Microsoft er gruppepolicyobjekt (GPO) er en samling av innstillinger for gruppepolicy som definerer hva et system skal se ut og hvordan den vil oppføre seg i en definert gruppe av brukere.
Microsoft har et program snap-in som lar deg bruke Group Policy Management Console (GPMC). Valgene resultere i en Group Policy Object. GPO er forbundet med utvalgte Active Directory-beholdere, for eksempel nettsteder, domener eller organisasjonsenheter (OU)., GPMC gir deg mulighet til å opprette et GPO som definerer register-basert politikk, sikkerhet valg, installasjon og vedlikehold valg, skript valg og mappeomadressering valg.
Typer av Gpoer
Det er tre typer av Gpoer: lokal, ikke-lokale og starter.
- gruppepolicyobjekter. En lokal gruppepolicy Objectrefers til samling av innstillinger for gruppepolicy som bare gjelder for den lokale datamaskinen, og til brukere som logger seg på datamaskinen. Lokale Gpoer er brukt når policy innstillinger må gjelde for en enkelt Windows-datamaskin eller bruker., Lokale Gpoer finnes som standard på alle Windows-datamaskiner.
- Ikke-gruppepolicyobjekter. En ikke-lokal gruppepolicy objectis brukes når policy-innstillingene til å gjelde én eller flere datamaskiner med Windows eller brukere. Ikke-lokale Gpoer gjelder Windows-datamaskiner eller brukere når de er knyttet til Active Directory-objekter, for eksempel nettsteder, domener eller organisatoriske enheter.
- Starter gruppepolicyobjekter. Introdusert i Windows Server 2008, starter Gpoer er maler for gruppepolicy-innstillinger., Disse objektene aktivere en administrator for å opprette og ha en pre-konfigurert gruppe innstillinger som representerer en baseline for eventuelle fremtidige politikk for å være opprettet.
datasikkerhet og Group Policy Object
Det er noen innstillinger for gruppepolicy som kan bidra til å sikre en bedrifts nettverk. For eksempel, via Group Policy, en organisasjon kan kjøre skript, stoppe brukere fra å få tilgang til visse ressurser og utføre enkle oppgaver, slik som å tvinge en bestemt startsiden for å åpne for alle nettverk bruker.,
Noen av disse sikkerhetstiltakene inkluderer:
- Begrense tilgangen til Kontrollpanel — via Kontrollpanel, et selskap som kan styre alle aspekter av en datamaskin. Å begrense hvem som har tilgang til en datamaskin gjør at organisasjoner for å holde data og andre ressurser som er trygg.
- for å Deaktivere Ledeteksten — Et selskap kan bruke Kommandoen Ber deg om å kjøre kommandoer som gir høy-nivå tilgang til brukere og omgå andre system restriksjoner. Det er derfor det er fornuftig å deaktivere Ledeteksten for å sikre sikkerheten av systemet ressurser., Hvis en bruker forsøker å åpne et kommandovindu etter Ledeteksten har blitt deaktivert, vil systemet vise en melding som indikerer at noen innstillinger som hindrer dette.
- Hindre at programvare installasjoner — hvis brukere har tillatelse til å installere programvaren, kan de installere uønskede programmer eller malware som kan påvirke en bedrifts system. Som sådan, er det bedre å hindre at programvare installasjoner gjennom gruppepolicy.,
Fordeler av Group Policy Objects
Det er flere fordeler ved å implementere Gpoer i tillegg til sikkerhet, herunder:
- Mer effektiv styring — Gpoer allerede i stedet bruke et standardisert miljø for alle nye brukere og datamaskiner som vil bli med i en organisasjon er domenet, noe som sparer tid på oppsett.
- Enkel administrasjon — system administratorer kan distribuere programvare, oppdateringer og andre oppdateringer via GPO.,
- Bedre passord policy enforcement — Gpoer bestemme passord lengde, gjenbruk regler og fastsette andre krav til passord å holde en bedrifts nettverk trygt.
- Konfigurere mappeomadressering — Gpoer gjøre det mulig for bedrifter å sikre brukerne er viktig å holde selskapet filer på en sentralisert og overvåkes storage system. For eksempel, en organisasjon kan omdirigere en brukers Dokumenter-mappe, som er vanligvis lagret på en lokal stasjon, til en nettverksplassering.,
Begrensninger av Gpoer
begrensninger av Group Policy-Objekter omfatter:
- De kjøres sekvensielt — Gpoer prosessen handlinger etter hverandre. Følgelig, hvis mange Gpoer må være konfigurert, kan det ta lang tid for brukere å logge på.
- Fleksibilitet er begrenset — Gpoer kan bare benyttes til brukere eller datamaskiner. Så de er begrenset når det kommer til å ta i bruk innstillinger basert på kontekst.
- Begrenset utløser — Gpoer kan bare brukes ved oppstart av datamaskin når en bruker logger seg på eller ved angitte intervaller., Gpoer kan ikke reagere på endringer i miljøet, som for eksempel nettverk koble fra eller koble til igjen.
- Vanskelig å opprettholde — det er ingen innebygd søk eller filteret for å finne en bestemt innstilling innen en GPO, noe som gjør det vanskelig å finne og fikse problemer med eksisterende innstillinger.
- Nei Versjon kontroll — endringer som er gjort for å GPO innstillinger er ikke revidert. Så hvis en feil endringen er gjort, er det umulig å si hva endringen var eller hvem som gjorde det.
Behandling bestilling av Gpoer
behandling bestilling av gruppepolicyer virkninger hvilke innstillinger er brukt til datamaskinen eller sluttbruker., Denne behandlingen ordre er kjent som LSDOU: lokal, nettstedet, domene, organisasjon enhet. Først den lokale datamaskinen retningslinjene er behandlet, etterfulgt av Active Directory-policyer fra nettstedet nivå til et domene, deretter i OU (Gpoer i nestede organisatoriske enheter gjelde fra OU nærmest roten først, og fortsetter derfra). Hvis det er noen konflikter, de sist brukte retningslinjene vil tre i kraft.
Eksempler på Gpoer
følgende er eksempler på gruppepolicy Objekter:
- ET GPO kan angi hjem-siden det er det første som vises når en bruker starter Internet Explorer., Når brukeren logger seg på domenet, som group policy object hentes og brukes til konfigurering av brukerens Internet Explorer.
- En organisasjon kan distribuere delt nettverksskriver forbindelser til brukere fra en bestemt OU av Active Directory ved hjelp av gruppepolicy. Så når en bruker logger seg på Windows, et nettverk som er tilordnet skriveren vil automatisk vises i listen over tilgjengelige skrivere.,
- Administratorer kan bruke gruppepolicy til å justere innstillinger, som for eksempel å slå av datamaskinen viser en viss tid, ved å velge standard programmer og hindre brukere fra å endre Internett-tilkobling alternativer.
Best practices
Noen eksempler på beste praksis for Gpoer inkluderer:
- Opprette en godt utformet organisasjonsenhet struktur i Active Directory for å forenkle bruk og feilsøking gruppepolicy.
- Gi Gpoer beskrivende navn for å aktivere administratorer å raskt identifisere hva hver GPO gjør.,
- Legg til kommentarer til hver GPO som forklarer hvorfor det ble opprettet, hva hensikten er, og hva dens innstillinger.
- ikke angi Gpoer på domenenivå fordi de vil bli brukt til alle datamaskin og bruker objekter. Som kan føre til at noen innstillinger som skal brukes til noen objekter unødvendig.
- ikke bruke root datamaskiner eller bruker mapper i Active Directory, fordi de er ikke organisasjonsenheter, og de kan ikke ha Gpoer knyttet til dem. Når en ny bruker eller datamaskinen objektet vises i disse mappene, bør det være umiddelbart til den aktuelle OU.
- ikke deaktiver en GPO., Snarere, slette link fra en OU i stedet for å deaktivere GPO hvis du ikke vil at den skal brukes. Deaktivere GPO vil hindre at det blir brukt helt på domenet. Det kan være et problem fordi hvis den aktuelle Gruppen Politikk er brukt i en annen OU, det vil ikke jobbe der lenger.