V tomto článku s recenzemi se pokusím analyzovat typické důvody, proč nelze skupinovou politiku použít na organizační jednotku (OU) nebo na konkrétní počítač / uživatele. Myslím, že tento článek bude užitečný jak pro začátečníky, tak pro profesionály AD Group Policy, aby pochopili, jak pracují a architekturu GPO. Nejprve v článku budu hovořit o možných problémech uplatňování GPO souvisejících s nastavením samotných politik na úrovni domény, a nikoli o problému použití GPO na klientech. Téměř všechna nastavení popsaná v tomto článku jsou prováděna v konzole Editoru skupin zásad skupiny - konzole pro správu zásad skupiny (GPMC.msc)..
Obsah:
- Rozsah GPO
- Bezpečnostní filtr GPO
- Filtry GMI WMI
- Stav zásad skupiny
- Delegace GPO
- Dědičnost skupinové politiky
- Rozsah a prosazování skupinových zásad (LSDOU)
- GPO propojení povoleno
- Zámek zásad skupiny
- Diagnostika GPO na straně klienta
Rozsah GPO
Pokud se u klienta některé nastavení zásad nepoužije, zkontrolujte rozsah zásad skupiny. Pokud nastavujete parametr v sekci Konfigurace počítače (Konfigurace počítače), pak musí být vaše skupinové zásady svázány s organizační jednotkou pomocí počítačů. Pokud se tedy konfigurovatelný parametr týká Konfigurace uživatele (Konfigurace uživatele).
Ověřte také, zda je objekt, na který se pokoušíte použít zásadu, ve správném OU s počítači nebo uživateli. Můžete použít vyhledávání podle domény. OU, ve kterém je objekt umístěn, je umístěn na kartě Objekt v konzole ADUC.
To znamená, že cíl musí být umístěn v OU, ke kterému je politika přiřazena (nebo ve vnořeném kontejneru)..
Bezpečnostní filtr GPO
Zkontrolujte hodnotu filtru zabezpečení zásad (Filtrování zabezpečení) Ve výchozím nastavení mají všechny nové GPO v doméně oprávnění pro „Authenticated Users". Tato skupina zahrnuje všechny uživatele a počítače v doméně. To znamená, že tato zásada bude použita na všechny uživatele a počítače, které spadají do její působnosti..
Pokud se rozhodnete tento filtr zabezpečení změnit tak, aby se zásada vztahovala pouze na členy konkrétní skupiny zabezpečení domény (nebo konkrétní uživatele / počítače) odstraněním skupiny Authenticated Users, ujistěte se, že cílový objekt (uživatel nebo počítač) je přidán do této skupiny AD. Zkontrolujte také, zda pro skupinu, kterou jste přidali do filtrování zabezpečení na GPO -> Delegace -> Upřesnit, obsahuje seznam oprávnění práva Přečtěte si a Použít zásady skupiny s autoritou Použít.
Pokud používáte nestandardní bezpečnostní filtry zásad, zkontrolujte, zda neexistuje explicitní zákaz používání GPO pro cílové skupiny (Odepřít)..
Filtry GMI WMI
Ve skupinových zásadách můžete použít speciální filtry WMI. To vám umožní aplikovat zásadu na počítače založené na nějakém požadavku WMI. Můžeme například vytvořit filtr WMI GPO, který aplikuje zásadu pouze na počítače s konkrétní verzí systému Windows, na počítač v konkrétní podsíti IP, pouze na notebooky atd..
Při použití filtrů zásad skupiny WMI musíte zkontrolovat správnost požadavku WMI, který vybere pouze ty systémy, které potřebujete, a vaše cílové počítače nejsou vyloučeny. Filtr WMI můžete vyzkoušet na počítačích pomocí prostředí PowerShell
gwmi -Query 'vyberte * z Win32_OperatingSystem, kde Verze jako "10%" a ProductType = "1"'
Pokud požadavek vrátí jakákoli data, bude na tento počítač použit filtr WMI.
Stav zásad skupiny
Stav zásad skupiny zkontrolujte na kartě GPMC.msc ve vlastnostech karty zásad Podrobnosti. Věnujte pozornost hodnotě v poli Stav GPO.
Jak vidíte, jsou k dispozici 4 možnosti:
- Všechna nastavení jsou deaktivována - všechna nastavení zásad jsou deaktivována (neaplikovatelná);
- Nastavení konfigurace počítače je zakázáno - nastavení z GPO nastavení počítače nejsou použita;
- Nastavení uživatelské konfigurace je zakázáno - nastavení vlastních zásad se nepoužije;
- Povoleno - všechna nastavení zásad platí pro cíle AD (výchozí hodnota).
Delegace GPO
Na kartě zásad Delegování Jsou uvedena oprávnění, která jsou nakonfigurována pro tuto zásadu skupiny. Zde můžete vidět, které skupiny mají právo změnit nastavení GPO a také povolit nebo zakázat aplikaci zásady. Práva správy GPO můžete udělit z této konzole nebo pomocí průvodce delegací v ADUC. Kromě toho přítomnost přístupového řetězce pro řadiče domény Enterprise určuje schopnost replikovat tuto zásadu mezi řadiči domény Active Directory (toto by mělo být zohledněno, pokud existují problémy s replikací zásad mezi řadiči domény). Pamatujte, že práva na kartě Delegace odpovídají právům NTFS přiřazeným adresáři zásad ve složce SYSVOL
Dědičnost skupinové politiky
Dědičnost je jednou ze základních koncepcí skupinových politik. Zásady nejvyšší úrovně se ve výchozím nastavení vztahují na všechny vnořené objekty v hierarchii domén. Správce však může zablokovat aplikaci všech zděděných zásad na konkrétní OU. Chcete-li to provést, klepněte v konzole GPMC na RMU na OU a vyberte položku nabídky Blokové dědictví.
Organizační jednotky s deaktivovanou dědičností politik se v konzole zobrazí s modrým vykřičníkem.
Pokud zásada není použita na klienta, zkontrolujte, zda je v OU s dědičností zakázána.
Mějte na paměti, že zásady domény, pro které jsou vlastnosti „Vynuceno“, Použít i na OU s deaktivovanou dědičností (zděděné zásady, které se vztahují na kontejner, jsou k dispozici na kartě Dědičnost skupinové politiky).
Rozsah a prosazování skupinových zásad (LSDOU)
Chcete-li si zapamatovat funkce aplikace skupinových zásad v doméně, musíte si pamatovat zkratku Lsdou. Tato zkratka umožňuje zapamatovat si pořadí použití GPO:
- Zásady místního počítače (Místní) nakonfigurováno prostřednictvím gpedit.msc (pokud je nakonfigurován nesprávně, můžete je resetovat);
- Zásady skupiny na úrovni webu (Web);
- Zásady skupiny na úrovni domény (Doména);
- Zásady skupiny organizačních jednotek (Organizační jednotka).
Nedávní politici mají nejvyšší prioritu. I.e. Pokud jste povolili určitý parametr Windows na úrovni zásad domény, ale na cílové OU je tento parametr deaktivován jinou zásadou - to znamená, že požadovaný parametr bude na klientovi deaktivován (vyhraje nejbližší politika k objektu v AD hierarchii).
Při použití parametru Nucený GPO vyhraje, zásada je vyšší v hierarchii domén (například pokud je ve výchozím nastavení domény povoleno vynucení, vyhrává proti všem ostatním GPO).
Správce může kromě toho změnit pořadí zásad zpracování (Link Order) v GPMC. Chcete-li to provést, vyberte OU a přejděte na kartu Propojené objekty zásad skupiny. Seznam obsahuje seznam objektů GPO, které se vztahují na tuto organizační jednotku s prioritou. Zásady jsou zpracovávány v obráceném pořadí (zdola nahoru). To znamená politiku s Pořadí odkazu 1 bude provedeno jako poslední. Prioritu GPO můžete změnit pomocí šipek v levém sloupci přesunutím výše nebo dolů v seznamu.
GPO propojení povoleno
Pro každý objekt GPO, který je vázán na organizační kontejner služby AD, můžete povolit nebo zakázat komunikaci (použití zásady). Chcete-li to provést, povolte nebo zakažte možnost Komunikace povolena (Odkaz povolen) v nabídce zásad. Pokud je připojení zásady zakázáno, ikona se zbledne. Když je připojení odpojeno, zásada přestane platit pro klienty, ale odkaz na objekt zásad skupiny není z hierarchie odstraněn. Tento odkaz můžete kdykoli aktivovat..
Zámek zásad skupiny
Pokud je povoleno Režim blokování zásad skupiny (Režim zpracování smyčky) můžete v počítači použít nastavení, která jsou obsažena v sekci GPO, s nastavením uživatelů. Pokud například použijete zásadu na OU u počítačů, ve kterých jsou nakonfigurována nastavení v části Konfigurace uživatelů, nebudou tyto zásady na uživatele použity bez uzavření. Režim zpracování smyčky je povolen v části Konfigurace počítače -> Šablony pro správu -> Systém -> Zásady skupiny -> Konfigurace režimu zpracování zásad skupiny uživatelů.
Tato politika má dva možné významy:
- Režim sloučení - Sloučení objektů GPO na základě umístění uživatele a poté objektů GPO vázaných na počítač. V případě konfliktu mezi zásadami OU uživatele a OU počítače bude mít politika v počítači vyšší prioritu. V tomto režimu bude zásada spuštěna dvakrát, musí být při použití zapamatována; přihlašovací skripty.
- Režim nahrazení (nahrazení) - na uživatele se vztahují pouze zásady přiřazené OU, které obsahují počítač, do kterého je uživatel přihlášen..
Diagnostika GPO na straně klienta
Vynucení skupinových zásad na straně klienta můžete diagnostikovat pomocí obslužných programů protokolu událostí gpresult, rsop.msc a Windows. Při použití Prohlížeče událostí musíte použít filtr podle zdroje GroupPolicy (Microsoft-Windows-GroupPolicy), stejně jako v protokolech aplikací a služeb -> Microsoft -> Windows -> Zásady skupiny -> Provozní.
Můžete si také přečíst články popisující zásady diagnostiky, pokud na klienty aplikujete zásady příliš dlouho.
Závěrem chci říci, že byste měli strukturu skupinových politik udržovat co nejjednodušší a zbytečně vytvářet zbytečné politiky. Použijte jednotné schéma pojmenování politik, název GPO by měl dát jednoznačné pochopení toho, proč je to nutné.