Microsoft ‘ s Group Policy Object (GPO) is een verzameling van groepsbeleidsinstellingen die bepaalt hoe een systeem eruit zal zien en hoe het zich zal gedragen voor een gedefinieerde groep gebruikers.
Microsoft biedt een programma-module waarmee u de Console Groepsbeleidsbeheer (GPMC) kunt gebruiken. De selecties resulteren in een groepsbeleidsobject. Het groepsbeleidsobject is gekoppeld aan geselecteerde Active Directory-containers, zoals sites, domeinen of organisatie-eenheden., Met de GPMC kunt u een groepsbeleidsobject maken dat op het register gebaseerde beleidsregels, beveiligingsopties, software-installatie-en onderhoudsopties, scripts-opties en mapomleidingsopties definieert.
typen groepsbeleidsobjecten
Er zijn drie typen groepsbeleidsobjecten: lokaal, niet-lokaal en starter.
- lokale groepsbeleidsobjecten. Een lokaal groepsbeleidsobject verwijst naar het verzamelen van groepsbeleidsinstellingen die alleen van toepassing zijn op de lokale computer en op de gebruikers die zich bij die computer aanmelden. Lokale groepsbeleidsobjecten worden gebruikt wanneer beleidsinstellingen moeten worden toegepast op een enkele Windows-computer of-gebruiker., Op alle Windows-computers bestaan standaard lokale groepsbeleidsobjecten.
- niet-lokale groepsbeleidsobjecten. Een niet-lokale groepsbeleidsobject wordt gebruikt wanneer beleidsinstellingen op een of meer Windows-computers of-gebruikers moeten worden toegepast. Niet-lokale groepsbeleidsobjecten zijn van toepassing op Windows-computers of-gebruikers zodra deze zijn gekoppeld aan Active Directory-objecten, zoals sites, domeinen of organisatie-eenheden.
- Starter groepsbeleidsobjecten. Starter GPO ‘ s zijn geà ntroduceerd in Windows Server 2008 en zijn sjablonen voor groepsbeleidsinstellingen., Met deze objecten kan een beheerder een vooraf geconfigureerde groep instellingen maken en hebben die een basislijn vormen voor elk toekomstig beleid dat moet worden gemaakt.
gegevensbeveiliging en groepsbeleidsobject
Er zijn enkele groepsbeleidsinstellingen die het netwerk van een bedrijf kunnen beveiligen. Via Groepsbeleid kan een organisatie bijvoorbeeld scripts uitvoeren, gebruikers geen toegang geven tot bepaalde bronnen en eenvoudige taken uitvoeren, zoals het forceren van een bepaalde startpagina voor elke netwerkgebruiker.,
sommige van deze beveiligingsmaatregelen omvatten:
- toegang tot het Configuratiescherm beperken — via het Configuratiescherm kan een bedrijf alle aspecten van een computer controleren. Het beperken van wie toegang heeft tot een computer stelt organisaties in staat om gegevens en andere bronnen veilig te houden.
- opdrachtprompt uitschakelen — een bedrijf kan opdrachtprompt gebruiken om opdrachten uit te voeren die gebruikers toegang op hoog niveau geven en andere systeembeperkingen omzeilen. Daarom is het verstandig om de opdrachtprompt uit te schakelen om de veiligheid van systeembronnen te garanderen., Als een gebruiker een opdrachtvenster probeert te openen nadat de opdrachtprompt is uitgeschakeld, zal het systeem een bericht weergeven dat aangeeft dat sommige instellingen dit verhinderen.
- voorkom software-installaties — als gebruikers software mogen installeren, kunnen ze ongewenste applicaties of malware installeren die het systeem van een bedrijf in gevaar kunnen brengen. Als zodanig, het is beter om software-installaties te voorkomen door middel van Groepsbeleid.,
voordelen van groepsbeleidsobjecten
naast beveiliging zijn er verschillende voordelen aan het implementeren van groepsbeleidsobjecten, waaronder:
- efficiënter beheer — GPO ‘ s die al in gebruik zijn, passen een gestandaardiseerde omgeving toe op alle nieuwe gebruikers en computers die lid worden van het domein van een organisatie, wat tijd bespaart bij het instellen.
- beheergemak — systeembeheerders kunnen software, patches en andere updates implementeren via GPO.,
- betere handhaving van wachtwoordbeleid — GPO ‘ s bepalen wachtwoordlengte, hergebruikregels en stellen andere vereisten voor wachtwoorden vast om het netwerk van een bedrijf veilig te houden.
- Mapomleiding configureren — GPO ‘ s stellen bedrijven in staat om ervoor te zorgen dat gebruikers belangrijke bedrijfsbestanden op een gecentraliseerd en gecontroleerd opslagsysteem houden. Een organisatie kan bijvoorbeeld de map Documenten van een gebruiker, die gewoonlijk op een lokaal station wordt opgeslagen, omleiden naar een netwerklocatie.,
beperkingen van groepsbeleidsobjecten
De beperkingen van groepsbeleidsobjecten zijn onder meer:
- ze draaien achtereenvolgens — GPOs-procesacties. Als er dus veel groepsbeleidsobjecten moeten worden geconfigureerd, kan het lang duren voordat gebruikers zich aanmelden.
- flexibiliteit is beperkt — GPO ‘ s kunnen alleen worden toegepast op Gebruikers of computers. Dus ze zijn beperkt als het gaat om het toepassen van instellingen op basis van context.
- beperkte triggers — GPO ‘ s kunnen alleen worden toegepast bij het opstarten van de computer, wanneer een gebruiker zich aanmeldt of met vaste intervallen., Groepsbeleidsobjecten kunnen niet reageren op veranderingen in de omgeving, zoals netwerkverbinden of opnieuw verbinden.
- moeilijk te onderhouden — er is geen ingebouwde zoek-of filteroptie om een specifieke instelling binnen een groepsbeleidsobject te vinden, waardoor het moeilijk is om problemen met bestaande instellingen te vinden of op te lossen.
- geen versiebeheer — wijzigingen in de instellingen van het groepsbeleidsobject worden niet gecontroleerd. Dus als er een foutieve verandering is gemaakt, is het onmogelijk om te zeggen wat de verandering was of wie het heeft gedaan.
verwerkingsvolgorde van groepsbeleidsobjecten
de verwerkingsvolgorde van Groepsbeleid bepaalt welke instellingen op de computer of de eindgebruiker worden toegepast., Deze verwerkingsopdracht staat bekend als lsdou: local, site, domain, organization unit. Eerst wordt het lokale computerbeleid verwerkt, gevolgd door Active Directory-beleid van siteniveau naar domein en vervolgens naar de organisatie-eenheid (groepsbeleidsobjecten in geneste organisatie-eenheden worden eerst toegepast vanaf de organisatie-eenheid die het dichtst bij de hoofdmap staat, en gaan vanaf daar verder). Als er conflicten zijn, zal het laatst toegepaste beleid van kracht worden.
voorbeelden van groepsbeleidsobjecten
de volgende voorbeelden zijn voorbeelden van groepsbeleidsobjecten:
- een groepsbeleidsobject kan de startpagina specificeren die voor het eerst wordt weergegeven wanneer een gebruiker Internet Explorer opstart., Wanneer de gebruiker zich aanmeldt bij het domein, wordt dat groepsbeleidsobject opgehaald en toegepast op de configuratie van de Internet Explorer van de gebruiker.
- een organisatie kan gedeelde netwerkprinterverbindingen implementeren voor gebruikers vanuit een specifieke organisatie-eenheid van Active Directory met behulp van Groepsbeleid. Wanneer een gebruiker zich dus aanmeldt bij Windows, verschijnt er automatisch een toegewezen netwerkprinter in de lijst met beschikbare printers.,
- beheerders kunnen een Groepsbeleid gebruiken om instellingen aan te passen, zoals het uitschakelen van computerschermen zijn een bepaalde periode, het kiezen van standaardprogramma ‘ s en het voorkomen dat gebruikers opties voor internetverbindingen wijzigen.
Best practices
enkele best practices voor groepsbeleidsobjecten zijn:
- Maak een goed ontworpen organisatie-eenheidstructuur in Active Directory om het toepassen en oplossen van problemen met Groepsbeleid te vereenvoudigen.
- geef beschrijvende namen voor groepsbeleidsobjecten zodat beheerders snel kunnen bepalen wat elk groepsbeleidsobject doet.,
- voeg opmerkingen toe aan elk groepsbeleidsobject waarin wordt uitgelegd waarom het is gemaakt, wat het doel is en wat de instellingen zijn.
- stel GPO ‘ s niet in op domeinniveau, omdat ze worden toegepast op alle computer-en gebruikersobjecten. Dat kan ertoe leiden dat sommige instellingen onnodig worden toegepast op sommige Objecten.
- gebruik de rootcomputers of gebruikersmappen niet in Active Directory omdat het geen organisatie-eenheden zijn en er geen GPO ‘ s aan gekoppeld kunnen worden. Wanneer een nieuwe gebruiker of computer object verschijnt in deze mappen, moet het onmiddellijk naar de juiste organisatie-eenheid.
- schakel een groepsbeleidsobject niet uit., In plaats daarvan verwijdert u de link van een organisatie-eenheid in plaats van het groepsbeleidsobject uit te schakelen als u niet wilt dat deze wordt toegepast. Als u het groepsbeleidsobject uitschakelt, wordt het niet volledig toegepast op het domein. Dat kan een probleem zijn, want als dat specifieke Groepsbeleid wordt gebruikt in een andere organisatie-eenheid, zal het daar niet langer werken.