Rozdział „Introduction to Group Policies” w Microsoft Networking Integration Manual niesie ze sobą ryzyko, że zaawansowani administratorzy będą się nudzić, ponieważ definicje terminów i lista możliwości oferowanych przez polityki grupowe nie dostarczają mu żadnej nowej wiedzy, po prostu go nudzą. Z drugiej strony nowicjusz jest przytłoczony wielostronicowym wprowadzeniem do teorii. Tylko praktyczna obsługa polityk grupowych otworzy mu oczy na to, do czego są one dobre i dlaczego nadają się do ogromnego uproszczenia administrowania siecią w systemie Windows Server.

Część 2 - Korzystanie z zasad grupy systemu Windows XP Część 3 - Samodzielne tworzenie plików szablonów dla brakujących zasad grupy Część 4 - Microsoft Office w sieci

Ta seria artykułów jest fragmentem „Przewodnik integracji sieci Microsoft" von Ulrich Schlüter. Erscheinungstermin: Oktober 2004 bei Obliczenia Galileo. (ISBN 3-89842-525-8) und wurde WinTotal exklusiv vorab zur Verfügung gestellt.

Jak podejść do tematu „polityki grupowej”

Przejrzyj ten rozdział, aby jak najszybciej rozpocząć ćwiczenia praktyczne ze wskazówkami grupowymi, które zawierają kolejne rozdziały. Zwłaszcza początkujący nie powinni nawet próbować dogłębnie przejrzeć każdego z wyjaśnień w tym rozdziale wprowadzającym. Przeczytaj ten rozdział wprowadzający po raz drugi później, jak tylko nauczysz się poprzez ćwiczenia praktyczne, jak stosować wytyczne grupowe. Szara teoria tego rozdziału wprowadzającego jest wtedy znacznie łatwiejsza do zrozumienia dzięki praktycznej wiedzy. Gdy tylko zdobędziesz podstawową wiedzę na temat stosowania wytycznych grupowych poprzez ćwiczenia praktyczne, ten rozdział wprowadzający jest ważny, aby móc sklasyfikować szczegółową wiedzę na temat wytycznych grupowych w ogólnym kontekście pojęciowym i być w stanie wyraźnie rozróżnić terminy należące do tematu od siebie.

Przeanalizuj i zastosuj ustawienia zasad grupy instalacji programu Small Business Server 2003: Bezpłatną 180-dniową wersję próbną systemu Windows Small Business Server 2003 można zamówić online w firmie Microsoft. Instalacja wersji Standard Edition polega na włożeniu czterech płyt CD i przebiega automatycznie, prawie bez interwencji użytkownika. Utworzony Active Directory i usługi takie jak DHCP czy DNS są następnie w dużej mierze wstępnie konfigurowane we wzorowy sposób. Tworzone są dodatkowe grupy bezpieczeństwa i dystrybucji, skrypty i polityki grupowe.

Aby dowiedzieć się czegoś o sposobie, w jaki eksperci Microsoft strukturyzują i ustawiają zasady grupowe we wzorowy sposób, należy uruchomić przystawkę Zarządzanie zasadami grupy w zainstalowanym programie SBS 2003 i utworzyć raport wszystkich zainstalowanych obiektów zasad grupowych, klikając prawym przyciskiem myszy na poszczególnych obiektów zasad grupy i wybierz opcję Utwórz raport.

Utwórz raport Klick aufs Bild zum Vergrößern

Utwórz raportKlick aufs Bild zum Vergrößern

Utwórz raport Kliknij na zdjęcie, aby je powiększyć

Raporty te można znaleźć na płycie DVD z książką. Następnie przeanalizuj, które uprawnienia zostały przyznane, jakie wytyczne zostały ustawione i w jaki sposób. Warto zastanowić się, które z tych ustawień powinno być również używane w środowisku innym niż SBS 2003.

Czym są zasady grupy?

Zasady grupy to zbiory ustawień konfiguracji użytkownika i komputera, które są powiązane z komputerami, lokalizacjami, domenami lub jednostkami organizacyjnymi (OU) w celu kontrolowania zachowania pulpitu użytkownika, a także takich elementów, jak ustawienia zabezpieczeń, skrypty logowania i wylogowania, uruchamianie i skryptów zamykających komputer lub np. w celu zdefiniowania przekierowań folderów. Zasady grupy mogą służyć do określania zachowania systemu operacyjnego i ograniczania jego opcji. Istnieją jednak również zasady grupowe, za pomocą których zachowanie i opcje aplikacji, takich jak Microsoft Office, mogą być kontrolowane z centralnego punktu.

Co to są obiekty zasad grupy (GPO)?

Firma Microsoft rozumie, że obiekt zasad grupy jest zbiorem ustawień zasad grupy. Nowe obiekty zasad grupy tworzy się za pomocą konsoli zarządzania zasadami grupy. Obiekty zasad grupy są przechowywane w kontenerach zasad grupy (GPC) na poziomie domeny (nie na poziomie lasu usługi Active Directory). Obiekty zasad grupy wpływają na komputery (lub grupy komputerów) lub użytkowników (lub grupy użytkowników) w lokalizacjach, w poszczególnych domenach lub jednostkach organizacyjnych. Oznacza to na przykład, że możesz utworzyć jednostkę organizacyjną (OU) o nazwie Laptopy, utworzyć nowy obiekt zasad grupy dla tej jednostki organizacyjnej i konkretnie zdefiniować wszystkie te zasady w tym obiekcie zasad grupy, które dotyczą tylko laptopów, ale nie innych komputerów, które są stale połączone do sieci Have. Ustawienia zasad, których dotyczy ten obiekt zasad grupy, wpływają na wszystkie obiekty komputera, które są przenoszone do jednostki organizacyjnej Laptopy.

Ponadto obiekty GPO można również tworzyć dla komputerów autonomicznych, tj. komputerów, które nie są lub nie są na stałe połączone z domeną Active Directory, takich jak laptopy lub tablety. Nazywa się to lokalnymi obiektami zasad grupy.

Do lokacji, domeny lub jednostki organizacyjnej można zastosować wiele obiektów zasad grupy. Dodatkowo można utworzyć kilka obiektów GPO np. w zbiorczym kontenerze Active Directory, np. z nazwą międzyorganizacyjnych obiektów polityki grupowej. Każdy z tych obiektów zasad grupy można następnie przypisać do kilku innych kontenerów (np. jednostek organizacyjnych) za pomocą funkcji łączenia zasad grupy.

Co to jest łączenie zasad grupy?

Przykład powinien zademonstrować sposób łączenia polis grupowych: Tworzysz jednostki organizacyjne dla poszczególnych działów firmy o nazwach działów Administracja, Sprzedaż, Zakupy, Produkcja, Rozwój. Obiekty użytkowników tworzy się w tych wydziałowych jednostkach organizacyjnych.

Niektóre zasady grupy są specyficzne dla działu, inne zasady grupy powinny dotyczyć wszystkich pracowników w organizacji. Wytyczne, które mają być stosowane do wszystkich pracowników, definiuje się tylko raz w utworzonym w tym celu obiekcie zasad grupy w międzyorganizacyjnych obiektach zasad grupy. Następnie łączysz ten obiekt zasad grupy ze wszystkimi jednostkami organizacyjnymi działu. Jeśli później będziesz musiał dodać wytyczne dla różnych organizacji lub zdefiniować je w inny sposób, możesz łatwo wprowadzić tę zmianę w centralnej lokalizacji, a nie osobno dla każdego działu. Liczba wymaganych obiektów zasad grupy pozostaje możliwa do opanowania, a liczba możliwych źródeł błędów jest minimalizowana.

Co to są kontenery zasad grupy (GPC)?

Kontener zasad grupy (GPC) to obiekt usługi Active Directory, który przechowuje właściwości obiektu zasad grupy i zawiera podkontenery dla informacji zasad grupy dotyczących komputerów i użytkowników. GPC zawiera informacje o wersji, aby zapewnić synchronizację informacji w GPC z szablonami zasad grupy (GPT). Ponadto GPC zawiera informacje o stanie, czy bazowy obiekt GPO jest aktualnie aktywowany czy dezaktywowany. Termin GPC jest mylący i trudno jest zrozumieć, jak różni się od terminu GPT. Dlatego termin GPC pojawia się rzadko i nie musisz mieć jego znaczenia pod ręką.

Należy jednak pamiętać, że obiekt zasad grupy można tymczasowo całkowicie dezaktywować. Jeśli na przykład masz założenie, że niewytłumaczalne zachowanie w interakcji kilku obiektów zasad grupy jest spowodowane ustawieniami pewnego obiektu zasad grupy, możesz tymczasowo dezaktywować ten obiekt zasad grupy, aby zweryfikować założenie. Jeśli nowy obiekt zasad grupy z różnymi zasadami ma zacząć obowiązywać w późniejszym czasie, utwórz ten obiekt zasad grupy ze wszystkimi ustawieniami w stanie dezaktywacji i aktywuj nowy obiekt zasad grupy tylko wtedy, gdy jest to wymagane.

Przynajmniej teraz nowicjusz w temacie polityki grupowej dostanie zawrotu głowy, a czytanie i zrozumienie terminów i skrótów będzie testem cierpliwości. Wciąż pamiętam własne zakłopotanie i frustrację, które pojawiły się, gdy po raz pierwszy studiowałem ten złożony temat. Wiedząc o tym, ostrzegałem na początku tego rozdziału przed trudami tego materiału teoretycznego. Więc znowu pocieszająca uwaga: nie musisz od razu rozumieć tych teoretycznych podstaw. Jak tylko pobawimy się zasadami grupowymi Windows XP i Office 2003 w kolejnych rozdziałach, a najpóźniej, gdy stworzymy własne pliki szablonów dla brakujących zasad grupowych, teoria szarości spełni się w praktyce, a administratorzy bądź zachwycony. Do tego czasu motto brzmi: trzymaj głowę nisko i wytrwaj. Twoja dyscyplina zostanie później nagrodzona, moje słowo.

Co to są szablony zasad grupy (GPT)?

Szablon zasad grupy (GPT) to struktura folderów w katalogu %systemroot%\SYSVOL\sysvol\Policies na kontrolerach domeny. Ta struktura folderów jest tworzona, gdy nowy obiekt zasad grupy (GPO) jest tworzony przez administratora przy użyciu konsoli zarządzania zasadami grupy. Zapisuje polityki grupowe w postaci kilku plików konfiguracyjnych, ale także, na przykład, skrypty logowania i wylogowania oraz skrypty do uruchamiania lub wyłączania komputera, jeśli te skrypty są zdefiniowane za pomocą polityki grupy.

Struktura folderów Klick aufs Bild zum Vergrößern

Struktura folderówKlick aufs Bild zum Vergrößern

Struktura folderów Kliknij na zdjęcie, aby je powiększyć

Pełna struktura folderów będzie widoczna w Eksploratorze Windows tylko po wyłączeniu opcji Ukryj chronione pliki systemowe i aktywowaniu opcji Pokaż zawartość folderu systemowego i Pokaż ukryte pliki i foldery. Jako administrator powinieneś zasadniczo używać tych domyślnych ustawień Eksploratora Windows dla wszystkich folderów, zarówno podczas pracy na serwerze, jak i podczas pracy na kliencie. W pozostałej części tej książki zakłada się, że te domyślne ustawienia zostały wprowadzone w Eksploratorze Windows i dlatego w przyszłości będą widoczne wszystkie pliki i foldery, w tym te, które mają atrybut Ukryty lub System. Podobnie opcja Ukryj rozszerzenia dla znanych typów plików musi być wyłączona, przynajmniej dla administratorów i pracowników helpdesku. Pracownicy ci muszą nie tylko znać znaczenie rozszerzeń nazw plików, ale także w razie potrzeby umieć manipulować rozszerzeniami.

Po utworzeniu obiektu zasad grupy odpowiednia struktura folderów GPT jest tworzona na kontrolerze domeny. Jeśli istnieje kilka kontrolerów domeny, ta nowa struktura folderów jest następnie replikowana na inne kontrolery domeny. Nazwa folderu GPT jest 36-cyfrową kombinacją kolumn cyfr i liter oddzielonych myślnikami i odpowiada identyfikatorowi GUID (Globally Unique Identifier) ​​utworzonego obiektu GPO.

W katalogu głównym struktury folderów GPT znajdziesz plik gpt.ini oraz podfoldery Adm, Machine i User. Te główne foldery zawierają podfoldery, których dokładna struktura zależy od zdefiniowanych wytycznych. Plik gpt.ini zawiera następujące zmienne i ich przypisanie:

displayName = Nowy obiekt zasad grupy: Ta zmienna nie przyjmuje nazwy obiektu zasad grupy, ale ma domyślną nazwę „Nowy obiekt zasad grupy”.

Wersja = numer wersji: nowo utworzony obiekt zasad grupy otrzymuje numer wersji 0. Każda zasada zmieniona w obiekcie zasad grupy zwiększa tę wartość. Jeśli istnieje kilka kontrolerów domeny, usługa Active Directory porównuje wersje, aby określić, który kontroler domeny ma najnowszą wersję obiektu zasad grupy, a następnie replikuje go na innych kontrolerach domeny.

Disabled = 0 lub 1, przy czym ten wiersz pojawia się tylko w lokalnych obiektach GPO i określa, czy obiekt GPO jest aktualnie dezaktywowany. W przypadku wszystkich innych obiektów zasad grupy status aktywowany lub dezaktywowany jest zapisywany w GPC, który znajduje się w pamięci Active Directory.

Poniżej wymieniono najważniejsze foldery i ich znaczenie.

\ Administracja

Ten folder zawiera pliki szablonów zasad grupy, które zostały przesłane do edytora zasad grupy. Pliki szablonów zasad grupy znajdują się w katalogu% Systemroot% \ inf lub należy je do niego skopiować. Mają rozszerzenie nazwy pliku adm. Zainstalowany system Windows 2000 Server lub Windows 2000 Professional ma inne pliki szablonów niż system Windows XP Professional lub Windows Server 2003.

Pliki szablonów pakietu Microsoft Office 2003 nie znajdują się na dysku CD z pakietem Microsoft Office 2003. Podczas instalowania pakietu Office 2003 Resource Kit są one importowane do katalogu % systemroot% \ inf komputera, a następnie muszą być ręcznie skopiowane do katalogu % systemroot% \ inf kontrolera domeny. Możesz utworzyć własne pliki szablonów adm dla określonych celów i aplikacji, przenieść je do katalogu% systemroot% \ inf, a następnie załadować je do obiektu zasad grupy. Szczegóły dotyczące obsługi plików adm można znaleźć w dalszych rozdziałach.

\ Maszyna

Ten folder zawiera plik rejestru .pol. Plik Registry.pol zawiera tylko ustawienia tych polityk, które zostały aktywowane lub dezaktywowane w kategorii Komputer, ale nie ma odniesienia do polityk, które pozostają nieskonfigurowane. Gdy komputer jest uruchamiany i łączy się z jego domeną, plik Registry.pol jest oceniany i przesyłany do sekcji HKEY_LOCAL_MACHINE rejestru komputera. Format pliku Registry.pol nie jest zgodny z plikiem o tej samej nazwie, który był używany w systemie Windows 95, 98 lub NT 4.0.

\ Maszyna \ Aplikacje

W tym folderze znajdują się pliki publikacji (pliki AAS), których Instalator Windows używa do instalowania pakietów MSI dla komputerów.

\ Urządzenie \ Dokumenty i ustawienia

Ten folder zawiera wszystkie pliki, które powinny znajdować się na pulpicie każdego użytkownika, niezależnie od tego, który użytkownik się loguje.

\ Maszyna \ Microsoft \ Windows NT \ SecEdit

Folder zawiera plik GptTmpl.ini edytora zabezpieczeń.

\ Maszyna \ Skrypty \ Wyłączanie

Skrypty i powiązane pliki uruchamiane po wyłączeniu komputera.

\ Maszyna \ Skrypty \ Uruchomienie

Skrypty i powiązane pliki uruchamiane podczas uruchamiania komputera.

\ Użytkownik

Ten folder zawiera plik Registry.pol. Plik Registry.pol zawiera tylko ustawienia tych polityk, które zostały aktywowane lub dezaktywowane w kategorii Użytkownik, ale nie ma odniesienia do polityk, które pozostają nieskonfigurowane. Gdy użytkownik się loguje, plik Registry.pol jest oceniany i przesyłany do sekcji HKEY_CURRENT_USER rejestru komputera. Format pliku Registry.pol nie jest zgodny z plikiem o tej samej nazwie, który był używany w systemie Windows 95, 98 lub NT 4.0.

\ Użytkownik \ Aplikacja

W tym folderze znajdują się pliki publikacji (pliki AAS), których Instalator Windows używa do instalowania pakietów MSI dla użytkowników.

\ Użytkownik \ Dokumenty i ustawienia

Wszystkie pliki skonfigurowane jako część pulpitu użytkownika.

\ Użytkownik \ Microsoft \ Zdalna instalacja

Uprawnienia, jakie posiada użytkownik podczas ponownej instalacji komputera za pomocą usługi instalacji zdalnej.

\ Użytkownik \ Skrypty \ Logowanie

Skrypty i powiązane pliki dla przypisanego skryptu logowania.

\ Użytkownik \ Skrypty \ Wylogowanie

Skrypty i powiązane pliki dla przypisanego skryptu wylogowania.

Narzędzia do zarządzania zasadami grupy

Zasad grupowych można również użyć do zdefiniowania zachowania i interfejsu użytkownika pojedynczego komputera, który nie jest podłączony do sieci. W systemie Windows XP uruchom pozycję menu Lokalna polityka bezpieczeństwa poprzez Start - Ustawienia - Panel sterowania - Administracja. Można to zrobić szybciej, wydając polecenie gpedit.msc za pomocą Start - Uruchom.

narzędzia administracyjne Klick aufs Bild zum Vergrößern

narzędzia administracyjneKlick aufs Bild zum Vergrößern

Narzędzia administracyjne Kliknij obraz, aby go powiększyć

Możesz użyć tej przystawki do zabezpieczenia laptopa, na przykład, aby użytkownik mógł później zmienić tylko kilka ustawień na laptopie i uruchamiać tylko jasno zdefiniowane aplikacje. Te ograniczenia minimalizują wysiłek związany z obsługą komputerów autonomicznych.

Typowym obszarem działania administratorów sieci nie są wytyczne dla grup lokalnych, ale wytyczne, które są implementowane w całej sieci Active Directory i wpływają na całe domeny, poszczególne lokalizacje lub poszczególne jednostki organizacyjne. Te zasady grupy są kontrolowane przez przystawki Użytkownicy i komputery usługi Active Directory, Lokacje i usługi Active Directory, Zasady grupy lub narzędzie administracyjne GPMC.MSI.

Użyj przystawki Użytkownicy i komputery usługi Active Directory, aby utworzyć obiekty zasad grupy (GPO) dla domeny lub jednostki organizacyjnej. Aby to zrobić, kliknij prawym przyciskiem myszy obiekt domeny lub obiekt jednostki organizacyjnej, wybierz Właściwości, otwórz kartę Zasady grupy i kliknij przycisk Nowy.

narzędzia administracyjne Klick aufs Bild zum Vergrößern

narzędzia administracyjneKlick aufs Bild zum Vergrößern

Narzędzia administracyjne Kliknij obraz, aby go powiększyć

Następnie wybierz nazwę nowego obiektu zasad grupy i kliknij Edytuj. Spowoduje to uruchomienie edytora zasad grupy i może teraz zdefiniować indywidualne zasady.

Użyj przystawki Lokacje i usługi Active Directory, aby utworzyć obiekty zasad grupy dla poszczególnych witryn. Procedura jest podobna do procedury w przystawce Użytkownicy i komputery usługi Active Directory. Kliknij prawym przyciskiem myszy ikonę witryny, wybierz Właściwości, otwórz kartę Zasady grupy i kliknij przycisk Nowy, aby utworzyć i nazwać nowy obiekt zasad grupy dla wybranej witryny. Następnie użyj przycisku Edytuj, aby zdefiniować indywidualne wytyczne obiektu zasad grupy.

narzędzia administracyjne Klick aufs Bild zum Vergrößern

narzędzia administracyjneKlick aufs Bild zum Vergrößern

Narzędzia administracyjne Kliknij obraz, aby go powiększyć

Obiekty zasad grupy dla witryn mają sens tylko wtedy, gdy domena jest rozłożona na kilka witryn i jeśli istnieją zasady grupy, których ustawienia powinny różnić się w zależności od witryny. Typowym przykładem jest polityka Przekierowania folderów, za pomocą której można między innymi przekierować folder Moje dokumenty dla każdego użytkownika na udostępniony serwer. W przypadku pracowników w lokalizacji X sensowne będzie przekierowanie folderu Moje dokumenty na serwer w lokalizacji X. Z drugiej strony folder Moje dokumenty pracowników w lokalizacji Y musi zostać przekierowany na serwer w lokalizacji Y.

Poprzez Start - Administracja można również uruchomić przystawkę Zasady grupowe, aby zdefiniować wszystkie zasady grupowe we wszystkich utworzonych obiektach zasad grupowych za pomocą edytora zasad grupowych.

Jak widać na powyższych obrazach, kiedy kliknąłem kartę Zasady grupy na moim serwerze testowym, pojawił się komunikat „Zainstalowałeś przystawkę Zarządzanie zasadami grupy. Dlatego ta karta nie jest już używana. Kliknij Otwórz, aby otworzyć Zasady grupy Kierownictwo". Wspomniane powyżej przyciski New i Edit służące do tworzenia nowej polityki grupowej i edytowania istniejących polityk grupowych nie są już wyświetlane, ponieważ zainstalowano również narzędzie do zarządzania polityką grupową GPMC.MSI, które jest dostępne bezpłatnie na stronie www.microsoft.com .

GPMC.MSI oznacza nową przystawkę, konsolę zarządzania zasadami grupy. W wersji niemieckiej nosi nazwę Konsola zarządzania zasadami grupy. To narzędzie administracyjne zostało opracowane przez firmę Microsoft dopiero po wydaniu systemu Microsoft Windows Server 2003 i jest dostępne do bezpłatnego pobrania w zlokalizowanych wersjach językowych. Może być używany nie tylko w Windows Server 2003, ale także w sieciach w Windows 2000 Active Directory, ale musi być zainstalowany na kliencie Windows XP.

narzędzia administracyjne Klick aufs Bild zum Vergrößern

narzędzia administracyjneKlick aufs Bild zum Vergrößern

Narzędzia administracyjne Kliknij obraz, aby go powiększyć

Dzięki nowemu programowi do zarządzania zasadami grupowymi (Group Policy Management) GPMC.MSI, możliwe jest teraz korzystanie z centralnego narzędzia do obsługi wszystkich prac administracyjnych związanych z zasadami grupowymi, które wcześniej musiały być wykonywane przy użyciu kilku przystawek. Zawiera również wiele dodatkowych funkcji, takich jak zestaw wyników zasad grupy, tworzenie kopii zapasowych, przywracanie i importowanie całych obiektów zasad grupy, w tym wszystkich zdefiniowanych w nich zasad, oraz zarządzanie filtrami WMI. Instalacja dodatkowych narzędzi do analizy wyników kilku polityk grupowych na obiekcie użytkownika lub obiekcie komputera i znajdowania błędów w interakcji wielu polityk grupowych nie jest już konieczna. Ceną, jaką płacą zwłaszcza nowicjusze, jest narzędzie, które, przynajmniej na pierwszy rzut oka, wydaje się bardzo złożone, z bogactwem poglądów, poleceń i opcji, których znaczenie i efekty mogą być przytłaczające.

Dla nowicjuszy zatem poniższa wskazówka: Najpierw pracuj bez nowego narzędzia GPMC.MSI w celu znalezienia łatwiejszego wprowadzenia do korzystania z polityk grupowych. Zainstaluj nowe narzędzie GPMC w osobnym środowisku testowym. Np. w dodatkowym środowisku wirtualnym, które instalujesz na swoim komputerze za pomocą oprogramowania takiego jak Microsoft Virtual PC lub VMware. Należy pamiętać o ograniczonych opcjach bez zainstalowanego pliku GPMC.MSI z dwóch powodów:

Stosowanie zasad grupy

Przed zdefiniowaniem zasad grupy należy najpierw utworzyć obiekt zasad grupy (GPO). Podejmowana jest decyzja, czy obiekt GPO jest tworzony dla całej domeny, lokalizacji (lokacji) czy jednostki organizacyjnej (OU). Obiekt GPO jest tworzony w konsoli zarządzania zasadami grupy. W Edytorze obiektów zasad grupy każdy obiekt zasad grupy ma dwie kategorie: Konfiguracja komputera i Konfiguracja użytkownika. W kategorii Konfiguracja komputera definiujesz zasady, które mają zastosowanie niezależnie od tego, który użytkownik jest zalogowany później. Z kolei w kategorii Konfiguracja użytkownika definiujesz zasady, które zawsze powinny mieć zastosowanie do określonych użytkowników, niezależnie od komputera, na którym się logują.

Jeśli obiekt zasad grupy zawiera tylko skonfigurowane zasady dla użytkowników, należy dezaktywować konfigurację komputera. Przetwarzanie obiektu GPO jest szybsze, ponieważ konfiguracja komputera nie jest już przeszukiwana pod kątem wprowadzonych ustawień. I odwrotnie, w obiekcie zasad grupy, który zawiera tylko skonfigurowane zasady dla komputerów, konfiguracja użytkownika powinna być wyłączona.

Jeśli nowe narzędzie GPMC.MSI nie jest zainstalowane, uruchom przystawkę Użytkownicy i komputery usługi Active Directory, kliknij prawym przyciskiem myszy właściwości kontenera zawierającego obiekt zasad grupy, wybierz kartę Zasady grupy. Wszystkie obiekty zasad grupy, które do tej pory zostały utworzone dla kontenera, są tam wymienione. Wybierasz odpowiedni obiekt zasad grupy i otwierasz właściwości obiektu zasad grupy.

Właściwości obiektu Klick aufs Bild zum Vergrößern

Właściwości obiektuKlick aufs Bild zum Vergrößern

Właściwości obiektu Kliknij obraz, aby go powiększyć

We właściwościach obiektu GPO znajdziesz opcję Wyłącz ustawienia konfiguracyjne komputera oraz opcję Wyłącz niestandardowe ustawienia konfiguracyjne.

Jeśli zainstalowałeś już nowe narzędzie GPMC.MSI, opcje jego dezaktywacji znajdziesz w zakładce Details w kategorii Group Policy Objects.

Szczegóły nieruchomości Klick aufs Bild zum Vergrößern

Szczegóły nieruchomościKlick aufs Bild zum Vergrößern

Szczegóły nieruchomości Kliknij na zdjęcie, aby je powiększyć

Na karcie Ustawienia zabezpieczeń (jeśli GPMC.MSI jest zainstalowany, wybierz kartę Delegacja, a następnie kliknij przycisk Zaawansowane, aby wyświetlić i zmienić uprawnienia), określ, które konta komputerów lub konta użytkowników są upoważnione do zmiany, odczytu i modyfikacji obiektu zasad grupy do pobrania nad.

Ważna uwaga: Administrator zasad grupy powinien być w stanie skonfigurować GPO i ustawić zasady oraz musi czytać i zmieniać prawa, aby to zrobić. Z reguły jednak GPO nie powinien na niego wpływać, ponieważ prawa użytkowników, których to dotyczy, są często poważnie ograniczane przez wytyczne. Dezaktywując prawo bezpieczeństwa Adopt group policy dla administratorów, zapobiegasz wpływowi GPO na środowisko pracy administratora.

W przypadku grup zabezpieczeń Administratorzy domeny i Administratorzy organizacji uprawnienia dla nowo utworzonego obiektu zasad grupy są już odpowiednio ustawione: Członkowie tych grup zabezpieczeń mogą zmieniać zasady tego obiektu zasad grupy, ale nie mają na to wpływu, uprawnienie „Zastosuj grupę zasady” jest domyślnie odznaczona.

bezpieczeństwo Klick aufs Bild zum Vergrößern

bezpieczeństwoKlick aufs Bild zum Vergrößern

Bezpieczeństwo Kliknij na zdjęcie, aby je powiększyć

Porządek dziedziczenia polisy

Jeśli kilka kontenerów jest zagnieżdżonych w sobie, polityka grupowa kontenera wpływa nie tylko na obiekty komputera lub obiekty użytkownika tego kontenera, ale także, poprzez dziedziczenie, na obiekty znajdujące się w niżej położonych podkontenerach. Jeśli na przykład utworzyłeś jednostkę organizacyjną w Berlinie z podjednostkami organizacyjnymi Sprzedaż Berlin, Produkcja Berlin i Administracja Berlin i jeśli zdefiniowałeś polityki grupowe dla jednostki organizacyjnej w Berlinie, dyrektywy te dotyczą wszystkich obiektów we wszystkich niższych - leżące jednostki organizacyjne.

Jeśli utworzysz nowy obiekt zasad grupy dla podrzędnej jednostki organizacyjnej administracji Berlin i ustawisz tam zasady grupy inaczej niż w zasadach grupy wyższego poziomu, ustawienie w zasadach grupy niższego poziomu wygrywa. Dyrektywy w obu jednostkach organizacyjnych, które nie są ze sobą sprzeczne, są przejmowane kumulatywnie, tj. sumują się do zbioru unii w sensie matematycznym.

Wyłączanie dziedziczenia zasad

Za pomocą pola wyboru Wyłącz dziedziczenie zasad można jednak uniemożliwić stosowanie zasad jednostki organizacyjnej wyższego poziomu dla jednostki organizacyjnej niższego poziomu oprócz zasad, które zostały ustawione dla tej jednostki organizacyjnej. Możesz znaleźć tę opcję w zakładce Ogólne. Dziedziczenia nie można wyłączyć dla zasad lokacji, ponieważ zasady lokacji znajdują się na szczycie hierarchii zasad. Pierwszą rzeczą do zrobienia jest więc sprawdzenie, czy istnieje polityka lokalizacyjna. Jeśli tak, zostanie przyjęta, chyba że istnieje inna polityka domeny lub inna polityka jednostki organizacyjnej.

Opcja »Bez priorytetu« zastępuje dezaktywację dziedziczenia

Oprócz opcji Wyłącz dziedziczenie zasad istnieje opcja Bez pierwszeństwa, która działa dokładnie odwrotnie. Jeśli aktywowałeś wytyczne dla grupy dla lokalizacji OU Berlin i aktywowałeś tam opcję Bez priorytetu, wytyczne dla grupy zawsze zaczynają obowiązywać, nawet jeśli ta sama wytyczna dla grupy została zdefiniowana dokładnie odwrotnie w niższej jednostce organizacyjnej, takiej jak Sales Berlin, w nasz przykład dezaktywowany jest ustawiony. Jeśli została aktywowana opcja Bez pierwszeństwa w kontenerze wyższego poziomu, ustawienia profilu tego kontenera są stosowane do obiektów w niżej położonych kontenerach, nawet jeśli w niżej położonych kontenerach została aktywowana opcja Wyłącz dziedziczenie polityki.

Ustawienia »Nieskonfigurowane«, »Aktywowane« i »Nieaktywne«

Jeśli zasada jest ustawiona na Włączone, zostanie zastosowana do wszystkich obiektów w kontenerze. Jeśli jednak zasada jest w stanie Nieskonfigurowana, nie oznacza to, że w efekcie końcowym ta zasada nie zostanie zastosowana. Jeśli istnieje kontener wyższego poziomu, w którym dokładnie ta zasada jest aktywowana, to ustawienie wpływa również na obiekty w kontenerach niższego poziomu ze względu na dziedziczenie. Ustawienie Nieprawidłowo skonfigurowane oznacza, że ​​ustawienia są przyjmowane z zasad wyższego poziomu, jeśli istnieją zasady wyższego poziomu. Jeśli więc to ustawienie zostało skonfigurowane wcześniej w zasadzie, a nie w bieżącej zasadzie, ustawienie Nieskonfigurowane zostanie zastąpione ustawieniem zastosowanym powyżej.

Aby temu zapobiec, istnieje ustawienie Dezaktywowane. Oznacza to, że ta zasada nie jest stosowana i wyższe ustawienie zasad nie może jej zastąpić. Istnieją jednak również wyjątki: Jeśli ustawienie Brak priorytetu zostało aktywowane we właściwościach zasad wyższego poziomu, to ustawienie zasad nie może zostać zastąpione na niższym poziomie.

Serwer DNS z rekordami SRV jest obowiązkowym wymogiem

Prawidłowo skonfigurowany DNS jest niezbędnym warunkiem prawidłowego działania zasad grupy. Klient odnajduje swoje przypisanie w Active Directory poprzez rekordy SRV serwera DNS: do jakiej jednostki organizacyjnej jest przypisany komputer i użytkownik, jakie wytyczne są tam przechowywane itp. Z powodu niepoprawnie skonfigurowanej usługi DNS, brak wpisu serwera DNS dla klientów lub niepoprawny wpis DNS powoduje bardzo długie czasy logowania, nie są stosowane zasady grupy, występują problemy z rozpoznawaniem nazw lub nie jest przeprowadzana replikacja między kontrolerami domeny.

Windows Server 2000/2003 z zainstalowaną usługą DNS spełnia wszystkie wymagania niezbędne do funkcjonowania polityk grupowych Active Directory. Jeśli nie można zrezygnować z BIND w środowisku, w którym DNS był wcześniej dostarczany przez Unix lub Linux-BIND, BIND musi zostać zaktualizowany, aby DNS obsługiwał rekordy SRV i był dynamicznym DNS (D-DNS). W tym przypadku zdecydowanie zaleca się wprowadzenie Windows Server 2000/2003 jako serwera DNS w klientach Windows oraz Unix BIND jako forwardera w usłudze Windows DNS. Na klientach z systemem Windows serwer DNS, który przechowuje rekordy SRV, należy wprowadzić jako pierwszy serwer DNS we właściwościach TCP/IP.

Zasady grupy dotyczą obiektów użytkownika lub obiektów komputera, a nie grup zabezpieczeń

Nawiasem mówiąc, słowo „polityka grupowa” jest nieco mylące. Zasady grupy mają wpływ tylko na obiekty użytkownika lub obiekty komputera znajdujące się w skojarzonym kontenerze, a nie na grupy zabezpieczeń. Na przykład, jeśli utworzysz jednostkę organizacyjną o nazwie Laptopy, utworzysz obiekt zasad grupy dla tej jednostki organizacyjnej i skonfigurujesz specjalne zasady dla laptopów w tym obiekcie zasad grupy, musisz następnie przenieść wszystkie laptopy lub wszystkich użytkowników laptopów do tej jednostki organizacyjnej, aby zasady miały efekt. Jeśli jednak utworzysz tylko jedną grupę zabezpieczeń Laptopy w jednostce organizacyjnej Laptopy, która zawiera obiekty laptopów jako członków, a obiekty laptopów pozostaną w innej jednostce organizacyjnej, która nie jest podkontenerem jednostki organizacyjnej Laptopy, zasada nie będzie działać.

Niemniej jednak grupy zabezpieczeń mogą być używane do kontrolowania za pomocą uprawnień zasad grupy, na które grupy użytkowników lub grupy komputerów ma mieć wpływ zestaw zasad. Aby to zademonstrować, zmodyfikujmy przykład na laptopach: Utworzyłeś jednostkę organizacyjną o nazwie Klienci. Ta jednostka organizacyjna obejmuje wszystkie komputery z wyjątkiem serwera, tj. zarówno komputery stacji roboczych, jak i laptopy lub tablety. Dla tej jednostki organizacyjnej tworzysz obiekt GPO, w którym skonfigurowane są tylko specjalne wytyczne dla laptopów i tabletów. Ten obiekt zasad grupy powinien mieć wpływ tylko na wszystkie laptopy i tablety klientów jednostki organizacyjnej, ale nie na klientów, którzy są zawsze online. Aby to osiągnąć, skonfiguruj grupę zabezpieczeń komputerów przenośnych i tabletów i uwzględnij wszystkie komputery przenośne i tablety jako członków w tej grupie zabezpieczeń. Następnie zmieniasz uprawnienia obiektu zasad grupy, aby ten obiekt zasad grupy mógł być odczytywany i przyjmowany tylko przez grupę zabezpieczeń Laptopy i komputery typu Tablet, ale nie przez innych klientów.

W dalszych wyjaśnieniach na temat polityk grupowych zostanie pokazane, w jaki sposób można kontrolować, co mogą robić zwykli użytkownicy i tak zwani użytkownicy zaawansowani za pomocą zaledwie dwóch obiektów zasad grupy. W pierwszym obiekcie zasad grupy ustawiane są ustawienia zasad dla użytkownika standardowego, które są bardzo restrykcyjne. Drugi obiekt zasad grupy może być odczytywany i przyjmowany tylko przez grupę zabezpieczeń Poweruser. Programiści, pracownicy helpdesku i inni pracownicy, którzy potrzebują większej swobody na swoich komputerach, znajdują się w grupie bezpieczeństwa Poweruser. W tym drugim obiekcie zasad grupy niektóre zasady, które poważnie ograniczyły prawa użytkownika standardowego w pierwszym obiekcie zasad grupy, są teraz zastępowane przez nadanie zasadom stanu dezaktywacji. Za pomocą prostego i łatwego do zrozumienia modelu składającego się z dwóch obiektów zasad grupy można kontrolować, którzy pracownicy otrzymują sztywne, niezmienne specyfikacje w ich środowisku pracy, a dla których te sztywne specyfikacje są ponownie rozluźniane, aby nie przeszkadzać im w codziennej pracy.

Skonfigurowane polityki są również przechowywane w rejestrze

Gdzie i jak jest faktycznie zapisywane, jakie polityki grupowe są skonfigurowane i jak dla komputera lub zalogowanego użytkownika? Szablon zasad grupy (GPT) to struktura folderów w katalogu %systemroot%\SYSVOL\sysvol\Policies na kontrolerach domeny. Jednak szczególnie te ustawienia, które są wprowadzane w zasadach grupy w obszarze „Szablony administracyjne”, są również zapisywane w rejestrze komputera i obiektów użytkownika, do których mają zastosowanie. Skonfigurowane polityki powinny obowiązywać również wtedy, gdy klient jest w trybie offline iz tego powodu między innymi muszą być przechowywane lokalnie, a nie tylko w Active Directory.

W tym celu w rejestrze znajdują się następujące oddziały:

Wymuś aktualizację bez opóźnień

Jeśli zmienisz ustawienie zasad, wpływ na klienta, którego dotyczy problem, lub pod identyfikatorem użytkownika, którego dotyczy problem, zacznie obowiązywać dopiero z opóźnieniem. Zmiany wpływające na komputer często zaczynają obowiązywać dopiero po ponownym uruchomieniu klienta. Zmiany, które dotyczą użytkownika, zaczynają obowiązywać najpóźniej po nowym logowaniu.

Istnieją jednak polecenia wiersza poleceń, które natychmiast ponownie zastosują wszystkie zasady grupy. W systemie Windows 2000 używane jest polecenie secedit, w którym parametry machine_policy i user_policy mogą być użyte do wyraźnego określenia, czy należy ponownie zastosować tylko wytyczne kategorii konfiguracji komputera, czy kategorii konfiguracji użytkownika:

W systemie Windows XP gpupdate zastępuje poprzednie narzędzie secedit:

Jednak narzędzie gpupdate może być również używane w systemie Windows 2000 Professional. Aby to zrobić, należy go zaimportować do katalogu% systemroot% \ System32. Zajrzyj do pomocy online narzędzia gpupdate, aby dowiedzieć się więcej o znaczeniu różnych parametrów. Parametr / force zapewnia ponowne zastosowanie wszystkich ustawień, nawet jeśli licznik zasad nie został jeszcze zwiększony.

Istnieje również zasada ustawiania domyślnego opóźnienia przed ponownym zastosowaniem zasad grupy do niższej wartości. Ta procedura jest zalecana w fazie testowej.

Twórz kopie zapasowe, kopiuj i importuj ustawienia zasad

Wyobraź sobie, że utworzyłeś zasady grupy w swojej domenie testowej i chciałbyś przenieść wszystkie ustawienia do środowiska produkcyjnego. Jak można to zrobić przy najmniejszym wysiłku?

Wyobraź sobie, że chcesz skonfigurować inną jednostkę organizacyjną i użyć identycznych lub prawie identycznych zasad grupy dla tej nowej jednostki organizacyjnej, ponieważ zostały one już skonfigurowane dla innej jednostki organizacyjnej.

Jesienią 2003 roku firma Microsoft udostępniła do bezpłatnego pobrania konsolę zarządzania zasadami grupy (GPMC). Za pomocą tej przystawki można skopiować lub zaimportować obiekt zasad grupy ze wszystkimi skonfigurowanymi w nim zasadami. Pomoc online zawiera więcej informacji:

Ustawienia można przenieść bezpośrednio z obiektu GPO do nowego obiektu zasad grupy poprzez kopiowanie. Podczas kopiowania tworzony jest nowy obiekt zasad grupy i otrzymuje nowy identyfikator GUID (globalnie unikalny identyfikator). Umożliwia to przeniesienie ustawień do nowego obiektu zasad grupy w tej samej domenie, innej domenie w tym samym lesie lub w domenie w innym lesie. Ponieważ obiekt zasad grupy, który istnieje w usłudze Active Directory, jest używany jako źródło podczas procesu kopiowania, między domeną źródłową a domeną docelową musi istnieć relacja zaufania.

Operacje kopiowania są przydatne do stosowania zasad grupy między środowiskami produkcyjnymi lub między domeną testową (lub lasem) a domeną produkcyjną (lub lasem). Warunkiem wstępnym jest relacja zaufania między domeną źródłową i docelową. Szczegółowe instrukcje można znaleźć w pomocy online GPMC pod adresem.

Kopiowanie jest podobne do tworzenia kopii zapasowej, po której następuje import, z wyjątkiem tego, że krok pośredni za pośrednictwem systemu plików jest pomijany, a nowy obiekt zasad grupy jest tworzony jako część procesu kopiowania. Informacje na temat tworzenia kopii zapasowych obiektów zasad grupy można znaleźć w pomocy online konsoli zarządzania zasadami grupy pod hasłem tworzenie kopii zapasowej.

W przeciwieństwie do procesu kopiowania, podczas importowania nie jest wymagana relacja zaufania między domenami. Informacje na temat procesu importu można znaleźć w pomocy online pod hasłem Importuj.

Procedury tworzenia kopii zapasowych, kopiowania lub importowania obiektów zasad grupy i powiązanych zadań można również wykonać za pomocą przykładowych skryptów zawartych w konsoli zarządzania zasadami grupy.

Dom systemowy realizujący projekty z Windows 2000/2003 Active Directory dla wielu klientów może wygodnie nadal korzystać z wytycznych grupowych odpowiednio skonfigurowanego środowiska testowego, w którym wytyczne grupowe wygenerowane w środowisku testowym są zapisywane jako szablony, importowane do klienta nowo skonfigurowany Active Directory i można go dostosować dopiero później.

Dodaj skrót do zasad grupy

Jeśli jednak chcesz używać identycznej polityki grupowej dla kilku jednostek organizacyjnych bez modyfikacji, możesz to zrobić inaczej, a mianowicie za pomocą linku. Tworzysz zasady grupy w neutralnej jednostce organizacyjnej i konfigurujesz je. Następnie utwórz łącza do tej centralnej polityki grupy w innych jednostkach organizacyjnych. Ta metoda ma tę zaletę, że w razie potrzeby można później wprowadzać zmiany do zasad grupy tylko w jednym miejscu, a zmiany te zaczynają obowiązywać natychmiast we wszystkich jednostkach organizacyjnych, które są połączone z centralnie utrzymywaną zasadą grupy.

Otwierasz właściwości jednostki organizacyjnej, a następnie zakładkę Zasady grupy. Tym razem zamiast klikać przycisk Nowy, klikasz przycisk Dodaj. Ten przycisk byłby wyraźniej oznaczony jako Połącz. Wybierz kartę Wszystkie. Wyświetlane są wszystkie dotychczas utworzone zasady grupowe domeny.

Do czego można wykorzystać opcję łączenia zasad grupy z wieloma jednostkami organizacyjnymi?

Na przykład, jeśli masz kilka lokalizacji, a we wszystkich są serwery, możesz skonfigurować centralną jednostkę organizacyjną o nazwie Zasady grupy organizacji. Można tam na przykład wygenerować zasadę grupy kontrolera domeny, w której zdefiniowane są wszystkie zasady bezpieczeństwa ważne dla kontrolerów domeny. Następnie należy utworzyć jednostkę organizacyjną dla każdej lokalizacji, aw ramach tych jednostek organizacyjnych podrzędne jednostki organizacyjne dla kontrolerów domeny, serwerów członkowskich, komputerów klienckich, użytkowników, grup użytkowników i kontaktów zewnętrznych. W podrzędnych jednostkach organizacyjnych kontrolerów domeny, które istnieją w każdej jednostce organizacyjnej lokacji, należy utworzyć zasadę grupy, łącząc się z zasadą centralną kontrolera domeny w centralnej jednostce organizacyjnej zasad grupy organizacji.

Postępuj w ten sam sposób w przypadku innych typów serwerów, takich jak serwery członkowskie, serwery Exchange, serwery SQL. Na serwerze internetowym firmy Microsoft można znaleźć przewodnik po operacjach zabezpieczeń systemu Windows Server z rozdziałem 4, Zabezpieczanie serwerów na podstawie ich ról. W tym artykule opisano, jak różne typy serwerów można zabezpieczyć za pomocą zasad grupy.

Możesz oczywiście również skorzystać z możliwości łączenia polityk grupowych dla polityk, które mają obowiązywać wszystkich użytkowników w całej organizacji. Aby to zrobić, utwórz zasady grupy, takie jak standardowe zasady dla całej organizacji użytkownika i być może inne zasady grupy, takie jak główna zasada dla całej organizacji użytkownika w zasadach grupy centralnej jednostki organizacyjnej organizacji. Druga polityka grupy jest wtedy dla zaawansowanych użytkowników (programistów, pracowników help desku itp.), dla których środowisko nie jest tak ograniczone, jak dla zwykłych użytkowników. Następnie łączysz te zasady grupy centralnej z jednostkami organizacyjnymi zwanymi użytkownikami, które utworzyli jako podrzędne jednostki organizacyjne w różnych jednostkach organizacyjnych lokacji.

Jednak tak naprawdę należy definiować takie zasady tylko w tych zasadach grupy centralnej, które następnie mają zastosowanie do wszystkich użytkowników w całej organizacji. Zasada przekierowywania folderów, w której serwer, na którym znajduje się katalog domowy użytkownika, musi być określona w każdym przypadku, jest prawdopodobnie mniej odpowiednia dla zasad grupy centralnej. Ponieważ katalogi podstawowe (katalogi domowe użytkowników) dużej organizacji z kilkoma lokalizacjami znajdują się na kilku serwerach plików. Ale tutaj też jest sztuczka, aby uzyskać przypisanie do wielu serwerów. Więcej informacji na ten temat znajdziesz w rozdziale „Profile użytkowników zapisywane na serwerze, foldery bazowe i przekierowania folderów”.

Usuń zasadę grupy lub jej link

Jeśli usuniesz jednostkę organizacyjną bez uprzedniego usunięcia zasad grupy, które zostały utworzone dla tej jednostki organizacyjnej, te zasady grupy są zachowywane w usłudze Active Directory oraz w katalogu% SYSTEMROOT% \ SYSVOL \ sysvol \ Company.local \ Policies kontrolera domeny. Aby to przetestować, utwórz nową testową jednostkę organizacyjną i utwórz zasady grupy testowej dla tej jednostki organizacyjnej. Zanotuj unikatową nazwę zasad grupy, która pojawia się na przycisku Właściwości. Teraz usuń testową jednostkę organizacyjną i sprawdź, czy katalog utworzony podczas tworzenia zasad grupy w katalogu% SYSTEMROOT% \ SYSVOL \ sysvol \ Company.local \ Policies został automatycznie usunięty przez usunięcie jednostki organizacyjnej. Nadal tam jest.

Teraz otwórz właściwości innej jednostki organizacyjnej i tam zakładkę Zasady grupy. Tym razem zamiast klikać przycisk Nowy, kliknij przycisk Dodaj. Wybierz kartę Wszystkie. Wyświetlane są wszystkie zasady grupy domeny, w tym zasady grupy testowej, które zostały wygenerowane dla testowej jednostki organizacyjnej, która została już usunięta.

Jeśli wybrałeś obiekt zasad grupy za pomocą myszy i kliknąłeś przycisk Usuń, pojawi się zapytanie:

Usuń link z listy oznacza, że ​​inne kontenery (lokalizacje, domeny, jednostki organizacyjne) mogą nadal korzystać z tej polityki. Dlatego usuwane jest tylko łącze do bieżącego obiektu.

Usunięcie łącza z listy i nieodwołalne usunięcie obiektu zasad grupy oznacza, że ​​sama zasada grupy jest usuwana i całkowicie usuwana po tym procesie. Nie można później zastosować tej zasady do innego kontenera.

Jednak przed trwałym usunięciem obiektu zasad grupy należy sprawdzić następujące ustawienie: Wybierz żądaną zasadę i kliknij przycisk Właściwości. W zakładce Linki wybierz domenę w polu Domena, w której chcesz wyszukiwać linki. Kliknij przycisk Szukaj. W tym procesie przeszukiwane są wszystkie kontenery, z którymi połączona jest ta zasada. W ten sposób możesz zapewnić, że ta zasada będzie nadal obowiązywać dla innego kontenera w innej domenie.

Opisana procedura odnosiła się do serwera bez dodatkowo zainstalowanej konsoli zarządzania zasadami grupy (GPMC). Jeśli to narzędzie jest zainstalowane, procedura jest podobna. Powinieneś także znać procedurę bez zainstalowanego GPMC, ponieważ jutro może być konieczne administrowanie serwerem, na którym brakuje GPMC.

Przywróć domyślną politykę domeny za pomocą narzędzia wiersza poleceń

Dwa obiekty zasad grupy Domyślna polityka domeny i Domyślna polityka kontrolerów domeny są tworzone automatycznie dla nowo skonfigurowanej domeny. Jeśli to możliwe, należy unikać zmian w ustawieniach zasad w tych dwóch standardowych obiektach zasad grupy lub przynajmniej dokładnie je udokumentować. Lepiej jest samodzielnie tworzyć nowe obiekty zasad grupy i wprowadzać tam żądane ustawienia. Jeśli mimo wszystko wprowadzono zmiany w standardowych wytycznych i ma zostać przywrócony pierwotny stan, w systemie Windows Server 2003 dostępne jest polecenie dcgpofix wiersza polecenia. Powiązane narzędzie dcgpofix.exe znajduje się w katalogu% systemroot% \ system32. Pomoc online wyjaśnia, jak korzystać z narzędzia, związane z nim parametry i ograniczenia.

Określając parametr /ignoreschema, można włączyć działanie programu dcgpofix.exe z różnymi wersjami usługi Active Directory. Jednak domyślne obiekty zasad nie mogą zostać przywrócone do ich pierwotnego stanu. Aby zapewnić zgodność, należy użyć wersji programu dcgpofix.exe, która została zainstalowana z bieżącym systemem operacyjnym. Poniższy przykład pokazuje, jak można użyć polecenia dcgpofix do przywrócenia domyślnego obiektu zasad domeny:

Więcej informacji można znaleźć w artykułach bazy wiedzy

Resetowanie praw użytkownika w domyślnych zasadach grupy domeny

Resetowanie praw użytkownika w obiekcie zasad grupy domyślnego kontrolera domeny

Zasady grupy a pliki reg

Wartości w rejestrze klienta lub serwera zmieniane są za pomocą wielu polityk grupowych. Powstaje pytanie, czy tych samych celów nie można osiągnąć również za pomocą plików reg, być może nawet przy mniejszym wysiłku. Oprócz polecenia Regedit na rynku dostępnych jest wiele narzędzi, za pomocą których można dokonać ustawień w systemie Windows XP lub Microsoft Office i wyeksportować powiązane wpisy rejestru bezpośrednio do pliku reg, np. Kreator rejestru systemu lub RegShot. Ten plik reg można następnie zaimportować za pomocą skryptu logowania lub skryptu startowego.

Chociaż Microsoft, od czasu wprowadzenia Active Directory z Windows 2000 Server, wielokrotnie kładł nacisk na instrument polityki grupowej jako narzędzie centralnego zarządzania do kontrolowania klientów, nie ma znanych mi zewnętrznych dostawców poza Microsoft, którzy oferują pliki szablonów polityki grupowej (adm plików), w tym ich Produkty mogą być kontrolowane z centralnego punktu za pomocą edytora zasad grupy. Nie ma takich plików adm dla SAP, Sage KHK, AutoCAD, CorelDraw ani dla wiodących produktów antywirusowych. A nawet komercyjny produkt Navision, który obecnie sprzedaje Microsoft, nie zawiera żadnych plików szablonów zasad grupy do centralnej kontroli klientów.

Niemniej jednak istnieją obecnie nie tylko narzędzia do konwersji plików reg na pliki adm (Kreator systemu rejestru, reg2adm, ptfe - Edytor plików szablonów polityk) oraz artykuły, w których szczegółowo opisano tworzenie własnych plików adm. Istnieje również wiele innych powodów, dla których warto zajmować się zasadami grupowymi, ponieważ dzięki zasadom grupowym można osiągnąć znacznie więcej niż manipulowanie rejestrem:

Wartości w obszarze HKEY_LOCAL_MACHINE rejestru można również manipulować za pomocą zasad grupy. Z reguły jednak prosty użytkownik nie ma do tego żadnych uprawnień.

Aplikacje można instalować za pośrednictwem zasad grupy.

Skrypty uruchamiania i zamykania, ale także skrypty wylogowania, można aktywować za pomocą zasad grupy, które oferują znacznie więcej opcji niż tylko skrypt logowania.

Złożone struktury Active Directory, które składają się z kilku lokalizacji lub nawet kilku domen, mogą być centralnie kontrolowane za pomocą polityk grupowych.

Dzięki zasadom grupowym zachowanie poszczególnych grup klientów lub grup użytkowników można kontrolować indywidualnie. Można na przykład utworzyć jednostkę organizacyjną, w której będą znajdować się wszystkie komputery przenośne i tablety, a także skonfigurować specjalne zasady grupy dla tej jednostki organizacyjnej, aby uzyskać kontrolę nad specjalnymi funkcjami klientów, którzy regularnie pracują w trybie offline.

To tylko kilka zalet, jakie mają zasady grupy w stosunku do manipulowania rejestrem za pomocą plików reg. Główną zaletą polityki grupowej jest to, że administrator może centralnie określić wygląd klienta, które aplikacje i funkcje są włączone lub blokowane oraz czego użytkownik może używać i zmieniać. Ustawienia te można zmienić w dowolnym momencie za pomocą polityk grupowych, bez konieczności przynależności użytkownika do grupy administratorów lokalnych lub głównych użytkowników. Ustawienia w rejestrze kontrolowane przez zasady grupy są wymuszane przez autoryzację grupy SYSTEM w systemie operacyjnym.

Dzięki centralnie zarządzanym zasadom grupowym, obciążenie administracyjne sieci może zostać drastycznie zmniejszone, podobnie jak liczba możliwych źródeł błędów i zagrożeń bezpieczeństwa. Tak czy inaczej, nie ma sposobu, aby uniknąć zajmowania się zasadami grupy. Bo może jutro będziesz musiał zadbać o sieć, w której wytyczne grupowe są intensywnie wykorzystywane.

Rozwiązywanie problemów, gdy polityka nie działa

W zasadzie, może być wiele przyczyn od środowiska do środowiska, jeśli polityka grupowa została aktywowana i ta polityka grupowa nie pokazuje pożądanego rezultatu na odpowiednim kliencie lub pod odpowiednim ID. Jeśli żadna zasada grupy nie jest w ogóle skuteczna, jest to zwykle spowodowane nieprawidłowo skonfigurowanym serwerem DNS. Następnie sprawdź konfigurację DNS serwera DNS i wpisy DNS w kliencie. Sprawdź dziennik zdarzeń na serwerze.

Następnie upewnij się, że odpowiedni komputer kliencki lub identyfikator użytkownika znajduje się we właściwej jednostce organizacyjnej, do której zastosowano zasadę.

Sprawdź, czy uprawnienia zasad grupy są ustawione prawidłowo, aby komputer lub użytkownik mógł odczytać i zastosować obiekt zasad grupy. Ważne jest, aby polityk nie można było zastosować do grupy zabezpieczeń, a jedynie do obiektów znajdujących się w kontenerze, na który polityka ma wpływ.

Sprawdź kolejność stosowania wielu polityk, aby zobaczyć, czy istnieją polityki odziedziczone z kontenerów nadrzędnych. Narzędzie z zestawu Windows Server Resource Kit o nazwie GPRESULT pokazuje również wynik w systemie Windows 2000 Professional, jeśli na obiekcie działa kilka zasad grupy. To narzędzie jest już zintegrowane z nowym narzędziem administracyjnym GPMC.MSI.

Na kliencie z systemem Windows XP można użyć polecenia gpresult wiersza poleceń, aby wyświetlić wyniki wszystkich aktywnych zasad grupy. Polecenie gpresult /? Wyświetla wszystkie parametry, polecenie gpresult> c: \ gpresult.txt przekierowuje wynik do pliku tekstowego, który jest łatwiejszy do oceny. Za pomocą parametrów / u (dla użytkownika) i / s (dla systemu) możesz nawet dowiedzieć się, co się dzieje, gdy określony użytkownik loguje się na innym komputerze: gpresult / u: nazwa użytkownika / s: nazwa komputera

Narzędzia, artykuły i zasoby dotyczące zasad grupy

Pierwszym źródłem dalszych informacji na temat zasad grupowych jest książkowe DVD, które jest następnie wzbogacane o kolejne artykuły, nawet jeśli ten rozdział jest już ustawiony w drukarni. Na płycie DVD z książką znajdziesz osobny katalog zasad grupy z narzędziami, białymi księgami, artykułami z know-how i linkami do stron internetowych z dalszymi źródłami. W drugim kroku powinieneś sprawdzić stronę aktualizacji tej książki w portalu internetowym wydawcy, aby sprawdzić, czy są jakieś nowe artykuły na temat zasad grupy.

Ta seria artykułów jest fragmentem „Przewodnik integracji sieci Microsoft" von Ulrich Schlüter. Erscheinungstermin: Oktober 2004 bei Obliczenia Galileo. (ISBN 3-89842-525-8) und wurde WinTotal exklusiv vorab zur Verfügung gestellt.

Ulrich Schlueter

26 ocen

Podobne artykuły:

Wersje Windows 10: porównanie ...

Active Directory: Usługa katalogowa systemu Windows ...

Port 445: Służy do tego port TCP

Krótko mówiąc: co to jest adres IP?

Zastrzeżone oprogramowanie: definicja i przykłady

Windows Security - kompleksowa ochrona dla Windows 10

Ciekawy Windows: surfowanie z kalkulatorem!

Adres rozgłoszeniowy: skład i funkcja ...

Darknet: dostęp, ciekawe strony i rozgraniczenie...

Nowa przeglądarka: Microsoft Edge z Chromium