Articles

Ryhmäkäytäntöjen hallinta

On 20 marraskuun, 2021 by

Ryhmäkäytäntö on Windowsin Active Directory -hallintatekniikka, joka tarjoaa kokoonpanoasetusten keskitettyä hallintaa. Vaikka se ei ole ainoa käytettävissä oleva hallintaratkaisu – myös PowerShell Desired State Configuration (DSC) ja Mobile Device Management (MDM) -ratkaisuja voidaan käyttää – Ryhmäkäytäntö on suositeltava tekniikka toimialueeseen liitetyille asiakaslaitteille, koska se tarjoaa muita ratkaisuja yksityiskohtaisemman hallinnan.

Ryhmäkäytäntöjen hallintakonsoli

Ryhmäkäytäntöjen asetukset konfiguroidaan ryhmäkäytäntöobjekteissa (Group Policy Objects, GPOs). Voit yhdistää GPO:t toimialueisiin, sivustoihin ja organisaatioyksiköihin (OU). Vielä paremman hallinnan saamiseksi GPO:ta voidaan soveltaa Windows Management Instrumentation (WMI) -suodattimien tulosten mukaan, vaikka WMI-suodattimia tulisi käyttää säästeliäästi, koska ne voivat lisätä käytäntöjen käsittelyaikaa merkittävästi.

Ryhmäkäytäntöjen hallintakonsoli (Group Policy Management Console, GPMC) on sisäänrakennettu Windows-hallintatyökalu, jonka avulla järjestelmänvalvojat voivat hallita ryhmäkäytäntöjä Active Directory -metsässä ja hankkia tietoja ryhmäkäytäntöjen vianmääritystä varten. Ryhmäkäytäntöjen hallintakonsoli löytyy Microsoft Windows Server Managerin Työkalut-valikosta. Ei ole paras käytäntö käyttää toimialueen ohjaimia jokapäiväisiin hallintatehtäviin, joten sinun on asennettava Windows-versiosi Remote Server Administration Tools (RSAT).

Ryhmäkäytäntöjen hallintakonsolin asentaminen

Jos käytät Windows 10:n versiota 1809 tai uudempaa versiota, voit asentaa GPMC:n Asetukset-sovelluksen avulla:

  1. Avaa Asetukset-sovellus painamalla WIN+I.
  2. Klikkaa Sovellukset kohdassa Windows-asetukset.
  3. Klikkaa Valinnaisten ominaisuuksien hallinta.
  4. Klikkaa + Lisää ominaisuus.
  5. Klikkaa RSAT: Ryhmäkäytäntöjen hallintatyökalut ja napsauta sitten Asenna.

Kuva 1. Ryhmäkäytäntöjen hallintakonsolin asentaminen Asetussovelluksen käyttöliittymän avulla

Jos käytät vanhempaa Windows-versiota, sinun on ladattava oikea RSAT-versio Microsoftin verkkosivuilta.

Mukavuuden vuoksi saatat haluta asentaa myös Server Managerin. Mutta jos et halua, voit lisätä GPMC:n Microsoft Management Consoleen (MMC) ja tallentaa konsolin.

Ryhmäkäytäntöjen hallintakonsolin käyttäminen

Kullakin AD-toimialalla on kaksi oletus-GPO:ta:

  • Toimialueen oletuskäytäntö, joka on linkitetty toimialueeseen
  • Toimialueen valvojien oletuskäytäntö, joka on linkitetty toimialueen valvojan OU:hun

Näethän kaikki toimialueen GPO:t napsauttamalla Ryhmäkäytäntöjen objektien (Group Policy Objects) konttoria GPMC:n vasemmanpuoleisessa ikkunassa.

Kuva 2. Ryhmäkäytäntöjen hallintakonsolin käyttöliittymä

Luo uusi ryhmäkäytäntöobjekti

Älä muuta Default Domain Controllers -käytäntöä tai Default Domain -käytäntöä. Paras tapa lisätä omia asetuksia on luoda uusi GPO-objekti. Uuden GPO:n luomiseen on kaksi tapaa:

  • Klikkaa hiiren kakkospainikkeella toimialuetta, sivustoa tai OU:ta, johon haluat linkittää uuden GPO:n, ja valitse Luo GPO tässä toimialueessa ja linkitä se tähän… Kun tallennat uuden GPO:n, se linkitetään ja otetaan käyttöön välittömästi.
  • Klikkaa hiiren kakkospainikkeella Ryhmäkäytäntöobjektien säiliötä ja valitse valikosta Uusi. Uusi GPO on linkitettävä manuaalisesti napsauttamalla hiiren kakkospainikkeella toimialuetta, sivustoa tai OU:ta ja valitsemalla Linkitä olemassa oleva GPO. Voit tehdä tämän milloin tahansa.

Luot uuden GPO:n luomistavasta riippumatta Uusi GPO -valintaikkunassa sinun on annettava GPO:lle nimi, ja voit valita sen perustaksi olemassa olevan GPO:n. Lisätietoja muista vaihtoehdoista on seuraavassa kappaleessa.

Ryhmäkäytäntöobjektin muokkaaminen

Voit muokata GPO:ta napsauttamalla sitä hiiren kakkospainikkeella GPMC:ssä ja valitsemalla valikosta Muokkaa. Active Directoryn ryhmäkäytäntöjen hallintaeditori avautuu erilliseen ikkunaan.

Kuva 3. Ryhmäkäytäntöjen hallintaeditorin käyttöliittymä

GPO:t jaetaan tietokone- ja käyttäjäasetuksiin. Tietokoneasetuksia sovelletaan, kun Windows käynnistetään, ja käyttäjäasetuksia sovelletaan, kun käyttäjä kirjautuu sisään. Ryhmäkäytäntöjen taustakäsittely soveltaa asetuksia määräajoin, jos GPO:ssa havaitaan muutos.

Käytännöt vs. asetukset

Käyttäjä- ja tietokoneasetukset jaetaan edelleen käytänteisiin ja asetuksiin:

  • Käytännöt eivät tatuoi rekisteriä – kun GPO:n asetusta muutetaan tai GPO poistuu soveltamisalan ulkopuolelta, käytänteisiin liittyvä asetus poistuu, ja sen tilalle otetaan käyttöön alkuperäinen arvo. Käytäntöasetukset ovat aina sovelluksen määritysasetusten yläpuolella, ja ne näkyvät harmaina, jotta käyttäjät eivät voi muuttaa niitä.
  • Asetukset tatuoivat rekisterin oletusarvoisesti, mutta tämä käyttäytyminen on määritettävissä kullekin asetusasetukselle. Etusija-asetukset korvaavat sovelluksen määritysasetukset, mutta sallivat aina käyttäjien muuttaa määrityskohteita. Monet Ryhmäkäytännön asetusten määritettävissä olevista kohteista ovat sellaisia, jotka on saatettu määrittää aiemmin kirjautumisskriptin avulla, kuten asemien yhdistämiset ja tulostimien määritykset.

Voit laajentaa käytäntöjä tai asetuksia määrittääksesi niiden asetukset. Näitä asetuksia sovelletaan sitten tietokone- ja käyttäjäobjekteihin, jotka kuuluvat GPO:n toimialueeseen. Jos esimerkiksi linkität uuden GPO:n toimialueen ohjaimen OU:hun, asetuksia sovelletaan tietokone- ja käyttäjäobjekteihin, jotka sijaitsevat kyseisessä OU:ssa ja mahdollisissa tytär-OU:ssa. Voit estää vanhemmiin objekteihin linkitettyjen GPO:iden soveltamisen lapsiobjekteihin estämällä sivuston, toimialueen tai OU:n periytymisen esto -asetuksella. Voit myös asettaa yksittäisille GPO:ille Enforced-lipputulon, joka ohittaa Block Inheritance -asetuksen ja kaikki GPO:iden määrityskohteet, joilla on korkeampi etusija.

GPO:n etusija

Monia GPO:ita voidaan linkittää toimialueisiin (domain), sivustoihin (sites) ja OU:hin (OUs). Kun napsautat jotakin näistä kohteista GPMC:ssä, linkitettyjen GPO:iden luettelo ilmestyy oikealle Linked Group Policy Objects -välilehdelle. Jos linkitettyjä GPO:ita on useampi kuin yksi, GPO:t, joilla on korkeampi linkitysjärjestysnumero, ovat etusijalla asetuksiin nähden, jotka on määritetty GPO:issa, joilla on matalampi järjestysnumero.

Voit muuttaa linkitysjärjestysnumeroa napsauttamalla GPO:ta ja siirtämällä sitä vasemmalla olevilla nuolinäppäimillä ylös tai alas. Ryhmäkäytäntöjen periytyminen -välilehdellä näkyvät kaikki sovelletut GPO:t, mukaan lukien vanhemmilta objekteilta perityt.

Kuva 4. Ryhmäkäytäntöjen periytyminen. Kaikkien sovellettujen GPO:iden tiedot GPMC:ssä

Edistynyt ryhmäkäytäntöjen hallinta

Edistynyt ryhmäkäytäntöjen hallinta (AGPM, Advanced Group Policy Management) on saatavana osana Microsoft Desktop Optimization Packia (MDOP, Microsoft Desktop Optimization Pack) Software Assurance -asiakkaille. Toisin kuin GPMC, AGPM on asiakas/palvelinsovellus, jossa palvelinkomponentti tallentaa GPO:t offline-tilassa, mukaan lukien kunkin GPO:n historia. AGPM:n hallinnoimia GPO:ita kutsutaan valvotuiksi GPO:iksi, koska AGPM-palvelu hallinnoi niitä, ja järjestelmänvalvojat voivat tarkastaa niitä sisään ja ulos, aivan kuten tiedostoja tai koodia voi tarkastaa sisään ja ulos GitHubista tai asiakirjahallintajärjestelmästä.

AGPM:n avulla GPO:ita voidaan valvoa paremmin kuin GPMC:n avulla. Sen lisäksi, että se tarjoaa versionhallinnan, sen avulla voit määrittää ryhmäkäytäntöjen ylläpitäjille rooleja, kuten Reviewer (Tarkastaja), Editor (Muokkaaja) ja Approver (Hyväksyjä), mikä auttaa sinua toteuttamaan tiukan muutoksenhallinnan koko GPO:n elinkaaren ajan. AGPM-tarkastus antaa myös paremman käsityksen ryhmäkäytäntöjen muutoksista.

Hallinta- ja tietoturvateknologioihin erikoistunut IT-konsultti ja kirjoittaja. Russellilla on yli 15 vuoden kokemus IT-alalta, hän on kirjoittanut kirjan Windowsin tietoturvasta ja ollut mukana kirjoittamassa tekstiä Microsoftin viralliseen akateemiseen kurssisarjaan (MOAC).

Vastaa

Sähköpostiosoitettasi ei julkaista.