Це канонічне запитання щодо основ групової політики Active Directory

Що таке групова політика? Як це працює і чому я повинен його використовувати?

_{Примітка. Це запитання та відповіді до нового адміністратора, який може не знати, як він функціонує та наскільки він потужний.}

Що таке групова політика?

Групова політика - це інструмент, доступний адміністраторам, на яких працює домен Active Directory Windows 2000 або пізнішої версії . Це дозволяє централізоване управління налаштуваннями на клієнтських комп'ютерах та серверах, приєднаних до домену, а також забезпечує рудиментарний спосіб розподілу програмного забезпечення.

Налаштування групуються в об'єкти, які називаються об'єктами групової політики (GPO). ГПО пов'язані з організаційним підрозділом Active Directory (OU) і можуть застосовуватися до користувачів та комп'ютерів. Групові групи не можна застосовувати безпосередньо до груп, хоча ви можете використовувати фільтрацію безпеки або націлювання на рівні предметів для фільтрації програм політики на основі членства в групі.

Це круто, що він може зробити?

Що завгодно.

Якщо серйозно, ви можете робити все, що завгодно, для користувачів або комп'ютерів у вашому домені. Є сотні заздалегідь заданих налаштувань для таких речей, як перенаправлення папок, складність пароля, настройки живлення, відображення диска, шифрування диска, оновлення Windows тощо. Все, що ви не можете налаштувати за допомогою попередньо визначених налаштувань, ви можете керувати за допомогою сценарію. Пакетні та сценарії VBScript підтримуються на всіх підтримуваних клієнтах, а сценарії PowerShell можна запускати на хостах Windows 7.

Порада професіонала: Насправді ви можете запускати сценарії запуску PowerShell на хостах Windows XP та Windows Vista, а також у них встановлено PowerShell 2.0. Ви можете створити пакетний файл, який викликає сценарій із цим синтаксисом:

powershell Set-ExecutionPolicy RemoteSigned
powershell \\\\server\share\script.ps1
powershell Set-ExecutionPolicy Restricted

Перший рядок дозволяє запускати непідписані сценарії з віддалених спільних ресурсів на цьому хості, а другий рядок викликає скрипт із пакетного файлу. Набір третього рядка повертає політику до обмеженої (за замовчуванням) для максимальної безпеки.

Як застосовуються об'єкти групової політики?

ГПО застосовуються в передбачуваному порядку. Локальна політика застосовується спочатку. Існують політики, встановлені на локальній машині через gpedit.msc. Політика щодо сайтів застосовується друга. Політики домену застосовуються по-третє, а політики OU застосовуються четверті. Якщо об'єкт вкладений всередині декількох ОУ, то GPO застосовуються спочатку в ОУ, найближчому до кореня.

Майте на увазі, що у випадку конфлікту останній застосований ГРУ "виграє". Це означає, наприклад, що політика, пов'язана в ОУ, в якій знаходиться комп'ютер, виграє, якщо буде конфлікт між налаштуваннями в цьому GPO та політикою, пов'язаною в батьківському OU.

Сценарії до входу та запуску здаються крутими, як вони працюють?

Сценарій входу або запуску може жити на будь-якій мережевій спільній доступності до тих пір, поки групи Domain Usersта Domain Computersгрупи прочитають доступ до спільної доступу. Традиційно вони проживають \\domain.tld\sysvol, але це не є вимогою.

Сценарії запуску запускаються при запуску комп'ютера. Вони запускаються як обліковий запис SYSTEM на локальній машині. Це означає, що вони мають доступ до мережевих ресурсів як обліковий запис комп’ютера. Наприклад, якщо ви хочете сценарій запуску , щоб мати доступ до мережного ресурсу , на частку якого є UNC з \\server01\share1і ім'я комп'ютера було WORKSTATION01б ви повинні переконатися , що WORKSTATION01$мав доступ до цієї акції. Оскільки цей скрипт працює як системний, він може робити такі речі, як встановлення програмного забезпечення, змінювати привілейовані розділи реєстру та змінювати більшість файлів на локальній машині.

Сценарії входу виконуються в контексті безпеки локально введеного користувача. Сподіваємось, ваші користувачі не є адміністраторами, а це означає, що ви не зможете використовувати їх для встановлення програмного забезпечення або зміни параметрів захищеного реєстру.

Сценарії входу та запуску були наріжним каменем Windows 2003 та більш ранніх доменів, але їх корисність зменшилася в пізніших випусках Windows Server. Налаштування групової політики дає адміністраторам набагато кращий спосіб обробляти відображення дисків та принтерів, ярлики, файли, записи в реєстрі, членство в локальній групі та багато інших речей, які можна зробити лише під час запуску або входу в сценарій. Якщо ви думаєте, що вам може знадобитися використовувати скрипт для простого завдання, напевно, замість цього є групова політика або уподобання. Сьогодні для доменів з клієнтами Windows 7 (або новіших версій) потрібні лише складні завдання сценаріїв запуску або входу.

Я знайшов класну групову групу, але це стосується користувачів, я хочу застосувати її до комп'ютерів!

Так, я знаю. Я був там. Це особливо поширено в академічній лабораторії та інших спільних комп'ютерних сценаріях, де ви хочете, щоб деякі поліси користувача щодо принтерів або подібних ресурсів базувалися на комп'ютері, а не на користувачі. Вгадайте що, вам пощастило! Ви хочете включити налаштування GPO для режиму групової політики зворотного зв'язку .

Ласкаво просимо.

Ви сказали, що я можу використовувати це для встановлення програмного забезпечення, правда?

Так, можна. Однак є деякі застереження. Програмне забезпечення має бути у форматі MSI , а будь-які його модифікації повинні містити файл MST . Ви можете зробити MST з таким програмним забезпеченням, як ORCA або будь-який інший редактор MSI. Якщо ви не зробите трансформацію, ваш кінцевий результат буде таким же, як і бігmsiexec /i <path to software> /q

Програмне забезпечення також встановлюється лише при запуску, тому це не дуже швидкий спосіб розповсюдження програмного забезпечення, але це безкоштовно. У низькобюджетному середовищі лабораторії я склав планове завдання (через GPO), яке перезавантажить кожен лабораторний комп'ютер опівночі з випадковим зміщенням 30 хвилин. Це дозволить забезпечити, що в цих лабораторіях програмне забезпечення не більше одного дня застаріло. Тим не менш, таке програмне забезпечення, як SCCM , LANDesk , Altaris або будь-що інше, що може «наштовхувати» програмне забезпечення на вимогу, є кращим.

Як часто він застосовується?

Клієнти оновлюють свої об’єкти групової політики кожні 90 хвилин шляхом 30-хвилинної рандомізації. Це означає, що за замовчуванням можна очікувати до 120 хвилин. Також деякі параметри, такі як відображення дисків, перенаправлення папок та налаштування файлів, застосовуються лише під час запуску чи входу. Групова політика призначена для довгострокового планового управління, а не для негайних ситуацій швидкого виправлення.

Контролери домену оновлюють свою політику кожні п’ять хвилин.

Коротка примітка про налаштування групової політики: Якщо ви хочете скористатися цими налаштуваннями, але у вас є робочі станції Windows XP SP2 або Windows XP SP3, спочатку потрібно встановити розширення на базі групової політики клієнта для Windows XP (KB943729) .

Комп'ютерний контейнер проти комп’ютерів OU

Під Computers containerкоренем домену в Active Directory (AD) є за замовчуванням , що часто помиляється з організаційним підрозділом Active Directory (OU). Це насправді є Container, а НЕ є OU. Оскільки це насправді НЕ, групова політика не поширюється на об'єкти в цьому контейнері. Виняток із цього правила - це групова політика, застосована в domain level. Це будуть єдині політики, що застосовуються до об'єктів у Computers container.

За замовчуванням об’єкти комп'ютера, приєднані до домену, які не є попередньо поетапними, переходять до Computers container.

Тож якщо вам цікаво, чому ваша політика не застосовується, перевірте, чи переконується, що відповідний об’єкт знаходиться у правильному місці розташування в AD.

Резервне копіювання групових груп

Ви можете створити резервну копію групових груп за допомогою консолі управління груповою політикою (GPMC).

1. Відкрийте Управління груповою політикою та двічі клацніть Group Policy Objectsліс та домен, що містить об’єкт Групової політики (GPO), який потрібно створити резервну копію.
2. Щоб створити резервну копію однієї GPO, клацніть правою кнопкою миші групову групу та натисніть кнопку "Резервне копіювання". Щоб створити резервну копію всіх об'єктів групової політики в домені, клацніть правою кнопкою миші Group Policy Objectsта клацніть правою кнопкою миші Back Up All.
3. У діалоговому вікні "Об'єкт групової політики резервного копіювання" у вікні "Місце розташування" введіть шлях до місця, в якому потрібно зберігати резервні копії (GPO), або натисніть кнопку Огляд, знайдіть папку, в якій потрібно зберігати резервну копію GPO ( s) і натисніть кнопку ОК.
4. У полі Опис введіть опис GPO (ів), які потрібно створити резервну копію, а потім натисніть кнопку Backup. Якщо ви створюєте резервну копію декількох групових груп, опис буде застосовано до всіх групових груп, які ви створюєте.
5. Після завершення операції натисніть кнопку ОК.

Чудова річ щодо резервного копіювання групової політики - це вбудований контроль версій. Це означає, що ви можете використовувати цю процедуру кілька разів, і вона буде відслідковувати зміни між полісами. Потім ви можете відновити певну версію політики.

Ви навіть можете встановити заплановане завдання для запуску сценарію PowerShell, який використовує команду Backup-GPO для автоматизації резервного копіювання.

Ви все ще хочете створити резервну копію (використовуючи звичайний метод резервного копіювання) папки, в яку створюєте резервну копію об'єктів групової групи.

Прийшли сюди, шукаючи простий скрипт Powershell, який ви можете додати до запланованих завдань для резервного копіювання своїх GPO? Не маєте AGPM з пакету MDOP?

Ось ви йдете.

Спочатку роблять щоденне обертання резервного копіювання на день тижня. Вам потрібно буде створити шлях до папки заздалегідь для кожної папки (неділя / понеділок / тощо). Я не використовував New-Item, оскільки я зрозумів, навіщо робити тест-елемент і New-Item кожен раз, коли вони дійсно статичні папки за днем ​​1. Вам знадобляться модулі AD Powershell, доступні на сервері, на якому ви її запускаєте.

# GPOBackupScriptDayOfWeek.PS1
# This script Backup all GPOs and save it to a folder based on the day of the week
# It runs as an automated task on SERVER and we keep a one week rotation on disk


Import-Module grouppolicy 
$date = get-date
$dayofweek = $date.DayofWeek
#Remove current backup from the folder (to alleviate space issues down the road since it won't overwrite each time)
Remove-Item \\SERVER\GPO_Backup\$dayofweek\* -Recurse -Force
#Backup current GPOs to the folder
Backup-Gpo -All -Path \\SERVER\GPO_Backup\$dayofweek

Тут те ж саме, але цього разу це щомісяця. Знову ж, створіть папки достроково, як січень, лютий тощо.

# GPOBackupScript.PS1
# This script Backup all GPOs and save it to a folder each month on the first of the month
# It runs as an automated task on SERVER and we keep a one year rotation

Import-Module grouppolicy 
$month = get-date -Format MMMM
#Remove current backup from the folder (to alleviate space issues down the road since it won't overwrite each time)
Remove-Item \\SERVER\GPO_Backup\$month\* -Recurse -Force
#Backup current GPOs to the folder
Backup-Gpo -All -Path \\SERVER\GPO_Backup\$month