Bu, Active Directory Grup İlkesi Temelleri ile ilgili Kanonik bir Soru

Grup İlkesi nedir? Nasıl çalışır ve neden kullanmalıyım?

_{Not: Bu, yeni yöneticinin nasıl çalıştığını ve ne kadar güçlü olduğunu bilmediği bir Soru ve Yanıttır.}

Grup İlkesi nedir?

Grup İlkesi, Windows 2000 veya sonraki bir Active Directory Etki Alanı çalıştıran yöneticiler tarafından kullanılabilen bir araçtır . İstemci bilgisayarlarda ve etki alanına katılan sunuculardaki ayarların merkezi olarak yönetilmesine ve ayrıca yazılım dağıtmanın basit bir yolunu sağlar.

Ayarlar, Grup İlkesi Nesneleri (GPO) adı verilen nesnelere gruplandırılmıştır. GPO'lar bir Active Directory kuruluş birimine (OU) bağlanır ve kullanıcılara ve bilgisayarlara uygulanabilir. GPO'lar gruplara doğrudan uygulanamaz, ancak grup üyeliğine göre politika uygulamasını filtrelemek için güvenlik filtreleme veya öğe düzeyinde hedefleme kullanabilirsiniz.

Bu harika, ne yapabilir?

Herhangi bir şey.

Cidden, etki alanınızdaki kullanıcılara veya bilgisayarlara istediğiniz herhangi bir şeyi yapabilirsiniz. Klasör yeniden yönlendirme, parola karmaşıklığı, güç ayarları, sürücü eşlemeleri, sürücü şifrelemesi, Windows Update ve benzeri işlemler için yüzlerce önceden tanımlı ayar vardır . Önceden tanımlanmış bir ayar ile yapılandıramayacağınız herhangi bir şeyi komut dosyasıyla denetleyebilirsiniz. Toplu iş ve VBScript komut dosyaları desteklenen tüm istemcilerde desteklenir ve PowerShell komut dosyaları Windows 7 ana bilgisayarlarında çalıştırılabilir.

Profesyonel ipucu: PowerShell başlangıç ​​komut dosyalarını, PowerShell 2.0 yüklü olduğu sürece Windows XP ve Windows Vista ana bilgisayarlarında da çalıştırabilirsiniz. Bu sözdizimiyle komut dosyasını çağıran bir toplu iş dosyası oluşturabilirsiniz:

powershell Set-ExecutionPolicy RemoteSigned
powershell \\\\server\share\script.ps1
powershell Set-ExecutionPolicy Restricted

İlk satır uzak paylaşımlardan gelen imzasız komut dosyalarının o ana bilgisayarda çalıştırılmasına izin verir ve ikinci satır komut dosyasını toplu iş dosyasından çağırır. Üçüncü satır kümeleri, maksimum güvenlik için ilkeyi kısıtlı (varsayılan) değerine ayarlar.

Grup İlkesi Nesneleri nasıl uygulanır?

GPO'lar öngörülebilir bir sırada uygulanır. Önce yerel politikalar uygulanır. Yerel makinede gpedit.msc aracılığıyla ayarlanan politikalar vardır. Site politikaları ikinci kez uygulanır. Etki alanı politikaları üçüncü, OU politikaları ise dördüncü olarak uygulanır. Bir nesne birden fazla OU'nun içine yerleştirilmişse, GPO'lar önce köke en yakın olan OU'lara uygulanır.

Bir çakışma olursa, uygulanan son GPO'nun “kazandığını” unutmayın. Bu, örneğin, bir bilgisayarın içinde bulunduğu OU’ya bağlı olan politikanın, bu GPO’daki bir ayar ile bir ana OU’ya bağlı olan arasında bir çelişki olması durumunda kazanacağı anlamına gelir.

Oturum Açma ve Başlatma Komut Dosyaları harika görünüyor, bunlar nasıl çalışır?

Bir oturum açma veya başlangıç ​​komut dosyası, Domain Usersve Domain Computersgruplar oldukları paylaşıma okuma erişimi olduğu sürece herhangi bir ağ paylaşımında yaşayabilir . Geleneksel olarak, içinde bulunurlar \\domain.tld\sysvol, ancak bu bir gereklilik değildir.

Bilgisayar başlatıldığında başlangıç ​​komut dosyaları çalıştırılır. Yerel makinede SYSTEM hesabı olarak çalıştırılırlar. Bu, bilgisayar hesabına ağ kaynaklarına eriştikleri anlamına gelir. Örneğin, sahip paylaşımında bir ağ kaynağına erişim için bir başlangıç komut dosyası isteseydiniz UNC ait \\server01\share1ve bilgisayarın adıydı WORKSTATION01emin olun gerekir WORKSTATION01$bu paylaşıma erişimi vardı. Bu komut dosyası sistem olarak çalıştırıldığından, yükleme yazılımı, kayıt defterinin ayrıcalıklı bölümlerini değiştirme ve yerel makinedeki çoğu dosyayı değiştirme gibi şeyler yapabilir.

Oturum açma komut dosyaları, yerel olarak oturum açan kullanıcının güvenlik bağlamında çalıştırılır. Umarım kullanıcılarınız yönetici değildir, bu nedenle bunları yazılım yüklemek veya korumalı kayıt defteri ayarlarını değiştirmek için kullanamayacağınız anlamına gelir.

Oturum açma ve başlatma komut dosyaları, Windows 2003 ve önceki etki alanlarında bir köşe taşıydı, ancak Windows Server'ın sonraki sürümlerinde kullanımları azaldı. Grup İlkesi Tercihleri, yöneticilere sürücü ve yazıcı eşlemeleri, kısayollar, dosyalar, kayıt defteri girdileri, yerel grup üyeliği ve yalnızca bir başlangıç ​​veya oturum açma komut dosyasında yapılabilecek diğer birçok işlemi yapmaları için çok daha iyi bir yol sağlar. Basit bir görev için bir komut dosyası kullanmanız gerekebileceğini düşünüyorsanız, bunun yerine bir Grup İlkesi veya tercihi vardır. Günümüzde, Windows 7 (veya daha yenisi) istemcileri olan alanlarda, yalnızca karmaşık görevler başlangıç ​​veya oturum açma komut dosyaları gerektirir.

Harika bir GPO buldum ama kullanıcılar için geçerli, bilgisayarlara uygulanmasını istiyorum!

Evet biliyorum. Ben orada oldum. Bu özellikle akademik laboratuarda veya yazıcılar veya benzeri kaynaklarla ilgili kullanıcı politikalarından bazılarının kullanıcıya değil, bilgisayara dayalı olmasını istediğiniz diğer paylaşılan bilgisayar senaryolarında yaygındır. Bil bakalım ne oldu? Grup İlkesi Geri Döngü Modu için GPO ayarını etkinleştirmek istiyorsunuz .

Rica ederim.

Bunu yazılımı yüklemek için kullanabileceğimi söyledin, değil mi?

Evet, yapabilirsin. Yine de bazı uyarılar var. Yazılımın MSI formatında olması ve üzerinde yapılan herhangi bir değişikliğin bir MST dosyasında olması gerekir . ORCA veya başka bir MSI editörü gibi bir yazılımla bir MST yapabilirsiniz . Bir dönüşüm yapmazsanız, nihai sonucunuz yayınlanmayla aynı olurmsiexec /i <path to software> /q

Yazılım ayrıca sadece başlangıçta yüklenir, bu nedenle yazılım dağıtmak için çok hızlı bir yol değildir, ancak ücretsizdir. Düşük bütçeli bir laboratuar ortamında, her laboratuvar bilgisayarını gece yarısı rasgele 30 dakikalık bir ofsetle yeniden başlatacak zamanlanmış bir görev yaptım (GPO aracılığıyla). Bu, yazılımın bu laboratuvarlarda en fazla bir gün eski olmasını sağlar. Yine de, SCCM , LANDesk , Altaris veya isteğe bağlı olarak yazılımı "zorlayabilen" herhangi bir yazılım tercih edilir.

Ne sıklıkla uygulanır?

Müşteriler, Grup İlkesi Nesnelerini her 90 dakikada bir 30 dakikalık bir randomizasyonla yeniler. Bu, varsayılan olarak 120 dakikalık bir bekleme olabileceği anlamına gelir. Ayrıca, sürücü eşlemeleri, klasör yeniden yönlendirme ve dosya tercihleri ​​gibi bazı ayarlar yalnızca başlangıçta veya oturum açıldığında uygulanır. Grup İlkesi, anlık hızlı çözülme durumları için değil uzun vadeli planlı yönetim içindir.

Etki Alanı Denetleyicileri, politikalarını her beş dakikada bir yeniler.

Grup İlkesi Tercihleri ​​hakkında kısa bir not: Bu ayarları kullanmak, ancak Windows XP SP2 veya Windows XP SP3 iş istasyonlarına sahip olmak istiyorsanız, önce Windows XP için Grup İlkesi Tercihi İstemci Tarafı Uzantıları'nı yüklemeniz gerekir (KB943729) .

Bilgisayarlar Konteyner vs Bilgisayarlar OU

Active Directory'deki (AD) Computers containeretki alanı kökünün altında , genellikle bir Active Directory kuruluş birimi (OU) ile yanlış olan bir varsayılan vardır . Bu aslında bir ve bir DEĞİLDİR . Bu aslında bir OU olmadığı için, grup ilkeleri bu kapsayıcı içindeki nesnelere uygulanmaz. Bu kuralın istisnaları, adresinde uygulanan grup politikalarıdır . Bunlar, içindeki nesnelere uygulanan tek politika olacaktır .ContainerOUdomain levelComputers container

Varsayılan olarak, etki alanına katılmış, önceden aşamalı olmayan bilgisayar nesneleri, konumuna gidin Computers container.

Bu nedenle, politikanızın neden uygulanmadığını merak ediyorsanız, söz konusu nesnenin AD'de doğru konumda olduğundan emin olun.

GPO'ları yedekleme

GPO'ları Grup İlkesi Yönetim Konsolu'nu (GPMC) kullanarak yedekleyebilirsiniz.

1. Grup İlkesi Yönetimi'ni açın ve Group Policy Objectsyedeklemek istediğiniz Grup İlkesi nesnesini (GPO) içeren ormandaki ve etki alanındaki çift ​​tıklatın .
2. Tek bir GPO'yu yedeklemek için GPO'yu sağ tıklatın ve ardından Yedekle'yi tıklatın. Etki alanındaki tüm GPO'ları yedeklemek için sağ tıklayın Group Policy Objectsve tıklayın Back Up All.
3. Yedekleme Grup İlkesi Nesnesi iletişim kutusunda, Konum kutusuna GPO yedeklemelerini depolamak istediğiniz konumun yolunu girin veya Gözat'ı tıklatın, GPO yedeklemesini depolamak istediğiniz klasörü bulun ( s), ardından Tamam'ı tıklayın.
4. Açıklama kutusuna, yedeklemek istediğiniz GPO (lar) için bir açıklama yazın ve ardından Tamam'ı tıklatın Backup. Birden fazla GPO yedekliyorsanız, açıklama yedeklediğiniz tüm GPO'lara uygulanır.
5. İşlem tamamlandıktan sonra, Tamam'ı tıklayın.

Grup İlkelerini yedeklemenin harika yanı, yerleşik sürüm denetimine sahip olmasıdır. Yani, bu prosedürü birden çok kez kullanabilirsiniz ve politikalar arasındaki değişiklikleri takip edecektir. Daha sonra bir politikanın belirli bir sürümüne geri yükleyebilirsiniz.

Yedeklemeleri otomatikleştirmek için Backup-GPO komutunu kullanan bir PowerShell betiğini çalıştırmak için zamanlanmış bir görev bile ayarlayabilirsiniz .

GPO'ları yedeklediğiniz klasörü hala (geleneksel bir yedekleme yöntemi kullanarak) yedeklemek istiyorsunuz.

GPO'larınızı yedeklemek için Zamanlanmış Görevler'e ekleyebileceğiniz basit bir Powershell betiği mi arıyorsunuz? MDOP paketinden AGPM yok mu?

Hadi bakalım.

Birincisi haftanın günü için günlük bir döner yedekleme yapar. Her klasör için vaktinden önce bir klasör yolu oluşturmanız gerekecek (Pazar / Pazartesi / vb.) Bu öğelerin her seferinde neden bir Test Öğesi ve Yeni Öğeyle uğraştığını düşündüğümden beri Yeni Öğe kullanmıyorum. 1. günden sonra gerçekten statik klasörler 1. Çalıştığınız sunucuda mevcut olan AD Powershell Modüllerine ihtiyacınız olacak.

# GPOBackupScriptDayOfWeek.PS1
# This script Backup all GPOs and save it to a folder based on the day of the week
# It runs as an automated task on SERVER and we keep a one week rotation on disk


Import-Module grouppolicy 
$date = get-date
$dayofweek = $date.DayofWeek
#Remove current backup from the folder (to alleviate space issues down the road since it won't overwrite each time)
Remove-Item \\SERVER\GPO_Backup\$dayofweek\* -Recurse -Force
#Backup current GPOs to the folder
Backup-Gpo -All -Path \\SERVER\GPO_Backup\$dayofweek

Burada aynı şey, ama bu sefer bir Aylık. Yine, önceden Ocak, Şubat, vb. Gibi klasörler oluşturun.

# GPOBackupScript.PS1
# This script Backup all GPOs and save it to a folder each month on the first of the month
# It runs as an automated task on SERVER and we keep a one year rotation

Import-Module grouppolicy 
$month = get-date -Format MMMM
#Remove current backup from the folder (to alleviate space issues down the road since it won't overwrite each time)
Remove-Item \\SERVER\GPO_Backup\$month\* -Recurse -Force
#Backup current GPOs to the folder
Backup-Gpo -All -Path \\SERVER\GPO_Backup\$month