимые настройки с этой опцией ILT — это установка сопоставления дисков или принтеров, однако вы можете делать с ним практически все. Вы можете использовать подключенные диски, ярлыки, настройки реестра, среду, общие сетевые ресурсы, запланированные задачи, источники данных и настройки IE.

Настройка ИЛТ № 5

Сопоставление файлов — как и сопоставление реестра, почти каждое установленное приложение помещает какой-либо файл на ваш компьютер, поэтому это можно использовать.

Функция — если указанный вами файл существует (плюс есть другие переключатели), то будет применена настройка GPP. Это не обязательно должны быть файлы, которые помещает приложение, но это может быть любой файл, существующий на компьютере.

Идеальные настройки GPP — этот параметр хорошо работает в сочетании с управлением компьютером в целом, таким как IE, ODBC и т. д., а также с настройкой параметров профиля пользователя, таких как подключенные диски, ярлыки, параметры реестра, среда, общие сетевые ресурсы, запланированные задачи. и настройки IE.

Резюме

ILT в рамках GPP чрезвычайно эффективен! Это всего лишь неполный список, который поможет вам начать работу, так как многие администраторы не используют параметры ILT. Использовать их для управления рабочими столами — это самый мощный и динамичный способ, который я знаю. Я всегда говорю админам «думать нестандартно», чтобы идеи приходили, когда вы меньше всего их ожидаете. Когда я получаю вопросы об областях контроля, которыми может управлять GPP, я всегда думаю о том, как использовать ILT. ILT является мощным инструментом GPP, и многие другие компании, занимающиеся расширением групповых политик, также используют ILT, например BeyondTrust, Specops и т. д. Это потрясающий инструмент управления, и вы полюбите его, когда начнете им пользоваться!