obiectul de politică de grup Microsoft (GPO) este o colecție de setări de politică de grup care definește cum va arăta un sistem și cum se va comporta pentru un grup definit de utilizatori.
Microsoft oferă un snap-in de program care vă permite să utilizați Consola de gestionare a politicilor de grup (GPMC). Selecțiile au ca rezultat un obiect de politică de grup. GPO este asociat cu containerele Active Directory selectate, cum ar fi site-uri, domenii sau unități organizaționale (OU). GPMC vă permite să creați un GPO care definește politicile bazate pe registru, opțiunile de securitate, opțiunile de instalare și întreținere a software-ului, opțiunile de scripturi și opțiunile de redirecționare a folderelor.
tipuri de GPO
există trei tipuri de GPO: local, non-local și starter.
- Obiecte De Politică De Grup Local. Un obiect de politică de grup localse referă la colecția de setări de politică de grup care se aplică numai computerului local și utilizatorilor care se conectează la acel computer. GPO-urile locale sunt utilizate atunci când setările de politică trebuie să se aplice unui singur computer sau utilizator Windows. GPO-urile locale există în mod implicit pe toate computerele Windows.
- obiecte de politică de grup non-locale. Un obiect de politică de grup non-localeste utilizat atunci când setările de politică trebuie să se aplice unuia sau mai multor computere sau utilizatori Windows. GPO-urile non-locale se aplică computerelor sau utilizatorilor Windows odată ce sunt conectați la obiecte Active Directory, cum ar fi site-uri, domenii sau unități organizaționale.
- Starter Obiecte De Politică De Grup. Introdus în Windows Server 2008, GPO-urile de pornire sunt șabloane pentru setările politicii de grup. Aceste obiecte permit unui administrator să creeze și să aibă un grup de setări preconfigurate care reprezintă o linie de bază pentru orice politică viitoare care urmează să fie creată.
securitatea datelor și obiectul Politicii de grup
există câteva setări ale politicii de grup care pot ajuta la securizarea rețelei unei companii. De exemplu, prin politica de grup, o organizație poate rula scripturi, opri utilizatorii să acceseze anumite resurse și să efectueze sarcini simple, cum ar fi forțarea unei anumite pagini de pornire să se deschidă pentru fiecare utilizator de rețea.
unele dintre aceste măsuri de securitate includ:
- limitarea accesului la panoul de Control-prin Panoul de Control, o companie poate controla toate aspectele unui computer. Limitarea persoanelor care au acces la un computer permite organizațiilor să păstreze datele și alte resurse în siguranță.
- dezactivarea promptului de comandă-o companie poate utiliza prompturi de comandă pentru a rula comenzi care oferă acces la nivel înalt utilizatorilor și ocolește alte restricții de sistem. De aceea este prudent să dezactivați promptul de comandă pentru a asigura securitatea resurselor sistemului. Dacă un utilizator încearcă să deschidă o fereastră de comandă după ce promptul de comandă a fost dezactivat, sistemul va afișa un mesaj care indică faptul că unele setări împiedică acest lucru.
- prevenirea instalărilor de software-dacă utilizatorii au voie să instaleze software, pot instala aplicații nedorite sau malware care pot compromite sistemul unei companii. Ca atare, este mai bine să preveniți instalările de software prin politica de grup.
beneficiile obiectelor Politicii de grup
există mai multe beneficii pentru implementarea GPO în plus față de securitate, inclusiv:
- management mai eficient-GPO-urile deja existente aplică un mediu standardizat tuturor utilizatorilor și computerelor noi care se alătură domeniului unei organizații, economisind timp la configurare.
- ușurința de administrare-administratorii de sistem pot implementa software, patch-uri și alte actualizări prin GPO.
- o mai bună aplicare a politicii de parolă-GPO-urile determină lungimea parolei, reutilizează regulile și stabilesc alte cerințe pentru parole pentru a menține rețeaua unei companii în siguranță.
- configurarea redirecționării folderelor-GPO-urile permit companiilor să se asigure că utilizatorii păstrează fișiere importante ale companiei pe un sistem de stocare centralizat și monitorizat. De exemplu, o organizație poate redirecționa folderul Documente al unui utilizator, care este de obicei stocat pe o unitate locală, către o locație de rețea.
limitările GPO
limitările obiectelor de politică de grup includ:
- acestea rulează secvențial-acțiunile GPO procesează una după alta. În consecință, dacă trebuie configurate multe GPO-uri, poate dura mult timp pentru ca utilizatorii să se conecteze.
- flexibilitatea este limitată-GPO-urile pot fi aplicate numai utilizatorilor sau computerelor. Deci, acestea sunt limitate atunci când vine vorba de aplicarea setărilor bazate pe context.
- declanșatoare limitate-GPO-urile pot fi aplicate numai la pornirea computerului, când un utilizator se conectează sau la intervale setate. GPO-urile nu pot reacționa la schimbările de mediu, cum ar fi deconectarea rețelei sau reconectarea.
- dificil de întreținut-nu există o opțiune de căutare sau filtrare încorporată pentru a găsi o setare specifică într-un GPO, ceea ce face dificilă găsirea sau remedierea problemelor cu setările existente.
- fără control al versiunii-modificările aduse setărilor GPO nu sunt auditate. Deci, dacă se face o schimbare incorectă, este imposibil de spus care a fost schimbarea sau cine a făcut-o.
ordinea de procesare a GPO-urilor
ordinea de procesare a politicilor de grup afectează ce setări sunt aplicate computerului sau utilizatorului final. Această comandă de procesare este cunoscută sub numele de LSDOU: local, site, domeniu, unitate de organizare. Mai întâi este procesată politica locală a computerului, urmată de politicile Active Directory de la nivelul site-ului la domeniu, apoi în OU (GPO-urile din unitățile organizaționale imbricate se aplică mai întâi de la OU cel mai apropiat de rădăcină și continuă de acolo). Dacă există conflicte, ultima politică aplicată va intra în vigoare.
Exemple de GPO
următoarele sunt exemple de obiecte de politică de grup:
- un GPO ar putea specifica pagina de pornire care este afișată pentru prima dată când un utilizator lansează Internet Explorer. Când utilizatorul se conectează la domeniu, acel obiect de politică de grup este preluat și aplicat configurației Internet Explorer-ului utilizatorului.
- o organizație poate implementa conexiuni de imprimantă de rețea partajată către utilizatori dintr-un anumit OU din Active Directory utilizând Politica de grup. Deci, atunci când un utilizator se conectează la Windows, o imprimantă de rețea atribuită va apărea automat în lista imprimantelor disponibile.
- administratorii pot utiliza o politică de grup pentru a ajusta setările, cum ar fi oprirea afișajelor computerului sunt o anumită perioadă de timp, alegerea programelor implicite și împiedicarea utilizatorilor să schimbe opțiunile de conectare la Internet.
cele mai bune practici
unele dintre cele mai bune practici pentru GPO includ:
- creați o structură de unitate organizațională bine concepută în Active Directory pentru a simplifica aplicarea și depanarea Politicii de grup.
- dă GPO nume descriptive pentru a permite administratorilor să identifice rapid ceea ce face fiecare GPO.
- adăugați comentarii la fiecare GPO explicând de ce a fost creat, care este scopul său și care sunt setările sale.
- nu setați GPO-uri la nivel de domeniu, deoarece acestea vor fi aplicate tuturor obiectelor computer și utilizator. Acest lucru ar putea face ca unele setări să fie aplicate unor obiecte în mod inutil.
- nu utilizați computerele rădăcină sau folderele de utilizator din Active Directory, deoarece nu sunt unități organizaționale și nu pot avea GPO legate de ele. Când un nou utilizator sau un obiect de computer apare în aceste foldere, ar trebui să fie imediat la OU corespunzător.
- nu dezactivați un GPO. Mai degrabă, ștergeți linkul dintr-un OU în loc să dezactivați GPO dacă nu doriți să fie aplicat. Dezactivarea GPO va împiedica aplicarea acestuia în întregime pe domeniu. Aceasta ar putea fi o problemă, deoarece dacă acea politică de grup este utilizată într-un alt OU, nu va mai funcționa acolo.