Co to są zasady grupy i jak to działa?

31

To jest kanoniczne pytanie dotyczące zasad grupy Active Directory

Co to są zasady grupy? Jak to działa i dlaczego powinienem go używać?

Uwaga: jest to pytanie i odpowiedź dla nowego administratora, który może nie być zaznajomiony z jego funkcjonowaniem i mocą.

MDMarra
źródło
Dlaczego to pytanie jest chronione, podczas gdy inne takie osoby są po prostu zamykane lub zawieszane, ponieważ uważa się je za „żaden faktyczny problem tutaj”? Nie rozumiem
Marki
@Marki Powinieneś przeczytać ten meta post . Kiedy na temat jest wiele „złych” lub początkujących pytań, często tworzymy kanoniczne pytanie, które zawiera znaczną ilość ogólnych informacji na ten temat, aby wszystkie pytania początkujące lub podstawowe na temat mogły zostać zamknięte jako duplikat pytanie kanoniczne.
MDMarra,

Odpowiedzi:

27

Co to są zasady grupy?

Zasady grupy to narzędzie dostępne dla administratorów korzystających z domeny Active Directory systemu Windows 2000 lub nowszej . Umożliwia scentralizowane zarządzanie ustawieniami na komputerach klienckich i serwerach przyłączonych do domeny, a także zapewnia podstawowy sposób dystrybucji oprogramowania.

Ustawienia są pogrupowane w obiekty zwane obiektami zasad grupy (GPO). GPO są połączone z jednostką organizacyjną Active Directory (OU) i mogą być stosowane do użytkowników i komputerów. Obiektów GPO nie można stosować bezpośrednio do grup, ale można użyć filtrowania zabezpieczeń lub kierowania na poziomie elementu do filtrowania aplikacji zasad na podstawie członkostwa w grupie.

Fajnie, co to może zrobić?

Byle co.

Poważnie, możesz robić wszystko, co chcesz użytkownikom lub komputerom w swojej domenie. Istnieją setki wstępnie zdefiniowanych ustawień, takich jak przekierowanie folderów, złożoność haseł, ustawienia zasilania, mapowania dysków, szyfrowanie dysków, Windows Update i tak dalej. Wszystko, czego nie można skonfigurować za pomocą wstępnie zdefiniowanego ustawienia, którym można sterować za pomocą skryptów. Skrypty wsadowe i VBScript są obsługiwane na wszystkich obsługiwanych klientach, a skrypty PowerShell można uruchamiać na hostach z systemem Windows 7.

Wskazówka profesjonalna: Możesz faktycznie uruchamiać skrypty startowe PowerShell na hostach Windows XP i Windows Vista, o ile mają one zainstalowany PowerShell 2.0. Możesz utworzyć plik wsadowy, który wywołuje skrypt przy użyciu następującej składni:

powershell Set-ExecutionPolicy RemoteSigned
powershell \\\\server\share\script.ps1
powershell Set-ExecutionPolicy Restricted

Pierwszy wiersz umożliwia uruchamianie niepodpisanych skryptów ze zdalnych udziałów na tym hoście, a drugi wiersz wywołuje skrypt z pliku wsadowego. Trzecie zestawy linii ustawiają politykę z powrotem na ograniczoną (domyślną) dla maksymalnego bezpieczeństwa.

Jak stosowane są obiekty zasad grupy?

GPO są stosowane w przewidywalnej kolejności. Zasady lokalne są stosowane jako pierwsze. Istnieją zasady ustawione na komputerze lokalnym za pośrednictwem gpedit.msc. Zasady witryny są stosowane na drugim miejscu. Zasady domeny są stosowane jako trzecie, a zasady OU są stosowane jako czwarte. Jeśli obiekt jest zagnieżdżony w wielu jednostkach organizacyjnych, wówczas obiekty zasad grupy są najpierw stosowane w jednostkach organizacyjnych najbliższych katalogu głównego.

Należy pamiętać, że w przypadku konfliktu ostatnio zastosowany obiekt GPO „wygrywa”. Oznacza to na przykład, że zasada połączona w jednostce organizacyjnej, w której znajduje się komputer, wygra, jeśli wystąpi konflikt między ustawieniem w tym obiekcie zasad grupy a ustawieniem połączonym w nadrzędnej jednostce organizacyjnej.

Skrypty logowania i uruchamiania wydają się fajne, jak one działają?

Skrypt logowania lub skrypt startowy może istnieć w dowolnym udziale sieciowym, o ile grupy Domain Usersi Domain Computersmają dostęp do odczytu udziału, w którym się znajdują. Tradycyjnie przebywają w nich \\domain.tld\sysvol, ale nie jest to wymagane.

Skrypty startowe są uruchamiane podczas uruchamiania komputera. Są one uruchamiane jako konto SYSTEM na komputerze lokalnym. Oznacza to, że uzyskują dostęp do zasobów sieciowych jako konto komputera. Na przykład, jeśli chcesz skryptu startowego, aby mieć dostęp do zasobów sieciowych w udziale że ma UNC of \\server01\share1a nazwa komputera to WORKSTATION01trzeba by upewnić się, że WORKSTATION01$miał dostęp do tego udziału. Ponieważ ten skrypt jest uruchamiany jako system, może wykonywać takie czynności, jak instalowanie oprogramowania, modyfikowanie uprzywilejowanych sekcji rejestru i modyfikowanie większości plików na komputerze lokalnym.

Skrypty logowania są uruchamiane w kontekście bezpieczeństwa lokalnie zalogowanego użytkownika. Mamy nadzieję, że użytkownicy nie są administratorami, więc oznacza to, że nie będzie można ich używać do instalowania oprogramowania ani modyfikowania chronionych ustawień rejestru.

Skrypty logowania i uruchamiania były podstawą systemu Windows 2003 i wcześniejszych domen, ale ich przydatność została zmniejszona w późniejszych wersjach systemu Windows Server. Preferencje zasad grupy dają administratorom znacznie lepszy sposób obsługi mapowań napędów i drukarek, skrótów, plików, wpisów rejestru, członkostwa w grupach lokalnych i wielu innych rzeczy, które można wykonać tylko za pomocą skryptu uruchamiania lub logowania. Jeśli myślisz, że może być konieczne użycie skryptu do prostego zadania, prawdopodobnie istnieje w nim zasada grupy lub preferencja. Obecnie w domenach z klientami Windows 7 (lub nowszymi) tylko złożone zadania wymagają skryptów uruchamiania lub logowania.

Znalazłem fajny obiekt GPO, ale dotyczy on użytkowników, chcę, aby dotyczył komputerów!

Tak, wiem. Byłem tam. Jest to szczególnie rozpowszechnione w laboratoriach akademickich lub w innych scenariuszach współużytkowanych komputerów, gdzie chcesz, aby niektóre zasady użytkownika dotyczące drukarek lub podobnych zasobów były oparte na komputerze, a nie na użytkowniku. Zgadnij co, masz szczęście! Chcesz włączyć ustawienie obiektu zasad grupy dla trybu sprzężenia zwrotnego zasad grupy .

Nie ma za co.

Powiedziałeś, że mogę tego użyć do zainstalowania oprogramowania, prawda?

Tak, możesz. Istnieją jednak pewne zastrzeżenia. Oprogramowanie musi być w formacie MSI , a wszelkie modyfikacje muszą być w pliku MST . Możesz zrobić MST z oprogramowaniem takim jak ORCA lub dowolnym innym edytorem MSI. Jeśli nie dokonasz transformacji, wynik końcowy będzie taki sam, jak uruchomieniemsiexec /i <path to software> /q

Oprogramowanie jest instalowane tylko podczas uruchamiania, więc nie jest to bardzo szybki sposób dystrybucji oprogramowania, ale jest bezpłatny. W niskobudżetowym środowisku laboratoryjnym wykonałem zaplanowane zadanie (przez GPO), które uruchomi ponownie każdy komputer laboratoryjny o północy z losowym 30-minutowym przesunięciem. Zapewni to, że oprogramowanie będzie maksymalnie nieaktualne w tych laboratoriach. Mimo to preferowane jest oprogramowanie takie jak SCCM , LANDesk , Altaris lub cokolwiek innego, co może „wypychać” oprogramowanie na żądanie.

Jak często jest stosowany?

Klienci odświeżają swoje obiekty zasad grupy co 90 minut z 30-minutową randomizacją. Oznacza to, że domyślnie może trwać do 120 minut. Ponadto niektóre ustawienia, takie jak odwzorowania dysków, przekierowanie folderów i preferencje plików, są stosowane tylko podczas uruchamiania lub logowania. Zasady grupy są przeznaczone do długoterminowego zarządzania planowego, a nie do natychmiastowych szybkich napraw.

Kontrolery domeny odświeżają swoje zasady co pięć minut.

MDMarra
źródło
3
Znowu dobra robota. Może chcesz również link do tej strony z Twojej epickiej AD QA.
EEAA
1
Dziękuję Ci za to. Musimy link do tego (i AD) z naszych kanonicznych odpowiedzi.
Bart De Vos,
Wydaje mi się, że jest tam AD, który przesłałem do przeglądu w meta. To wciąż jest nieco niekompletne, mam nadzieję, że skończę to dziś wieczorem.
MDMarra,
Czy „Altaris” odnosi się do konkretnego produktu Altaris, takiego jak Altiris Deployment Solution (DS)?
Peter Mortensen,
1
Link do trybu sprzężenia zwrotnego zasad grupy przekierowuje do „ Pobierz wycofaną zawartość systemu Windows Server 2003 R2 ”; być może powinien zostać zaktualizowany do tego (lub podobnego) linku: technet.microsoft.com/en-us/library/cc978513.aspx
Pieter Geerkens
12

Szybka uwaga na temat preferencji zasad grupy: jeśli chcesz korzystać z tych ustawień, ale masz stacje robocze z systemem Windows XP SP2 lub Windows XP SP3, najpierw trzeba będzie zainstalować rozszerzenia preferencji zasad grupy po stronie klienta dla systemu Windows XP (KB943729) .

Computers Container vs. Computers OU

W Computers containerkatalogu głównym domeny w usłudze Active Directory (AD) istnieje wartość domyślna , często mylona z jednostką organizacyjną usługi Active Directory (OU). To jest faktycznie Containeri NIE jest OU. Ponieważ tak naprawdę nie jest to jednostka organizacyjna, zasady grupy nie mają zastosowania do obiektów w tym kontenerze. Wyjątkami od tej reguły są zasady grupy stosowane w domain level. Będą to jedyne zasady stosowane do obiektów w Computers container.

Domyślnie obiekty komputerowe przyłączone do domeny, które nie są wstępnie ustawione, przechodzą do Computers container.

Jeśli więc zastanawiasz się, dlaczego Twoje zasady nie mają zastosowania, sprawdź, czy przedmiotowy obiekt znajduje się we właściwej lokalizacji w AD.

Tworzenie kopii zapasowych obiektów zasad grupy

Możesz utworzyć kopię zapasową obiektów zasad grupy za pomocą konsoli zarządzania zasadami grupy (GPMC).

  1. Otwórz Zarządzanie zasadami grupy i kliknij dwukrotnie Group Policy Objectsw lesie i domenie zawierającej obiekt zasad grupy (GPO), dla którego chcesz utworzyć kopię zapasową.
  2. Aby wykonać kopię zapasową pojedynczego obiektu zasad grupy, kliknij obiekt zasad grupy prawym przyciskiem myszy, a następnie kliknij polecenie Utwórz kopię zapasową. Aby wykonać kopię zapasową wszystkich obiektów zasad grupy w domenie, kliknij prawym przyciskiem myszy Group Policy Objectsi kliknij Back Up All.
  3. W oknie dialogowym Kopia zapasowa obiektu zasad grupy w polu Lokalizacja wprowadź ścieżkę do lokalizacji, w której chcesz przechowywać kopie zapasowe GPO, lub kliknij Przeglądaj, zlokalizuj folder, w którym chcesz przechowywać kopię zapasową GPO ( s), a następnie kliknij przycisk OK.
  4. W polu Opis wpisz opis obiektów GPO, dla których chcesz utworzyć kopię zapasową, a następnie kliknij przycisk OK Backup. Jeśli tworzysz kopię zapasową wielu obiektów zasad grupy, opis będzie dotyczył wszystkich obiektów zasad grupy, których kopie zapasowe utworzono.
  5. Po zakończeniu operacji kliknij przycisk OK.

Wspaniałą rzeczą w tworzeniu kopii zapasowych zasad grupy jest to, że ma wbudowaną kontrolę wersji. Oznacza to, że możesz skorzystać z tej procedury wiele razy i będzie ona śledzić zmiany między politykami. Następnie możesz przywrócić do określonej wersji zasad.

Można nawet skonfigurować zaplanowane zadanie do uruchamiania skryptu PowerShell, który używa polecenia Backup-GPO do automatyzacji tworzenia kopii zapasowych.

Nadal chcesz utworzyć kopię zapasową (przy użyciu konwencjonalnej metody tworzenia kopii zapasowej) folderu, w którym utworzono kopię zapasową obiektów zasad grupy.

HostBits
źródło
3

Przyszedłeś tutaj, szukając prostego skryptu PowerShell, który możesz dodać do Zaplanowanych zadań, aby wykonać kopię zapasową swoich obiektów GPO? Nie masz AGPM z pakietu MDOP?

Proszę bardzo.

Najpierw wykonuje rotacyjną codzienną kopię zapasową na dzień tygodnia. Będziesz musiał wcześniej utworzyć ścieżkę folderu dla każdego folderu (niedziela / poniedziałek / itp.) Nie korzystałem z nowego elementu, ponieważ doszedłem do wniosku, dlaczego radzić sobie z przedmiotem testowym i nowym przedmiotem za każdym razem, gdy są naprawdę statyczne foldery po dniu 1. Będziesz potrzebował modułów AD Powershell dostępnych na serwerze, na którym je uruchomisz.

# GPOBackupScriptDayOfWeek.PS1
# This script Backup all GPOs and save it to a folder based on the day of the week
# It runs as an automated task on SERVER and we keep a one week rotation on disk


Import-Module grouppolicy 
$date = get-date
$dayofweek = $date.DayofWeek
#Remove current backup from the folder (to alleviate space issues down the road since it won't overwrite each time)
Remove-Item \\SERVER\GPO_Backup\$dayofweek\* -Recurse -Force
#Backup current GPOs to the folder
Backup-Gpo -All -Path \\SERVER\GPO_Backup\$dayofweek

To samo tutaj, ale tym razem jest to miesięcznik. Ponownie utwórz foldery z wyprzedzeniem, np. W styczniu, lutym itp.

# GPOBackupScript.PS1
# This script Backup all GPOs and save it to a folder each month on the first of the month
# It runs as an automated task on SERVER and we keep a one year rotation

Import-Module grouppolicy 
$month = get-date -Format MMMM
#Remove current backup from the folder (to alleviate space issues down the road since it won't overwrite each time)
Remove-Item \\SERVER\GPO_Backup\$month\* -Recurse -Force
#Backup current GPOs to the folder
Backup-Gpo -All -Path \\SERVER\GPO_Backup\$month
TheCleaner
źródło