Styring af gruppepolitik
On november 20, 2021 by adminGruppepolitik er en Active Directory-styringsteknologi til Windows, der giver centraliseret styring af konfigurationsindstillinger. Selv om det ikke er den eneste tilgængelige administrationsløsning – PowerShell Desired State Configuration (DSC) og Mobile Device Management (MDM) kan også bruges – er gruppepolitik den anbefalede teknologi til domænetilsluttede klientenheder, fordi den giver mere granulær kontrol end andre løsninger.
Group Policy Management Console
Gruppepolitikindstillinger konfigureres i gruppepolitikobjekter (GPO’er). Du kan knytte GPO’er til domæner, steder og organisatoriske enheder (OU’er). For at få endnu mere kontrol kan GPO’er anvendes i henhold til resultaterne af WMI-filtre (Windows Management Instrumentation), selv om WMI-filtre bør bruges sparsomt, da de kan øge politikbehandlingstiden betydeligt.
Gruppepolitikhåndteringskonsollen (GPMC) er et indbygget Windows-administrationsværktøj, der gør det muligt for administratorer at administrere gruppepolitikken i en Active Directory-skov og indhente data til fejlfinding af gruppepolitikken. Du kan finde Group Policy Management Console i menuen Værktøjer i Microsoft Windows Server Manager. Det er ikke en god praksis at bruge domænecontrollere til daglige administrationsopgaver, så du bør installere RSAT (Remote Server Administration Tools) for din version af Windows.
Installation af Group Policy Management Console
Hvis du bruger Windows 10 version 1809 eller nyere, kan du installere GPMC ved hjælp af appen Indstillinger:
- Åbn appen Indstillinger ved at trykke på WIN+I.
- Klik på Apps under Windows-indstillinger.
- Klik på Administrer valgfrie funktioner.
- Klik på + Tilføj en funktion.
- Klik på RSAT: Group Policy Management Tools, og klik derefter på Install.
Figur 1. Installation af konsollen til administration af gruppepolitik ved hjælp af grænsefladen Setting app
Hvis du bruger en ældre version af Windows, skal du downloade den rigtige version af RSAT fra Microsofts websted.
For nemheds skyld vil du måske også installere Server Manager. Men hvis du vælger ikke at gøre det, kan du tilføje GPMC til en Microsoft Management Console (MMC) og gemme konsollen.
Brug af Group Policy Management Console
Hvert AD-domæne har to standard-GPO’er:
- Standarddomænepolitik, som er knyttet til domænet
- Standardpolitik for domænecontrollere, som er knyttet til domænecontrollerens OU
Du kan se alle GPO’er i et domæne ved at klikke på beholderen Group Policy Objects i den venstre rude i GPMC.
Figur 2. Grænseflade for konsollen til administration af gruppepolitikker
Opret et nyt gruppepolitikobjekt
Det er ikke nødvendigt at ændre hverken politikken for standarddomænecontrollere eller standarddomænepolitikken. Den bedste måde at tilføje dine egne indstillinger på er ved at oprette et nyt GPO. Der er to måder at oprette et nyt GPO på:
- Højreklik på det domæne, sted eller OU, som du vil knytte det nye GPO til, og vælg Opret et GPO i dette domæne, og knyt det her… Når du gemmer det nye GPO, vil det blive knyttet og aktiveret med det samme.
- Højreklik på beholderen Gruppepolitikobjekter, og vælg Ny i menuen. Du skal manuelt tilknytte det nye GPO ved at højreklikke på et domæne, sted eller OU og vælge Tilknyt et eksisterende GPO. Det kan du gøre når som helst.
Uanset hvordan du opretter et nyt GPO, skal du i dialogboksen Nyt GPO give GPO et navn til GPO’et, og du kan vælge at basere det på et eksisterende GPO. Se næste afsnit for oplysninger om de andre muligheder.
Rediger et gruppepolitikobjekt
For at redigere et GPO skal du højreklikke på det i GPMC og vælge Rediger i menuen. Redaktøren til administration af gruppepolitikker i Active Directory åbnes i et separat vindue.
Figur 3. Grænseflade for redigeringsprogrammet til administration af gruppepolitikker
GPO’er er opdelt i computer- og brugerindstillinger. Computerindstillinger anvendes, når Windows starter, og brugerindstillinger anvendes, når en bruger logger på. Baggrundsbehandling af gruppepolitikker anvender indstillinger med jævne mellemrum, hvis der registreres en ændring i et GPO.
Politikker vs. præferencer
Bruger- og computerindstillinger opdeles yderligere i politikker og præferencer:
- Politikker tatoverer ikke registreringsdatabasen – når en indstilling i et GPO ændres, eller GPO’en falder uden for anvendelsesområdet, fjernes politikindstillingen, og den oprindelige værdi anvendes i stedet. Politikindstillinger har altid forrang for et programs konfigurationsindstillinger og vil blive gråtonet, så brugerne ikke kan ændre dem.
- Præferencer tatoverer som standard registret, men denne adfærd kan konfigureres for hver præferenceindstilling. Præferencer overskriver et programs konfigurationsindstillinger, men giver altid brugerne mulighed for at ændre konfigurationselementerne. Mange af de konfigurerbare elementer i gruppepolitikpræferencer er dem, der måske tidligere er blevet konfigureret ved hjælp af et login-script, f.eks. drevtilknytninger og printerkonfiguration.
Du kan udvide Politikker eller præferencer for at konfigurere deres indstillinger. Disse indstillinger vil derefter blive anvendt på computer- og brugerobjekter, der falder ind under GPO’ens anvendelsesområde. Hvis du f.eks. knytter dit nye gruppepolitikobjekt til domænecontrollerens OU, vil indstillingerne blive anvendt på computer- og brugerobjekter, der er placeret i denne OU og eventuelle underordnede OU’er. Du kan bruge indstillingen Bloker arvelighed på et sted, et domæne eller en organisationsenhed til at forhindre GPO’er, der er knyttet til overordnede objekter, i at blive anvendt på underordnede objekter. Du kan også indstille flaget Gennemført på individuelle GPO’er, som tilsidesætter indstillingen Bloker arvelighed og alle konfigurationselementer i GPO’er, der har højere prioritet.
GPO-præcedens
Multiple GPO’er kan være knyttet til domæner, steder og OU’er. Når du klikker på et af disse objekter i GPMC, vises en liste over linkede GPO’er til højre på fanen Linkede gruppepolitikobjekter. Hvis der er mere end ét knyttet GPO, har GPO’er med et højere linkordrenummer prioritet over indstillinger, der er konfigureret i GPO’er med et lavere nummer.
Du kan ændre linkordrenummeret ved at klikke på et GPO og bruge pilene til venstre til at flytte det op eller ned. Fanen Gruppepolitikarv viser alle anvendte GPO’er, herunder dem, der er arvet fra overordnede objekter.
Figur 4. Oplysninger om alle anvendte GPO’er i GPMC
Advanced Group Policy Management
Advanced Group Policy Management (AGPM) er tilgængelig som en del af Microsoft Desktop Optimization Pack (MDOP) for Software Assurance-kunder. I modsætning til GPMC er AGPM et klient/server-program, hvor serverkomponenten gemmer GPO’er offline, herunder en historik for hver GPO. GPO’er, der administreres af AGPM, kaldes kontrollerede GPO’er, fordi de administreres af AGPM-tjenesten, og administratorer kan tjekke dem ind og ud, ligesom man kan tjekke filer eller kode ind og ud af GitHub eller et dokumenthåndteringssystem.
AGPM giver større kontrol over GPO’er, end det er muligt med GPMC. Ud over at give versionskontrol giver det dig mulighed for at tildele roller som Reviewer, Editor og Approver til Group Policy-administratorer, hvilket hjælper dig med at implementere streng ændringskontrol gennem hele GPO-livscyklussen. AGPM-auditering giver også større indsigt i gruppepolitikændringer.
Skriv et svar