Microsoftin ryhmäkäytäntöobjekti (GPO) on kokoelma ryhmäkäytäntöasetuksia, jotka määrittelevät, miltä järjestelmä näyttää ja miten se käyttäytyy määritellylle käyttäjäryhmälle.
Microsoft tarjoaa ohjelmalaajennuksen, jonka avulla voit käyttää ryhmäkäytäntöjen hallintakonsolia (GPMC). Valinnat johtavat Ryhmäkäytäntöobjektiin. Ryhmäpoikkeus liittyy valittuihin Active Directory-konteihin, kuten sivustoihin, verkkotunnuksiin tai organisaatioyksiköihin (ou). GPMC: n avulla voit luoda ryhmäpoikkeusasetuksen, joka määrittelee rekisteripohjaiset käytännöt, suojausvaihtoehdot, ohjelmiston asennus-ja ylläpitovaihtoehdot, komentosarjavaihtoehdot ja kansioiden uudelleenohjausvaihtoehdot.
Yleislääketyypit
Yleislääketyyppejä on kolmenlaisia: paikallisia, Ei-paikallisia ja käynnistäviä.
- Paikalliset Ryhmäkäytäntöobjektit. Paikallinen ryhmäkäytäntöobjekti viittaa Ryhmäkäytäntöasetusten kokoelmaan, joka koskee vain paikallista tietokonetta ja siihen kirjautuvia käyttäjiä. Paikallisia Yleisohjeita käytetään, kun käytäntöasetusten on koskettava yhtä Windows-tietokonetta tai käyttäjää. Paikalliset GPO: t ovat oletuksena kaikissa Windows-tietokoneissa.
- Ei-paikalliset Ryhmäkäytäntöobjektit. Ei-paikallista ryhmäkäytäntöobjektia käytetään, kun käytäntöasetusten on koskettava yhtä tai useampaa Windows-tietokonetta tai käyttäjää. Ei-paikalliset Yleisohjeet koskevat Windows-tietokoneita tai käyttäjiä, kun ne on yhdistetty Active Directory-objekteihin, kuten sivustoihin, verkkotunnuksiin tai organisaatioyksiköihin.
- Starter Group Policy Objects. Windows Server 2008: ssa käyttöön otetut starter GPO: t ovat malleja Ryhmäkäytäntöasetuksille. Näiden objektien avulla järjestelmänvalvoja voi luoda ennalta määritetyn asetusryhmän, joka edustaa lähtötilannetta tulevalle luotavalle käytännölle.
Tietoturva Ja ryhmäkäytäntöobjekti
on olemassa joitakin ryhmäkäytäntöasetuksia, jotka voivat auttaa yrityksen verkon suojaamisessa. Ryhmäkäytännön avulla organisaatio voi esimerkiksi suorittaa skriptejä, estää käyttäjiä käyttämästä tiettyjä resursseja ja suorittaa yksinkertaisia tehtäviä, kuten pakottaa tietyn kotisivun avautumaan jokaiselle verkon käyttäjälle.
joitakin näistä turvatoimista ovat:
- ohjauspaneeliin pääsyn rajoittaminen — Ohjauspaneelin kautta yritys voi hallita kaikkia tietokoneen osa-alueita. Rajoittamalla sitä, kenellä on pääsy tietokoneeseen, organisaatiot voivat pitää tiedot ja muut resurssit turvassa.
- komentokehotteen poistaminen käytöstä — yritys voi käyttää Komentokehotteita suorittaakseen komentoja, jotka antavat korkean tason pääsyn käyttäjille ja ohittaakseen muut järjestelmärajoitukset. Siksi on järkevää poistaa komentorivi järjestelmän resurssien turvallisuuden varmistamiseksi. Jos käyttäjä yrittää avata komentoikkunan sen jälkeen, kun komentokehote on poistettu käytöstä, järjestelmä näyttää viestin, joka osoittaa, että jotkin asetukset estävät tämän.
- Estä ohjelmistojen asennus — Jos käyttäjät saavat asentaa ohjelmistoja, he saattavat asentaa ei-toivottuja sovelluksia tai haittaohjelmia, jotka voivat vaarantaa yrityksen järjestelmän. Siksi on parempi estää ohjelmistojen asennukset ryhmäkäytännön avulla.
ryhmäkäytäntöobjektien edut
ryhmäkäytäntöobjektien toteuttamisessa on useita etuja turvallisuuden lisäksi, mm.:
- tehokkaampi hallinta — jo käytössä olevat GPO: t soveltavat standardoitua ympäristöä kaikille uusille käyttäjille ja tietokoneille, jotka liittyvät organisaation toimialueeseen, säästäen aikaa asennuksessa.
- hallinnon helppous — järjestelmän ylläpitäjät voivat ottaa käyttöön ohjelmistoja, korjauksia ja muita päivityksiä GPO: n kautta.
- parempi salasanakäytännön täytäntöönpano — Yleisvalvojat määrittävät salasanan pituuden, uudelleenkäyttösäännöt ja asettavat muita vaatimuksia salasanoille pitääkseen yrityksen verkon turvallisena.
- kansion uudelleenohjaus — GPO: t mahdollistavat sen, että yritykset voivat varmistaa, että käyttäjät pitävät tärkeitä yrityksen tiedostoja keskitetyssä ja valvotussa tallennusjärjestelmässä. Organisaatio voi esimerkiksi ohjata käyttäjän Documents-kansion, joka on yleensä tallennettu paikalliselle asemalle, verkon sijaintiin.
GPO: iden rajoitukset
ryhmäkäytäntöobjektien rajoitukset ovat:
- ne suoritetaan peräkkäin — GPO-prosessitoiminnot yksi toisensa jälkeen. Näin ollen, jos monet GPO on määritettävä,se voi kestää kauan käyttäjien kirjautua.
- joustavuus on rajallista — GPO: ita voidaan soveltaa vain käyttäjiin tai tietokoneisiin. Joten ne ovat rajoitettu, kun se tulee soveltaa asetuksia perustuu kontekstiin.
- rajoitetut käynnistimet — GPO: t voidaan ottaa käyttöön vain tietokoneen käynnistyksen yhteydessä, kun käyttäjä kirjautuu sisään tai tietyin väliajoin. GPO: t eivät voi reagoida ympäristön muutoksiin, kuten verkkoyhteyden katkaisuun tai yhteyden uudelleen muodostamiseen.
- vaikea ylläpitää — ei ole sisäänrakennettua haku-tai suodatusmahdollisuutta tietyn asetuksen löytämiseksi RYHMÄPOIKKEUSASETUKSESTA, mikä vaikeuttaa ongelmien löytämistä tai korjaamista olemassa olevilla asetuksilla.
- Ei versionhallintaa — GPO-asetuksiin tehtyjä muutoksia ei auditoida. Eli jos tehdään väärä muutos, on mahdotonta sanoa, mikä muutos oli tai kuka sen teki.
GPO: n käsittelyjärjestys
ryhmäkäytäntöjen käsittelyjärjestys vaikuttaa siihen, mitä asetuksia tietokoneeseen tai loppukäyttäjään sovelletaan. Tämä käsittelyjärjestys tunnetaan nimellä LSDOU: paikallinen, sivusto, verkkotunnus, organisaatio yksikkö. Ensin käsitellään paikallinen tietokonekäytäntö, sen jälkeen Active Directory-käytännöt sivustolta toimialueen tasolle, sitten OU: hun (sisäkkäisten organisaatioyksiköiden GPO: t sovelletaan ensin juurta lähinnä olevasta OU: sta ja jatkuu sieltä). Jos syntyy ristiriitoja, viimeinen sovellettu politiikka astuu voimaan.
Examples of GPO
the following are examples of Group Policy Objects:
- ryhmäpoikkeusasetuksessa voidaan määrittää kotisivu, joka näytetään ensimmäisen kerran, kun käyttäjä käynnistää Internet Explorerin. Kun käyttäjä kirjautuu verkkotunnukseen, kyseinen ryhmäkäytäntöobjekti haetaan ja sitä sovelletaan Käyttäjän Internet Explorerin määritykseen.
- organisaatio voi ottaa käyttöön jaettuja verkkotulostinyhteyksiä käyttäjilleen tietystä Active Directoryn yksiköstä ryhmäkäytännön avulla. Joten kun käyttäjä kirjautuu sisään Windowsiin, määritetty verkkotulostin ilmestyy automaattisesti käytettävissä olevien tulostimien luetteloon.
- järjestelmänvalvojat voivat ryhmäkäytännön avulla säätää asetuksia, kuten tietokoneen näyttöjen sammuttaminen on tietty ajanjakso, oletusohjelmien valinta ja estää käyttäjiä muuttamasta Internet-yhteysasetuksia.
parhaat käytännöt
joitakin parhaita käytäntöjä Yleislääketiedon käyttäjille ovat:
- luo Active Directoryyn hyvin suunniteltu organisaatioyksikkörakenne ryhmäkäytännön soveltamisen ja vianmäärityksen yksinkertaistamiseksi.
- Anna GPO: ille kuvailevat nimet, jotta ylläpitäjät voivat nopeasti tunnistaa, mitä kukin GPO tekee.
- lisää jokaiseen ryhmäpoikkeusasetukseen kommentteja, joissa selitetään, miksi se luotiin, mikä sen tarkoitus on ja mitkä sen asetukset ovat.
- Älä aseta GPO: ita toimialueen tasolle, koska niitä sovelletaan kaikkiin tietokone-ja käyttäjäobjekteihin. Tämä voi aiheuttaa joitakin asetuksia sovelletaan joihinkin kohteisiin tarpeettomasti.
- Älä käytä Active Directoryn juuritietokoneita tai käyttäjäkansioita, koska ne eivät ole organisaatioyksiköitä eikä niihin voi olla linkitetty GPO: ita. Kun uusi käyttäjä-tai tietokoneobjekti ilmestyy näihin kansioihin, sen pitäisi olla välittömästi sopivassa OU: ssa.
- älä poista GPO: ta käytöstä. Sen sijaan, poistaa linkin OU sijasta poistamalla GPO, jos et halua sitä sovelletaan. GPO: n poistaminen käytöstä estää sen käytön kokonaan verkkotunnuksella. Se voi olla ongelma, koska jos kyseistä ryhmäkäytäntöä käytetään toisessa organisaatiossa, se ei toimi siellä enää.