Применение политик между лесами Active Directory

в 1:20, , рубрики: Серверное администрирование, системное администрирование, метки: , , , ,

Нам часто кажется, что технология или инструмент, с которым мы работаем нам полностью понятны. На самом деле, нам понятны сценарии, с которыми мы встречались на практике. Для всего остального мы можем лишь предположить ожидаемое поведение.

Недавно мне задали интересный вопрос – как будут применяться политики при использовании компьютеров в одном Active Directory домене пользователями из другого домена, при условии, что между доменами есть доверительные отношения, но они находятся в разных лесах. Я понял, что я знаю, как оно должно быть в теории, но ни разу не проверял, как оно себя поведёт на самом деле. Самый простой способ убедиться в своей правоте или ошибке – проверить. Ниже диаграмма простой тестовой среды:

Применение политик между лесами Active Directory - 1

Поиграв с настройками политик, я узнал несколько забавных вещей. Если вам интересно, как будут вести себя политики пользователя из домена Users.org и пользовательская секция политик компьютера из домена Computers.com при совместном использовании, добро пожаловать под кат.

Для управления политиками в таком сценарии у вас есть два инструмента. Первый знаком всем администраторам Active Directory доменов – режим обработки замыкания пользовательской групповой политики (User Group Policy loopback processing). Справедливости ради, эта настройка работает независимо от того, в каком домене находится пользователь использующий компьютер. Параметр, который нас интересует:

Computer ConfigurationAdministrative TemplatesSystemGroup PolicyUser Group Policy loopback processing mode

Если вы используете этот режим, то пользовательская секция настроек из групповой политики применённой на компьютер будет использована для вашего пользователя, даже если он из доверенного домена. Здесь никаких сюрпризов не было.

Второй инструмент управления процессом применения групповых политик — разрешить применение параметров политик пользователей и использование перемещаемых профилей пользователей при переходе между лесами. Я видел эту настройку в сценариях с миграцией между доменами, где она была нужна для обеспечения доступности профилей пользователей, но ни разу не видел её использования именно для применения политик между лесами. Вам нужен следующий параметр:

Computer ConfigurationAdministrative TemplatesSystemGroup PolicyAllow cross-forest User Policy and Roaming User Profiles

Когда этот режим активирован на рабочей станции, при входе пользователя в систему, применяются настройки пользовательской секции групповых политик из его родного домена.

Итак, у вас есть возможность настраивать среду для пользователей на компьютерах в доверяющем лесу либо через компьютерные политики и режим обработки замыкания либо через пользовательские политики и режим применения политик между лесами. На мой взгляд, вариант, с обработкой замыкания лучше, так как вы сохраняете все настройки в одном месте – в политиках того домена, где находится компьютер. Если вы используете режим применения политик между лесами, то вам стоит аккуратно задокументировать эту особенность вашей среды, чтобы в дальнейшем, новый человек, пришедший её администрировать не получил сюрпризов с непонятным для него поведением системы.

Автор: Железный человек

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js