Jako IT expert je jednou z nejdůležitějších věcí, kterou můžete udělat, nastavit filtry skupin zabezpečení pro GPO ve Windows 11/10. Tím zajistíte, že k vašemu GPO budou mít přístup pouze lidé, které chcete mít. Jak na to: 1. Nejprve otevřete konzolu Group Policy Management. 2. Dále klikněte pravým tlačítkem na GPO, který chcete upravit, a vyberte 'Upravit'. 3. V levém podokně Editoru zásad skupiny rozbalte uzel „Konfigurace počítače“ a poté rozbalte uzel „Zásady“. 4. Dále rozbalte uzel „Nastavení systému Windows“ a poté vyberte uzel „Nastavení zabezpečení“. 5. V pravém podokně poklepejte na nastavení „Filtrování zabezpečení“. 6. V dialogovém okně 'Filtrování zabezpečení' klikněte na tlačítko 'Přidat'. 7. V dialogovém okně „Vybrat uživatele, počítače nebo skupiny“ zadejte název skupiny zabezpečení, ke které chcete mít přístup k objektu GPO. Poté klikněte na tlačítko 'OK'. 8. V dialogovém okně „Filtrování zabezpečení“ klikněte na tlačítko „OK“. A je to! Nyní jste úspěšně nakonfigurovali filtry skupin zabezpečení pro váš GPO.
Zásady skupiny jsou důležitým nástrojem, který umožňuje správcům sítě odpovědným za službu Microsoft Active Directory implementovat specifické konfigurace pro uživatele a počítače. Je to nástroj, který dokáže aplikovat nastavení zabezpečení na uživatele a počítače. To je velmi užitečné, když chcete spravovat uživatelská oprávnění. Tento příspěvek vám ukáže, jak můžete konfigurovat filtry skupin zabezpečení v systému Windows.
Jak nakonfigurovat filtry skupin zabezpečení pro GPO ve Windows?
Při konfiguraci filtrování zásad skupiny můžete udělat dvě hlavní věci. Tento:
- Povolit členům skupiny použít GPO
- Zabraňte členům skupiny v použití objektu GPO
Nyní vás provedeme kroky, jak povolit nebo zakázat skupinám použít GPO.
Poznámka: Funguje s počítači nebo uživateli připojenými k doméně nebo Windows Server. Nástroj pro správu zásad skupiny se také liší od Editoru zásad skupiny.
1] Umožněte členům skupiny použít GPO
Prvním způsobem je umožnit skupině členů použít bezpečnostní filtr na GPO. Chcete-li ostatním uživatelům umožnit provádět změny v GPO, musíte postupovat takto:
- Nejprve spusťte Konzolu pro správu zásad skupiny. Nebo můžete použít jakýkoli jiný nástroj pro správu serveru.
- V navigační nabídce najděte a klikněte na GPO, který chcete upravit.
- Poté v části Filtrování zabezpečení klikněte na Ověření uživatelé a klikněte na Odebrat. Chcete-li omezit objekt GPO pouze na vámi určené skupiny, musíte odebrat výchozí oprávnění udělená všem ověřeným uživatelům.
- Klepněte na tlačítko Přidat.
- Poté vyberte dialogové okno Uživatel, Počítač nebo Skupina.
- Zadejte následující název skupiny, jejíž členové by měli použít GPO, a klepněte na OK.
- Případně můžete kliknout na „Upřesnit“ a zobrazit seznam skupin dostupných v doméně.
2] Zabraňte členům skupiny v použití GPO
Kromě toho, že skupině povolíte použití filtrů zabezpečení v objektu GPO, musíte také zabránit členům v použití objektu GPO. A to lze provést pomocí následujících kroků:
blokovat možnosti reklam
- Nejprve spusťte Konzolu pro správu zásad skupiny.
- Najděte a klikněte na GPO, který chcete upravit, v navigační liště.
- Poté v podokně podrobností klikněte na kartu Delegování.
- Klikněte na 'Upřesnit'.
- V seznamu skupin nebo jmen uživatelů klikněte na Přidat.
- Poté vyberte dialogové okno Uživatel, Počítač nebo Skupina.
- Nyní zadejte název skupiny, jejíž členům chcete zabránit v použití GPO, a klikněte na OK.
- Můžete také kliknout na 'Pokročilé' a zobrazit seznam skupin dostupných v doméně.
- Poté vyberte skupinu v seznamu skupin nebo jmen uživatelů a zaškrtněte políčko ve sloupci „Odmítnout“ u zásad skupiny „Číst“ a „Použít“.
- Nakonec klikněte na OK > Ano.
To je tedy vše o tom, jak nastavit filtrování zabezpečení zásad skupiny ve Windows. Pomocí Konzoly pro správu zásad skupiny můžete uživatelům, počítačům nebo skupinám snadno povolit použití objektů zásad skupiny nebo je zakázat. Nyní jděte a přesvědčte se sami. Pokud jste někde uvízli, neváhejte se vyjádřit níže.
Co je delegování GPO?
Objekt zásad skupiny (GPO) je sada nastavení, která řídí vzhled a chování systému pro určitou skupinu uživatelů. Delegování řízení GPO ve službě Active Directory umožňuje udělit koncovým uživatelům oprávnění k provádění určitých úloh zásad skupiny, které obvykle provádějí správci.
Potřebujete ověřené uživatele pro GPO?
Vždy je dobré mít ověřené uživatele v libovolném objektu GPO, ale vždy jej můžete upřesnit podle potřeby. Jen buďte opatrní s GPO a důkladně je otestujte. Doporučujeme vytvářet objekty GPO pomocí skriptů PowerShellu, aby je správce mohl uložit pro případ, že by je později potřeboval znovu vytvořit.