Beheer van groepsbeleid

Groepsbeleid is een Active Directory-beheertechnologie voor Windows waarmee configuratie-instellingen centraal kunnen worden beheerd. Hoewel het niet de enige beschikbare beheeroplossing is – PowerShell Desired State Configuration (DSC) en Mobile Device Management (MDM) kunnen ook worden gebruikt – is Group Policy de aanbevolen technologie voor clientapparaten die aan domeinen zijn gekoppeld, omdat deze meer granulaire controle biedt dan andere oplossingen.

Group Policy Management Console

Group Policy-instellingen worden geconfigureerd in Group Policy-objecten (GPO’s). U kunt GPO’s koppelen aan domeinen, sites en organisatorische eenheden (OU’s). Voor nog meer controle kunnen GPO’s worden toegepast op basis van de resultaten van WMI-filters (Windows Management Instrumentation), hoewel WMI-filters spaarzaam moeten worden gebruikt omdat ze de verwerkingstijd van beleidsregels aanzienlijk kunnen verlengen.

De Group Policy Management Console (GPMC) is een ingebouwd Windows-beheertool waarmee beheerders Group Policy in een Active Directory-bos kunnen beheren en gegevens kunnen verkrijgen voor het oplossen van problemen met Group Policy. U vindt de Group Policy Management Console in het menu Extra van Microsoft Windows Server Manager. Het is geen best practice om domeincontrollers te gebruiken voor dagelijkse beheertaken, dus u moet de Remote Server Administration Tools (RSAT) voor uw versie van Windows installeren.

Installeren van de Group Policy Management Console

Als u Windows 10 versie 1809 of later gebruikt, kunt u GPMC installeren met behulp van de app Instellingen:

1. Open de app Instellingen door op WIN+I te drukken.
2. Klik op Apps onder Windows Instellingen.
3. Klik op Optionele functies beheren.
4. Klik op + Een functie toevoegen.
5. Klik op RSAT: Group Policy Management Tools en klik vervolgens op Install.

Figuur 1. De beheerconsole voor groepsbeleid installeren met behulp van de interface van de Setting-app

Als u een oudere versie van Windows gebruikt, moet u de juiste versie van RSAT downloaden van de website van Microsoft.

Voor het gemak wilt u misschien ook Serverbeheer installeren. Maar als je ervoor kiest om dat niet te doen, kunt u GPMC toe te voegen aan een Microsoft Management Console (MMC) en de console op te slaan.

Gebruik van de Group Policy Management Console

Elk AD-domein heeft twee standaard GPO’s:

• Default Domain Policy, dat is gekoppeld aan het domein
• Default Domain Controllers Policy, dat is gekoppeld aan de OU van de domeincontroller

U kunt alle GPO’s in een domein bekijken door op de container Group Policy Objects in het linkerdeelvenster van GPMC te klikken.

Figuur 2. Interface van de beheerconsole voor groepsbeleid

Nieuw groepsbeleidsobject maken

Verander het standaardbeleid voor domeincontrollers of het standaardbeleid voor domeinen niet. De beste manier om uw eigen instellingen toe te voegen is door een nieuwe GPO te maken. Er zijn twee manieren om een nieuwe GPO te maken:

• Klik met de rechtermuisknop op het domein, de site of de OU waaraan u de nieuwe GPO wilt koppelen en selecteer Een GPO maken in dit domein en deze hier koppelen… Wanneer u de nieuwe GPO opslaat, wordt deze onmiddellijk gekoppeld en ingeschakeld.
• Klik met de rechtermuisknop op de container met Group Policy Objects en selecteer Nieuw in het menu. U moet de nieuwe GPO handmatig koppelen door met de rechtermuisknop op een domein, site of OU te klikken en Koppel een bestaande GPO te selecteren. U kunt dit op elk gewenst moment doen.

Of u nu een nieuwe GPO maakt, in het dialoogvenster Nieuwe GPO moet u de GPO een naam geven, en u kunt ervoor kiezen om deze te baseren op een bestaande GPO. Zie de volgende sectie voor informatie over de andere opties.

Een Group Policy Object bewerken

Om een GPO te bewerken, klikt u er met de rechter muisknop op in GPMC en selecteert u Bewerken in het menu. De Active Directory Editor voor groepsbeleid wordt geopend in een afzonderlijk venster.

Figuur 3. Interface van de Group Policy Management Editor

GPO’s zijn onderverdeeld in computer- en gebruikersinstellingen. Computerinstellingen worden toegepast wanneer Windows wordt gestart, en gebruikersinstellingen worden toegepast wanneer een gebruiker zich aanmeldt. Group Policy achtergrondverwerking past instellingen periodiek toe als een wijziging in een GPO wordt gedetecteerd.

Policies vs Voorkeuren

Gebruikers- en computerinstellingen worden verder onderverdeeld in Beleidsregels en Voorkeuren:

• Beleidsregels tatoeëren het register niet – wanneer een instelling in een GPO wordt gewijzigd of de GPO buiten het bereik valt, wordt de beleidsinstelling verwijderd en wordt in plaats daarvan de oorspronkelijke waarde gebruikt. Beleidsinstellingen hebben altijd voorrang op de configuratie-instellingen van een toepassing en worden grijs weergegeven zodat gebruikers ze niet kunnen wijzigen.
• Voorkeuren tatoeëren standaard het register, maar dit gedrag is configureerbaar voor elke voorkeursinstelling. Voorkeuren overschrijven de configuratie-instellingen van een toepassing, maar staan gebruikers altijd toe de configuratie-items te wijzigen. Veel van de configureerbare items in Groepsbeleid-voorkeuren zijn die welke eerder zijn geconfigureerd met behulp van een aanmeldingsscript, zoals schijfmappings en printerconfiguratie.

U kunt Beleidsregels of Voorkeuren uitbreiden om hun instellingen te configureren. Deze instellingen worden vervolgens toegepast op computer- en gebruikersobjecten die binnen het bereik van de GPO vallen. Als u bijvoorbeeld uw nieuwe GPO koppelt aan de OU van de domeincontroller, worden de instellingen toegepast op computer- en gebruikersobjecten die zich bevinden in die OU en eventuele kind-OU’s. U kunt de instelling Inheritance blokkeren op een site, domein of OU gebruiken om te voorkomen dat GPO’s die zijn gekoppeld aan bovenliggende objecten worden toegepast op onderliggende objecten. U kunt ook de vlag Enforced op afzonderlijke GPO’s instellen, die de instelling Block Inheritance en configuratie-items in GPO’s met een hogere prioriteit opheft.

GPO Precedence

Meerdere GPO’s kunnen worden gekoppeld aan domeinen, sites en OU’s. Wanneer u in GPMC op een van deze objecten klikt, verschijnt rechts op het tabblad Gekoppelde Groepsbeleidobjecten een lijst met gekoppelde GPO’s. Als er meer dan één gekoppelde GPO is, krijgen GPO’s met een hoger koppelingsvolgordenummer voorrang op instellingen die zijn geconfigureerd in GPO’s met een lager nummer.

U kunt het koppelingsvolgordenummer wijzigen door op een GPO te klikken en de pijlen aan de linkerkant te gebruiken om deze omhoog of omlaag te verplaatsen. Op het tabblad Overerving van groepsbeleid worden alle toegepaste GPO’s weergegeven, inclusief de GPO’s die van bovenliggende objecten zijn geërfd.

Figuur 4. Informatie over alle toegepaste GPO’s in GPMC

Advanced Group Policy Management

Advanced Group Policy Management (AGPM) is beschikbaar als onderdeel van het Microsoft Desktop Optimization Pack (MDOP) voor klanten met Software Assurance. In tegenstelling tot GPMC is AGPM een client/servertoepassing waarbij de servercomponent GPO’s offline opslaat, inclusief een geschiedenis voor elke GPO. GPO’s die worden beheerd door AGPM worden gecontroleerde GPO’s genoemd omdat ze worden beheerd door de AGPM-service en beheerders kunnen ze in- en uitchecken, vergelijkbaar met het in- en uitchecken van bestanden of code in GitHub of een documentbeheersysteem.

AGPM biedt meer controle over GPO’s dan mogelijk is met GPMC. Naast versiebeheer kunt u rollen als Reviewer, Editor en Approver toewijzen aan Group Policy-beheerders, waarmee u een strikt wijzigingsbeheer kunt implementeren gedurende de gehele GPO-levenscyclus. AGPM auditing geeft ook meer inzicht in Group Policy wijzigingen.

IT-consultant en auteur, gespecialiseerd in beheer- en beveiligingstechnologieën. Russell heeft meer dan 15 jaar ervaring in de IT, hij heeft een boek geschreven over Windows beveiliging, en hij is co-auteur van een tekst voor de Officiële Academische Cursus van Microsoft (MOAC) serie.