V tomto článku o preskúmaní sa pokúsim analyzovať typické dôvody, prečo sa skupinová politika nemusí uplatňovať na organizačnú jednotku (OU) alebo na konkrétny počítač / používateľa. Myslím si, že tento článok bude užitočný pre začiatočníkov aj pre profesionálov v oblasti politiky skupiny AD, aby pochopili, ako pracujú, a architektúru GPO. V prvom rade v článku budem hovoriť o možných problémoch uplatňovania GPO týkajúcich sa nastavenia samotných politík na úrovni domény, a nie o probléme použitia GPO na klientov. Takmer všetky nastavenia opísané v tomto článku sa vykonávajú v konzole Editora domény skupinovej politiky - Konzola pre správu skupinovej politiky (GPMC.msc)..
obsah:
- Rozsah GPO
- Filter zabezpečenia GPO
- Filtre WMI GPO
- Stav skupinovej politiky
- Delegácia GPO
- Dedičnosť skupinovej politiky
- Rozsah a presadzovanie skupinovej politiky (LSDOU)
- Prepojenie GPO povolené
- Zámok skupinovej politiky
- Diagnostika GPO na strane klienta
Rozsah GPO
Ak sa niektoré nastavenie politiky na klienta neuplatňuje, skontrolujte rozsah skupinovej politiky. Ak nastavujete parameter v sekcii Konfigurácia počítača (Konfigurácia počítača), vaša skupinová politika musí byť spojená s organizačnou jednotkou pomocou počítačov. Ak sa teda konfigurovateľný parameter týka Konfigurácia užívateľa (Konfigurácia užívateľa).
Tiež overte, či objekt, na ktorý sa snažíte aplikovať politiku, je v správnom OU s počítačmi alebo používateľmi. Môžete použiť vyhľadávanie podľa domény. OU, v ktorom sa objekt nachádza, sa nachádza na karte Objekt v konzole ADUC.
To znamená, že cieľ musí byť umiestnený v OU, ku ktorému je politika priradená (alebo v vnorenom kontajneri)..
Filter zabezpečenia GPO
Skontrolujte hodnotu filtra zabezpečenia politiky (Filtrovanie zabezpečenia). V predvolenom nastavení majú všetky nové GPO v doméne povolenia pre „Overení používatelia". Táto skupina zahŕňa všetkých používateľov a doménové počítače. To znamená, že táto zásada sa bude uplatňovať na všetkých používateľov a počítače, na ktoré sa vzťahuje jej rozsah pôsobnosti..
Ak sa rozhodnete zmeniť tento bezpečnostný filter tak, aby sa zásada uplatňovala iba na členov konkrétnej skupiny zabezpečenia domény (alebo konkrétnych používateľov / počítačov) odstránením skupiny Authenticated Users, uistite sa, že cieľový objekt (používateľ alebo počítač) je pridaný do tejto skupiny AD. Skontrolujte tiež, či v skupine, ktorú ste pridali do filtrovania zabezpečenia na GPO -> Delegácia -> Rozšírené, zoznam povolení obsahuje práva read a Použiť skupinovú politiku s autoritou platiť.
Ak používate neštandardné bezpečnostné filtre politiky, skontrolujte, či neexistuje výslovný zákaz používania GPO pre cieľové skupiny (Odmietnuť)..
Filtre WMI GPO
V skupinových zásadách môžete použiť špeciálne filtre WMI. Toto vám umožňuje aplikovať politiku na počítače založené na nejakej požiadavke WMI. Napríklad môžeme vytvoriť filter WMI GPO, ktorý aplikuje politiku iba na počítače so špecifickou verziou systému Windows, na počítač v konkrétnej podsieti IP, iba na prenosné počítače atď..
Pri používaní filtrov politiky WMI musíte skontrolovať správnosť žiadosti WMI, ktorá vyberie iba tie systémy, ktoré potrebujete, a vaše cieľové počítače nie sú vylúčené. Filter WMI môžete otestovať na počítačoch pomocou programu PowerShell
gwmi -Query 'vyberte * z Win32_OperatingSystem, kde verzia ako "10%" a ProductType = "1"'
Ak žiadosť vráti nejaké údaje, na tento počítač sa použije filter WMI.
Stav skupinovej politiky
Stav politiky skupiny skontrolujte tak, že prejdete na kartu GPMC.msc vo vlastnostiach karty politiky podrobnosti. Venujte pozornosť hodnote v poli Stav GPO.
Ako vidíte, sú k dispozícii 4 možnosti:
- Všetky nastavenia sú zakázané - všetky nastavenia politiky sú vypnuté (neuplatňuje sa);
- Nastavenia konfigurácie počítača sú zakázané - nastavenia z nastavení GPO počítača sa neuplatňujú;
- Nastavenia používateľskej konfigurácie sú zakázané - nepoužívajú sa vlastné nastavenia politiky;
- povolené - všetky nastavenia politiky sa vzťahujú na ciele AD (predvolená hodnota).
Delegácia GPO
Na karte pravidiel delegácia Zoznam povolení, ktoré sú nakonfigurované pre túto skupinovú politiku. Tu môžete vidieť, ktoré skupiny majú právo meniť nastavenia GPO, ako aj povoliť alebo zakázať uplatňovanie politiky. Práva na spravovanie GPO môžete udeliť z tejto konzoly alebo pomocou sprievodcu delegovaním v ADUC. Prítomnosť prístupového reťazca pre radiče podnikovej domény okrem toho určuje schopnosť replikovať túto politiku medzi radičmi domény Active Directory (toto by sa malo pamätať na prípadné problémy s replikáciou politík medzi DC). Upozorňujeme, že práva na karte Delegácia zodpovedajú právam NTFS prideleným adresáru politiky v priečinku SYSVOL
Dedičnosť skupinovej politiky
Dedičnosť je jednou zo základných koncepcií skupinových politík. Zásady najvyššej úrovne sa v predvolenom nastavení vzťahujú na všetky vnorené objekty v hierarchii domén. Správca však môže zablokovať aplikáciu všetkých zdedených politík na konkrétny OU. Ak to chcete urobiť, v konzole GPMC kliknite na RMB na OU a vyberte položku ponuky Blokové dedičstvo.
Organizačné jednotky so zdravotným postihnutím sa objavia na konzole s modrým výkričníkom.
Ak sa zásada neuplatňuje na klienta, skontrolujte, či je v OU s dedičstvom zakázaným.
Nezabudnite, že zásady domény, pre ktoré sú vlastnosti „Enforced“, Použiť aj na organizačné jednotky s deaktivovaným dedičstvom (zdedené politiky, ktoré sa vzťahujú na kontajner, sú k dispozícii na karte Dedičnosť skupinovej politiky).
Rozsah a presadzovanie skupinovej politiky (LSDOU)
Ak si chcete zapamätať vlastnosti aplikácie skupinových politík v doméne, musíte si pamätať skratku LSDOU. Táto skratka umožňuje zapamätať si poradie uplatňovania GPO:
- Pravidlá miestneho počítača (miestna) nakonfigurované prostredníctvom gpedit.msc (ak je nakonfigurovaná nesprávne, môžete ich resetovať);
- Zásady skupiny na úrovni lokality (site);
- Zásady skupiny na úrovni domény (doména);
- Skupinová politika organizačnej jednotky (Organizačná jednotka).
Nedávni politici majú najvyššiu prioritu. tj ak ste povolili určitý parameter Windows na úrovni politiky domény, ale na cieľovom OU je tento parameter zakázaný inou politikou - to znamená, že požadovaný parameter bude na klientovi deaktivovaný (vyhrá najbližšia politika k objektu v AD hierarchii).
Pri použití parametra vynútený vyhrá GPO, politika je vyššia v hierarchii domén (napríklad ak je v predvolenej politike domény povolená možnosť Vynútená, vyhrá sa všetkým ostatným GPO).
Okrem toho môže správca zmeniť poradie postupov spracovania (Poradie prepojení) v konzole GPMC. Vyberte položku OU a prejdite na kartu Prepojené objekty politiky skupiny. Zoznam obsahuje zoznam GPO, ktoré sa vzťahujú na túto organizačnú jednotku s prioritou. Politiky sa spracúvajú v opačnom poradí (zdola nahor). To znamená politiku s Odkaz na objednávku 1 bude vykonaná ako posledná. Prioritu GPO môžete zmeniť pomocou šípok v ľavom stĺpci posunutím vyššie alebo nižšie v zozname.
Prepojenie GPO povolené
Pre každý objekt GPO, ktorý je viazaný na organizačný kontajner služby AD, môžete povoliť alebo zakázať komunikáciu (použitím politiky). Túto voľbu povolíte alebo zakážete Komunikácia povolená (Prepojenie povolené) v ponuke pravidiel. Ak je pripojenie pre politiku zakázané, jej ikona bude bledá. Keď sa pripojenie odpojí, politika prestane platiť pre klientov, ale odkaz na GPO sa neodstráni z hierarchie. Tento odkaz môžete kedykoľvek aktivovať..
Zámok skupinovej politiky
Ak je povolená Režim blokovania skupinovej politiky (Režim spracovania slučky), môžete na počítač použiť nastavenia, ktoré sú obsiahnuté v sekcii GPO, s nastaveniami používateľov. Napríklad, ak použijete politiku na OU s počítačmi, v ktorých sú nakonfigurované nastavenia v časti User Configurations, tieto politiky sa nebudú vzťahovať na používateľa bez použitia uzávierky. Režim spracovania slučky je povolený v časti Konfigurácia počítača -> Šablóny pre správu -> Systém -> Zásady skupiny -> Konfigurácia režimu spracovania skupinovej politiky používateľa.
Táto politika má dva možné významy:
- Režim zlúčenia - Zlúčiť objekty GPO na základe polohy používateľa a potom objekty GPO viazané na počítač. V prípade rozporu medzi zásadami OU používateľa a OU počítača bude mať politika v počítači vyššiu prioritu. V tomto režime sa politika spustí dvakrát, musí sa to pri použití pamätať; prihlasovacie skripty.
- Režim nahradenia (nahradenie) - na tohto používateľa sa vzťahujú iba pravidlá priradené organizačnému personálu, ktorý obsahuje počítač, do ktorého je používateľ prihlásený..
Diagnostika GPO na strane klienta
Vynútenie skupinovej politiky na strane klienta môžete diagnostikovať pomocou pomocných programov protokolu udalostí gpresult, rsop.msc a Windows. Ak používate prehliadač udalostí, musíte použiť filter podľa zdroja GroupPolicy (Microsoft-Windows-GroupPolicy), ako aj v protokoloch aplikácií a služieb -> Microsoft -> Windows -> Skupinová politika -> Prevádzkové.
Môžete si tiež prečítať články popisujúce princípy diagnostiky, keď príliš dlho aplikujete politiky na klientov.
Na záver by som chcel povedať, že štruktúru skupinových politík by ste mali udržiavať čo najjednoduchšiu a zbytočne nevytvárať zbytočné politiky. Pri použití jednotnej schémy pomenovávania politík by mal názov GPO jednoznačne porozumieť, prečo je to potrebné.