A csoportházirend kezelése
On november 20, 2021 by adminA csoportházirend a Windows Active Directory-kezelési technológiája, amely a konfigurációs beállítások központosított kezelését biztosítja. Bár nem ez az egyetlen elérhető kezelési megoldás – a PowerShell Desired State Configuration (DSC) és a Mobile Device Management (MDM) is használható -, a csoportházirend az ajánlott technológia a tartományhoz kapcsolt ügyféleszközökhöz, mivel más megoldásoknál részletesebb ellenőrzést biztosít.
Group Policy Management Console
A csoportházirend beállításait csoportházirend-objektumokban (GPO-k) konfigurálják. A GPO-kat tartományokhoz, helyekhez és szervezeti egységekhez (OU-k) kötheti. A még nagyobb ellenőrzés érdekében a GPO-k a Windows Management Instrumentation (WMI) szűrőinek eredményei alapján is alkalmazhatók, bár a WMI-szűrőket takarékosan kell használni, mert jelentősen megnövelhetik a házirend feldolgozási idejét.
A Csoportházirend-kezelő konzol (GPMC) a Windows beépített felügyeleti eszköze, amely lehetővé teszi a rendszergazdák számára a csoportházirend kezelését egy Active Directory-erdőben, valamint a csoportházirend hibaelhárításához szükséges adatok beszerzését. A Csoportházirend-kezelő konzol a Microsoft Windows Server Manager Eszközök menüjében található. Nem a legjobb gyakorlat a tartományvezérlők használata a mindennapi kezelési feladatokhoz, ezért telepítse a Windows verziójához tartozó Távoli kiszolgálófelügyeleti eszközöket (RSAT).
A Csoportházirend-kezelő konzol telepítése
Ha a Windows 10 1809-es vagy újabb verzióját használja, a GPMC-t a Beállítások alkalmazás segítségével telepítheti:
- Nyissa meg a Beállítások alkalmazást a WIN+I billentyűkombinációval.
- Kattintson a Windows beállítások alatt az Alkalmazások elemre.
- Kattintson az Opcionális funkciók kezelése elemre.
- Kattintson a + funkció hozzáadása elemre.
- Kattintson az RSAT elemre: Csoportházirend-kezelő eszközök, majd kattintson a Telepítés gombra.
1. ábra. A csoportházirend-kezelő konzol telepítése a Beállítás alkalmazás felületének használatával
Ha a Windows régebbi verzióját használja, le kell töltenie az RSAT megfelelő verzióját a Microsoft webhelyéről.
A kényelem érdekében érdemes telepíteni a Kiszolgálókezelőt is. De ha úgy dönt, hogy nem, akkor a GPMC-t hozzáadhatja a Microsoft Management Console (MMC) konzoljához, és elmentheti a konzolt.
A csoportházirend-kezelő konzol használata
Minden AD-tartománynak két alapértelmezett GPO-ja van:
- Alapértelmezett tartományi házirend, amely a tartományhoz kapcsolódik
- Alapértelmezett tartományvezérlő házirend, amely a tartományvezérlő OU-jához kapcsolódik
A GPMC bal oldali ablakában a Csoportházirend-objektumok tárolóra kattintva láthatja az összes GPO-t egy tartományban.
A 2. ábra. A csoportházirend-kezelő konzol felülete
Új csoportházirend-objektum létrehozása
Ne változtassa meg sem az Alapértelmezett tartományvezérlők házirendjét, sem az Alapértelmezett tartomány házirendjét. A saját beállítások hozzáadásának legjobb módja egy új GPO létrehozása. Az új GPO létrehozásának két módja van:
- Jobb egérgombbal kattintsunk arra a tartományra, telephelyre vagy OU-ra, amelyhez az új GPO-t kapcsolni szeretnénk, és válasszuk a Create a GPO in this domain, and Link it here… (GPO létrehozása ebben a tartományban, és kapcsoljuk ide…) Amikor mentjük az új GPO-t, az azonnal kapcsolódik és engedélyezésre kerül.
- Jobb egérgombbal kattintsunk a Group Policy Objects konténerre, és válasszuk a menüből az Új lehetőséget. Az új GPO-t manuálisan kell összekapcsolnia, ha a jobb gombbal rákattint egy tartományra, telephelyre vagy OU-ra, és a Link an Existing GPO (Meglévő GPO összekapcsolása) parancsot választja. Ezt bármikor megteheti.
Az új GPO létrehozásának módjától függetlenül az Új GPO párbeszédpanelen nevet kell adnia a GPO-nak, és választhat, hogy egy meglévő GPO-ra alapozza. A többi lehetőségről a következő szakaszban olvashat.
Csoportpolitikai objektum szerkesztése
A GPO szerkesztéséhez kattintson rá a jobb gombbal a GPMC-ben, és válassza a Szerkesztés menüpontot. Az Active Directory csoportházirend-kezelő szerkesztője egy külön ablakban nyílik meg.
3. ábra. A csoportházirend-kezelő szerkesztő felülete
A GPO-k számítógépes és felhasználói beállításokra vannak felosztva. A számítógépes beállítások a Windows indításakor, a felhasználói beállítások pedig a felhasználó bejelentkezésekor kerülnek alkalmazásra. A csoportházirend háttérfeldolgozása időszakonként alkalmazza a beállításokat, ha egy GPO-ban változást észlel.
Házirendek vs. beállítások
A felhasználói és számítógépes beállítások tovább oszlanak házirendekre és beállításokra:
- A házirendek nem tetoválják a beállításjegyzéket – amikor egy GPO-ban lévő beállítás módosul vagy a GPO kikerül a hatóköréből, a házirend beállítása törlődik, és helyette az eredeti érték kerül felhasználásra. A házirend-beállítások mindig felülírják az alkalmazás konfigurációs beállításait, és szürke színnel jelennek meg, hogy a felhasználók ne tudják módosítani őket.
- A beállítások alapértelmezés szerint tetoválják a beállításjegyzéket, de ez a viselkedés minden egyes beállításhoz konfigurálható. A beállítások felülírják egy alkalmazás konfigurációs beállításait, de mindig lehetővé teszik a felhasználók számára a konfigurációs elemek módosítását. A csoportházirend-beállítások számos olyan konfigurálható elemet tartalmaznak, amelyeket korábban bejelentkezési parancsfájl segítségével lehetett beállítani, például a meghajtók hozzárendelését és a nyomtatók konfigurációját.
A beállításaik konfigurálásához kibővítheti a házirendeket vagy a beállításokat. Ezek a beállítások ezután a GPO hatókörébe tartozó számítógép- és felhasználói objektumokra kerülnek alkalmazásra. Ha például az új GPO-t a tartományvezérlő OU-jához kapcsolja, akkor a beállítások az adott OU-ban és az esetleges gyermek OU-kban található számítógép- és felhasználói objektumokra lesznek alkalmazva. A webhely, tartomány vagy OU öröklődés blokkolása beállítással megakadályozhatja, hogy a szülőobjektumokhoz kapcsolódó GPO-kat a gyermekobjektumokra is alkalmazzák. Az egyes GPO-kon beállíthatja az Enforced (Kényszerített) jelzőt is, amely felülbírálja a Block Inheritance (Öröklés blokkolása) beállítást és a GPO-kban található, magasabb prioritású konfigurációs elemeket.
GPO Precedence
Tartományokhoz, helyekhez és OU-khoz több GPO is kapcsolható. Ha a GPMC-ben az egyik ilyen objektumra kattint, a jobb oldalon a Linked Group Policy Objects (Kapcsolódó csoportházirend-objektumok) lapon megjelenik a kapcsolódó GPO-k listája. Ha egynél több összekapcsolt GPO van, a magasabb kapcsolási sorrendszámú GPO-k elsőbbséget élveznek az alacsonyabb számmal rendelkező GPO-kban konfigurált beállításokkal szemben.
A kapcsolási sorrendszámot úgy módosíthatja, hogy rákattint egy GPO-ra, és a bal oldali nyilak segítségével felfelé vagy lefelé mozgatja azt. A Csoportházirend öröklődése lapon megjelenik az összes alkalmazott GPO, beleértve a szülőobjektumoktól örökölteket is.
4. ábra. Információk az összes alkalmazott GPO-ról a GPMC-ben
Előrendszeres csoportházirend-kezelés
A Microsoft Desktop Optimization Pack (MDOP) részeként a Software Assurance ügyfelek számára elérhető az AGPM (Advanced Group Policy Management). A GPMC-vel ellentétben az AGPM egy ügyfél-kiszolgáló alkalmazás, ahol a kiszolgáló komponens offline tárolja a GPO-kat, beleértve az egyes GPO-k előzményeit is. Az AGPM által kezelt GPO-kat ellenőrzött GPO-knak nevezik, mivel azokat az AGPM szolgáltatás kezeli, és a rendszergazdák be- és kijelenthetik őket, hasonlóan a fájlok vagy kódok be- és kijelentéséhez a GitHubon vagy egy dokumentumkezelő rendszerben.
Az AGPM a GPMC-nél nagyobb ellenőrzést biztosít a GPO-k felett. A verzióvezérlés biztosítása mellett lehetővé teszi, hogy a csoportházirend-adminisztrátorokhoz olyan szerepköröket rendeljen, mint a felülvizsgáló, a szerkesztő és az engedélyező, ami segít a szigorú változásellenőrzés megvalósításában a GPO teljes életciklusa során. Az AGPM ellenőrzése is nagyobb betekintést nyújt a csoportházirendek módosításaiba.
Vélemény, hozzászólás?