To jest kanoniczne pytanie dotyczące zasad grupy Active Directory
Co to są zasady grupy? Jak to działa i dlaczego powinienem go używać?
Uwaga: jest to pytanie i odpowiedź dla nowego administratora, który może nie być zaznajomiony z jego funkcjonowaniem i mocą.
windows
active-directory
group-policy
MDMarra
źródło
źródło
Odpowiedzi:
Co to są zasady grupy?
Zasady grupy to narzędzie dostępne dla administratorów korzystających z domeny Active Directory systemu Windows 2000 lub nowszej . Umożliwia scentralizowane zarządzanie ustawieniami na komputerach klienckich i serwerach przyłączonych do domeny, a także zapewnia podstawowy sposób dystrybucji oprogramowania.
Ustawienia są pogrupowane w obiekty zwane obiektami zasad grupy (GPO). GPO są połączone z jednostką organizacyjną Active Directory (OU) i mogą być stosowane do użytkowników i komputerów. Obiektów GPO nie można stosować bezpośrednio do grup, ale można użyć filtrowania zabezpieczeń lub kierowania na poziomie elementu do filtrowania aplikacji zasad na podstawie członkostwa w grupie.
Fajnie, co to może zrobić?
Byle co.
Poważnie, możesz robić wszystko, co chcesz użytkownikom lub komputerom w swojej domenie. Istnieją setki wstępnie zdefiniowanych ustawień, takich jak przekierowanie folderów, złożoność haseł, ustawienia zasilania, mapowania dysków, szyfrowanie dysków, Windows Update i tak dalej. Wszystko, czego nie można skonfigurować za pomocą wstępnie zdefiniowanego ustawienia, którym można sterować za pomocą skryptów. Skrypty wsadowe i VBScript są obsługiwane na wszystkich obsługiwanych klientach, a skrypty PowerShell można uruchamiać na hostach z systemem Windows 7.
Jak stosowane są obiekty zasad grupy?
GPO są stosowane w przewidywalnej kolejności. Zasady lokalne są stosowane jako pierwsze. Istnieją zasady ustawione na komputerze lokalnym za pośrednictwem gpedit.msc. Zasady witryny są stosowane na drugim miejscu. Zasady domeny są stosowane jako trzecie, a zasady OU są stosowane jako czwarte. Jeśli obiekt jest zagnieżdżony w wielu jednostkach organizacyjnych, wówczas obiekty zasad grupy są najpierw stosowane w jednostkach organizacyjnych najbliższych katalogu głównego.
Należy pamiętać, że w przypadku konfliktu ostatnio zastosowany obiekt GPO „wygrywa”. Oznacza to na przykład, że zasada połączona w jednostce organizacyjnej, w której znajduje się komputer, wygra, jeśli wystąpi konflikt między ustawieniem w tym obiekcie zasad grupy a ustawieniem połączonym w nadrzędnej jednostce organizacyjnej.
Skrypty logowania i uruchamiania wydają się fajne, jak one działają?
Skrypt logowania lub skrypt startowy może istnieć w dowolnym udziale sieciowym, o ile grupy
Domain Users
iDomain Computers
mają dostęp do odczytu udziału, w którym się znajdują. Tradycyjnie przebywają w nich\\domain.tld\sysvol
, ale nie jest to wymagane.Skrypty startowe są uruchamiane podczas uruchamiania komputera. Są one uruchamiane jako konto SYSTEM na komputerze lokalnym. Oznacza to, że uzyskują dostęp do zasobów sieciowych jako konto komputera. Na przykład, jeśli chcesz skryptu startowego, aby mieć dostęp do zasobów sieciowych w udziale że ma UNC of
\\server01\share1
a nazwa komputera toWORKSTATION01
trzeba by upewnić się, żeWORKSTATION01$
miał dostęp do tego udziału. Ponieważ ten skrypt jest uruchamiany jako system, może wykonywać takie czynności, jak instalowanie oprogramowania, modyfikowanie uprzywilejowanych sekcji rejestru i modyfikowanie większości plików na komputerze lokalnym.Skrypty logowania są uruchamiane w kontekście bezpieczeństwa lokalnie zalogowanego użytkownika. Mamy nadzieję, że użytkownicy nie są administratorami, więc oznacza to, że nie będzie można ich używać do instalowania oprogramowania ani modyfikowania chronionych ustawień rejestru.
Skrypty logowania i uruchamiania były podstawą systemu Windows 2003 i wcześniejszych domen, ale ich przydatność została zmniejszona w późniejszych wersjach systemu Windows Server. Preferencje zasad grupy dają administratorom znacznie lepszy sposób obsługi mapowań napędów i drukarek, skrótów, plików, wpisów rejestru, członkostwa w grupach lokalnych i wielu innych rzeczy, które można wykonać tylko za pomocą skryptu uruchamiania lub logowania. Jeśli myślisz, że może być konieczne użycie skryptu do prostego zadania, prawdopodobnie istnieje w nim zasada grupy lub preferencja. Obecnie w domenach z klientami Windows 7 (lub nowszymi) tylko złożone zadania wymagają skryptów uruchamiania lub logowania.
Znalazłem fajny obiekt GPO, ale dotyczy on użytkowników, chcę, aby dotyczył komputerów!
Tak, wiem. Byłem tam. Jest to szczególnie rozpowszechnione w laboratoriach akademickich lub w innych scenariuszach współużytkowanych komputerów, gdzie chcesz, aby niektóre zasady użytkownika dotyczące drukarek lub podobnych zasobów były oparte na komputerze, a nie na użytkowniku. Zgadnij co, masz szczęście! Chcesz włączyć ustawienie obiektu zasad grupy dla trybu sprzężenia zwrotnego zasad grupy .
Nie ma za co.
Powiedziałeś, że mogę tego użyć do zainstalowania oprogramowania, prawda?
Tak, możesz. Istnieją jednak pewne zastrzeżenia. Oprogramowanie musi być w formacie MSI , a wszelkie modyfikacje muszą być w pliku MST . Możesz zrobić MST z oprogramowaniem takim jak ORCA lub dowolnym innym edytorem MSI. Jeśli nie dokonasz transformacji, wynik końcowy będzie taki sam, jak uruchomienie
msiexec /i <path to software> /q
Oprogramowanie jest instalowane tylko podczas uruchamiania, więc nie jest to bardzo szybki sposób dystrybucji oprogramowania, ale jest bezpłatny. W niskobudżetowym środowisku laboratoryjnym wykonałem zaplanowane zadanie (przez GPO), które uruchomi ponownie każdy komputer laboratoryjny o północy z losowym 30-minutowym przesunięciem. Zapewni to, że oprogramowanie będzie maksymalnie nieaktualne w tych laboratoriach. Mimo to preferowane jest oprogramowanie takie jak SCCM , LANDesk , Altaris lub cokolwiek innego, co może „wypychać” oprogramowanie na żądanie.
Jak często jest stosowany?
Klienci odświeżają swoje obiekty zasad grupy co 90 minut z 30-minutową randomizacją. Oznacza to, że domyślnie może trwać do 120 minut. Ponadto niektóre ustawienia, takie jak odwzorowania dysków, przekierowanie folderów i preferencje plików, są stosowane tylko podczas uruchamiania lub logowania. Zasady grupy są przeznaczone do długoterminowego zarządzania planowego, a nie do natychmiastowych szybkich napraw.
Kontrolery domeny odświeżają swoje zasady co pięć minut.
źródło
Szybka uwaga na temat preferencji zasad grupy: jeśli chcesz korzystać z tych ustawień, ale masz stacje robocze z systemem Windows XP SP2 lub Windows XP SP3, najpierw trzeba będzie zainstalować rozszerzenia preferencji zasad grupy po stronie klienta dla systemu Windows XP (KB943729) .
Computers Container vs. Computers OU
W
Computers container
katalogu głównym domeny w usłudze Active Directory (AD) istnieje wartość domyślna , często mylona z jednostką organizacyjną usługi Active Directory (OU). To jest faktycznieContainer
i NIE jestOU
. Ponieważ tak naprawdę nie jest to jednostka organizacyjna, zasady grupy nie mają zastosowania do obiektów w tym kontenerze. Wyjątkami od tej reguły są zasady grupy stosowane wdomain level
. Będą to jedyne zasady stosowane do obiektów wComputers container
.Domyślnie obiekty komputerowe przyłączone do domeny, które nie są wstępnie ustawione, przechodzą do
Computers container
.Jeśli więc zastanawiasz się, dlaczego Twoje zasady nie mają zastosowania, sprawdź, czy przedmiotowy obiekt znajduje się we właściwej lokalizacji w AD.
Tworzenie kopii zapasowych obiektów zasad grupy
Możesz utworzyć kopię zapasową obiektów zasad grupy za pomocą konsoli zarządzania zasadami grupy (GPMC).
Group Policy Objects
w lesie i domenie zawierającej obiekt zasad grupy (GPO), dla którego chcesz utworzyć kopię zapasową.Group Policy Objects
i kliknijBack Up All
.Backup
. Jeśli tworzysz kopię zapasową wielu obiektów zasad grupy, opis będzie dotyczył wszystkich obiektów zasad grupy, których kopie zapasowe utworzono.Wspaniałą rzeczą w tworzeniu kopii zapasowych zasad grupy jest to, że ma wbudowaną kontrolę wersji. Oznacza to, że możesz skorzystać z tej procedury wiele razy i będzie ona śledzić zmiany między politykami. Następnie możesz przywrócić do określonej wersji zasad.
Można nawet skonfigurować zaplanowane zadanie do uruchamiania skryptu PowerShell, który używa polecenia Backup-GPO do automatyzacji tworzenia kopii zapasowych.
Nadal chcesz utworzyć kopię zapasową (przy użyciu konwencjonalnej metody tworzenia kopii zapasowej) folderu, w którym utworzono kopię zapasową obiektów zasad grupy.
źródło
Przyszedłeś tutaj, szukając prostego skryptu PowerShell, który możesz dodać do Zaplanowanych zadań, aby wykonać kopię zapasową swoich obiektów GPO? Nie masz AGPM z pakietu MDOP?
Proszę bardzo.
Najpierw wykonuje rotacyjną codzienną kopię zapasową na dzień tygodnia. Będziesz musiał wcześniej utworzyć ścieżkę folderu dla każdego folderu (niedziela / poniedziałek / itp.) Nie korzystałem z nowego elementu, ponieważ doszedłem do wniosku, dlaczego radzić sobie z przedmiotem testowym i nowym przedmiotem za każdym razem, gdy są naprawdę statyczne foldery po dniu 1. Będziesz potrzebował modułów AD Powershell dostępnych na serwerze, na którym je uruchomisz.
To samo tutaj, ale tym razem jest to miesięcznik. Ponownie utwórz foldery z wyprzedzeniem, np. W styczniu, lutym itp.
źródło