Filtrar la implantación de una directiva de grupo

De forma predeterminada los valores de directiva contenidos en las propias directivas que afectan a un contenedor se aplican a todos los usuarios y equipos de dicho contenedor, que en ocasiones puede producir efectos no deseados. Mediante el filtrado pueden definirse qué valores se aplican a los usuarios y equipos en un contenedor específico.

Podemos filtrar el despliegue de una directiva estableciendo permisos en el vínculo de la directiva para determinar el acceso de lectura o permiso negar en la directiva. Para valores de directiva a aplicar a una cuenta de usuario o equipo, la cuenta debe tener al menos permiso de lectura en la directiva. Los permisos predeterminados para una nueva directiva tienen las siguientes entradas de control de acceso (ACEs):

  • Usuarios autenticados - Permitido lectura y aplicar directiva
  • Administradores de dominio, de empresa y SYSTEM - Permitido lectura, escritura, crear objetos hijo, eliminar objetos hijo.

Podemos utilizar los métodos siguientes de filtrado:

  • Denegar explícitamente: Este método se utiliza cuando se deniega el acceso a la directiva. Por ejemplo, podría explícitamente denegarse el permiso al grupo de administradores de seguridad, que prevendría que los administradores en la OU reciban los valores de la directiva.
  • Quitando usuarios autenticados: Puede omitirse a los administradores de OU desde el grupo de seguridad, que significa que no tienen permisos explícitos para la directiva.
Published 22/8/2006 20:28 por Juansa
Archivado en:
Comparte este post: