Filtrar la implantación de una directiva de grupo

De forma predeterminada los valores de directiva contenidos en las propias directivas que afectan a un contenedor se aplican a todos los usuarios y equipos de dicho contenedor, que en ocasiones puede producir efectos no deseados. Mediante el filtrado pueden definirse qué valores se aplican a los usuarios y equipos en un contenedor específico.

Podemos filtrar el despliegue de una directiva estableciendo permisos en el vínculo de la directiva para determinar el acceso de lectura o permiso negar en la directiva. Para valores de directiva a aplicar a una cuenta de usuario o equipo, la cuenta debe tener al menos permiso de lectura en la directiva. Los permisos predeterminados para una nueva directiva tienen las siguientes entradas de control de acceso (ACEs):

  • Usuarios autenticados – Permitido lectura y aplicar directiva
  • Administradores de dominio, de empresa y SYSTEM – Permitido lectura, escritura, crear objetos hijo, eliminar objetos hijo.

Podemos utilizar los métodos siguientes de filtrado:

  • Denegar explícitamente: Este método se utiliza cuando se deniega el acceso a la directiva. Por ejemplo, podría explícitamente denegarse el permiso al grupo de administradores de seguridad, que prevendría que los administradores en la OU reciban los valores de la directiva.
  • Quitando usuarios autenticados: Puede omitirse a los administradores de OU desde el grupo de seguridad, que significa que no tienen permisos explícitos para la directiva.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *