Chính sách nhóm là gì?
Chính sách nhóm là một công cụ có sẵn cho các quản trị viên đang chạy Windows 2000 trở lên Active Directory Domain . Nó cho phép quản lý tập trung các cài đặt trên máy tính khách và máy chủ được nối với miền cũng như cung cấp một cách thô sơ để phân phối phần mềm.
Các cài đặt được nhóm thành các đối tượng được gọi là Đối tượng chính sách nhóm (GPO). GPO được liên kết với một đơn vị tổ chức Active Directory (OU) và có thể được áp dụng cho người dùng và máy tính. GPO không thể được áp dụng trực tiếp cho các nhóm, mặc dù bạn có thể sử dụng tính năng lọc bảo mật hoặc nhắm mục tiêu cấp mục để lọc ứng dụng chính sách dựa trên tư cách thành viên nhóm.
Thật tuyệt, nó có thể làm gì?
Bất cứ điều gì.
Nghiêm túc, bạn có thể làm bất cứ điều gì bạn muốn cho người dùng hoặc máy tính trong miền của bạn. Có hàng trăm cài đặt được xác định trước cho những thứ như chuyển hướng thư mục, độ phức tạp của mật khẩu, cài đặt nguồn, ánh xạ ổ đĩa, mã hóa ổ đĩa, Windows Update , v.v. Bất cứ điều gì bạn không thể định cấu hình thông qua cài đặt được xác định trước, bạn có thể kiểm soát thông qua tập lệnh. Các tập lệnh Batch và VBScript được hỗ trợ trên tất cả các máy khách được hỗ trợ và tập lệnh PowerShell có thể chạy trên máy chủ Windows 7.
Mẹo chuyên nghiệp: Bạn thực sự có thể chạy các tập lệnh khởi động PowerShell trên máy chủ Windows XP và Windows Vista miễn là chúng đã được cài đặt PowerShell 2.0. Bạn có thể tạo một tệp bó gọi tập lệnh với cú pháp này:
powershell Set-ExecutionPolicy RemoteSigned
powershell \\\\server\share\script.ps1
powershell Set-ExecutionPolicy Restricted
Dòng đầu tiên cho phép các tập lệnh không dấu từ các chia sẻ từ xa được chạy trên máy chủ đó và dòng thứ hai gọi tập lệnh từ tệp bó. Dòng thứ ba đặt chính sách trở lại bị hạn chế (mặc định) để bảo mật tối đa.
Các đối tượng chính sách nhóm được áp dụng như thế nào?
GPO được áp dụng theo thứ tự dự đoán. Chính sách địa phương được áp dụng đầu tiên. Có các chính sách được đặt trên máy cục bộ qua gpedit.msc. Chính sách trang web được áp dụng thứ hai. Chính sách tên miền được áp dụng thứ ba và chính sách OU được áp dụng thứ tư. Nếu một đối tượng được lồng bên trong nhiều OU, thì GPO được áp dụng tại các OU gần với gốc nhất trước tiên.
Hãy nhớ rằng nếu có xung đột, GPO cuối cùng được áp dụng "chiến thắng". Ví dụ, điều này có nghĩa là chính sách được liên kết tại OU mà máy tính cư trú sẽ giành chiến thắng nếu có xung đột giữa cài đặt trong GPO đó và chính sách được liên kết trong OU gốc.
Đăng nhập và Khởi động kịch bản có vẻ hay, làm thế nào để làm việc?
Một kịch bản đăng nhập hoặc khởi động có thể tồn tại trên bất kỳ chia sẻ mạng nào miễn là Domain Users
và Domain Computers
các nhóm đã đọc quyền truy cập vào chia sẻ mà họ đang truy cập. Theo truyền thống, họ cư trú \\domain.tld\sysvol
, nhưng đó không phải là một yêu cầu.
Các kịch bản khởi động được chạy khi máy tính khởi động. Chúng được chạy như tài khoản HỆ THỐNG trên máy cục bộ. Điều này có nghĩa là họ truy cập tài nguyên mạng dưới dạng tài khoản của máy tính. Ví dụ, nếu bạn muốn có một kịch bản khởi động được tiếp cận với một nguồn tài nguyên mạng trên một cổ phiếu mà có UNC của \\server01\share1
và tên của máy tính là WORKSTATION01
bạn sẽ cần phải chắc chắn rằng WORKSTATION01$
đã có quyền truy cập vào phần đó. Vì tập lệnh này được chạy dưới dạng hệ thống, nó có thể thực hiện các công việc như cài đặt phần mềm, sửa đổi các phần đặc quyền của sổ đăng ký và sửa đổi hầu hết các tệp trên máy cục bộ.
Các kịch bản đăng nhập được chạy trong bối cảnh bảo mật của người dùng đăng nhập cục bộ. Hy vọng rằng người dùng của bạn không phải là quản trị viên, vì vậy điều đó có nghĩa là bạn sẽ không thể sử dụng những thứ này để cài đặt phần mềm hoặc sửa đổi cài đặt đăng ký được bảo vệ.
Các kịch bản đăng nhập và khởi động là nền tảng của Windows 2003 và các miền trước đó, nhưng tính hữu dụng của chúng đã bị giảm đi trong các bản phát hành sau của Windows Server. Tùy chọn chính sách nhóm cung cấp cho quản trị viên một cách tốt hơn nhiều để xử lý ánh xạ ổ đĩa và máy in, phím tắt, tệp, mục đăng ký, thành viên nhóm cục bộ và nhiều thứ khác chỉ có thể được thực hiện trong tập lệnh khởi động hoặc đăng nhập. Nếu bạn đang nghĩ rằng bạn có thể cần phải sử dụng tập lệnh cho một tác vụ đơn giản, thì có thể có Chính sách nhóm hoặc tùy chọn cho nó. Ngày nay, trên các miền có máy khách Windows 7 (hoặc mới hơn), chỉ các tác vụ phức tạp yêu cầu các kịch bản khởi động hoặc đăng nhập.
Tôi đã tìm thấy một GPO thú vị, nhưng nó áp dụng cho người dùng, tôi muốn nó áp dụng cho máy tính!
Vâng, tôi biết. Tôi đã từng ở đó. Điều này đặc biệt phổ biến trong phòng thí nghiệm hàn lâm hoặc các tình huống máy tính dùng chung khác, nơi bạn muốn một số chính sách người dùng cho máy in hoặc tài nguyên tương tự dựa trên máy tính chứ không phải người dùng. Đoán xem, bạn đang gặp may! Bạn muốn bật cài đặt GPO cho Chế độ quay vòng chính sách nhóm .
Không có gì.
Bạn nói tôi có thể sử dụng phần mềm này để cài đặt phần mềm, phải không?
Đúng, bạn có thể. Có một số hãy cẩn thận, mặc dù. Phần mềm phải ở định dạng MSI và mọi sửa đổi đối với phần mềm phải ở trong tệp MST . Bạn có thể tạo MST bằng phần mềm như ORCA hoặc bất kỳ trình soạn thảo MSI nào khác. Nếu bạn không thực hiện chuyển đổi, kết quả cuối cùng của bạn sẽ giống như chạymsiexec /i <path to software> /q
Phần mềm cũng chỉ được cài đặt khi khởi động, vì vậy đây không phải là cách phân phối phần mềm rất nhanh, nhưng nó miễn phí. Trong môi trường phòng thí nghiệm có ngân sách thấp, tôi đã thực hiện một tác vụ theo lịch trình (thông qua GPO) sẽ khởi động lại mọi máy tính trong phòng thí nghiệm vào nửa đêm với thời gian bù ngẫu nhiên 30 phút. Điều này sẽ đảm bảo rằng phần mềm tối đa là hết hạn một ngày trong các phòng thí nghiệm đó. Tuy nhiên, phần mềm như SCCM , LANDesk , Altaris hoặc bất cứ thứ gì khác có thể "đẩy" phần mềm theo yêu cầu là tốt hơn.
Làm thế nào thường được áp dụng?
Khách hàng làm mới Đối tượng chính sách nhóm của mình sau mỗi 90 phút với ngẫu nhiên 30 phút. Điều đó có nghĩa là, theo mặc định, có thể có tới 120 phút chờ đợi. Ngoài ra, một số cài đặt, như ánh xạ ổ đĩa, chuyển hướng thư mục và tùy chọn tệp, chỉ được áp dụng khi khởi động hoặc đăng nhập. Chính sách nhóm có nghĩa là để quản lý theo kế hoạch dài hạn, không phải cho các tình huống khắc phục nhanh tức thì.
Bộ kiểm soát miền làm mới chính sách của họ cứ sau năm phút.