Hantering av grupprinciper
On november 20, 2021 by adminGrupprinciper är en Active Directory-hanteringsteknik för Windows som ger centraliserad hantering av konfigurationsinställningar. Även om det inte är den enda tillgängliga hanteringslösningen – PowerShell Desired State Configuration (DSC) och Mobile Device Management (MDM) kan också användas – är Grupprincip den rekommenderade tekniken för domänanslutna klientenheter eftersom den ger mer granulär kontroll än andra lösningar.
Group Policy Management Console
Inställningarna för grupprinciper konfigureras i grupprincipobjekt (GPO). Du kan koppla GPO:er till domäner, platser och organisatoriska enheter (OU). För ännu mer kontroll kan GPO:er tillämpas enligt resultaten av WMI-filter (Windows Management Instrumentation), även om WMI-filter bör användas sparsamt eftersom de kan öka bearbetningstiden för principer avsevärt.
Gruppprinciphanteringskonsolen (Group Policy Management Console, GPMC) är ett inbyggt Windows-administrationsverktyg som gör det möjligt för administratörer att hantera grupppolicyn i en Active Directory-skog och att få fram data för felsökning av grupppolicyn. Du hittar konsolen för hantering av grupprinciper i menyn Verktyg i Microsoft Windows Server Manager. Det är ingen bra metod att använda domänkontrollanter för vardagliga hanteringsuppgifter, så du bör installera RSAT-verktygen (Remote Server Administration Tools) för din Windows-version.
Installation av Group Policy Management Console
Om du använder Windows 10 version 1809 eller senare kan du installera GPMC med hjälp av appen Inställningar:
- Öppna appen Inställningar genom att trycka på WIN+I.
- Klicka på Appar under Windows-inställningar.
- Klicka på Hantera valfria funktioner.
- Klicka på + Lägg till en funktion.
- Klicka på RSAT: Grupprinciphanteringsverktyg och klicka sedan på Installera.
Figur 1. Installation av Group Policy Management Console med hjälp av gränssnittet Setting app
Om du använder en äldre version av Windows måste du ladda ner rätt version av RSAT från Microsofts webbplats.
För enkelhetens skull kanske du också vill installera Server Manager. Men om du väljer att inte göra det kan du lägga till GPMC i en Microsoft Management Console (MMC) och spara konsolen.
Användning av Group Policy Management Console
Varje AD-domän har två standard-GPO:
- Standarddomänpolicy, som är kopplad till domänen
- Standardpolicy för domänkontrollanter, som är kopplad till domänkontrollantens OU
Du kan se alla GPO:er i en domän genom att klicka på behållaren för grupprincipobjekt i den vänstra rutan i GPMC.
Figur 2. Gränssnittet för konsolen för hantering av grupprinciper
Skapa ett nytt grupprincipobjekt
Ändra varken principen för standarddomänkontrollanter eller standarddomänpolicyn. Det bästa sättet att lägga till egna inställningar är att skapa ett nytt grupprincipobjekt. Det finns två sätt att skapa ett nytt grupprincipobjekt:
- Högerklicka på den domän, webbplats eller organisationsenhet som du vill länka det nya grupprincipobjektet till och välj Skapa ett grupprincipobjekt i den här domänen och länka det här… När du sparar det nya grupprincipobjektet länkas det och aktiveras omedelbart.
- Högerklicka på behållaren för grupprincipobjekt och välj Nytt på menyn. Du måste koppla det nya grupprincipobjektet manuellt genom att högerklicka på en domän, plats eller organisationsenhet och välja Länka ett befintligt grupprincipobjekt. Du kan göra detta när som helst.
Oavsett hur du skapar ett nytt grupprincipobjekt måste du i dialogrutan Nytt grupprincipobjekt ge grupprincipobjektet ett namn och du kan välja att basera det på ett befintligt grupprincipobjekt. Se nästa avsnitt för information om de andra alternativen.
Redigera ett grupprincipobjekt
Om du vill redigera ett grupprincipobjekt högerklickar du på det i GPMC och väljer Redigera på menyn. Redigeraren för hantering av grupprinciper i Active Directory öppnas i ett separat fönster.
Figur 3. Gränssnittet för Group Policy Management Editor
GPO:er är uppdelade i dator- och användarinställningar. Datorinställningar tillämpas när Windows startar och användarinställningar tillämpas när en användare loggar in. Bakgrundsbehandling av grupprinciper tillämpar inställningar med jämna mellanrum om en ändring upptäcks i ett grupprincipobjekt.
Principer vs. inställningar
Användar- och datorinställningar delas ytterligare upp i principer och inställningar:
- Principer tatuerar inte registret – när en inställning i ett grupprincipobjekt ändras eller när grupprincipobjektet faller utanför räckvidden, tas principinställningen bort och det ursprungliga värdet används i stället. Principinställningar har alltid företräde framför ett programs konfigurationsinställningar och kommer att vara gråmarkerade så att användare inte kan ändra dem.
- Inställningar tatuerar registret som standard, men det här beteendet kan konfigureras för varje inställningsinställning. Preferenser skriver över ett programs konfigurationsinställningar men tillåter alltid användare att ändra konfigurationselementen. Många av de konfigurerbara objekten i grupprincipinställningar är sådana som tidigare kan ha konfigurerats med hjälp av ett inloggningsskript, t.ex. enhetsmappningar och skrivarkonfiguration.
Du kan expandera principer eller inställningar för att konfigurera deras inställningar. Inställningarna tillämpas sedan på dator- och användarobjekt som omfattas av grupprincipobjektets räckvidd. Om du till exempel kopplar ditt nya grupprincipobjekt till domänkontrollantens organisationsenhet kommer inställningarna att tillämpas på dator- och användarobjekt som finns i den organisationsenheten och eventuella underordnade organisationsenheter. Du kan använda inställningen Blockera arv på en plats, domän eller organisationsenhet för att förhindra att grupprincipobjekt som är kopplade till överordnade objekt tillämpas på underordnade objekt. Du kan också ställa in flaggan Verkställd på enskilda grupprincipobjekt, som åsidosätter inställningen Blockera arv och alla konfigurationsobjekt i grupprincipobjekt som har högre prioritet.
GPO Precedence
Flera grupprincipobjekt kan kopplas till domäner, platser och organisationsenheter. När du klickar på ett av dessa objekt i GPMC visas en lista över länkade grupprincipobjekt till höger på fliken Länkade grupprincipobjekt. Om det finns mer än ett länkat grupprincipobjekt har grupprincipobjekt med ett högre länkordningsnummer företräde framför inställningar som konfigurerats i grupprincipobjekt med ett lägre nummer.
Du kan ändra länkordningsnumret genom att klicka på ett grupprincipobjekt och använda pilarna till vänster för att flytta det uppåt eller nedåt. På fliken Grupprincipsarv visas alla tillämpade grupprinciper, inklusive de som ärvts från överordnade objekt.
Figur 4. Information om alla tillämpade grupprincipobjekt i GPMC
Advanced Group Policy Management
Advanced Group Policy Management (AGPM) är tillgänglig som en del av Microsoft Desktop Optimization Pack (MDOP) för Software Assurance-kunder. Till skillnad från GPMC är AGPM en klient/server-applikation där serverkomponenten lagrar GPO:er offline, inklusive en historik för varje GPO. GPO:er som hanteras av AGPM kallas kontrollerade GPO:er eftersom de hanteras av AGPM-tjänsten och administratörer kan checka in och ut dem, ungefär som du kan checka in och ut filer eller kod i GitHub eller ett dokumenthanteringssystem.
AGPM ger större kontroll över GPO:er än vad som är möjligt med GPMC. Förutom versionskontroll kan du tilldela roller som Reviewer (granskare), Editor (redaktör) och Approver (godkännare) till grupprincipadministratörer, vilket hjälper dig att implementera strikt ändringskontroll under hela GPO:s livscykel. AGPM-revision ger också större insyn i grupprincipändringar.
Lämna ett svar