Gestionarea Politicii de grup
On noiembrie 20, 2021 by adminPolitica de grup este o tehnologie de gestionare Active Directory pentru Windows care asigură gestionarea centralizată a setărilor de configurare. Deși nu este singura soluție de gestionare disponibilă – se pot utiliza, de asemenea, PowerShell Desired State Configuration (DSC) și Mobile Device Management (MDM) – Group Policy este tehnologia recomandată pentru dispozitivele client alăturate unui domeniu, deoarece oferă un control mai granular decât alte soluții.
Group Policy Management Console
Setările Group Policy sunt configurate în obiecte Group Policy (GPO). Puteți lega GPO-urile de domenii, site-uri și unități organizaționale (OU). Pentru un control și mai mare, GPO-urile pot fi aplicate în funcție de rezultatele filtrelor Windows Management Instrumentation (WMI), deși filtrele WMI trebuie utilizate cu moderație deoarece pot crește semnificativ timpul de procesare a politicilor.
Consola Group Policy Management Console (GPMC) este un instrument de administrare Windows încorporat care permite administratorilor să gestioneze Group Policy într-o pădure Active Directory și să obțină date pentru depanarea Group Policy. Consola de gestionare a politicilor de grup se găsește în meniul Instrumente din Microsoft Windows Server Manager. Nu este cea mai bună practică să folosiți controlorii de domeniu pentru sarcinile de administrare de zi cu zi, așa că ar trebui să instalați Remote Server Administration Tools (RSAT) pentru versiunea dumneavoastră de Windows.
Instalarea Group Policy Management Console
Dacă utilizați Windows 10 versiunea 1809 sau o versiune ulterioară, puteți instala GPMC utilizând aplicația Settings:
- Deschideți aplicația Settings apăsând WIN+I.
- Clicați pe Apps (Aplicații) sub Windows Settings (Setări Windows).
- Clicați pe Manage optional features (Gestionați caracteristicile opționale).
- Clicați pe + Add a feature (Adăugați o caracteristică).
- Clicați pe RSAT: Group Policy Management Tools și apoi faceți clic pe Install.
Figura 1. Instalarea consolei Group Policy Management Console utilizând interfața aplicației Setting app
Dacă utilizați o versiune mai veche de Windows, va trebui să descărcați versiunea corectă de RSAT de pe site-ul web al Microsoft.
Pentru comoditate, este posibil să doriți să instalați și Server Manager. Dar dacă alegeți să nu o faceți, puteți adăuga GPMC la o consolă Microsoft Management Console (MMC) și salvați consola.
Utilizarea consolei Group Policy Management Console
Care domeniu AD are două GPO-uri implicite:
- Default Domain Policy, care este legată de domeniu
- Default Domain Controllers Policy, care este legată de OU a controlerului de domeniu
Puteți vedea toate GPO-urile dintr-un domeniu făcând clic pe containerul Group Policy Objects din panoul din stânga al GPMC.
Figura 2. Interfața Consola de gestionare a politicilor de grup
Crearea unui nou obiect de politică de grup
Nu modificați nici politica Default Domain Controllers, nici politica Default Domain Policy. Cel mai bun mod de a adăuga propriile setări este să creați un nou GPO. Există două moduri de a crea un nou GPO:
- Click dreapta pe domeniul, site-ul sau OU la care doriți să legați noul GPO și selectați Create a GPO in this domain, and Link it here… Când salvați noul GPO, acesta va fi legat și activat imediat.
- Click dreapta pe containerul Group Policy Objects și selectați New din meniu. Va trebui să legați manual noul GPO făcând clic dreapta pe un domeniu, site sau OU și selectând Link an Existing GPO. Puteți face acest lucru în orice moment.
Indiferent de modul în care creați un nou GPO, în fereastra de dialog New GPO trebuie să dați un nume GPO-ului și puteți alege să îl bazați pe un GPO existent. Consultați secțiunea următoare pentru informații despre celelalte opțiuni.
Edit a Group Policy Object
Pentru a edita un GPO, faceți clic dreapta pe acesta în GPMC și selectați Edit din meniu. Editorul Active Directory Group Policy Management Editor se va deschide într-o fereastră separată.
Figura 3. Interfața editorului de gestionare a politicilor de grup
GPO-urile sunt împărțite în setări de calculator și setări de utilizator. Setările computerului sunt aplicate la pornirea Windows, iar setările utilizatorului sunt aplicate atunci când un utilizator se conectează. Procesarea în fundal a politicilor de grup aplică setările periodic dacă se detectează o modificare într-un GPO.
Politici vs. Preferințe
Setările utilizatorului și ale computerului sunt împărțite la rândul lor în Politici și Preferințe:
- Politicile nu tatonează registrul – atunci când se modifică o setare dintr-un GPO sau când GPO-ul iese din domeniul de aplicare, setarea politicii este eliminată și în locul ei se utilizează valoarea originală. Setările de politici prevalează întotdeauna asupra setărilor de configurare ale unei aplicații și vor fi gri, astfel încât utilizatorii să nu le poată modifica.
- Preferințele tatuează registrul în mod implicit, dar acest comportament este configurabil pentru fiecare setare de preferințe. Preferințele suprascriu setările de configurare ale unei aplicații, dar permit întotdeauna utilizatorilor să modifice elementele de configurare. Multe dintre elementele configurabile din Group Policy Preferences sunt cele care ar fi putut fi configurate anterior cu ajutorul unui script de conectare, cum ar fi maparea unităților și configurarea imprimantelor.
Puteți extinde Politicile sau Preferințele pentru a configura setările acestora. Aceste setări vor fi apoi aplicate la obiectele computer și utilizator care intră în domeniul de aplicare al GPO. De exemplu, dacă legați noul GPO de OU a controlerului de domeniu, setările se vor aplica obiectelor calculator și utilizator aflate în acea OU și în orice OU copil. Puteți utiliza setarea Block Inheritance (Blocare moștenire) pe un site, domeniu sau OU pentru a împiedica aplicarea GPO-urilor care sunt legate de obiectele părinte la obiectele copil. De asemenea, puteți seta marcajul Enforced pe GPO-uri individuale, care anulează setarea Block Inheritance și orice elemente de configurare din GPO-uri care au o prioritate mai mare.
GPO Precedence
Multiple GPO-uri pot fi legate de domenii, site-uri și OU-uri. Când faceți clic pe unul dintre aceste obiecte în GPMC, în dreapta, în fila Linked Group Policy Objects (Obiecte de politică de grup legate), va apărea o listă de GPO-uri legate. Dacă există mai multe GPO-uri legate, GPO-urile cu un număr de ordine al legăturii mai mare au prioritate față de setările configurate în GPO-urile cu un număr mai mic.
Puteți modifica numărul de ordine al legăturii făcând clic pe un GPO și utilizând săgețile din stânga pentru a-l muta în sus sau în jos. În fila Group Policy Inheritance (Moștenirea politicilor de grup) se vor afișa toate GPO-urile aplicate, inclusiv cele moștenite de la obiectele părinte.
Figura 4. Informații despre toate GPO-urile aplicate în GPMC
Advanced Group Policy Management
Advanced Group Policy Management (AGPM) este disponibil ca parte a Microsoft Desktop Optimization Pack (MDOP) pentru clienții Software Assurance. Spre deosebire de GPMC, AGPM este o aplicație client/server în care componenta server stochează GPO-urile offline, inclusiv un istoric pentru fiecare GPO. GPO-urile gestionate de AGPM se numesc GPO-uri controlate, deoarece sunt gestionate de serviciul AGPM, iar administratorii le pot verifica în și din ele, la fel cum ați putea verifica fișiere sau coduri în și din GitHub sau un sistem de gestionare a documentelor.
AGPM oferă un control mai mare asupra GPO-urilor decât este posibil cu GPMC. Pe lângă faptul că asigură controlul versiunilor, vă permite să atribuiți roluri precum Reviewer, Editor și Approver administratorilor Group Policy, ceea ce vă ajută să implementați un control strict al modificărilor pe tot parcursul ciclului de viață al GPO. Auditul AGPM oferă, de asemenea, o mai bună înțelegere a modificărilor Group Policy.
Lasă un răspuns