Microsofts grupprincipobjekt (GPO) är en samling grupprincipinställningar som definierar hur ett system kommer att se ut och hur det kommer att bete sig för en definierad grupp användare.
Microsoft tillhandahåller ett snap-in-program som låter dig använda Group Policy Management Console (GPMC). Valen resulterar i ett grupprincipobjekt. GPO är associerat med utvalda Active Directory-behållare, till exempel webbplatser, domäner eller organisationsenheter (OU). Med GPMC kan du skapa en GPO som definierar registerbaserade policyer, Säkerhetsalternativ, alternativ för installation och underhåll av programvara, skriptalternativ och alternativ för omdirigering av mappar.
typer av GPO: er
det finns tre typer av GPO: lokala, icke-lokala och starter.
- Lokala Grupprincipobjekt. Ett lokalt Grupprincipobjekthänvisar till samlingen av grupprincipinställningar som endast gäller för den lokala datorn och för de användare som loggar in på den datorn. Lokala grupprincipobjekt används när policyinställningar måste gälla för en enda Windows-dator eller användare. Lokala GPO finns som standard på alla Windows-datorer.
- icke-lokala grupprincipobjekt. Ett icke-lokalt grupprincipobjektanvänds när principinställningar måste gälla för en eller flera Windows-datorer eller användare. Icke-lokala grupprincipobjekt gäller för Windows-datorer eller användare när de är länkade till Active Directory-objekt, till exempel webbplatser, domäner eller organisationsenheter.
- Starter Grupprincipobjekt. Starter GPO: er introducerades i Windows Server 2008 och är mallar för grupppolicyinställningar. Dessa objekt gör det möjligt för en administratör att skapa och ha en förkonfigurerad grupp av inställningar som representerar en baslinje för alla framtida principer som ska skapas.
datasäkerhet och grupprincipobjekt
det finns några grupprincipinställningar som kan hjälpa till att säkra ett företags nätverk. Genom grupppolicy kan en organisation till exempel köra skript, hindra användare från att komma åt vissa resurser och utföra enkla uppgifter, till exempel att tvinga en viss hemsida att öppnas för varje nätverksanvändare.
några av dessa säkerhetsåtgärder inkluderar:
- begränsa åtkomst till kontrollpanelen – via kontrollpanelen kan ett företag styra alla aspekter av en dator. Att begränsa vem som har tillgång till en dator gör det möjligt för organisationer att hålla data och andra resurser säkra.
- inaktivera Kommandotolken – ett företag kan använda kommandotolken för att köra kommandon som ger hög nivå tillgång till användare och kringgå andra systembegränsningar. Därför är det klokt att inaktivera Kommandotolken för att säkerställa säkerheten för systemresurser. Om en användare försöker öppna ett kommandofönster efter att kommandotolken har inaktiverats visar systemet ett meddelande som indikerar att vissa inställningar förhindrar detta.
- förhindra programinstallationer – om användare får installera programvara kan de installera oönskade program eller skadlig kod som kan äventyra ett företags system. Som sådan är det bättre att förhindra programinstallationer genom grupppolicy.
fördelar med grupprincipobjekt
det finns flera fördelar med att implementera grupprincipobjekt utöver säkerhet, inklusive:
- effektivare hantering-GPO: er som redan finns tillämpar en standardiserad miljö för alla nya användare och datorer som går med i en organisations domän, vilket sparar tid på installationen.
- enkel administration – systemadministratörer kan distribuera programvara, patchar och andra uppdateringar via GPO.
- bättre lösenordspolicy-GPO: er bestämmer lösenordslängd, återanvändningsregler och fastställer andra krav för lösenord för att hålla ett företags nätverk säkert.
- konfigurera omdirigering av mappar-GPO: er gör det möjligt för företag att se till att användarna håller viktiga företagsfiler på ett centraliserat och övervakat lagringssystem. Till exempel kan en organisation omdirigera en användares dokumentmapp, som vanligtvis lagras på en lokal enhet, till en nätverksplats.
begränsningar av grupprincipobjekt
begränsningarna för grupprincipobjekt inkluderar:
- de kör sekventiellt-GPO-processåtgärder efter varandra. Följaktligen, om många GPO måste konfigureras, kan det ta lång tid för användare att logga in.
- flexibilitet är begränsad-GPO kan endast tillämpas på användare eller datorer. Så de är begränsade när det gäller att tillämpa inställningar baserade på sammanhang.
- begränsade triggers-GPO: er kan endast tillämpas vid datorstart, när en användare loggar in eller med inställda intervaller. GPO: er Kan inte reagera på förändringar i miljön, till exempel nätverksavkoppling eller återanslutning.
- svårt att underhålla-det finns inget inbyggt Sök-eller filteralternativ för att hitta en specifik inställning i en GPO, vilket gör det svårt att hitta eller åtgärda problem med befintliga inställningar.
- ingen versionskontroll-ändringar som gjorts i GPO-inställningarna granskas inte. Så om en felaktig ändring görs är det omöjligt att berätta vad förändringen var eller vem som gjorde det.
Bearbetningsordning för grupprincipobjekt
bearbetningsordningen för grupppolicyer påverkar vilka inställningar som tillämpas på datorn eller slutanvändaren. Denna bearbetningsorder är känd som LSDOU: lokal, webbplats, domän, organisationsenhet. Först bearbetas den lokala datorpolicyn, följt av Active Directory-policyer från webbplatsnivå till domän, sedan till OU (GPO i kapslade organisationsenheter gäller från OU närmast roten först och fortsätter därifrån). Om det finns några konflikter kommer den senast tillämpade policyn att träda i kraft.
exempel på grupprincipobjekt
följande är exempel på grupprincipobjekt:
- ett grupprincipobjekt kan ange startsidan som först visas när en användare startar Internet Explorer. När användaren loggar in på domänen hämtas det grupprincipobjektet och tillämpas på konfigurationen av användarens Internet Explorer.
- en organisation kan distribuera delade nätverksskrivaranslutningar till användare från en specifik OU i Active Directory med hjälp av Grupprincip. Så när en användare loggar in på Windows visas en tilldelad nätverksskrivare automatiskt i listan över tillgängliga skrivare.
- administratörer kan använda en Grupprincip för att justera inställningar, till exempel att stänga av datorskärmar är en viss tidsperiod, välja standardprogram och hindra användare från att ändra Internetanslutningsalternativ.
bästa praxis
några bästa metoder för GPO inkluderar:
- skapa en väl utformad organisationsenhet struktur i Active Directory För att förenkla tillämpningen och felsökning Grupprincip.
- ge GPO: er beskrivande namn så att administratörer snabbt kan identifiera vad varje GPO gör.
- Lägg till kommentarer till varje GPO som förklarar varför den skapades, vad dess syfte är och vad dess inställningar är.
- Ställ inte in grupprincipobjekt på domännivå eftersom de kommer att tillämpas på alla Dator-och användarobjekt. Det kan leda till att vissa inställningar tillämpas på vissa objekt i onödan.
- använd inte rotdatorerna eller användarmapparna i Active Directory eftersom de inte är organisatoriska enheter och de kan inte ha GPO: er kopplade till dem. När en ny användare eller datorobjekt visas i dessa mappar, bör det vara omedelbart till lämplig OU.
- inaktivera inte ett GPO. Ta snarare bort länken från en OU istället för att inaktivera GPO om du inte vill att den ska tillämpas. Inaktivera GPO kommer att förhindra att den tillämpas helt på domänen. Det kan vara ett problem eftersom om den specifika Grupppolicyn används i en annan OU, fungerar den inte längre där.