Это канонический вопрос об основах групповой политики Active Directory
Что такое групповая политика? Как это работает и почему я должен его использовать?
Примечание. Это вопрос и ответ новому администратору, который может не знать, как он работает и насколько он мощный.
windows
active-directory
group-policy
MDMarra
источник
источник
Ответы:
Что такое групповая политика?
Групповая политика - это инструмент, который доступен администраторам под управлением Windows 2000 или более поздней версии домена Active Directory . Это позволяет централизованно управлять настройками на клиентских компьютерах и серверах, подключенных к домену, а также обеспечивает элементарный способ распространения программного обеспечения.
Параметры сгруппированы в объекты, называемые объектами групповой политики (GPO). Объекты групповой политики связаны с подразделением Active Directory и могут применяться к пользователям и компьютерам. Объекты групповой политики нельзя применять непосредственно к группам, хотя вы можете использовать фильтрацию безопасности или таргетинг на уровне элементов для фильтрации приложений политики на основе членства в группах.
Это круто, что это может сделать?
Что-нибудь.
Серьезно, вы можете делать все что угодно пользователям или компьютерам в вашем домене. Существуют сотни предустановленных настроек для таких вещей, как перенаправление папок, сложность пароля, настройки электропитания, сопоставления дисков, шифрование дисков, Центр обновления Windows и так далее. Все, что вы не можете настроить с помощью предварительно определенных настроек, вы можете контролировать с помощью сценариев. Пакетные сценарии и сценарии VBScript поддерживаются на всех поддерживаемых клиентах, а сценарии PowerShell можно запускать на хостах Windows 7.
Как применяются объекты групповой политики?
Объекты групповой политики применяются в предсказуемом порядке. Локальные политики применяются в первую очередь. Существуют политики, установленные на локальной машине через gpedit.msc. Правила сайта применяются вторыми. Политики домена применяются третьим, а политики OU - четвертым. Если объект вложен в несколько OU, то объекты GPO применяются в первую очередь к OU, ближайшим к корню.
Имейте в виду, что в случае конфликта последний примененный объект групповой политики «выигрывает». Это означает, например, что политика, связанная с подразделением, в котором находится компьютер, выиграет, если возникнет конфликт между настройкой в этом объекте групповой политики и настройкой, связанной с родительским подразделением.
Скрипты входа и запуска кажутся классными, как они работают?
Входа в систему или запуска сценария может жить в любой сетевой ресурс до тех пор , как
Domain Users
иDomain Computers
группы имеют доступ на чтение к общему ресурсу , что они находятся на. Традиционно они проживают\\domain.tld\sysvol
, но это не является обязательным требованием.Сценарии запуска запускаются при запуске компьютера. Они запускаются как системная учетная запись на локальном компьютере. Это означает, что они получают доступ к сетевым ресурсам как учетная запись компьютера. Например, если вы хотите сценарий запуска , чтобы иметь доступ к сетевому ресурсу , на долю которого есть UNC из
\\server01\share1
и имя компьютера былоWORKSTATION01
бы вы должны убедиться , чтоWORKSTATION01$
имел доступ к этой акции. Поскольку этот скрипт запускается как системный, он может выполнять такие вещи, как установка программного обеспечения, изменение привилегированных разделов реестра и изменение большинства файлов на локальном компьютере.Сценарии входа в систему выполняются в контексте безопасности локально вошедшего в систему пользователя. Надеемся, что ваши пользователи не являются администраторами, так что это означает, что вы не сможете использовать их для установки программного обеспечения или изменения параметров защищенного реестра.
Сценарии входа и запуска были краеугольным камнем Windows 2003 и более ранних доменов, но их полезность снизилась в более поздних выпусках Windows Server. Предпочтения групповой политики дают администраторам гораздо лучший способ обрабатывать сопоставления дисков и принтеров, ярлыки, файлы, записи реестра, членство в локальной группе и многое другое, что можно сделать только в сценарии запуска или входа в систему. Если вы думаете, что вам может понадобиться использовать сценарий для простой задачи, возможно, вместо него есть групповая политика или предпочтение. В настоящее время в доменах с клиентами Windows 7 (или более поздними версиями) только сложные задачи требуют сценариев запуска или входа.
Я нашел классный объект групповой политики, но он относится к пользователям, я хочу, чтобы он применялся к компьютерам!
Да, знаю. Я был там. Это особенно распространено в академической лаборатории или других сценариях общего компьютера, где вы хотите, чтобы некоторые пользовательские политики для принтеров или аналогичных ресурсов основывались на компьютере, а не на пользователе. Угадай что, тебе повезло! Вы хотите включить параметр объекта групповой политики для режима обратной связи групповой политики .
Пожалуйста.
Вы сказали, что я могу использовать это для установки программного обеспечения, верно?
Да, вы можете. Однако есть некоторые предостережения. Программное обеспечение должно быть в формате MSI , а любые изменения в нем должны быть в файле MST . Вы можете создать MST с помощью программного обеспечения, такого как ORCA или любого другого редактора MSI. Если вы не сделаете преобразование, ваш конечный результат будет таким же, как запуск
msiexec /i <path to software> /q
Программное обеспечение также устанавливается только при запуске, поэтому это не очень быстрый способ распространения программного обеспечения, но это бесплатно. В малобюджетной лабораторной среде я выполнил запланированное задание (через GPO), которое перезагрузит каждый лабораторный компьютер в полночь со случайным смещением в 30 минут. Это гарантирует, что программное обеспечение, как минимум, устареет в этих лабораториях на один день. Тем не менее, программное обеспечение, такое как SCCM , LANDesk , Altaris или что-либо еще, что может «подталкивать» программное обеспечение по требованию, является предпочтительным.
Как часто это применяется?
Клиенты обновляют свои объекты групповой политики каждые 90 минут с 30-минутным рандомизацией. Это означает, что по умолчанию время ожидания может составлять до 120 минут. Кроме того, некоторые параметры, такие как сопоставление дисков, перенаправление папок и параметры файлов, применяются только при запуске или входе в систему. Групповая политика предназначена для долгосрочного планового управления, а не для мгновенных быстрых решений.
Контроллеры домена обновляют свою политику каждые пять минут.
источник
Краткое примечание о предпочтениях групповой политики. Если вы хотите использовать эти параметры, но у вас есть рабочие станции с Windows XP SP2 или Windows XP SP3, им сначала необходимо установить клиентские расширения предпочтений групповой политики для Windows XP (KB943729) .
Компьютеры Контейнер vs Компьютеры OU
В Active Directory (AD) по умолчанию существует
Computers container
корневой каталог домена , который часто ошибочно принимают за подразделение Active Directory. Это на самом деле , а не . Поскольку это на самом деле не подразделение, групповые политики не применяются к объектам в этом контейнере. Исключением из этого правила являются групповые политики, применяемые в . Это будут единственные политики, применяемые к объектам в .Container
OU
domain level
Computers container
По умолчанию компьютерные объекты, присоединенные к домену, которые не являются предварительно подготовленными, переходят в
Computers container
.Поэтому, если вам интересно, почему ваша политика не применяется, убедитесь, что рассматриваемый объект находится в правильном месте в AD.
Резервное копирование объектов групповой политики
Резервное копирование объектов групповой политики можно выполнять с помощью консоли управления групповыми политиками (GPMC).
Group Policy Objects
лес и домен, содержащий объект групповой политики (GPO), для которого требуется создать резервную копию.Group Policy Objects
и выберитеBack Up All
.Backup
. Если вы создаете резервные копии нескольких объектов групповой политики, описание будет применяться ко всем объектам резервной копии, которые вы резервируете.Преимущество резервного копирования групповых политик заключается в том, что он имеет встроенный контроль версий. Это означает, что вы можете использовать эту процедуру несколько раз, и она будет отслеживать изменения между политиками. Затем вы можете восстановить конкретную версию политики.
Можно даже настроить запланированное задание для запуска сценария PowerShell, который использует команду Backup-GPO для автоматизации резервного копирования.
Вы все равно хотите сделать резервную копию (используя обычный метод резервного копирования) папки, в которую вы копируете объекты групповой политики.
источник
Пришли сюда в поисках простого скрипта Powershell, который вы можете добавить к запланированным задачам для резервного копирования ваших объектов групповой политики? У вас нет AGPM из пакета MDOP?
Ну вот.
Первый выполняет ежедневное резервное копирование на день недели. Вам нужно будет заранее создать путь к папке для каждой папки (воскресенье / понедельник и т. Д.). Я не использовал New-Item, так как понял, почему каждый раз, когда они имеют дело с Test-Item и New-Item действительно статичные папки после первого дня. Вам понадобятся модули AD Powershell, доступные на сервере, на котором вы их запускаете.
То же самое и здесь, но на этот раз для Ежемесячника. Опять же, создайте папки заранее, как январь, февраль и т. Д.
источник