Zdefiniuj obiekty zasad grupy
Funkcja zasad grupy Windows systemów operacyjnych zapewnia infrastrukturę, z którą administratorzy mogą definiować ustawienia centralnie, a następnie wdrażać je na komputerach w organizacjach.
Pracownicy działu IT w firmie Contoso mogą definiować, egzekwować i aktualizować całą swoją konfigurację przy użyciu ustawień GPO. Za pomocą ustawień zasad grupy (GPO) mogą zastosować zestaw ustawień konfiguracyjnych do całej lokacji lub domeny w swojej organizacji albo zawęzić zakres do pojedynczej jednostki organizacyjnej (OU) reprezentującej dział.
Wskazówka
Filtrowanie na podstawie członkostwa w grupach zabezpieczeń i atrybutów komputera fizycznego umożliwia również firmie Contoso jeszcze precyzyjniejsze określenie celu ustawień zasad grupy.
Co to są zasady grupy?
Zasady grupy to struktura w systemach operacyjnych Windows, której składniki znajdują się w usługach Active Directory Domain Services (AD DS), na kontrolerach domeny oraz na każdym serwerze i komputerze klienckim z systemem Windows. Za pomocą tych składników można zarządzać konfiguracją w domenie usług AD DS. Ustawienia zasad grupy są definiowane w obiekcie zasad grupy (GPO). Obiekt zasad grupy (GPO) to obiekt zawierający co najmniej jedno ustawienie zasad mające zastosowanie do co najmniej jednego ustawienia konfiguracji użytkownika lub komputera.
Zasady grupy to potężne narzędzie administracyjne. Za pomocą obiektów GPO można wdrażać różne ustawienia dla dużej liczby użytkowników i komputerów. Ponieważ można je zastosować do różnych poziomów, od komputera lokalnego do domeny, można również skoncentrować te ustawienia dokładnie. Zasady grupy służą przede wszystkim do konfigurowania ustawień, które nie mają być konfigurowane przez użytkowników. Ponadto można użyć Zasady grupowe do standaryzacji środowisk pulpitów na wszystkich komputerach w jednostce organizacyjnej lub w całej organizacji. Można również użyć zasad grupy, aby zapewnić dodatkowe zabezpieczenia, skonfigurować niektóre zaawansowane ustawienia systemu i do innych celów omówionych w kolejnej lekcji demonstracyjnej.
Czym są GPO?
Obiekt zasad grupy (GPO) jest kolekcją ustawień zasad grupy. Pojedyncze ustawienie zasad definiuje określoną konfigurację, taką jak ustawienie zasad, które uniemożliwia użytkownikowi dostęp do narzędzi do edycji rejestru. Jeśli zdefiniujesz to ustawienie zasad, a następnie zastosujesz je do użytkownika, ten użytkownik nie będzie mógł uruchamiać narzędzi, takich jak Regedit.exe.
Niektóre ustawienia mają wpływ na użytkownika, znanego jako ustawienia konfiguracji użytkownika lub zasady użytkownika, a niektóre wpływają na komputer, znany jako ustawienia konfiguracji komputera lub zasady komputera.
Ważne
Ustawienia nie mają bezpośredniego wpływu na grupy i dotyczą tylko obiektów użytkowników i komputerów.
Zasady grupowe zarządzają różnymi ustawieniami, a architektura zasad grupowych jest rozszerzalna. Za pomocą zasad grupy można zarządzać niemal dowolnym konfigurowalnym ustawieniem.
Aby zdefiniować ustawienie zasad:
- W Edytorze zarządzania zasadami grupy znajdź ustawienie zasad, a następnie wybierz Enter. Zostanie wyświetlone okno dialogowe Właściwości ustawienia zasad.
- Zmień stan zasad na Włączone lub Wyłączone. Większość ustawień zasad może mieć trzy stany: Nieskonfigurowane, Włączone i Wyłączone.
- W razie potrzeby skonfiguruj dodatkowe wartości, a po zakończeniu wybierz przycisk OK.
Obiekty zasad grupy przechowują ustawienia zasad grupy. W nowym obiekcie zasad grupy każde ustawienie zasad domyślnie ma wartość Nieskonfigurowane. Po włączeniu lub wyłączeniu ustawienia zasad system Windows Server wprowadza zmianę w konfiguracji użytkowników i komputerów, do których zastosowano obiekt GPO.
Aby utworzyć nowy obiekt zasad grupy w domenie:
- W obszarze Zarządzanie zasadami grupy kliknij prawym przyciskiem myszy lub uzyskaj dostęp do menu kontekstowego kontenera Obiektów zasad grupy , a następnie wybierz pozycję Nowy.
- Aby zmodyfikować ustawienia konfiguracji w obiekcie zasad grupy, kliknij prawym przyciskiem myszy lub uzyskaj dostęp do menu kontekstowego obiektu zasad grupy, a następnie wybierz polecenie Edytuj. Spowoduje to otwarcie przystawki Edytor zarządzania zasadami grup.
Edytor zarządzania zasadami grupowymi wyświetla wszystkie ustawienia zasad, które są dostępne w obiekcie zasad grupy w zorganizowanej hierarchii, która rozpoczyna się od podziału między ustawienia komputera i ustawienia użytkownika: węzła Konfiguracja komputera i węzła Konfiguracja użytkownika.
Obiekty GPO są wyświetlane w kontenerze o nazwie Group Policy Objects. Następne dwa poziomy hierarchii to węzły o nazwie Zasady i Preferencje. Przechodząc przez hierarchię, Edytor zarządzania zasadami grupy wyświetla foldery nazywane węzłami lub grupami ustawień zasad. Ustawienia zasad znajdują się w folderach.
Konfiguracja komputera i konfiguracja użytkownika
Na górze każdego obiektu GPO ustawienia są podzielone na dwa węzły. Ten podział jest najważniejszym rozróżnieniem strukturalnym w obiekcie zasad grupy (GPO), ponieważ określa, na co wpływa każde ustawienie:
- Konfiguracja komputera zawiera ustawienia, które mają zastosowanie do komputera, niezależnie od tego, który użytkownik się loguje. Te ustawienia definiują zachowanie systemu operacyjnego, konfigurację zabezpieczeń, skrypty uruchamiania i zamykania oraz ustawienia aplikacji dla całego systemu. Przykłady obejmują wymagania dotyczące hasła i blokady konta, zachowanie uruchamiania usługi i ustawienia kontrolujące składniki Windows dla każdego użytkownika urządzenia.
- Konfiguracja użytkownika zawiera ustawienia, które mają zastosowanie do użytkownika, niezależnie od tego, do którego komputera loguje się użytkownik. Te ustawienia definiują środowisko pulpitu, takie jak wygląd menu Start, skrypty logowania i wylogowywanie, przekierowywanie folderów i ograniczenia dotyczące narzędzi i Panel sterowania elementów, do których użytkownik może uzyskać dostęp.
Wiele ustawień jest wyświetlanych tylko w jednym z dwóch węzłów, ponieważ są one istotne tylko dla komputera lub tylko dla użytkownika. Niektóre ustawienia są wyświetlane w obu węzłach, w tym przypadku każde wystąpienie konfiguruje własny element docelowy.
Zasady i preferencje
W węzłach Konfiguracja komputera i Konfiguracja użytkownika ustawienia są pogrupowane w dwóch kolejnych węzłach — zasady i preferencje — które zachowują się inaczej:
- Zasady zawierają ustawienia zarządzane wymuszane przez zasady grupy. Użytkownik zazwyczaj nie może zmienić zarządzanego ustawienia, a gdy zasady grupy przestają obowiązywać, ustawienie wraca do poprzedniej wartości. Większość ustawień zasad zapisuje dane w chronionych obszarach rejestru.
- Preferencje zawierają ustawienia, które określają początkową konfigurację, którą użytkownik może później zmienić. Preferencje nie są egzekwowane i domyślnie nie są usuwane, gdy zasady GPO przestają obowiązywać. Elementy preferencji obsługują również określanie wartości docelowej na poziomie elementu, co umożliwia stosowanie pojedynczego elementu tylko wtedy, gdy są spełnione zdefiniowane warunki , takie jak określony system operacyjny, grupa zabezpieczeń lub nazwa komputera.
Praktyczna różnica między nimi sprowadza się do wymuszania, trwałości i sposobu zapisywania konfiguracji przez klienta. Zasady są zarządzane: klient zapisuje je w czterech zarezerwowanych, zastrzeżonych kluczach rejestru (gałęzie Policies w lokalizacjach HKEY_LOCAL_MACHINE i HKEY_CURRENT_USER), a zgodna aplikacja systemu Windows odczytuje te klucze i wyłącza odpowiedni element interfejsu, aby użytkownik nie mógł zmienić tej wartości. Ponieważ zasady działają w tym obszarze zarezerwowanym, są usuwane i ponownie zapisywane przy każdym odświeżeniu zasad grupy, a gdy obiekt zasad grupy wypada poza zakres — ponieważ jest usuwany, odłączany lub filtrowany od obiektu docelowego — wartość zniknie, a ustawienie powróci do jego wartości domyślnej. Ten mechanizm odświeżania i przywracania ustawień sprawia, że zasady dobrze nadają się do ustawień, które chcesz zablokować i stale wymuszać. Natomiast preferencje są niezarządzane: klient zapisuje je w tych samych lokalizacjach rejestru i systemu plików, które użytkownik lub administrator skonfigurowałby ręcznie, więc ustawienie wygląda dokładnie tak samo jak ustawienie skonfigurowane ręcznie, a interfejs służący do jego kontrolowania pozostaje w pełni dostępny. W związku z tym preferencja „trwale zapisuje” konfigurację — utrzymuje się ona nawet wtedy, gdy obiekt GPO przestaje obowiązywać, chyba że wyraźnie wybierzesz dla tego elementu opcję Zastosuj raz i nie stosuj ponownie lub Usuń ten element, gdy nie jest już stosowany. Preferencje zapewniają elastyczność, której brakuje zasadom, w tym targetowanie na poziomie elementu umożliwiające precyzyjne stosowanie warunkowe, wiele akcji dla elementu (Utwórz, Zastąp, Aktualizuj i Usuń), a także możliwość konfigurowania elementów, które w ogóle nie mają ustawień zasad, takich jak dyski mapowane, skróty, zadania zaplanowane i członkostwo w grupach lokalnych. Zasadniczo stosuj zasady, gdy ustawienie ma być obowiązkowe i automatycznie przywracane, a preferencji używaj wtedy, gdy chcesz zapewnić sensowną konfigurację początkową, którą użytkownicy nadal mogą dostosowywać lub która dotyczy tylko części komputerów albo użytkowników.
Węzeł Zasady
Węzeł Zasady zawiera trzy podfoldery w konfiguracji komputera i konfiguracji użytkownika:
- Ustawienia oprogramowania zawiera rozszerzenie instalacji oprogramowania , które służy do wdrażania aplikacji na komputerach lub użytkownikach.
- Windows Ustawienia przechowuje ustawienia, które konfigurują system operacyjny. Typowe elementy obejmują Scripts (uruchamianie i zamykanie komputerów, logowanie i wylogowywanie użytkowników), Ustawienia zabezpieczeń (takie jak zasady konta, zasady lokalne i zapora Windows Defender), Zasady rozpoznawania nazw i Wdrażone drukarki. W obszarze Konfiguracja użytkownika ten folder zawiera również przekierowanie folderu.
- Szablony administracyjne przechowuje setki ustawień opartych na rejestrze, zorganizowanych w foldery, takie jak Panel sterowania, Network, System, Printers i Windows Components. Każde ustawienie w tym folderze odpowiada określonej wartości rejestru, która kontroluje zachowanie Windows lub aplikacji.
Węzeł „Preferencje”
Węzeł Preferencje organizuje elementy preferencji w powiązane grupy:
- Windows Ustawienia zawiera elementy, takie jak Drive Maps, Środowisko, Files, Folders, Registry i Shortcuts.
- Panel sterowania Settings zawiera elementy, takie jak Data Sources, Devices, Lokalne użytkownicy i grupy, Power Options, Printers, Scheduled Tasks, i Services.
Struktura pojedynczego ustawienia zasad
Jedno ustawienie zasad jest najbardziej szczegółowym elementem obiektu zasad grupy, ale każde ustawienie jest czymś więcej niż prostym przełącznikiem włączonym/wyłączonym. Po otwarciu ustawienia okno dialogowe Właściwości uwidacznia kilka elementów:
- Stan ustawienia — Nieskonfigurowane, Włączone lub Wyłączone.
- Wszelkie dodatkowe opcje lub wartości , które stają się dostępne po włączeniu ustawienia. Na przykład włączenie zasad minimalnej długości hasła wymaga określenia liczby znaków.
- Panel objaśniającego tekstu pomocy, który opisuje działanie tego ustawienia i sposób wzajemnego oddziaływania jego opcji.
- Obsługiwane przez informacje określające wersje systemu operacyjnego i aplikacje, które obsługują to ustawienie. Obiekt docelowy, który nie spełnia wymagania, ignoruje to ustawienie.
Ponieważ większość ustawień zasad jest oparta na rejestrze, włączenie lub wyłączenie ustawienia powoduje, że klient zapisuje odpowiednią wartość w rejestrze. Gdy ustawienie zostanie przywrócone do stanu Nieskonfigurowane, Zasady grupy usuwają tę wartość, a konfiguracja powraca do ustawienia domyślnego.
Czym są początkowe obiekty GPO?
Można użyć początkowego obiektu zasad grupy jako szablonu, z którego można utworzyć inne obiekty zasad grupy w konsoli zarządzania zasadami grupy. Początkowe obiekty GPO mają tylko ustawienia Szablonów administracyjnych. Możesz użyć początkowego obiektu GPO jako punktu wyjścia podczas tworzenia nowych obiektów GPO w domenie. Początkowy obiekt GPO może już zawierać określone ustawienia stanowiące najlepsze praktyki dla Twojego środowiska. Możesz eksportować początkowe obiekty GPO do plików CAB (.cab) i importować je z tych plików, co ułatwia i usprawnia dystrybucję do innych środowisk.
Uwaga / Notatka
Konsola zarządzania zasadami grupy przechowuje początkowe obiekty zasad grupy w folderze o nazwie StarterGPOs, który znajduje się w SYSVOL.
Uwaga / Notatka
SYSVOL to udostępniony folder na kontrolerach domeny.
Microsoft udostępnia wstępnie skonfigurowane początkowe obiekty zasad grupy (Starter GPO) dla klienckich systemów operacyjnych Windows. Te początkowe obiekty zasad grupy mają ustawienia szablonu administracyjnego , które odzwierciedlają najlepsze rozwiązania zalecane przez firmę Microsoft do konfiguracji środowiska klienta.