Chính sách nhóm là gì và nó hoạt động như thế nào?


31

Đây là một câu hỏi Canonical về cơ bản chính sách nhóm Active Directory

Chính sách nhóm là gì? Làm thế nào nó hoạt động và tại sao tôi nên sử dụng nó?

Lưu ý: Đây là Câu hỏi & Trả lời cho quản trị viên mới có thể không quen thuộc với cách thức hoạt động và mức độ mạnh mẽ của nó.


Tại sao câu hỏi này được bảo vệ trong khi những câu hỏi khác giống như được đóng lại hoặc tạm dừng vì chúng được coi là "không có vấn đề thực sự ở đây"? Tôi không hiểu
Marki

@Marki Bạn nên đọc bài meta này . Khi có nhiều câu hỏi "xấu" hoặc người mới bắt đầu về một chủ đề, chúng tôi thường tạo một câu hỏi chính tắc có chứa một lượng lớn thông tin chung về chủ đề này để tất cả các câu hỏi cơ bản hoặc câu hỏi cơ bản về một chủ đề có thể được đóng lại như một bản sao của câu hỏi kinh điển.
MDMarra

Câu trả lời:


27

Chính sách nhóm là gì?

Chính sách nhóm là một công cụ có sẵn cho các quản trị viên đang chạy Windows 2000 trở lên Active Directory Domain . Nó cho phép quản lý tập trung các cài đặt trên máy tính khách và máy chủ được nối với miền cũng như cung cấp một cách thô sơ để phân phối phần mềm.

Các cài đặt được nhóm thành các đối tượng được gọi là Đối tượng chính sách nhóm (GPO). GPO được liên kết với một đơn vị tổ chức Active Directory (OU) và có thể được áp dụng cho người dùng và máy tính. GPO không thể được áp dụng trực tiếp cho các nhóm, mặc dù bạn có thể sử dụng tính năng lọc bảo mật hoặc nhắm mục tiêu cấp mục để lọc ứng dụng chính sách dựa trên tư cách thành viên nhóm.

Thật tuyệt, nó có thể làm gì?

Bất cứ điều gì.

Nghiêm túc, bạn có thể làm bất cứ điều gì bạn muốn cho người dùng hoặc máy tính trong miền của bạn. Có hàng trăm cài đặt được xác định trước cho những thứ như chuyển hướng thư mục, độ phức tạp của mật khẩu, cài đặt nguồn, ánh xạ ổ đĩa, mã hóa ổ đĩa, Windows Update , v.v. Bất cứ điều gì bạn không thể định cấu hình thông qua cài đặt được xác định trước, bạn có thể kiểm soát thông qua tập lệnh. Các tập lệnh Batch và VBScript được hỗ trợ trên tất cả các máy khách được hỗ trợ và tập lệnh PowerShell có thể chạy trên máy chủ Windows 7.

Mẹo chuyên nghiệp: Bạn thực sự có thể chạy các tập lệnh khởi động PowerShell trên máy chủ Windows XP và Windows Vista miễn là chúng đã được cài đặt PowerShell 2.0. Bạn có thể tạo một tệp bó gọi tập lệnh với cú pháp này:

powershell Set-ExecutionPolicy RemoteSigned
powershell \\\\server\share\script.ps1
powershell Set-ExecutionPolicy Restricted

Dòng đầu tiên cho phép các tập lệnh không dấu từ các chia sẻ từ xa được chạy trên máy chủ đó và dòng thứ hai gọi tập lệnh từ tệp bó. Dòng thứ ba đặt chính sách trở lại bị hạn chế (mặc định) để bảo mật tối đa.

Các đối tượng chính sách nhóm được áp dụng như thế nào?

GPO được áp dụng theo thứ tự dự đoán. Chính sách địa phương được áp dụng đầu tiên. Có các chính sách được đặt trên máy cục bộ qua gpedit.msc. Chính sách trang web được áp dụng thứ hai. Chính sách tên miền được áp dụng thứ ba và chính sách OU được áp dụng thứ tư. Nếu một đối tượng được lồng bên trong nhiều OU, thì GPO được áp dụng tại các OU gần với gốc nhất trước tiên.

Hãy nhớ rằng nếu có xung đột, GPO cuối cùng được áp dụng "chiến thắng". Ví dụ, điều này có nghĩa là chính sách được liên kết tại OU mà máy tính cư trú sẽ giành chiến thắng nếu có xung đột giữa cài đặt trong GPO đó và chính sách được liên kết trong OU gốc.

Đăng nhập và Khởi động kịch bản có vẻ hay, làm thế nào để làm việc?

Một kịch bản đăng nhập hoặc khởi động có thể tồn tại trên bất kỳ chia sẻ mạng nào miễn là Domain UsersDomain Computerscác nhóm đã đọc quyền truy cập vào chia sẻ mà họ đang truy cập. Theo truyền thống, họ cư trú \\domain.tld\sysvol, nhưng đó không phải là một yêu cầu.

Các kịch bản khởi động được chạy khi máy tính khởi động. Chúng được chạy như tài khoản HỆ THỐNG trên máy cục bộ. Điều này có nghĩa là họ truy cập tài nguyên mạng dưới dạng tài khoản của máy tính. Ví dụ, nếu bạn muốn có một kịch bản khởi động được tiếp cận với một nguồn tài nguyên mạng trên một cổ phiếu mà có UNC của \\server01\share1và tên của máy tính là WORKSTATION01bạn sẽ cần phải chắc chắn rằng WORKSTATION01$đã có quyền truy cập vào phần đó. Vì tập lệnh này được chạy dưới dạng hệ thống, nó có thể thực hiện các công việc như cài đặt phần mềm, sửa đổi các phần đặc quyền của sổ đăng ký và sửa đổi hầu hết các tệp trên máy cục bộ.

Các kịch bản đăng nhập được chạy trong bối cảnh bảo mật của người dùng đăng nhập cục bộ. Hy vọng rằng người dùng của bạn không phải là quản trị viên, vì vậy điều đó có nghĩa là bạn sẽ không thể sử dụng những thứ này để cài đặt phần mềm hoặc sửa đổi cài đặt đăng ký được bảo vệ.

Các kịch bản đăng nhập và khởi động là nền tảng của Windows 2003 và các miền trước đó, nhưng tính hữu dụng của chúng đã bị giảm đi trong các bản phát hành sau của Windows Server. Tùy chọn chính sách nhóm cung cấp cho quản trị viên một cách tốt hơn nhiều để xử lý ánh xạ ổ đĩa và máy in, phím tắt, tệp, mục đăng ký, thành viên nhóm cục bộ và nhiều thứ khác chỉ có thể được thực hiện trong tập lệnh khởi động hoặc đăng nhập. Nếu bạn đang nghĩ rằng bạn có thể cần phải sử dụng tập lệnh cho một tác vụ đơn giản, thì có thể có Chính sách nhóm hoặc tùy chọn cho nó. Ngày nay, trên các miền có máy khách Windows 7 (hoặc mới hơn), chỉ các tác vụ phức tạp yêu cầu các kịch bản khởi động hoặc đăng nhập.

Tôi đã tìm thấy một GPO thú vị, nhưng nó áp dụng cho người dùng, tôi muốn nó áp dụng cho máy tính!

Vâng, tôi biết. Tôi đã từng ở đó. Điều này đặc biệt phổ biến trong phòng thí nghiệm hàn lâm hoặc các tình huống máy tính dùng chung khác, nơi bạn muốn một số chính sách người dùng cho máy in hoặc tài nguyên tương tự dựa trên máy tính chứ không phải người dùng. Đoán xem, bạn đang gặp may! Bạn muốn bật cài đặt GPO cho Chế độ quay vòng chính sách nhóm .

Không có gì.

Bạn nói tôi có thể sử dụng phần mềm này để cài đặt phần mềm, phải không?

Đúng, bạn có thể. Có một số hãy cẩn thận, mặc dù. Phần mềm phải ở định dạng MSI và mọi sửa đổi đối với phần mềm phải ở trong tệp MST . Bạn có thể tạo MST bằng phần mềm như ORCA hoặc bất kỳ trình soạn thảo MSI nào khác. Nếu bạn không thực hiện chuyển đổi, kết quả cuối cùng của bạn sẽ giống như chạymsiexec /i <path to software> /q

Phần mềm cũng chỉ được cài đặt khi khởi động, vì vậy đây không phải là cách phân phối phần mềm rất nhanh, nhưng nó miễn phí. Trong môi trường phòng thí nghiệm có ngân sách thấp, tôi đã thực hiện một tác vụ theo lịch trình (thông qua GPO) sẽ khởi động lại mọi máy tính trong phòng thí nghiệm vào nửa đêm với thời gian bù ngẫu nhiên 30 phút. Điều này sẽ đảm bảo rằng phần mềm tối đa là hết hạn một ngày trong các phòng thí nghiệm đó. Tuy nhiên, phần mềm như SCCM , LANDesk , Altaris hoặc bất cứ thứ gì khác có thể "đẩy" phần mềm theo yêu cầu là tốt hơn.

Làm thế nào thường được áp dụng?

Khách hàng làm mới Đối tượng chính sách nhóm của mình sau mỗi 90 phút với ngẫu nhiên 30 phút. Điều đó có nghĩa là, theo mặc định, có thể có tới 120 phút chờ đợi. Ngoài ra, một số cài đặt, như ánh xạ ổ đĩa, chuyển hướng thư mục và tùy chọn tệp, chỉ được áp dụng khi khởi động hoặc đăng nhập. Chính sách nhóm có nghĩa là để quản lý theo kế hoạch dài hạn, không phải cho các tình huống khắc phục nhanh tức thì.

Bộ kiểm soát miền làm mới chính sách của họ cứ sau năm phút.


3
Một lần nữa, công việc tốt đẹp. Có thể muốn liên kết đến trang này từ AD QA sử thi của bạn.
EEAA

1
Cảm ơn vì điều này. Chúng ta cần liên kết với điều này (và AD) từ các câu trả lời chính tắc của chúng tôi.
Bart De Vos

Tôi nghĩ rằng cái AD ở trong đó và tôi đã gửi cái này để xem xét trong meta. Điều này vẫn còn chưa hoàn thiện, tôi hy vọng sẽ hoàn thành nó tối nay.
MDMarra

"Altaris" có đề cập đến một sản phẩm cụ thể từ Altaris, như Giải pháp triển khai Altiris (DS) không?
Peter Mortensen

1
Liên kết cho Chính sách nhóm Chế độ quay vòng chuyển hướng đến " Tải xuống nội dung đã nghỉ hưu của Windows Server 2003 R2 "; có lẽ nó nên được cập nhật vào liên kết (hoặc tương tự) này: technet.microsoft.com/en-us/l
Library / cc978513.aspx

12

Lưu ý nhanh về Tùy chọn chính sách nhóm: Nếu bạn muốn sử dụng các cài đặt này nhưng có máy trạm Windows XP SP2 hoặc Windows XP SP3, trước tiên, chúng sẽ cần cài đặt Tiện ích mở rộng phía máy khách ưu tiên chính sách nhóm cho Windows XP (KB943729) .

Máy tính Container vs Máy tính OU

Có một mặc định Computers containerdưới gốc tên miền trong Active Directory (AD), thường bị nhầm với đơn vị tổ chức Active Directory (OU). Đây thực sự là một Container, và KHÔNG phải là một OU. Vì đây không thực sự là OU, nên các chính sách nhóm không áp dụng cho các đối tượng trong vùng chứa này. Các ngoại lệ cho quy tắc này là các chính sách nhóm được áp dụng tại domain level. Đây sẽ là các chính sách duy nhất được áp dụng cho các đối tượng trong Computers container.

Theo mặc định, các đối tượng máy tính được nối với miền, không được dàn dựng trước, đi đến Computers container.

Vì vậy, nếu bạn đang tự hỏi tại sao chính sách của mình không áp dụng, hãy kiểm tra để đảm bảo đối tượng được đề cập, nằm ở vị trí chính xác trong AD.

Sao lưu GPO

Bạn có thể sao lưu GPO bằng cách sử dụng Bảng điều khiển quản lý chính sách nhóm (GPMC).

  1. Mở Quản lý chính sách nhóm và nhấp đúp Group Policy Objectsvào rừng và miền chứa đối tượng Chính sách nhóm (GPO) mà bạn muốn sao lưu.
  2. Để sao lưu một GPO, bấm chuột phải vào GPO, rồi bấm Sao lưu. Để sao lưu tất cả các GPO trong miền, nhấp chuột phải Group Policy Objectsvà nhấp Back Up All.
  3. Trong hộp thoại Đối tượng chính sách nhóm sao lưu, trong hộp Vị trí, nhập đường dẫn đến vị trí bạn muốn lưu trữ (các) bản sao lưu GPO hoặc bấm Duyệt, định vị thư mục mà bạn muốn lưu trữ bản sao lưu GPO ( s), và sau đó bấm OK.
  4. Trong hộp Mô tả, nhập mô tả cho (các) GPO mà bạn muốn sao lưu, sau đó bấm Backup. Nếu bạn đang sao lưu nhiều GPO, mô tả sẽ áp dụng cho tất cả các GPO mà bạn sao lưu.
  5. Sau khi hoàn thành thao tác, bấm OK.

Điều tuyệt vời khi sao lưu Chính sách nhóm là nó có kiểm soát phiên bản tích hợp. Có nghĩa là, bạn có thể sử dụng quy trình này nhiều lần và nó sẽ theo dõi các thay đổi giữa các chính sách. Sau đó, bạn có thể khôi phục lại phiên bản cụ thể của chính sách.

Bạn thậm chí có thể thiết lập một tác vụ theo lịch trình để chạy tập lệnh PowerShell sử dụng lệnh Backup-GPO để tự động sao lưu.

Bạn vẫn muốn sao lưu (sử dụng phương thức sao lưu thông thường) thư mục bạn đang sao lưu GPO.


3

Đến đây để tìm kiếm một tập lệnh Powershell đơn giản mà bạn có thể thêm vào Tác vụ theo lịch để sao lưu GPO của mình? Không có AGPM từ gói MDOP?

Bạn đi đây

Đầu tiên thực hiện sao lưu hàng ngày luân phiên cho ngày trong tuần. Bạn sẽ cần tạo đường dẫn thư mục trước thời hạn cho mỗi thư mục (Chủ nhật / Thứ hai / v.v.) Tôi đã không sử dụng Mục mới vì tôi đã hiểu tại sao phải xử lý một Mục thử nghiệm và Mục mới mỗi khi chúng là thư mục thực sự tĩnh sau ngày 1. Bạn sẽ cần các Mô-đun AD Powershell có sẵn trên máy chủ mà bạn chạy.

# GPOBackupScriptDayOfWeek.PS1
# This script Backup all GPOs and save it to a folder based on the day of the week
# It runs as an automated task on SERVER and we keep a one week rotation on disk


Import-Module grouppolicy 
$date = get-date
$dayofweek = $date.DayofWeek
#Remove current backup from the folder (to alleviate space issues down the road since it won't overwrite each time)
Remove-Item \\SERVER\GPO_Backup\$dayofweek\* -Recurse -Force
#Backup current GPOs to the folder
Backup-Gpo -All -Path \\SERVER\GPO_Backup\$dayofweek

Điều tương tự ở đây, nhưng lần này là cho một tháng. Một lần nữa, tạo các thư mục trước thời hạn như tháng một, tháng hai, v.v.

# GPOBackupScript.PS1
# This script Backup all GPOs and save it to a folder each month on the first of the month
# It runs as an automated task on SERVER and we keep a one year rotation

Import-Module grouppolicy 
$month = get-date -Format MMMM
#Remove current backup from the folder (to alleviate space issues down the road since it won't overwrite each time)
Remove-Item \\SERVER\GPO_Backup\$month\* -Recurse -Force
#Backup current GPOs to the folder
Backup-Gpo -All -Path \\SERVER\GPO_Backup\$month
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.