Group Policy Object (GPO)

Microsofts Group Policy Object (GPO) er en samling af gruppepolitiske indstillinger, der definerer, hvordan et system vil se ud, og hvordan det vil opføre sig for en defineret gruppe af brugere.

Microsoft leverer et program snap-in, der giver dig mulighed for at bruge Group Policy Management Console (GPMC). Valgene resulterer i et Gruppepolitikobjekt. GPO er knyttet til udvalgte Active Directory-containere, såsom steder, domæner eller organisationsenheder (ou). GPMC giver dig mulighed for at oprette en GPO, der definerer registerbaserede politikker, Sikkerhedsindstillinger, programinstallations-og vedligeholdelsesindstillinger, scripts-indstillinger og mappeomdirigeringsindstillinger.

typer af GPO ‘er

der er tre typer Gpo’ er: lokale, ikke-lokale og starter.

  • Lokale Gruppepolitiske Objekter. Et lokalt Gruppepolitikobjekt henviser til samlingen af gruppepolitikindstillinger, der kun gælder for den lokale computer og for de brugere, der logger på den pågældende computer. Lokale Gpo ‘ er bruges, når politiske indstillinger skal gælde for en enkelt computer eller bruger. Lokale Gpo ‘ er findes som standard på alle vinduer computere.
  • ikke-lokale gruppepolitiske objekter. Et ikke-lokalt gruppepolitikobjektbruges, når politiske indstillinger skal gælde for en eller flere vinduer computere eller brugere. Ikke-lokale Gpo ‘ er gælder for computere eller brugere, når de er knyttet til Active Directory-objekter, f.eks. hjemmesider, domæner eller organisationsenheder.
  • Starter Gruppe Politiske Objekter. Starter Gpo ‘ er er skabeloner til gruppepolitiske indstillinger. Disse objekter gør det muligt for en administrator at oprette og have en forudkonfigureret gruppe af indstillinger, der repræsenterer en oprindelig plan for enhver fremtidig politik, der skal oprettes.

Data Security and Group Policy Object

der er nogle gruppepolitiske indstillinger, der kan hjælpe med at sikre en virksomheds netværk. For eksempel kan en organisation gennem Gruppepolitik køre scripts, forhindre brugere i at få adgang til bestemte ressourcer og udføre enkle opgaver, såsom at tvinge en bestemt startside til at åbne for hver netværksbruger.

nogle af disse sikkerhedsforanstaltninger omfatter:

  • begrænsning af adgang til Kontrolpanel-gennem Kontrolpanel kan et firma styre alle aspekter af en computer. Begrænsning af, hvem der har adgang til en computer, gør det muligt for organisationer at holde data og andre ressourcer sikre.
  • deaktivering af kommandoprompt-et firma kan bruge kommandoprompter til at køre kommandoer, der giver adgang på højt niveau til brugere og omgå andre systembegrænsninger. Derfor er det forsigtigt at deaktivere kommandoprompt for at sikre systemressourcernes sikkerhed. Hvis en bruger forsøger at åbne et kommandovindue, efter at kommandoprompten er deaktiveret, viser systemet en meddelelse, der angiver, at nogle indstillinger forhindrer dette.
  • undgå programinstallationer-hvis brugerne får lov til at installere programmer, kan de installere uønskede programmer eller programmer, der kan kompromittere en virksomheds system. Som sådan er det bedre at forhindre programinstallationer gennem Gruppepolitik.

GPO-proces
en visualisering af gruppepolitiske objekter

fordele ved gruppepolitiske objekter

der er flere fordele ved implementering af GPO ‘er ud over sikkerhed, herunder:

  • mere effektiv styring-Gpo’ er, der allerede er på plads, anvender et standardiseret miljø på alle nye brugere og computere, der tilslutter sig en organisations domæne, hvilket sparer tid på opsætningen.
  • nem administration-systemadministratorer kan implementere programmer, programrettelser og andre opdateringer via GPO.
  • bedre håndhævelse af adgangskodepolitik-Gpo ‘ er bestemmer adgangskodelængde, genbruger regler og fastlægger andre krav til adgangskoder for at beskytte en virksomheds netværk.
  • konfiguration af omdirigering af mapper-Gpo ‘ er gør det muligt for virksomheder at sikre, at brugerne opbevarer vigtige firmafiler på et centraliseret og overvåget lagringssystem. For eksempel kan en organisation omdirigere en brugers dokumentmappe, som normalt gemmes på et lokalt drev, til en netværksplacering.

begrænsninger af GPO ‘ er

begrænsningerne af gruppepolitiske objekter inkluderer:

  • de kører sekventielt-GPOs-proceshandlinger efter hinanden. Derfor, hvis mange Gpo ‘ er skal konfigureres, kan det tage lang tid for brugerne at logge på.
  • fleksibilitet er begrænset-Gpo ‘ er kan kun anvendes til brugere eller computere. Så de er begrænsede, når det kommer til at anvende indstillinger baseret på kontekst.
  • begrænsede udløsere-Gpo ‘ er kan kun anvendes ved computerstart, når en bruger logger på eller med bestemte intervaller. GPO ‘ er kan ikke reagere på ændringer i miljøet, f.eks.
  • svært at vedligeholde-der er ingen indbygget søgning eller filter mulighed for at finde en bestemt indstilling i en GPO, hvilket gør det vanskeligt at finde eller løse problemer med eksisterende indstillinger.
  • ingen versionskontrol-ændringer foretaget i GPO-indstillinger revideres ikke. Så hvis der foretages en forkert ændring, er det umuligt at fortælle, hvad ændringen var, eller hvem der foretog den.

behandlingsrækkefølge for Gpo ‘ er

behandlingsrækkefølgen for gruppepolitikker påvirker, hvilke indstillinger der anvendes på computeren eller slutbrugeren. Denne behandlingsordre er kendt som LSDOU: lokal, site, domæne, organisation enhed. Først behandles den lokale computerpolitik efterfulgt af Active Directory-politikker fra stedniveau til Domæne og derefter til OU (Gpo ‘ er i indlejrede organisatoriske enheder gælder først fra OU tættest på roden og fortsætter derfra). Hvis der er konflikter, træder den sidst anvendte politik i kraft.

eksempler på Gpo ‘ er

følgende er eksempler på gruppepolitiske objekter:

  • en GPO angiver muligvis den startside, der først vises, når en bruger starter Internetudforsker. Når brugeren logger på domænet, hentes det pågældende gruppepolitikobjekt og anvendes til konfigurationen af brugerens Internetudforsker.
  • en organisation kan implementere delte netværksprinterforbindelser til brugere fra en bestemt OU i Active Directory ved hjælp af Gruppepolitik. Så når en bruger logger ind på vinduer, vises en tildelt netværksprinter automatisk på listen over tilgængelige printere.
  • administratorer kan bruge en gruppepolitik til at justere indstillinger, såsom at slukke for computerskærme er en bestemt periode, vælge standardprogrammer og forhindre brugere i at ændre internetforbindelsesindstillinger.

bedste praksis

nogle bedste praksis for Gpo ‘ er inkluderer:

  • Opret en veldesignet organisationsenhed struktur i Active Directory for at forenkle anvendelse og fejlfinding Gruppepolitik.
  • Giv Gpo ‘ er beskrivende navne for at gøre det muligt for administratorer hurtigt at identificere, hvad hver GPO gør.
  • Tilføj kommentarer til hver GPO, der forklarer, hvorfor den blev oprettet, hvad dens formål er, og hvad dens indstillinger er.
  • Indstil ikke Gpo ‘ er på domæneniveau, fordi de anvendes på alle computer-og brugerobjekter. Det kan medføre, at nogle indstillinger anvendes unødigt på nogle objekter.
  • brug ikke rodcomputere eller brugermapper i Active Directory, fordi de ikke er organisatoriske enheder, og de kan ikke have Gpo ‘ er knyttet til dem. Når en ny bruger eller computerobjekt vises i disse mapper, skal det straks være til den relevante OU.
  • Deaktiver ikke en GPO. Slet snarere linket fra en OU i stedet for at deaktivere GPO, hvis du ikke ønsker, at det skal anvendes. Deaktivering af GPO forhindrer, at den anvendes helt på domænet. Det kan være et problem, for hvis den pågældende Gruppepolitik bruges i en anden OU, fungerer den ikke længere der.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.