Articles

Zarządzanie Group Policy

On 20 listopada, 2021 by

Group Policy to technologia zarządzania Active Directory dla systemu Windows, która zapewnia scentralizowane zarządzanie ustawieniami konfiguracyjnymi. Chociaż nie jest to jedyne dostępne rozwiązanie do zarządzania – można również użyć PowerShell Desired State Configuration (DSC) i Mobile Device Management (MDM) – Group Policy jest zalecaną technologią dla urządzeń klienckich połączonych z domeną, ponieważ zapewnia bardziej granularną kontrolę niż inne rozwiązania.

Konsola zarządzania Group Policy

Ustawienia Group Policy są konfigurowane w obiektach Group Policy (GPO). GPO można łączyć z domenami, witrynami i jednostkami organizacyjnymi (OU). Aby uzyskać jeszcze większą kontrolę, GPO mogą być stosowane zgodnie z wynikami filtrów Windows Management Instrumentation (WMI), chociaż filtry WMI powinny być stosowane oszczędnie, ponieważ mogą znacznie wydłużyć czas przetwarzania zasad.

Konsola zarządzania zasadami grupy (Group Policy Management Console, GPMC) jest wbudowanym narzędziem administracyjnym systemu Windows, które umożliwia administratorom zarządzanie zasadami grupy w lesie Active Directory i uzyskiwanie danych do rozwiązywania problemów z zasadami grupy. Konsola Zarządzania Zasadami Grupy znajduje się w menu Narzędzia w Microsoft Windows Server Manager. Nie jest najlepszą praktyką używanie kontrolerów domeny do codziennych zadań zarządzania, dlatego należy zainstalować narzędzia Remote Server Administration Tools (RSAT) dla posiadanej wersji systemu Windows.

Instalowanie konsoli Group Policy Management Console

Jeśli używasz systemu Windows 10 w wersji 1809 lub nowszej, możesz zainstalować GPMC za pomocą aplikacji Ustawienia:

  1. Otwórz aplikację Ustawienia, naciskając klawisz WIN+I.
  2. Kliknij Apps pod Windows Settings.
  3. Kliknij Manage optional features.
  4. Kliknij + Add a feature.
  5. Kliknij RSAT: Group Policy Management Tools, a następnie kliknij Install.

Rysunek 1. Instalowanie konsoli zarządzania zasadami grupy przy użyciu interfejsu aplikacji Setting

Jeśli używasz starszej wersji systemu Windows, będziesz musiał pobrać odpowiednią wersję RSAT z witryny firmy Microsoft.

Dla wygody możesz również zainstalować program Server Manager. Jeśli jednak nie chcesz tego robić, możesz dodać GPMC do Microsoft Management Console (MMC) i zapisać konsolę.

Używanie konsoli Group Policy Management Console

Każda domena AD ma dwa domyślne GPO:

  • Default Domain Policy, które jest powiązane z domeną
  • Default Domain Controllers Policy, które jest powiązane z OU kontrolera domeny

Wszystkie GPO w domenie można zobaczyć klikając kontener Group Policy Objects w lewym panelu GPMC.

Rysunek 2. Interface of the Group Policy Management Console

Create a New Group Policy Object

Nie należy zmieniać ani Default Domain Controllers Policy, ani Default Domain Policy. Najlepszym sposobem na dodanie własnych ustawień jest utworzenie nowego GPO. Istnieją dwa sposoby tworzenia nowego GPO:

  • Kliknij prawym przyciskiem myszy domenę, witrynę lub jednostkę OU, z którą chcesz powiązać nowe GPO i wybierz opcję Create a GPO in this domain, and Link it here… Po zapisaniu nowego GPO zostanie ono natychmiast powiązane i włączone.
  • Kliknij prawym przyciskiem myszy kontener Group Policy Objects i wybierz z menu opcję New. Konieczne będzie ręczne powiązanie nowego GPO poprzez kliknięcie prawym przyciskiem myszy domeny, witryny lub OU i wybranie opcji Link an Existing GPO. Można to zrobić w dowolnym momencie.

Niezależnie od sposobu tworzenia nowego GPO, w oknie dialogowym New GPO należy nadać mu nazwę i można wybrać oparcie go na istniejącym GPO. Informacje o innych opcjach znajdują się w następnej sekcji.

Edycja obiektu Group Policy Object

Aby edytować GPO, należy kliknąć go prawym przyciskiem myszy w GPMC i wybrać z menu polecenie Edit. Active Directory Group Policy Management Editor otworzy się w osobnym oknie.

Figura 3. Interfejs edytora zarządzania zasadami grupy

GPO są podzielone na ustawienia komputera i użytkownika. Ustawienia komputera są stosowane podczas uruchamiania systemu Windows, a ustawienia użytkownika są stosowane po zalogowaniu się użytkownika. Przetwarzanie w tle Group Policy stosuje ustawienia okresowo, jeśli zostanie wykryta zmiana w GPO.

Policies vs Preferences

Ustawienia użytkownika i komputera są dalej podzielone na Policies i Preferences:

  • Policies do not tattoo the registry – kiedy ustawienie w GPO jest zmienione lub GPO wypada z zakresu, ustawienie polityki jest usuwane i zamiast niego używana jest oryginalna wartość. Ustawienia polityk zawsze zastępują ustawienia konfiguracyjne aplikacji i będą wyszarzone, aby użytkownicy nie mogli ich modyfikować.
  • Preferencje domyślnie tatuują rejestr, ale to zachowanie jest konfigurowalne dla każdego ustawienia preferencji. Preferencje nadpisują ustawienia konfiguracyjne aplikacji, ale zawsze pozwalają użytkownikom na zmianę elementów konfiguracji. Wiele konfigurowalnych elementów w Preferencjach zasad grupy to elementy, które mogły być wcześniej skonfigurowane za pomocą skryptu logowania, takie jak mapowanie dysków i konfiguracja drukarki.

Można rozwinąć Zasady lub Preferencje, aby skonfigurować ich ustawienia. Ustawienia te zostaną następnie zastosowane do obiektów komputerów i użytkowników, które wchodzą w zakres GPO. Na przykład, jeśli połączysz swoje nowe GPO z OU kontrolera domeny, ustawienia zostaną zastosowane do obiektów komputerów i użytkowników znajdujących się w tym OU i wszystkich OU potomnych. Można użyć ustawienia Blokuj dziedziczenie w witrynie, domenie lub OU, aby uniemożliwić zastosowanie GPO powiązanych z obiektami nadrzędnymi do obiektów potomnych. Można również ustawić flagę Wymuszone na poszczególnych GPO, która zastępuje ustawienie Dziedziczenie blokowe i wszelkie elementy konfiguracji w GPO, które mają wyższy priorytet.

Precedencja GPO

Wiele GPO może być powiązanych z domenami, witrynami i OU. Kiedy klikniesz na jeden z tych obiektów w GPMC, lista powiązanych GPO pojawi się po prawej stronie w zakładce Powiązane obiekty Group Policy Objects. Jeśli istnieje więcej niż jeden powiązany GPO, GPO o wyższym numerze porządkowym powiązania ma pierwszeństwo przed ustawieniami skonfigurowanymi w GPO o niższym numerze.

Numer porządkowy powiązania można zmienić klikając na GPO i używając strzałek po lewej stronie, aby przesunąć go w górę lub w dół. Zakładka Dziedziczenie zasad grupy pokaże wszystkie zastosowane GPO, w tym te dziedziczone z obiektów nadrzędnych.

Rysunek 4. Informacje o wszystkich zastosowanych GPO w GPMC

Zaawansowane zarządzanie zasadami grupy

Zaawansowane zarządzanie zasadami grupy (AGPM) jest dostępne jako część pakietu Microsoft Desktop Optimization Pack (MDOP) dla klientów Software Assurance. W przeciwieństwie do GPMC, AGPM jest aplikacją klient/serwer, gdzie komponent serwera przechowuje GPO w trybie offline, łącznie z historią dla każdego GPO. GPO zarządzane przez AGPM są nazywane kontrolowanymi GPO, ponieważ są zarządzane przez usługę AGPM i administratorzy mogą je sprawdzać w i z, podobnie jak można sprawdzać pliki lub kod w i z GitHub lub systemu zarządzania dokumentami.

AGPM zapewnia większą kontrolę nad GPO niż jest to możliwe z GPMC. Oprócz zapewnienia kontroli wersji, umożliwia przypisanie administratorom Group Policy ról takich jak Reviewer, Editor i Approver, co pomaga wdrożyć ścisłą kontrolę zmian w całym cyklu życia GPO. Audyt AGPM daje również większy wgląd w zmiany Group Policy.

Konsultant i autor IT specjalizujący się w technologiach zarządzania i bezpieczeństwa. Russell ma ponad 15 lat doświadczenia w branży IT, jest autorem książki na temat bezpieczeństwa systemu Windows, a także współautorem tekstu do serii Microsoft’s Official Academic Course (MOAC).

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.