Microsofts Gruppepolicyobjekt (GPO) er en samling Gruppepolicyinnstillinger som definerer hvordan et system vil se ut og hvordan det vil oppføre seg for en definert gruppe brukere.
Microsoft tilbyr en snapin-modul for program som lar Deg bruke Gpmc (Group Policy Management Console). Valgene resulterer i Et Gruppepolicyobjekt. GPO er knyttet til valgte Active Directory-beholdere, for eksempel områder, domener eller organisasjonsenheter (ou). GPMC lar deg lage ET GPO som definerer registerbaserte policyer, sikkerhetsalternativer, programvareinstallasjons-og vedlikeholdsalternativer, skriptalternativer og mappeomadresseringsalternativer.
Typer Gpo
Det finnes tre Typer Gpo: lokal, ikke-lokal og starter.
- Lokale Gruppepolicyobjekter. En lokal Gruppepolicyobjektrefererer til samlingen av gruppepolicyinnstillinger som bare gjelder for den lokale datamaskinen og for brukerne som logger på datamaskinen. Lokale Gpoer brukes når policyinnstillinger må gjelde for en Enkelt Windows-datamaskin eller bruker. Lokale Gpoer finnes som standard på Alle Windows-datamaskiner.
- Ikke-lokale Gruppepolicyobjekter. Et ikke-lokalt gruppepolicyobjektbrukes når policyinnstillinger må gjelde for En Eller Flere Windows-datamaskiner eller-brukere. Ikke-lokale Gpo-Er gjelder For Windows-datamaskiner eller-brukere når De er koblet Til Active Directory-objekter, for eksempel områder, domener eller organisasjonsenheter.
- Starter Gruppepolicyobjekter. Introdusert I Windows Server 2008, starter Gpoer er maler For Gruppepolicyinnstillinger. Disse objektene gjør det mulig for en administrator å opprette og ha en forhåndskonfigurert gruppe med innstillinger som representerer en opprinnelig plan for en fremtidig policy som skal opprettes.
Datasikkerhet Og Gruppepolicyobjekt
Det finnes Noen Gruppepolicyinnstillinger som kan bidra til å sikre et selskaps nettverk. Gjennom Gruppepolicy kan en organisasjon for Eksempel kjøre skript, stoppe brukere fra å få tilgang til bestemte ressurser og utføre enkle oppgaver, for eksempel tvinge en bestemt startside til å åpne for alle nettverksbrukere.
Noen av disse sikkerhetstiltakene inkluderer:
- Begrensning av tilgang Til Kontrollpanel – Gjennom Kontrollpanel kan et selskap kontrollere alle aspekter av en datamaskin. Ved å begrense hvem som har tilgang til en datamaskin, kan organisasjoner holde data og andre ressurser trygge.
- Deaktivering Av Kommandoprompt – et selskap kan bruke Kommandobeskjeder til å kjøre kommandoer som gir tilgang på høyt nivå til brukere og omgå andre systembegrensninger. Derfor er det forsiktig å deaktivere Kommandoprompt for å sikre sikkerheten til systemressurser. Hvis en bruker prøver å åpne et kommandovindu etter At Kommandoprompt er deaktivert, vil systemet vise en melding som indikerer at noen innstillinger forhindrer dette.
- Forhindre programvareinstallasjoner – hvis brukere har lov til å installere programvare, kan de installere uønskede programmer eller skadelig programvare som kan kompromittere selskapets system. Som sådan er det bedre å forhindre programvareinstallasjoner gjennom Gruppepolicy.
Fordeler Med Gruppepolicyobjekter
det er flere fordeler med å implementere Gpo-Er i tillegg til sikkerhet, inkludert:
- Mer effektiv administrasjon-Gpo-Er som allerede er på plass, bruker et standardisert miljø til alle nye brukere og datamaskiner som blir med i en organisasjons domene, og sparer tid på oppsett.
- Enkel administrasjon-systemadministratorer kan distribuere programvare, oppdateringer og andre oppdateringer via GPO.
- bedre håndhevelse av passordpolicyer-Gpoer bestemmer passordlengde, gjenbruker regler og etablerer andre krav til passord for å holde selskapets nettverk trygt.
- Konfigurere mappeomadressering – Gpoer gjør det mulig for bedrifter å sikre at brukerne holder viktige bedriftsfiler på et sentralisert og overvåket lagringssystem. For eksempel kan en organisasjon omdirigere En brukers Dokumentmappe, som vanligvis er lagret på en lokal stasjon, til en nettverksplassering.
Begrensninger For Gruppepolicyobjekter
begrensningene for Gruppepolicyobjekter inkluderer:
- de kjører sekvensielt-Gpoer prosesshandlinger etter hverandre. Følgelig, hvis mange Gpoer må konfigureres, kan det ta lang tid for brukerne å logge på.
- Fleksibilitet er begrenset – Gpoer kan bare brukes på brukere eller datamaskiner. Så de er begrenset når det gjelder å bruke innstillinger basert på kontekst.
- Begrensede utløsere-Gpoer kan bare brukes ved oppstart av datamaskinen, når en bruker logger på eller med bestemte intervaller. Gpoer kan ikke reagere på endringer i miljøet, for eksempel koble fra nettverket eller koble til på nytt.
- Vanskelig å vedlikeholde – det er ikke noe innebygd søk-eller filteralternativ for å finne en bestemt innstilling i ET GPO, noe som gjør det vanskelig å finne eller fikse problemer med eksisterende innstillinger.
- Ingen Versjonskontroll-endringer i GPO-innstillingene blir ikke revidert. Så hvis en feil endring er gjort, er det umulig å fortelle hva endringen var eller hvem som gjorde det.
Behandlingsrekkefølge For Gruppepolicyer
behandlingsrekkefølgen For Gruppepolicyer påvirker hvilke innstillinger som brukes på datamaskinen eller sluttbrukeren. Denne behandlingsordren er kjent SOM LSDOU: lokal, nettsted, domene, organisasjonsenhet. Først behandles den lokale datamaskinpolicyen, etterfulgt Av Active Directory-policyer fra områdenivå til domene, deretter INN I OU (Gpoer i nestede organisasjonsenheter gjelder fra ou nærmest roten først og fortsetter derfra). Hvis det er noen konflikter, vil den sist brukte politikken tre i kraft.
Eksempler På Gruppepolicyobjekter
følgende er eksempler På Gruppepolicyobjekter:
- ET GPO kan angi startsiden som vises først når En bruker starter Internet Explorer. Når brukeren logger seg på domenet, hentes dette gruppepolicyobjektet og brukes på konfigurasjonen av brukerens Internet Explorer.
- en organisasjon kan distribuere delte nettverksskriver-tilkoblinger til brukere fra En bestemt OU I Active Directory ved Hjelp Av Gruppepolicy. Så når en bruker logger På Windows, vises en tilordnet nettverksskriver automatisk i listen over tilgjengelige skrivere.
- Administratorer kan bruke en gruppepolicy til å justere innstillinger, for eksempel å slå av dataskjermer er en viss tidsperiode, velge standardprogrammer og hindre brukere i å endre Internett-tilkoblingsalternativer.
Beste praksis
noen beste praksis for Gpoer inkluderer:
- Opprett en godt utformet organisasjonsenhetsstruktur I Active Directory for å forenkle bruk og feilsøking Av Gruppepolicy.
- Gi Gpo-er beskrivende navn slik at administratorer raskt kan identifisere hva HVERT GPO gjør.
- Legg til kommentarer til HVERT GPO som forklarer hvorfor DET ble opprettet, hva formålet er og hva innstillingene er.
- ikke angi Gpoer på domenenivå fordi De skal brukes på alle datamaskin-og brukerobjekter. Det kan føre til at noen innstillinger brukes på noen objekter unødvendig.
- ikke bruk rotdatamaskinene eller brukermappene i Active Directory fordi de ikke er organisasjonsenheter, og De kan ikke ha Gpoer koblet til dem. Når en ny bruker eller datamaskinobjekt vises i disse mappene, bør det være umiddelbart til riktig OU.
- ikke deaktiver ET GPO. Slett heller koblingen fra EN OU i stedet for å deaktivere GPO hvis du ikke vil at DEN skal brukes. Deaktivering AV GPO vil hindre den fra å bli brukt helt på domenet. Det kan være et problem fordi Hvis Den Bestemte Gruppepolicyen brukes i en ANNEN OU, vil den ikke fungere der lenger.