Zásady návrhu Group Policy z pohledu výkonu a bezpečnosti [1]

Shrnutí zásad, které je vhodné vzít v úvahu při návrhu GPO

Zkratky

  • GPO – group policy object
  • GP – group policy

Kriteria dobrého návrhu GP

Charakteristiky dobrého návrhu GP jsou

  • Minimální dopad na koncového uživatele
  • Splnění cílů zabezpečení počítačů podle požadavků organizace
  • Minimalizace dopadů na správu, zjednodušení správy

Požadavky často působí navzájem proti sobě, takže jdeme cestou kompromisů. Nejlepší návrh nemá příliš výsledných GPO a není příliš složitý. Právě tak akorát.

Přístupy k řešení a návrhu GPO

Jsou zjednodušeně řečeno dva krajní přístupy

  • Monolitické GPO – obsahují nastavení z nejrůznějších oblastí (například instalace programů, přesměrování složek, a tak dále)
  • Funkční GPO – obsahují jedno nebo více nastavení z jediné oblasti a jsou typicky zaměřené na jednu funkci (třeba Domain Password Policy)

Který přístup zvolit? Nejčastěji volíme kombinaci obou přístupů a ve výsledném  řešení se vyskytují jak monolitické tak i funkční GPO. Volbu ovlivňují další faktory jako jsou potřeby delegování, složitost obecných požadavků a nároky nutného zabezpečení. Oba typy mají smysl v určitých situacích, ovšem z pohledu výkonu a zátěže při zpracování může být jeden lepší než druhý – k tomu se vrátíme později.

Funkční GPO

Funkční GPO obsahují izolovaně jedno nastavení nebo skupinu blízkých nastavení. Příkladem je Account Policy, tato nastavení by měla být uložena v jednom objektu GP, které nedělá v zásadě nic jiného (např. Default Domain Policy). Můžeme jít dále a zvětšovat počet GPO podle potřeby, ale stovka objektů funkční GP, každý s jedním nastavením, to už je opravdu asi nerozumný extrém.

Monolitické GPO

Monolitické GPO jsou ideální pro delegování – přiřadíme správce příslušné organizační jednotky OU v Active Directory. Všechna nastavení jsou v jednom spravovatelném GPO al ze je delegovat. Může být jednodušší při řešení problémů, hledáme na jedno místě.

Linkování GPO nebo filtrace?

Další rozhodnutí, která musíme učinit, protože důsledkem může být dopad na výkon při zpracování:

  • Připojit (link) GPO nejblíže k zamýšlenému cíli a případně propojit k více jednotkám (OU) podle potřeby, nebo
  • Linkovat výše a definovat filtry – pomocí WMI a nebo filtrovat pomocí členství ve skupině (security group filter)

Použití Group Policy Preferences  má větší dopad, neboť každé nastavení může mít svůj vlastní filtr.

Jak vyvážit vzájemně protichůdné konfliktní požadavky?

Návrh struktury Active Directory (hlavně návrh struktury organizačních jednotek – OU) je veden s cílem vyhovět bezpečnostním požadavkům, zamýšlenému způsobu delegování správy a požadavkům aplikací a jejich správy. Návrh GP požaduje jednoduché zacílení, uvažuje rozdíly platforem (server, počítač uživatele, notebook) může vycházet z požadavků delegování správy.

Návrh AD doplňující GP – „podle typů“

Struktura OU

Doména

Machines

  • Notebooks
  • Desktops
  • Servers
  • Virtual

Users

  • Interactive
  • Services

Groups

Návrh AD doplňující GP – „podle místa nebo obch. oddělení“

Struktura OU

Doména

Centrála

Computers

  • Servers
  • Desktops
  • Laptops
  • Virtual

Users

  • Interactive
  • Services

Pobočka, prodej

Computers

  • Servers
  • Desktops
  • Laptops
  • Virtual

Users

  • Interactive
  • Services

 

Cíle návrhu AD a GP

Kompromisní pravidlo 80/20.

  • Budeme se snažit dodržet pravidlo vyvážení požadavků na linkování a filtrování a snažíme se najít takový model struktury OU, který nám vyhoví pro 80 procent situací a scénářů. Zbývajících 20% bude kompromisních, nebudeme pro ně vyžadovat stejný design.

Snažíme se vyhnout návrhu, který vyžaduje linkování a vynucení (enforce) GPO na úrovni domény – omezuje volby v dalších vnořených úrovních.

Vyhýbáme se také příliš ploché struktuře OU – například neumístíme všechny uživatele do jedné OU, pokud plánujeme použít různé zásady pro různé skupiny a uživatele.

Nepoužijeme ani návrh, který vyžaduje loopback (smyčka při zpracování) pro všechny počítače.

 

Příště někdy na téma: Zpracování GP a výkon / bezpečnost

(Zpracováno podle přednášky WSV206 Z MS TechEd2012 (Darren Mar-Elia: Best Practices for Designing and Consolidating Group Policy for Performance and Security))

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *