Microsofts grupprincipobjekt (GPO) är en samling grupprincipobjekt som definierar hur ett system kommer att se ut och hur det kommer att fungera för en definierad grupp av användare.
Microsoft tillhandahåller ett program snapin-in som låter dig använda Group Policy Management Console (GPMC). Markeringarna resulterar i ett grupprincipobjekt. GPO är associerad med valda Active Directory-behållare, till exempel webbplatser, domäner eller organisationsenheter (OU)., GPMC kan du skapa en GPO som definierar registerbaserade politik, säkerhetsalternativ, installation och underhåll av programvara alternativ, skript alternativ och mapp omdirigering alternativ.
typer av GPOs
det finns tre typer av GPOs: lokal, icke-lokal och starter.
- lokala grupprincipobjekt. Ett lokalt grupprincipobjekt hänvisar till insamling av grupprincipinställningar som endast gäller den lokala datorn och de användare som loggar in på den datorn. Lokala GPOs används när policyinställningar måste gälla för en enda Windows-dator eller användare., Lokala GPOs finns som standard på alla Windows-datorer.
- icke-lokala grupprincipobjekt. Ett icke-lokalt grupprincipobjektanvänds när policyinställningar måste gälla för en eller flera Windows-datorer eller användare. Icke-lokala GPO gäller för Windows-datorer eller användare när de är länkade till Active Directory-objekt, till exempel webbplatser, domäner eller organisationsenheter.
- Starter grupprincipobjekt. Introducerad i Windows Server 2008 är starter GPOs mallar för grupprincipinställningar., Dessa objekt gör det möjligt för en administratör att skapa och ha en förkonfigurerad grupp av inställningar som representerar en baslinje för framtida policyer som ska skapas.
datasäkerhet och grupprincipobjekt
det finns vissa grupprincipinställningar som kan hjälpa till att säkra ett företags nätverk. Till exempel genom Grupprincip kan en organisation köra skript, hindra användare från att komma åt vissa resurser och utföra enkla uppgifter, till exempel att tvinga en viss startsida att öppnas för varje nätverksanvändare.,
några av dessa säkerhetsåtgärder inkluderar:
- begränsa åtkomsten till Kontrollpanelen-genom Kontrollpanelen kan ett företag styra alla aspekter av en dator. Att begränsa vem som har tillgång till en dator gör det möjligt för organisationer att hålla data och andra resurser säkra.
- inaktivera Kommandotolken — ett företag kan använda kommandotolkar för att köra kommandon som ger åtkomst på hög nivå till användare och kringgå andra systemrestriktioner. Det är därför det är klokt att inaktivera Kommandotolken för att säkerställa säkerheten för systemresurser., Om en användare försöker öppna ett kommandofönster efter att kommandotolken har inaktiverats kommer systemet att visa ett meddelande som indikerar att vissa inställningar förhindrar detta.
- förhindra programinstallationer — om användare får installera programvara kan de installera oönskade program eller skadlig kod som kan äventyra ett företags system. Som sådan är det bättre att förhindra programinstallationer genom grupppolicy.,
fördelar med grupprincipobjekt
det finns flera fördelar med att implementera GPOs förutom säkerhet, inklusive:
- effektivare hantering — GPOs redan på plats tillämpa en standardiserad miljö för alla nya användare och datorer som går med i en organisations domän, vilket sparar tid på installationen.
- enkel administration — systemadministratörer kan distribuera programvara, patchar och andra uppdateringar via GPO.,
- bättre tillämpning av lösenordspolicy — GPOs bestämmer lösenordslängd, återanvändningsregler och fastställer andra krav för lösenord för att hålla ett företags nätverk säkert.
- konfigurera mappomdirigering — GPOs gör det möjligt för företag att se till att användarna håller viktiga företagsfiler på ett centraliserat och övervakat lagringssystem. Till exempel kan en organisation omdirigera en användares dokumentmapp, som vanligtvis lagras på en lokal enhet, till en nätverksplats.,
begränsningar av GPOs
begränsningarna för grupprincipobjekt inkluderar:
- de kör sekventiellt — GPOs processåtgärder en efter en. Följaktligen, om många GPO måste konfigureras, kan det ta lång tid för användare att logga in.
- flexibilitet är begränsad — GPOs kan endast tillämpas på användare eller datorer. Så de är begränsade när det gäller att tillämpa inställningar baserade på sammanhang.
- begränsade triggers — GPOs kan endast användas vid datorstart, när en användare loggar in eller med inställda intervall., GPOs kan inte reagera på förändringar i miljön, till exempel nätverksavkoppling eller återanslutning.
- svårt att underhålla-det finns inget inbyggt Sök-eller filteralternativ för att hitta en specifik inställning inom en GPO, vilket gör det svårt att hitta eller åtgärda problem med befintliga inställningar.
- ingen versionskontroll — ändringar som gjorts i GPO-inställningarna granskas inte. Så om en felaktig förändring görs är det omöjligt att berätta vad förändringen var eller vem som gjorde den.
Bearbetningsordning för GPOs
bearbetningsordningen för grupppolicyer påverkar vilka inställningar som tillämpas på datorn eller slutanvändaren., Denna bearbetningsorder kallas LSDOU: lokal, webbplats, domän, organisationsenhet. Först behandlas den lokala datapolicyn, följt av Active Directory-policyer från webbplatsnivå till domän, sedan in i OU (GPOs i kapslade organisatoriska enheter gäller från OU närmast roten först och fortsätter därifrån). Om det finns några konflikter kommer den senaste tillämpade politiken att träda i kraft.
exempel på GPOs
Följande är exempel på grupprincipobjekt:
- en GPO kan ange startsidan som visas först när en användare startar Internet Explorer., När användaren loggar in på domänen hämtas och tillämpas det grupprincipobjektet på konfigurationen av användarens Internet Explorer.
- en organisation kan distribuera delade nätverks skrivaranslutningar till användare från en viss OU av Active Directory med hjälp av Grupprincip. Så när en användare loggar in i Windows visas en tilldelad nätverksskrivare automatiskt i listan över tillgängliga skrivare.,
- administratörer kan använda en grupppolicy för att justera inställningar, till exempel att stänga av datorskärmar är en viss tidsperiod, välja standardprogram och förhindra användare från att ändra internetanslutningsalternativ.
bästa praxis
några bästa metoder för GPOs inkluderar:
- skapa en väl utformad organisationsenhet struktur i Active Directory För att förenkla tillämpningen och felsökning Grupprincip.
- ge GPOs beskrivande namn så att administratörer snabbt kan identifiera vad varje GPO gör.,
- Lägg till kommentarer till varje GPO som förklarar varför det skapades, vad dess syfte är och vad dess inställningar är.
- Ställ inte in GPOs på domännivå eftersom de kommer att tillämpas på alla Dator-och användarobjekt. Det kan orsaka att vissa inställningar tillämpas på vissa objekt i onödan.
- använd inte rotdatorerna eller användarmapparna i Active Directory eftersom de inte är organisatoriska enheter och de inte kan ha GPOs kopplade till dem. När en ny användare eller dator objekt visas i dessa mappar, bör det vara omedelbart till lämplig OU.
- inaktivera inte en GPO., Ta hellre bort länken från en OU istället för att inaktivera GPO om du inte vill att den ska tillämpas. Inaktivera GPO kommer att förhindra att den tillämpas helt på domänen. Det kan vara ett problem eftersom om den specifika grupppolitiken används i en annan OU, kommer den inte att fungera där längre.