objekt zásad skupiny společnosti Microsoft (GPO) je soubor nastavení zásad skupiny, který definuje, jak bude systém vypadat a jak se bude chovat pro definovanou skupinu uživatelů.
společnost Microsoft poskytuje modul snap-in programu, který umožňuje používat konzolu pro správu zásad skupiny (GPMC). Výsledkem výběru je objekt zásad skupiny. GPO je přidružen k vybraným kontejnerům služby Active Directory, jako jsou weby, domény nebo organizační jednotky (OU). GPMC umožňuje vytvořit GPO, který definuje zásady založené na registru, možnosti zabezpečení, možnosti instalace a údržby softwaru, možnosti skriptů a možnosti přesměrování složek.
typy GPO
existují tři typy GPO: místní, nelokální a startér.
- Objekty Zásad Místní Skupiny. Objekt zásad místní skupiny odkazuje na Soubor Nastavení zásad skupiny, která se vztahují pouze na místní počítač a na uživatele, kteří se k tomuto počítači přihlásí. Místní GPO se používají, když je třeba použít nastavení zásad pro jeden počítač nebo uživatele systému Windows. Místní GPO existují ve výchozím nastavení na všech počítačích se systémem Windows.
- objekty zásad jiné než místní skupiny. Objekt zásad skupiny, který není lokální, se používá, když se nastavení zásad musí vztahovat na jeden nebo více počítačů nebo uživatelů systému Windows. Nelokální GPO se vztahují na počítače nebo uživatele Windows, jakmile jsou propojeny s objekty služby Active Directory, jako jsou weby, domény nebo organizační jednotky.
- Objekty Zásad Skupiny Startérů. Představený v systému Windows Server 2008, starter GPO jsou šablony pro nastavení zásad skupiny. Tyto objekty umožňují správci vytvořit a mít předkonfigurovanou skupinu nastavení, která představují základní linii pro jakékoli budoucí zásady, které mají být vytvořeny.
objekt zabezpečení dat a Zásady skupiny
existují některá nastavení zásad skupiny, která mohou pomoci zabezpečit síť společnosti. Například prostřednictvím zásad skupiny může organizace spouštět skripty, zabránit uživatelům v přístupu k určitým zdrojům a provádět jednoduché úkoly, například nutit konkrétní domovskou stránku k otevření pro každého uživatele sítě.
některá z těchto bezpečnostních opatření zahrnují:
- omezení přístupu k ovládacímu panelu – prostřednictvím ovládacího panelu může společnost ovládat všechny aspekty počítače. Omezení toho, kdo má přístup k počítači, umožňuje organizacím udržovat data a další zdroje v bezpečí.
- zakázání příkazového řádku – společnost může pomocí příkazových pokynů spouštět příkazy, které uživatelům poskytují přístup na vysoké úrovni a obcházejí další systémová omezení. Proto je rozumné zakázat příkazový řádek, aby byla zajištěna bezpečnost systémových prostředků. Pokud se uživatel pokusí otevřít příkazové okno po vypnutí příkazového řádku, systém zobrazí zprávu, že některá nastavení tomu brání.
- zabraňte instalaci softwaru-pokud mohou uživatelé instalovat software, mohou instalovat nežádoucí aplikace nebo malware, které mohou ohrozit systém společnosti. Proto je lepší zabránit instalaci softwaru prostřednictvím zásad skupiny.
výhody objektů zásad skupiny
implementace GPO kromě zabezpečení má několik výhod, včetně:
- efektivnější správa – GPO, které jsou již zavedeny, používají standardizované prostředí pro všechny nové uživatele a počítače, které se připojují k doméně organizace, což šetří čas při nastavení.
- Snadná správa-správci systému mohou nasadit software, záplaty a další aktualizace prostřednictvím GPO.
- lepší vymáhání zásad hesla-GPO určují délku hesla, pravidla opětovného použití a stanoví další požadavky na hesla, aby byla síť společnosti bezpečná.
- konfigurace přesměrování složek – GPO umožňují společnostem zajistit, aby uživatelé uchovávali důležité firemní soubory v centralizovaném a monitorovaném úložném systému. Organizace může například přesměrovat složku dokumentů uživatele, která je obvykle uložena na místní jednotce, do síťového umístění.
omezení GPO
omezení objektů zásad skupiny zahrnují:
- spouštějí postupně — GPO procesní akce jeden po druhém. V důsledku toho, pokud je třeba nakonfigurovat mnoho GPO, může přihlášení uživatelů trvat dlouho.
- flexibilita je omezená – GPO lze aplikovat pouze na uživatele nebo počítače. Takže jsou omezené, pokud jde o použití nastavení na základě kontextu.
- omezené spouštěče – GPO lze použít pouze při spuštění počítače, když se uživatel přihlásí nebo v nastavených intervalech. GPO nemohou reagovat na změny v prostředí, jako je odpojení sítě nebo opětovné připojení.
- obtížné udržovat – neexistuje žádná vestavěná možnost vyhledávání nebo filtrování, která by našla konkrétní nastavení v rámci GPO, takže je obtížné najít nebo opravit problémy s existujícími nastaveními.
- žádná kontrola verzí – změny provedené v nastavení GPO nejsou auditovány. Pokud je tedy provedena nesprávná změna, není možné říci, jaká byla změna nebo kdo ji provedl.
pořadí zpracování GPO
pořadí zpracování zásad skupiny ovlivňuje, jaká nastavení jsou použita pro počítač nebo koncového uživatele. Tato objednávka zpracování je známá jako LSDOU: místní, web, doména, organizační jednotka. Nejprve je zpracována politika místního počítače, následovaná zásadami služby Active Directory z úrovně webu do domény, poté do OU (GPO ve vnořených organizačních jednotkách platí nejprve z OU nejblíže kořenovému adresáři a pokračuje odtud). Pokud dojde ke konfliktům, projeví se poslední použitá politika.
příklady GPO
níže jsou uvedeny příklady objektů zásad skupiny:
- GPO může určit domovskou stránku, která se poprvé zobrazí při spuštění aplikace Internet Explorer. Když se uživatel přihlásí k doméně, tento objekt zásad skupiny se načte a použije na konfiguraci prohlížeče Internet Explorer uživatele.
- organizace může nasadit sdílená síťová připojení k tiskárnám uživatelům z určitého OU služby Active Directory pomocí zásad skupiny. Když se tedy uživatel přihlásí do systému Windows, v seznamu dostupných tiskáren se automaticky zobrazí přiřazená síťová tiskárna.
- Administrátoři mohou použít zásady skupiny k úpravě nastavení, například vypnutí zobrazení počítače je určité časové období, výběr výchozích programů a zabránění uživatelům ve změně možností připojení k internetu.
osvědčené postupy
některé osvědčené postupy pro GPO zahrnují:
- Vytvořte dobře navrženou strukturu organizačních jednotek ve službě Active Directory, abyste zjednodušili používání a odstraňování zásad skupiny.
- uveďte popisné názvy GPO, aby administrátoři mohli rychle zjistit, co každý GPO dělá.
- přidejte ke každému GPO Komentáře vysvětlující, proč byl vytvořen, jaký je jeho účel a jaké jsou jeho nastavení.
- nenastavujte GPO na úrovni domény, protože budou aplikovány na všechny počítačové a uživatelské objekty. To by mohlo způsobit zbytečné použití některých nastavení na některé objekty.
- nepoužívejte kořenové počítače nebo uživatelské složky ve službě Active Directory, protože nejsou organizačními jednotkami a nemohou s nimi mít GPO propojené. Když se v těchto složkách objeví nový uživatel nebo počítačový objekt, měl by být okamžitě příslušný OU.
- nezakazujte GPO. Spíše odstraňte odkaz z OU namísto deaktivace GPO, pokud nechcete, aby byl použit. Zakázáním GPO zabráníte jeho úplnému použití v doméně. To by mohl být problém, protože pokud je tato konkrétní skupinová politika použita v jiném OU, nebude tam fungovat déle.