Miért nem alkalmazzák a csoportházirendet a számítógépre vagy az OU-ra?

Ebben a cikkben megpróbálom elemezni azokat az tipikus okokat, amelyek miatt egy adott csoportszabály nem vonatkozik a szervezeti egységre (OU) vagy egy adott számítógépre / felhasználóra. Úgy gondolom, hogy ez a cikk hasznos lesz mind a kezdőknek, mind az AD csoportpolitikai szakembereknek, hogy megértsék működésüket és a GPO felépítését. Mindenekelőtt a cikkben a csoportházirend-objektumok alkalmazásának lehetséges problémáiról fogok beszélni, amelyek maguk a házirendek beállításaihoz kapcsolódnak, nem pedig a GPO ügyfeleknél történő használatának problémájáról. A cikkben leírt szinte az összes beállítást a Csoportházirend tartományszerkesztő - Csoportházirend-kezelő konzol (GPMC.msc) konzolján hajtják végre..

Tartalom:

  • GPO hatálya
  • GPO biztonsági szűrő
  • WMI GPO szűrők
  • Csoportházirend-állapot
  • GPO küldöttség
  • Csoportházirend-öröklés
  • Hatály és a csoportházirend végrehajtása (LSDOU)
  • GPO-kapcsolat engedélyezve
  • Csoportházirend-zár
  • Ügyféloldali GPO-diagnosztika

GPO hatálya

Ha valamilyen házirend-beállítást nem alkalmaznak az ügyfélen, ellenőrizze a csoportházirend hatályát. Ha egy szakaszban állít be egy paramétert Számítógép konfigurációja (Számítógép konfigurációja), akkor a csoportpolitikát a számítógépekkel az OU-hoz kell kötni. Ennek megfelelően, ha a konfigurálható paraméter hivatkozik Felhasználói konfiguráció (Felhasználói konfiguráció).

Ellenőrizze azt is, hogy az objektum, amelyre megpróbálja alkalmazni a házirendet, a megfelelő OU-ban van-e a számítógépekkel vagy a felhasználókkal. Használhatja a domain szerinti keresést. Az az OU, amelyben az objektum található, az Objektum fülön található az ADUC konzolon.

Vagyis a célpontnak azon az egységen belül kell lennie, amelyhez a házirend hozzá van rendelve (vagy egy beágyazott tárolóban)..

GPO biztonsági szűrő

Ellenőrizze a házirend-biztonsági szűrő értékét (Biztonsági szűrés). Alapértelmezés szerint a domain összes új csoportházirend-objektummal rendelkezik engedélyek a "Hitelesített felhasználók”. Ez a csoport az összes felhasználót és domain számítógépet tartalmazza. Ez azt jelenti, hogy ezt az irányelvet minden felhasználóra és számítógépre alkalmazni kell, amely annak hatálya alá tartozik..

Ha úgy dönt, hogy megváltoztatja ezt a biztonsági szűrőt, hogy az irányelv csak egy adott domain biztonsági csoport tagjaira (vagy meghatározott felhasználókra / számítógépekre) vonatkozzon, a hitelesített felhasználók csoport törlésével, akkor ellenőrizze, hogy a célobjektum (felhasználó vagy számítógép) hozzáadódott-e ehhez az AD-csoporthoz. Ellenőrizze azt is, hogy a GPO -> Delegálás -> Speciális lapon a Biztonsági szűréshez hozzáadott csoport engedélyek listája tartalmazzon jogokat Olvasás és Alkalmazza a csoportházirendet hatalommal alkalmaz.

Ha nem szabvány házirend-biztonsági szűrőket használ, ellenőrizze, hogy nincs-e kifejezett tilalom a célcsoportok GPO-jainak használatára (tagadás).

WMI GPO szűrők

A csoportszabályokban speciális WMI szűrőket használhat. Ez lehetővé teszi a házirendek alkalmazását számítógépekre bizonyos WMI kérések alapján. Létrehozhatunk például egy WMI GPO-szűrőt, hogy az irányelvet csak a Windows adott verziójával rendelkező számítógépekre, egy adott IP-alhálózaton lévő PC-re, csak a laptopokra stb. Alkalmazzuk..

A WMI csoportházirend-szűrők használatakor ellenőriznie kell a WMI-igény helyességét, amely csak azokat a rendszereket választja ki, amelyekre szüksége van, és a célszámítógépeket nem zárja ki. A WMI-szűrőt kipróbálhatja a számítógépeken a PowerShell segítségével

gwmi -Query 'válassza a * fájlt a Win32_OperatingSystem közül, ahol a "10.%" és a ProductType = "1" verziójú verzió található.

Ha a kérelem visszatér adatokat, akkor a számítógépre a WMI szűrőt kell alkalmazni.

Csoportházirend-állapot

Ellenőrizze a csoportházirend állapotát a GPMC.msc fülön, a házirend fül tulajdonságai között részletek. Ügyeljen a mező értékére Csoportházirend-objektum állapota.

Mint láthatja, 4 lehetőség áll rendelkezésre:

  • Minden beállítás letiltva - minden házirend-beállítás le van tiltva (nem alkalmazható);
  • A számítógép konfigurációs beállításai le vannak tiltva - a számítógép GPO-beállításai nem kerülnek alkalmazásra;
  • A felhasználói konfigurációs beállítások le vannak tiltva - az egyéni házirend-beállításokat nem alkalmazzák;
  • Bekapcsolt - minden házirend-beállítás vonatkozik az AD célokra (alapértelmezett érték).

GPO küldöttség

Az irányelv lapon felhatalmazás A csoportpolitikára konfigurált engedélyek fel vannak sorolva. Itt láthatja, hogy mely csoportok kapják meg a jogot a csoportházirend-objektum beállításainak megváltoztatására, valamint a házirend alkalmazásának engedélyezésére vagy letiltására. A GPO-kezelési jogokat ebből a konzolból vagy az átruházási varázsló segítségével adhatja meg az ADUC-ban. Ezenkívül az Enterprise Domain Controllers hozzáférési karaktersorának megléte határozza meg a házirend replikációs képességét az Active Directory tartományvezérlők között (ezt szem előtt kell tartani, ha a DC-k között problémák merülnek fel az irányelvek replikációja során). Vegye figyelembe, hogy a Delegálás lapon található jogok megfelelnek a SYSVOL mappában a házirend-könyvtárhoz rendelt NTFS-jogoknak

Csoportházirend-öröklés

Az öröklés a csoportpolitikák egyik alapfogalma. A legfelső szintű házirendek alapértelmezés szerint vonatkoznak a domain hierarchia összes beágyazott objektumára. Az adminisztrátor azonban blokkolhatja az összes örökölt házirend alkalmazását egy adott OU-n. Ehhez a GPMC konzolon kattintson az RMB elemre az OU-n és válassza a menüpontot Az öröklés blokkolása.

A fogyatékkal élő házirend-örökséggel rendelkező szervezeti egységek kék felkiáltójellel jelennek meg a konzolon.

Ha a házirendet nem alkalmazzák az ügyfélen, ellenőrizze, hogy az OU-ban van-e, és az öröklés le van tiltva.

Ne feledje, hogy azokat a domain házirendeket, amelyek tulajdonságai „erőszakos”, Alkalmazni kell még a fogyatékkal élő örökséggel rendelkező szervezetekre is (a tárolóra vonatkozó öröklött házirendek a lapon érhetők el Csoportházirend-öröklés).

Hatály és a csoportházirend végrehajtása (LSDOU)

A csoportszabályoknak a tartományban történő alkalmazásának funkcióinak emlékezéséhez meg kell emlékezni a rövidítésre LSDOU. Ez a rövidítés lehetővé teszi, hogy emlékezzen a GPO alkalmazásának sorrendjére:

  1. Helyi számítógépes házirendek (helyi) a gpedit.msc-en keresztül konfigurálva (ha helytelenül van beállítva, akkor visszaállíthatja őket);
  2. Webhelyszintű csoportszabályok (hely);
  3. Domain szintű csoport házirendek (domain);
  4. Szervezeti egységcsoport politika (Szervezeti egység).

A legújabb politikusok tartják a legfontosabb prioritást. Ie Ha engedélyezte egy bizonyos Windows paramétert a domain házirend szintjén, de a cél OU-n ezt a paramétert egy másik irányelv tiltja le - ez azt jelenti, hogy a kívánt paramétert az ügyfél letiltja (az AD hierarchiában az objektumhoz legközelebbi házirend nyer).

A paraméter használatakor kényszerű a GPO nyer, a házirend magasabb a domain hierarchiában (például ha a Forced engedélyezve van az alapértelmezett domain házirendben, akkor minden egyéb GPO ellen nyer).

Ezen felül az adminisztrátor megváltoztathatja a GPMC-ben a feldolgozási irányelvek sorrendjét (Link Order). Ehhez válassza az OU lehetőséget, és lépjen a fülre Kapcsolt csoportházirend-objektumok. A lista tartalmazza a GPO-kat, amelyek prioritással vonatkoznak erre az OU-ra. A házirendeket fordított sorrendben dolgozzák fel (alulról felfelé). Ez azt jelenti, hogy a politikát Összekapcsolási sorrend 1 utoljára kerül végrehajtásra. A GPO prioritását megváltoztathatja a bal oldali oszlopban található nyilak segítségével, ha magasabbra vagy alacsonyabbra helyezi a listában.

GPO-kapcsolat engedélyezve

Az AD szervezeti tárolóhoz kötött minden csoportházirend-objektumhoz engedélyezheti vagy letilthatja a kommunikációt (házirend alkalmazásával). Ehhez engedélyezze vagy tiltsa le a lehetőséget A kommunikáció engedélyezve (A link engedélyezve van) a házirend menüben. Ha egy házirendhez való kapcsolat le van tiltva, annak ikonja halvány lesz. Ha a kapcsolat megszakad, a házirend nem vonatkozik az ügyfelekre, de a csoportházirend-objektumra való hivatkozást nem távolítják el a hierarchiából. Bármikor aktiválhatja ezt a linket..

Csoportházirend-zár

Ha engedélyezve van Csoportházirend-zárolási mód (Visszacsatolásos feldolgozási mód) a számítógépre alkalmazhatja azokat a beállításokat, amelyeket a GPO szakasz tartalmaz, a felhasználók által elvégzett beállításokkal. Például, ha házirendet alkalmaz az OU-val olyan számítógépekkel, amelyekben a Felhasználói konfigurációk szakasz beállításai vannak konfigurálva, akkor ezek a házirendek nem lesznek alkalmazva a felhasználóra bezárás nélkül. A visszatérő adatfeldolgozási mód engedélyezve van a Számítógép konfigurálása -> Felügyeleti sablonok -> Rendszer -> Csoportházirend -> alatt Konfigurálja a felhasználói csoportházirend-visszatartás-feldolgozási módot.

Ennek a politikának két lehetséges jelentése van:

  • Egyesítési mód - Csoportházirend-objektumok egyesítése a felhasználó helyének alapján, majd a számítógéphez kötött GPO-k. Ellentmondás esetén a felhasználó OU és a számítógép OU házirendje között a számítógépre vonatkozó irányelv nagyobb prioritást élvez. Ebben a módban a házirend kétszer fut, ezt használat közben meg kell emlékezni; bejelentkezési szkriptek.
  • Csere üzemmód (csere) - csak az OU-hoz rendelt házirendek vonatkoznak a felhasználóra, amelybe a felhasználó be van jelentkezve.

Ügyféloldali GPO-diagnosztika

Az ügyféloldali csoportszabályok végrehajtását a gpresult, rsop.msc és Windows eseménynapló segédprogramokkal diagnosztizálhatja. Az Event Viewer használatakor a forrástól függően kell szűrnie GroupPolicy (Microsoft-Windows-GroupPolicy), valamint az Alkalmazás- és szolgáltatásnaplókban -> Microsoft -> Windows -> Csoportházirend -> Működő.

Olvashat olyan cikkeket is, amelyek leírják a diagnózis alapelveit, amikor az ügyfelekre túl hosszú ideig alkalmazzák az irányelveket.

Végezetül azt szeretném mondani, hogy a csoportpolitikák struktúráját a lehető legegyszerűbbnek kell tartania, és nem szabad szükségtelenül létrehoznia a felesleges politikákat. Egyetlen házirend-elnevezési sémát használjon; a csoportházirend-objektum nevének egyértelműen meg kell értenie, miért van rá szüksége.