Microsofts Group Policy Object (GPO) er en samling af gruppepolitiske indstillinger, der definerer, hvordan et system vil se ud, og hvordan det vil opføre sig for en defineret gruppe af brugere.
Microsoft leverer et program snap-in, der giver dig mulighed for at bruge Group Policy Management Console (GPMC). Valgene resulterer i et gruppepolitisk objekt. GPO er forbundet med udvalgte Active Directory-containere, såsom sitesebsteder, domæner eller organisatoriske enheder (OU)., GPMC giver dig mulighed for at oprette en GPO, der definerer registerbaserede politikker, Sikkerhedsindstillinger, soft .areinstallations-og vedligeholdelsesindstillinger, scriptsindstillinger og mappeomdirigeringsindstillinger.
typer af GPO ‘er
Der er tre typer Gpo’ er: lokal, ikke-lokal og starter.
- lokale gruppepolitiske objekter. Et lokalt Gruppepolitikobjekthenviser til indsamling af gruppepolitiske indstillinger, der kun gælder for den lokale computer og for de brugere, der logger på den pågældende computer. Lokale Gpo ‘ er bruges, når politikindstillinger skal gælde for en enkelt computerindo .s-computer eller-bruger., Lokale Gpo ‘ er findes som standard på alle .indo .s-computere.
- ikke-lokale gruppepolitiske objekter. Et ikke-lokalt gruppepolitikobjektbruges, når politikindstillinger skal gælde for en eller flere computersindo .s-computere eller brugere. Ikke-lokale Gruppepolitikobjekter (gpo ‘ er gælder for Windows-computere eller brugere, når de er knyttet til Active Directory-objekter, såsom hjemmesider, domæner eller organisatoriske enheder.
- Starter Group Policy objekter. Introduceret i starterindo .s Server 2008 er starter Gpo ‘ er skabeloner til gruppepolitiske indstillinger., Disse objekter gør det muligt for en administrator at oprette og have en forudkonfigureret gruppe af indstillinger, der repræsenterer en basislinje for enhver fremtidig politik, der skal oprettes.
datasikkerhed og Gruppepolitikobjekt
Der er nogle gruppepolitiske indstillinger, der kan hjælpe med at sikre et virksomheds netværk. For eksempel kan en organisation gennem Gruppepolitik køre scripts, forhindre brugere i at få adgang til bestemte ressourcer og udføre enkle opgaver, såsom at tvinge en bestemt startside til at åbne for enhver netværksbruger.,
Nogle af disse sikkerhedsforanstaltninger omfatter:
- begrænsning af adgangen til Kontrolpanel-gennem Kontrolpanel kan et firma styre alle aspekter af en computer. Begrænsning af, hvem der har adgang til en computer, gør det muligt for organisationer at holde data og andre ressourcer sikre.
- deaktivering af kommandoprompt – et firma kan bruge kommandoprompter til at køre kommandoer, der giver adgang på højt niveau til brugere og omgå andre systembegrænsninger. Derfor er det klogt at deaktivere kommandoprompten for at sikre sikkerheden for systemressourcer., Hvis en bruger forsøger at åbne et kommandovindue, efter at kommandoprompten er blevet deaktiveret, viser systemet en meddelelse, der angiver, at nogle indstillinger forhindrer dette.
- Undgå software installationer — hvis brugere har tilladelse til at installere softwaren, kan de installere uønskede programmer eller malware, der kan kompromittere en virksomheds system. Som sådan er det bedre at forhindre soft .areinstallationer gennem Gruppepolitik.,
Fordele af Group Policy Objects
Der er flere fordele ved at gennemføre gpo ‘ er ud til sikkerhed, herunder:
- Mere effektiv forvaltning — gpo ‘ er allerede på plads anvende en standardiseret miljø for alle nye brugere og computere, der tilsluttes en organisations domæne, hvilket sparer tid på opsætning.
- Nem administration-systemadministratorer kan installere soft .are, patches og andre opdateringer via GPO.,
- bedre adgangskode politik håndhævelse – Gpo ‘ er bestemme pass .ord længde, genbruge regler og etablere andre krav til adgangskoder til at holde en virksomheds netværk sikkert.
- konfiguration af omdirigering af mapper – Gpo ‘ er gør det muligt for virksomheder at sikre, at brugerne opbevarer vigtige virksomhedsfiler på et centraliseret og overvåget lagersystem. For eksempel kan en organisation omdirigere en brugers dokumentmappe, som normalt gemmes på et lokalt drev, til en netværksplacering.,
begrænsninger af GPO ‘er
begrænsningerne af gruppepolitiske objekter inkluderer:
- de kører sekventielt-Gpo’ er behandler handlinger efter hinanden. Derfor, hvis mange Gpo ‘ er skal konfigureres, kan det tage lang tid for brugerne at logge på.
- fleksibilitet er begrænset – Gpo ‘ er kan kun anvendes til brugere eller computere. Så de er begrænsede, når det kommer til at anvende indstillinger baseret på kontekst.begrænsede triggere-Gpo ‘ er kan kun anvendes ved computerstart, når en bruger logger på eller med bestemte intervaller., GPO ‘ er kan ikke reagere på ændringer i miljøet, f.eks.
- svært at vedligeholde-der er ingen indbygget søgning eller filter mulighed for at finde en bestemt indstilling i en GPO, hvilket gør det vanskeligt at finde eller løse problemer med eksisterende indstillinger.
- ingen versionskontrol-ændringer foretaget i GPO-indstillinger revideres ikke. Så hvis der foretages en forkert ændring, er det umuligt at fortælle, hvad ændringen var, eller hvem der foretog den.
behandlingsrækkefølge for Gpo ‘ er
behandlingsrækkefølgen for gruppepolitikker påvirker hvilke indstillinger der anvendes på computeren eller slutbrugeren., Denne behandlingsordre er kendt som LSDOU: local, site, domain, organi .ation unit. Først behandles den lokale computerpolitik, efterfulgt af Active Directory-politikker fra siteebstedsniveau til Domæne og derefter ind i OU (Gpo ‘ er i indlejrede organisatoriske enheder gælder fra OU tættest på roden først og fortsætter derfra). Hvis der er konflikter, træder den sidste anvendte politik i kraft.
Eksempler på gpo ‘ er
følgende er eksempler af Group Policy Objects:
- EN GPO kan du angive hjem-side, der først vises, når en bruger starter Internet Explorer., Når brugeren logger på domænet, hentes det gruppepolitiske objekt og anvendes til konfigurationen af brugerens Internet e .plorer.
- en organisation kan implementere delte netværksprinterforbindelser til brugere fra en bestemt ou af Active Directory ved hjælp af Gruppepolitik. Så når en bruger logger ind på Windowsindo .s, vises en tildelt netværksprinter automatisk på listen over tilgængelige printere.,
- administratorer kan bruge en gruppepolitik til at justere indstillinger, såsom at slukke computerskærme er en bestemt periode, vælge standardprogrammer og forhindre brugere i at ændre internetforbindelsesindstillinger.
bedste praksis
nogle bedste praksis for Gpo ‘ er inkluderer:
- Opret en veldesignet organisatorisk enhedsstruktur i Active Directory for at forenkle anvendelse og fejlfinding af Gruppepolitik.
- Giv GPO ‘ er beskrivende navne for at gøre det muligt for administratorer hurtigt at identificere, hvad hver GPO gør.,
- Tilføj kommentarer til hver GPO, der forklarer, hvorfor den blev oprettet, hvad dens formål er, og hvad dens indstillinger er.
- Indstil ikke Gpo ‘ er på domæneniveau, fordi de vil blive anvendt på alle computer-og brugerobjekter. Det kan medføre, at nogle indstillinger unødigt anvendes på nogle objekter.
- brug IKKE root-computere eller brugermapper i Active Directory, fordi de ikke er organisatoriske enheder, og de kan ikke have Gpo ‘ er knyttet til dem. Når en ny bruger eller computerobjekt vises i disse mapper, skal det straks være til den relevante ou.deaktiver ikke en GPO., Slet snarere linket fra en OU i stedet for at deaktivere GPO, hvis du ikke ønsker, at det skal anvendes. Deaktivering af GPO vil forhindre det i at blive anvendt helt på domænet. Det kan være et problem, for hvis den pågældende Gruppepolitik bruges i en anden OU, fungerer den ikke længere der.