Что такое групповая политика и как она работает?
Это канонический вопрос об основах групповой политики Active Directory
Что такое групповая политика? Как это работает и почему я должен его использовать?
Примечание. Это вопрос и ответ новому администратору, который может не знать, как он работает и насколько он мощный.
3 ответа
Что такое групповая политика?
Групповая политика - это инструмент, который доступен администраторам под управлением Windows 2000 или более поздней версии домена Active Directory. Это позволяет централизованно управлять настройками на клиентских компьютерах и серверах, подключенных к домену, а также обеспечивает элементарный способ распространения программного обеспечения.
Параметры сгруппированы в объекты, называемые объектами групповой политики (GPO). Объекты групповой политики связаны с подразделением Active Directory и могут применяться к пользователям и компьютерам. Объекты групповой политики нельзя применять непосредственно к группам, хотя вы можете использовать фильтрацию безопасности или таргетинг на уровне элементов для фильтрации приложений политики на основе членства в группах.
Это круто, что это может сделать?
Что-нибудь.
Серьезно, вы можете делать все что угодно пользователям или компьютерам в вашем домене. Существуют сотни предопределенных настроек для таких вещей, как перенаправление папок, сложность пароля, настройки электропитания, сопоставления дисков, шифрование дисков, Центр обновления Windows и так далее. Все, что вы не можете настроить с помощью предварительно определенных настроек, вы можете контролировать с помощью сценариев. Пакетные сценарии и сценарии VBScript поддерживаются на всех поддерживаемых клиентах, а сценарии PowerShell можно запускать на хостах Windows 7.
Профессиональный совет: на самом деле вы можете запускать сценарии запуска PowerShell на хостах Windows XP и Windows Vista, если на них установлен PowerShell 2.0. Вы можете создать командный файл, который вызывает скрипт с этим синтаксисом:
powershell Set-ExecutionPolicy RemoteSigned
powershell \\\\server\share\script.ps1
powershell Set-ExecutionPolicy Restricted
Первая строка позволяет запускать неподписанные сценарии с удаленных общих ресурсов на этом хосте, а вторая строка вызывает сценарий из командного файла. Третья строка устанавливает политику обратно на ограниченную (по умолчанию) для максимальной безопасности.
Как применяются объекты групповой политики?
Объекты групповой политики применяются в предсказуемом порядке. Локальные политики применяются в первую очередь. Существуют политики, установленные на локальной машине через gpedit.msc. Правила сайта применяются вторыми. Политики домена применяются третьим, а политики OU - четвертым. Если объект вложен в несколько OU, то объекты GPO применяются в первую очередь к OU, ближайшим к корню.
Имейте в виду, что в случае конфликта последний примененный объект групповой политики "выигрывает". Это означает, например, что политика, связанная с подразделением, в котором находится компьютер, выиграет, если возникнет конфликт между настройкой в этом объекте групповой политики и настройкой, связанной с родительским подразделением.
Скрипты входа и запуска кажутся классными, как они работают?
Сценарий входа в систему или запуска может жить на любом сетевом ресурсе, пока Domain Users
а также Domain Computers
группы имеют доступ для чтения к общему ресурсу. Традиционно они проживают в \\domain.tld\sysvol
, но это не требование.
Сценарии запуска запускаются при запуске компьютера. Они запускаются как системная учетная запись на локальном компьютере. Это означает, что они получают доступ к сетевым ресурсам как учетная запись компьютера. Например, если вы хотите, чтобы сценарий запуска имел доступ к сетевому ресурсу на общем ресурсе с UNC \\server01\share1
и имя компьютера было WORKSTATION01
вам нужно убедиться, что WORKSTATION01$
имел доступ к этой акции. Поскольку этот скрипт запускается как системный, он может выполнять такие вещи, как установка программного обеспечения, изменение привилегированных разделов реестра и изменение большинства файлов на локальном компьютере.
Сценарии входа в систему выполняются в контексте безопасности локально вошедшего в систему пользователя. Надеемся, что ваши пользователи не являются администраторами, так что это означает, что вы не сможете использовать их для установки программного обеспечения или изменения параметров защищенного реестра.
Сценарии входа и запуска были краеугольным камнем Windows 2003 и более ранних доменов, но их полезность снизилась в более поздних выпусках Windows Server. Предпочтения групповой политики дают администраторам гораздо лучший способ обрабатывать сопоставления дисков и принтеров, ярлыки, файлы, записи реестра, членство в локальных группах и многое другое, что можно сделать только в сценарии запуска или входа в систему. Если вы думаете, что вам может понадобиться использовать сценарий для простой задачи, возможно, вместо него есть групповая политика или предпочтение. В настоящее время в доменах с клиентами Windows 7 (или более поздними версиями) только сложные задачи требуют сценариев запуска или входа.
Я нашел классный объект групповой политики, но он относится к пользователям, я хочу, чтобы он применялся к компьютерам!
Да, знаю. Я был там. Это особенно распространено в академической лаборатории или в других сценариях общего компьютера, где вы хотите, чтобы некоторые пользовательские политики для принтеров или аналогичных ресурсов основывались на компьютере, а не на пользователе. Угадай что, тебе повезло! Вы хотите включить параметр объекта групповой политики для режима обратной связи групповой политики.
Пожалуйста.
Вы сказали, что я могу использовать это для установки программного обеспечения, верно?
Да, вы можете. Однако есть некоторые предостережения. Программное обеспечение должно быть в формате MSI, а любые изменения в нем должны быть в файле MST. Вы можете создать MST с помощью программного обеспечения, такого как ORCA или любого другого редактора MSI. Если вы не сделаете преобразование, ваш конечный результат будет таким же, как запуск msiexec /i <path to software> /q
Программное обеспечение также устанавливается только при запуске, поэтому это не очень быстрый способ распространения программного обеспечения, но это бесплатно. В малобюджетной лабораторной среде я выполнил запланированное задание (через GPO), которое перезагрузит каждый лабораторный компьютер в полночь со случайным смещением в 30 минут. Это гарантирует, что программное обеспечение, как минимум, устареет в этих лабораториях на один день. Тем не менее, программное обеспечение, такое как SCCM, LANDesk, Altaris или что-либо еще, что может "подталкивать" программное обеспечение по требованию, является предпочтительным.
Как часто это применяется?
Клиенты обновляют свои объекты групповой политики каждые 90 минут с 30-минутным рандомизацией. Это означает, что по умолчанию время ожидания может составлять до 120 минут. Кроме того, некоторые параметры, такие как сопоставление дисков, перенаправление папок и параметры файлов, применяются только при запуске или входе в систему. Групповая политика предназначена для долгосрочного планового управления, а не для мгновенных быстрых решений.
Контроллеры домена обновляют свою политику каждые пять минут.
Краткое примечание о предпочтениях групповой политики. Если вы хотите использовать эти параметры, но у вас есть рабочие станции с Windows XP SP2 или Windows XP SP3, им сначала необходимо установить клиентские расширения предпочтений групповой политики для Windows XP (KB943729).
Компьютеры Контейнер vs Компьютеры OU
Есть дефолт Computers container
под корнем домена в Active Directory (AD), что часто ошибочно принимают за организационную единицу Active Directory (OU). Это на самом деле Container
и НЕ является OU
, Поскольку это на самом деле не OU, групповые политики не применяются к объектам в этом контейнере. Исключением из этого правила являются групповые политики, применяемые на domain level
, Это будут единственные политики, применяемые к объектам в Computers container
,
По умолчанию компьютерные объекты, присоединенные к домену, которые не являются предварительно подготовленными, переходят в Computers container
,
Поэтому, если вам интересно, почему ваша политика не применяется, убедитесь, что рассматриваемый объект находится в правильном месте в AD.
Резервное копирование объектов групповой политики
Резервное копирование объектов групповой политики можно выполнять с помощью консоли управления групповой политикой (GPMC).
- Откройте Управление групповой политикой и дважды щелкните
Group Policy Objects
в лесу и домене, содержащем объект групповой политики (GPO), для которого требуется создать резервную копию. - Чтобы создать резервную копию одного объекта групповой политики, щелкните его правой кнопкой мыши и выберите "Создать резервную копию". Для резервного копирования всех объектов групповой политики в домене щелкните правой кнопкой мыши
Group Policy Objects
и нажмитеBack Up All
, - В диалоговом окне "Объект групповой политики резервного копирования" в поле "Местоположение" введите путь к расположению, в котором вы хотите сохранить резервные копии объектов групповой политики, или нажмите "Обзор", найдите папку, в которой вы хотите сохранить резервную копию объекта групповой политики (s), а затем нажмите кнопку ОК.
- В поле Описание введите описание объекта (ов), для которого требуется создать резервную копию, и нажмите кнопку
Backup
, Если вы создаете резервные копии нескольких объектов групповой политики, описание будет применяться ко всем объектам резервной копии, которые вы создаете. - После завершения операции нажмите ОК.
Преимущество резервного копирования групповых политик заключается в том, что он имеет встроенный контроль версий. Это означает, что вы можете использовать эту процедуру несколько раз, и она будет отслеживать изменения между политиками. Затем вы можете восстановить конкретную версию политики.
Можно даже настроить запланированное задание для запуска сценария PowerShell, который использует команду Backup-GPO для автоматизации резервного копирования.
Вы все еще хотите сделать резервную копию (используя обычный метод резервного копирования) папки, в которую вы копируете объекты групповой политики.
Пришли сюда в поисках простого скрипта Powershell, который вы можете добавить к запланированным задачам для резервного копирования ваших объектов групповой политики? У вас нет AGPM из пакета MDOP?
Ну вот.
Первый выполняет ежедневное резервное копирование на день недели. Вам нужно будет заранее создать путь к папке для каждой папки (воскресенье / понедельник / и т. Д.). Я не использовал New-Item, так как решил, почему каждый раз, когда они имеют дело с Test-Item и New-Item действительно статичные папки после первого дня. Вам понадобятся модули AD Powershell, доступные на сервере, на котором вы их запускаете.
# GPOBackupScriptDayOfWeek.PS1
# This script Backup all GPOs and save it to a folder based on the day of the week
# It runs as an automated task on SERVER and we keep a one week rotation on disk
Import-Module grouppolicy
$date = get-date
$dayofweek = $date.DayofWeek
#Remove current backup from the folder (to alleviate space issues down the road since it won't overwrite each time)
Remove-Item \\SERVER\GPO_Backup\$dayofweek\* -Recurse -Force
#Backup current GPOs to the folder
Backup-Gpo -All -Path \\SERVER\GPO_Backup\$dayofweek
То же самое и здесь, но на этот раз для Ежемесячника. Опять же, создайте папки заранее, как январь, февраль и т. Д.
# GPOBackupScript.PS1
# This script Backup all GPOs and save it to a folder each month on the first of the month
# It runs as an automated task on SERVER and we keep a one year rotation
Import-Module grouppolicy
$month = get-date -Format MMMM
#Remove current backup from the folder (to alleviate space issues down the road since it won't overwrite each time)
Remove-Item \\SERVER\GPO_Backup\$month\* -Recurse -Force
#Backup current GPOs to the folder
Backup-Gpo -All -Path \\SERVER\GPO_Backup\$month