Gruppepolitik er et sæt regler eller indstillinger, i henhold til hvilke arbejdsmiljøet for modtagelse/transmission er konfigureret ( Windows , X-unix og andre operativsystemer med netværksunderstøttelse). Gruppepolitikker oprettes inden for et domæne og replikeres på tværs af domænet. Et gruppepolitikobjekt ( GPO ) består af to fysisk adskilte komponenter: en gruppepolitikbeholder ( GPC ) og en gruppepolitikskabelon ( GPT ) . Disse to komponenter indeholder alle data om indstillingerne af arbejdsmiljøet, som er inkluderet i GPO'en. Den gennemtænkte anvendelse af GPO'er på Active Directory- objekter giver dig mulighed for at skabe et effektivt og let administreret Windows -baseret computermiljø . Politikker anvendes fra top til bund i Active Directory- hierarkiet .
Som standard oprettes to gruppepolitikker i Active Directory-kataloghierarkiet: Standard domænepolitik (standard domænepolitik) og standard domænecontrollers politik (standard domænecontrollerpolitik). Den første er tildelt til domænet, og den anden er tildelt containeren, der inkluderer domænecontrolleren . Hvis du vil oprette din egen GPO, skal du have de nødvendige tilladelser. Som standard har grupperne Enterprise Administrators og Domain Administrators ret til at oprette nye GPO'er .
Når du arbejder med gruppepolitikker, skal du huske på, at:
Forestil dig, at en eller anden parameter (for eksempel logon-banner) er defineret i både politik P3 og politik P1. I dette tilfælde afviger værdien af parameteren angivet i politikken P3 fra værdien angivet i politikken P1. Hvilken værdi vil blive tildelt parameteren som et resultat af anvendelsen af begge disse politikker? I en sådan situation sættes objektparameteren til den værdi, der hentes fra den GPO, der er tættest på objektet. I den betragtede situation vil logon-bannerparameteren således blive tildelt den værdi, der er udtrukket fra P1-politikken.
Forestil dig, at politik P3 indeholder værdien af logon-bannerparameteren, mens politik P1 ikke definerer denne parameter. I dette tilfælde, hvis begge disse politikker gælder for objektet, vil den pågældende objektparameter blive tildelt værdien fra P3-politikken. Der er dog ikke defineret nogen politik for SA-beholderen. Dog vil logon-bannerparameteren for denne container blive indstillet til værdien fra P3-politikken. Desuden vil P3- og P1-politikkerne blive anvendt fuldt ud på denne beholder, da SA-beholderen vil arve disse politikker fra sine forældre.
Forestil dig, at politikkerne P4 og P5, som definerer værdierne af en lang række parametre, anvendes på Acct-beholderen. I computerkonfigurationssektionen i P4-politikken har medlemmer af den globale regnskabsgruppe lov til at oprette forbindelse lokalt til enhver computer i kontobeholderen såvel som i alle underbeholdere i denne beholder. Og i computerkonfigurationssektionen i P5-politikken tildeles der ingen rettigheder til regnskabsgruppen. På listen over politikker, der vises på siden Gruppepolitik i vinduet Domain Controller Properties, er P5-politikken helt øverst på listen, over P4-politikken. De politikker, der er angivet på denne liste, anvendes på objektet i rækkefølge fra bund til top. Med andre ord anvendes politikkerne nederst på listen først, efterfulgt af politikkerne øverst på listen. Når det overvejede sæt af politikker behandles i forhold til kontobeholderen, vil politik P4 således blive anvendt først, og derefter politik P5. Derfor, efter at have behandlet sættet af politikker, vil parameteren for lokale forbindelsesrettigheder indeholde værdien fra P5-politikken. Medlemmer af den globale regnskabsgruppe vil således ikke have ret til at oprette forbindelse lokalt til computerne i Acct-containeren og dens undercontainere. For at ændre rækkefølgen, som politikker behandles i, skal du bruge knapperne Op og Ned i nederste højre hjørne af fanen Gruppepolitik.
Windows 2000 giver dig mulighed for at blokere anvendelsen af visse sektioner af et GPO-objekt. Hvis politikken ikke anvendes fuldt ud på containeren, men kun delvist, reduceres den samlede tid, som brugeren opretter forbindelse til systemet. Jo færre GPO-indstillinger, der skal anvendes på et objekt, jo hurtigere behandles den tilsvarende politik. Du kan deaktivere behandlingen af nogle afsnit af politikken på en per-GPO-basis. For at gøre dette skal du følge disse trin:
Blokering af anvendelsen af en af politiksektionerne er konfigureret til en specifik GPO og gælder for alle containere, som denne GPO er tildelt.
Windows 2000 giver dig mulighed for at blokere politikarv fra et overordnet objekt. Hvis du f.eks. ønsker, at kun politikker, der er defineret på it-niveau, skal gælde for it-containeren og alle dens underbeholdere, skal du markere afkrydsningsfeltet Bloker politikarv på siden Gruppepolitik i it-objektets egenskaber. P1- og P3-politikker gælder dog ikke for IT-arbejdsstationer og IT-servere. Blokering af politikarv kan ikke deaktiveres for en enkelt politik. Hvis blokering af politikarv er aktiveret for en container, ophører absolut alle politikker, der er tildelt på højere niveauer i Active Directory-kataloghierarkiet, med at gælde for denne container og alle dens undercontainere. Denne indstilling kan konfigureres på en per-GPO-basis og gælder for alle containere, som denne GPO er tildelt. Hvis en GPO er indstillet til Ingen tilsidesættelse, vil indstillingerne fra den tilknyttede politik altid have forrang, når der opstår politikkonflikter, uanset hvilket niveau af hierarkiet, de containere, som GPO'en anvendes på, er placeret. For eksempel, hvis du åbner egenskabsvinduet for shinyapple.msft-domænet og markerer afkrydsningsfeltet Ingen tilsidesættelse for politik P1, vil objekter lavere i Active Directory-hierarkiet altid blive konfigureret i overensstemmelse med de værdier, der er angivet i politik P1. I tilfælde af en politikkonflikt vil værdierne fra P1 have forrang. Et godt eksempel på en situation, hvor du måske ønsker at bruge denne funktion, er, når du anvender sikkerhedsindstillinger. Hvis blokering af politikarv er aktiveret for en container, vil en politik, der har egenskaben Ingen tilsidesættelse, stadig blive anvendt, fordi indstillingen Ingen tilsidesættelse har højere prioritet.
Filtrering af anvendte politikker baseret på objektets sikkerhedsgruppemedlemskab er en anden metode til at ændre den måde, politikker normalt anvendes på Active Directory-objekter. Filtrering udføres ved hjælp af ACL'er (Access Control List). Hver GPO er tildelt en ACL. Oplysninger i GPO'ens ACL parses af sikkerhedssystemet, uanset hvilken container GPO'en gælder for. En politik anvendes kun på et objekt, hvis objektet har tilladelser til at læse og anvende gruppepolitik på den tilknyttede GPO. Hvis et objekt (bruger eller gruppe) ikke har tilladelsen Anvend gruppepolitik, anvendes gruppepolitikken ikke på det.
For at dokumentere i loggen den rækkefølge, som politikker og profiler anvendes i, skal du bruge registreringseditoren til at tilføje UserEnvDebugLevel-værdien af typen REG_DWORD til HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon-nøglen, som skal være 0x10002. Genstart derefter din computer. Politik- og profilapplikationsloggen vil blive skrevet til filen %SystemRoot%\Debug\Usermode\Userenv.log. Ud over de GPO'er, der findes i Active Directory , har hvert Windows 2000-system også en lokal politik. Den lokale politik definerer de indstillinger, som arbejdsstationen er konfigureret efter. Systemet anvender politikker i en bestemt rækkefølge. Den lokale politik anvendes først, derefter webstedspolitikken, derefter domænepolitikken og til sidst politikken for organisationsenhed. Den rækkefølge, som politikker anvendes i, er ofte angivet med en sekvens af tegn (L, S, D, OU). Hvis en lokal politik er i konflikt med en værts-, domæne- eller OU-beholderpolitik, taber den altid. Med andre ord, når man anvender politikker, har den lokale politik den laveste prioritet. Alle indstillinger, bortset fra scenarierne for systemstart/start og nedlukning/nedlukning af systemet, og softwareinstallation (enten tildelt eller offentliggjort), opdateres hvert 90. minut med en variabel offset på plus eller minus 30 minutter. Opdateringen initieres af gruppepolitikopdateringsmekanismen på klientsiden, som holder styr på, hvornår klienten sidst udførte en opdatering. I begyndelsen af opgraderingsprocessen sammenlignes versionsnumrene for alle aktive politikker med de lokale versionsnumre. Hvis de lokale og eksterne versionsnumre ikke stemmer overens, anvendes hele politikken igen. Ellers sker der ingen opdatering. Domænecontrollerpolitikker opdateres hvert femte minut.
Når du migrerer til Windows 2000 , vil du sandsynligvis have computere på dit netværk , der kører tidligere versioner af Windows . For effektivt at administrere et sådant netværk er det vigtigt at forstå, hvilke computere der vil blive påvirket af gruppepolitikken. Det følgende viser de operativsystemer, som gruppepolitik gælder for.
Windows NT -operativsystemet giver dig mulighed for at tildele hver bruger et script , der indeholder kommandoer , der skal udføres, når denne bruger opretter forbindelse til systemet . Typisk bruges forbindelsesscripts til initialt at opsætte en brugers arbejdsmiljø. Ud over forbindelsesscripts understøtter Windows 2000 også afbrydelsesscripts. Desuden kan du i det nye operativsystem til hver computer tildele scripts til at starte og lukke systemet ned. Windows Scripting Host ( WSH) scripting runtime understøtter udførelse af scripts skrevet på sprog som Visual Basic eller Jscript , der tillader direkte adgang til Windows API -funktioner . Lad os se på nogle af de muligheder, der er forbundet med at bruge scripts i Windows 2000 -miljøet .
Sådanne scripts understøttes nøjagtigt, som de var i Windows NT 4.0, og eksisterer primært for kompatibilitet med tidligere versioner af Windows . Windows 2000- og Windows NT 4.0 - klienter forsøger at finde sådanne scripts i serverens Netlogon- share . Hvis scriptet ikke kan findes, foretages søgningen i mappen %SystemRoot%\system32\Repl\lmport\Scripts (scriptplaceringen brugt i NT 4.0). Netlogon-sharet er placeret i SysVol-biblioteket (sysvol\domænenavn\scripts) og replikeres automatisk af FRS. NT 4.0 -operativsystemets scriptbiblioteksreplikering skal konfigureres manuelt.
Disse scenarier gælder for OU-beholdere. Med andre ord, for at tildele et tilslutnings- eller afbrydelsesscript til en bruger, skal du gøre brugeren til et medlem af OU-beholderen, der har den politik, som er defineret under hvilken forbindelses- eller afbrydelsesscriptet er tildelt. Denne metode er mere fleksibel. Hvis du migrerer dit netværk til at bruge Windows 2000, er der et par andre scripting-overvejelser, du også skal være opmærksom på. Mange netværk har computere, der kører tidligere versioner af Windows ud over Windows 2000-maskiner, så vi anbefaler at opgradere serveren, der indeholder NETLOGON-sharet sidst. Dette skyldes, at den replikeringstjeneste, der bruges i Windows 2000 (FRS), ikke er kompatibel med NT-replikeringstjenesterne. Når du opgraderer netværket, skal du således være sikker på, at absolut alle klienter har mulighed for at få adgang til Netlogon-mappen og forbindelsesscripts, uanset hvilket styresystem de bruger. Bemærk også, at på Windows NT kører forbindelsesscripts i brugerens sikkerhedskontekst. I Windows 2000 er dette kun delvist sandt. I Windows 2000 kører brugerrelaterede scripts (log ind og ud af systemet) også i brugerens sikkerhedskontekst, mens computerrelaterede scripts (systemstart og systemlukning) kører i sikkerhedskonteksten lokalsystem.
Muligheden for at administrere GPO'er kan delegeres til andre ansvarlige personer. Delegering sker ved hjælp af ACL'er. GPO ACL'er giver dig mulighed for at tildele tilladelser til den GPO for at ændre den GPO eller tildele en GPO til en container. Således kan du forhindre oprettelsen af uautoriserede GPO'er. For eksempel kan oprettelsen og ændringen af GPO'er overlades til Domain Admins-gruppen, mens tildelingen af disse GPO'er kan udføres af administratorer af individuelle OU-beholdere. OU-beholderadministratoren kan vælge den mest passende GPO og anvende denne GPO på enhver af OU'erne under hans kontrol. Det vil dog ikke være i stand til at ændre indholdet af denne GPO eller oprette en ny GPO.
Gruppepolitik giver dig mulighed for at omdirigere nogle brugermapper, så når du får adgang til dem, får brugeren faktisk adgang til netværksmapper eller bestemte steder på det lokale filsystem. Sættet af mapper, der kan omdirigeres på denne måde inkluderer:
Mekanismen til omdirigering af brugermapper er en del af IntelliMirror- teknologien , hvis formål er at give adgang til arbejdsfiler og konfigurationsoplysninger, uanset hvilken arbejdsstation brugeren bruger til at arbejde med. Som et resultat sikrer Intellimirror-teknologien sikkerheden af brugerfiler og konfigurationsdata i tilfælde af, at brugerens arbejdsstation svigter. Omdirigering af mappen er konfigureret i afsnittet Brugerkonfiguration Windows-indstillinger mappeomdirigering i gruppepolitikobjektet. Dette afsnit viser alle tidligere listede mapper. For at omdirigere en af disse mapper til en ny placering skal du højreklikke på dens navn og vælge Egenskaber i menuen, der vises.
På fanen Mål kan du vælge mellem tre muligheder for tilpasset mappeomdirigering.