V tem recenzijskem članku bom poskušal analizirati tipične razloge, zakaj skupinske politike ni mogoče uporabiti za organizacijsko enoto (OU) ali določen računalnik / uporabnika. Mislim, da bo ta članek koristen za začetnike in strokovnjake za skupino AD Group, da razumejo, kako delujejo in arhitekturo GPO. Najprej bom v članku govoril o možnih težavah uporabe GPO-jev, povezanih z nastavitvami samih pravilnikov na ravni domene, in ne o problematiki uporabe GPO-jev na odjemalcih. Skoraj vse nastavitve, opisane v članku, se izvajajo na konzoli urejevalnika domen skupinske politike - konzola za upravljanje skupinskih pravilnikov (GPMC.msc).
Vsebina:
- Obseg GPO
- GPO varnostni filter
- WMI GPO filtri
- Status skupinske politike
- Delegacija GPO
- Dedovanje skupinske politike
- Izvajanje področja uporabe in skupinske politike (LSDOU)
- Povezava GPO je omogočena
- Zaklep skupinske politike
- Stranka GPO diagnostika
Obseg GPO
Če določena nastavitev pravilnika ni uporabljena za stranko, preverite obseg skupinske politike. Če v razdelku nastavljate parameter Konfiguracija računalnika (Konfiguracija računalnika), potem mora biti vaša skupinska politika povezana z OU z računalniki. V skladu s tem, če se nastavljivi parameter nanaša na Uporabniška konfiguracija (Uporabniška konfiguracija).
Preverite tudi, ali je predmet, za katerega poskušate uporabiti pravilnik, v ustrezni OU z računalniki ali uporabniki. Iskanje lahko uporabite po domeni. OU, v katerem se nahaja objekt, se nahaja na zavihku Objekt v konzoli ADUC.
To pomeni, da mora biti cilj lociran v OU, ki mu je pravilnik dodeljen (ali v ugnezdenem vsebniku).
GPO varnostni filter
Preverite vrednost varnostnega filtra pravilnika (Varnostno filtriranje) Privzeto imajo vsi novi GPO v domeni dovoljenja za »Pooblaščeni uporabniki". V to skupino spadajo vsi uporabniki in računalniki domene. To pomeni, da bo ta pravilnik veljal za vse uporabnike in osebne računalnike, ki spadajo v njegovo področje uporabe..
Če se odločite za spremembo tega varnostnega filtra, tako da se pravilnik uporablja samo za člane določene varnostne skupine domen (ali določene uporabnike / računalnike), tako da izbrišete skupino Potrjenih uporabnikov, poskrbite, da je ciljni objekt (uporabnik ali računalnik) dodan tej skupini AD. Preverite tudi, da za skupino, ki ste jo dodali v Varnostno filtriranje na zavihku GPO -> Delegacija -> Napredno, seznam dovoljenj vsebuje pravice Preberi in Uporabi pravilnik skupine z avtoriteto Prijavite se.
Če uporabljate nestandardne varnostne filtre politike, preverite, ali ni izrecne prepovedi uporabe GPO-jev za ciljne skupine (zavrni).
WMI GPO filtri
V skupinskih pravilnikih lahko uporabite posebne filtre WMI. To vam omogoča, da pravilnik uporabite za računalnike na podlagi neke zahteve po WMI. Na primer, lahko ustvarimo filter WMI GPO, da pravilnik uporabimo samo za računalnike z določeno različico sistema Windows, za osebni računalnik v določeni podomreži IP, samo za prenosnike itd..
Pri uporabi filtrov skupinskih pravilnikov WMI morate preveriti pravilnost zahteve WMI, ki izbere samo tiste sisteme, ki jih potrebujete, in ciljni računalnik ni izključen. WMI filter lahko na računalnikih preizkusite prek PowerShell-a
gwmi -Query 'izberite * iz sistema Win32_OperatingSystem, kjer sta različica, kot sta "10.%" in ProductType = "1"'
Če zahteva vrne kakršne koli podatke, bo na ta računalnik uporabljen filter WMI.
Status skupinske politike
Preverite stanje skupinske politike tako, da odprete kartico GPMC.msc v lastnostih na kartici pravilnikov Podrobnosti. Bodite pozorni na vrednost na terenu Status GPO.
Kot vidite, so na voljo 4 možnosti:
- Vse nastavitve so onemogočene - vse nastavitve pravilnika so onemogočene (ni uporabno);
- Nastavitve konfiguracije računalnika so onemogočene - nastavitve iz GPO nastavitev računalnika se ne uporabijo;
- Uporabniške nastavitve konfiguracije onemogočene - nastavitve pravilnika po meri se ne uporabljajo;
- Omogočeno - vse nastavitve pravilnika veljajo za cilje AD (privzeta vrednost).
Delegacija GPO
Na zavihku pravilnik Delegacija Navedena so dovoljenja, ki so konfigurirana za to skupinsko politiko. Tu lahko vidite, katere skupine imajo pravico do sprememb nastavitev GPO, pa tudi za omogočanje ali onemogočanje uporabe pravilnika. Pravice za upravljanje GPO lahko podelite s te konzole ali s pomočjo čarovnika za prenos v ADUC. Poleg tega prisotnost dostopnega niza za krmilnike domen Enterprise določa sposobnost ponovitve tega pravilnika med krmilniki domen Active Directory (to je treba upoštevati, če obstajajo težave pri podvajanju pravilnikov med DC-ji). Upoštevajte, da pravice na zavihku Delegacija ustrezajo pravicam NTFS, dodeljenim imeniku pravilnikov v mapi SYSVOL
Dedovanje skupinske politike
Dedovanje je eden temeljnih konceptov skupinskih politik. Pravilniki najvišje ravni privzeto veljajo za vse ugnezdene predmete v hierarhiji domene. Vendar pa lahko skrbnik blokira uporabo vseh podedovanih pravilnikov v določenem OU. Če želite to narediti, v konzoli GPMC na OU kliknite RMB in izberite postavko v meniju Bločno dedovanje.
Organizacijske enote z dedovanjem onemogočenih pravilnikov se na konzoli pojavijo z modrim klicajem.
Če se pravilnik ne uporablja za stranko, preverite, ali je v OU z dedovanjem onemogočen.
Upoštevajte, da pravilniki o domenah, za katere so lastnosti »Izvršeno", Velja celo za OU z onemogočenim dedovanjem (podedovani pravilniki, ki veljajo za vsebnik, so na voljo na zavihku Dedovanje skupinske politike).
Izvajanje področja uporabe in skupinske politike (LSDOU)
Če si želite zapomniti funkcije uporabe skupinskih pravilnikov v domeni, morate zapomniti kratico Lsdou. Ta kratica vam omogoča, da se spomnite vrstnega reda uporabe GPO:
- Lokalne računalniške politike (Lokalno) konfigurirana prek gpedit.msc (če je napačno konfigurirana, jih lahko ponastavite);
- Pravilniki skupine na ravni spletnega mesta (Spletna stran);
- Politike skupine na domeni (Domena);
- Politika skupin organizacijskih enot (Organizacijska enota).
Najnovejša prednost imajo nedavni politiki. I.e. če ste na ravni pravilnika o domeni omogočili določen parameter Windows, vendar je v ciljnem OU ta parameter onemogočen z drugim pravilnikom - to pomeni, da bo želeni parameter na odjemalcu onemogočen (zmagal bo najbližji pravilnik do predmeta v AD hierarhiji).
Pri uporabi parametra Prisilno GPO zmaga, pravilnik je višji v hierarhiji domen (na primer, ko je Forced omogočen v privzetem pravilniku domen, zmaga proti vsem drugim GPO).
Poleg tega lahko skrbnik spremeni vrstni red obdelovalnih pravilnikov (vrstni red povezav) v GPMC. Če želite to narediti, izberite OU in pojdite na zavihek Povezani predmeti skupinske politike. Seznam vsebuje seznam skupinskih proizvajalcev, ki veljajo za ta urad s prednostno nalogo. Politike se obdelujejo v obratnem vrstnem redu (od spodaj navzgor). To pomeni politika s Povezava 1 bo izveden zadnji. Prednost GPO lahko spremenite s puščicami v levem stolpcu, tako da ga premikate višje ali nižje na seznamu.
Povezava GPO je omogočena
Vsakemu GPO, ki je vezan na organizacijski vsebnik AD, lahko omogočite ali onemogočite komunikacijo (z uporabo pravilnika). Če želite to narediti, omogočite ali onemogočite možnost Komunikacija je omogočena (Povezava je omogočena) v meniju s pravilniki. Če je povezava s pravilnikom onemogočena, njegova ikona postane bleda. Ko je povezava prekinjena, pravilnik preneha veljati za odjemalce, vendar sklic na GPO ni odstranjen iz hierarhije. To povezavo lahko kadar koli aktivirate..
Zaklep skupinske politike
Ko je omogočeno Način izklopa skupinske politike (Način obdelave povratne zanke) lahko na računalnik uveljavite nastavitve, ki jih vsebuje oddelek GPO, z nastavitvami uporabnikov. Na primer, če v OU uporabite pravilnik z računalniki, v katerih so nastavljene nastavitve v razdelku Uporabniške nastavitve, ti pravilniki ne bodo uporabljeni za uporabnika brez uporabe zaprtja. Način obdelave povratne zanke je omogočen v nastavitvi računalnika -> skrbniške predloge -> sistem -> skupinska politika -> Konfigurirajte način obdelave povratnih pravil za skupino uporabnikov.
Ta politika ima dva možna pomena:
- Način združevanja - Združite skupinske skupine, ki temeljijo na lokaciji uporabnika, in nato GPO, vezane na računalnik. V primeru spora med politikami uporabnika OU uporabnika in OU računalnika bo politika v računalniku večja prednost. V tem načinu se politika izvaja dvakrat, na to si morate zapomniti; prijavne skripte.
- Način zamenjave (nadomestitev) - za uporabnika veljajo samo pravilniki, dodeljeni OU, ki vsebujejo računalnik, v katerega je uporabnik prijavljen..
Stranka GPO diagnostika
Z uporabo pripomočkov dnevnika dogodkov gpresult, rsop.msc in Windows lahko diagnosticirate uveljavljanje pravilnikov skupine na strani odjemalca. Ko uporabljate pregledovalnik dogodkov, morate filter uporabiti po virih GroupPolicy (Microsoft-Windows-GroupPolicy), kot tudi v dnevnikih aplikacij in storitev -> Microsoft -> Windows -> Group Policy -> Operative.
Prav tako lahko preberete članke, ki opisujejo načela diagnoze, če predolgo uporabljate politike za stranke.
Na koncu želim povedati, da morate čim bolj ohraniti strukturo skupinskih politik in ne ustvarjati nepotrebnih pravil. Uporabite eno samo shemo poimenovanja pravilnikov, ime GPO bi moralo nedvoumno razumeti, zakaj je potrebno.
