5 สิ่งที่คุณไม่รู้เกี่ยวกับนโยบายกลุ่มและ Active Directory

ผู้เขียน: Louise Ward
วันที่สร้าง: 5 กุมภาพันธ์ 2021
วันที่อัปเดต: 17 พฤษภาคม 2024
Anonim
Five Things You Forgot to Label
วิดีโอ: Five Things You Forgot to Label

เนื้อหา


ที่มา: 3dreams / Dreamstime.com

Takeaway:

ทราบข้อ จำกัด ของนโยบายกลุ่มเมื่อสร้างวัตถุนโยบายกลุ่ม

ในฐานะผู้ดูแลระบบโดเมน Windows เราทุกคนขึ้นอยู่กับนโยบายกลุ่มเพื่อส่งมอบการตั้งค่าการกำหนดค่าเช่น:

  • การตั้งค่าความปลอดภัยเช่นนโยบายรหัสผ่านและล็อค
  • การตั้งค่าการแสดงผลที่ถูกต้องสำหรับเครื่องที่กำหนด
  • วิธีที่ Windows Update จะส่งมอบ
  • การตั้งค่าการจัดการพลังงานสำหรับอุปกรณ์พกพา

นอกจากนี้เรายังสามารถใช้นโยบายกลุ่มเพื่อป้องกันการเข้าถึงบางส่วนของระบบปฏิบัติการสำหรับผู้ใช้ปกติเช่นการซ่อนแอปเพล็ตต่าง ๆ ในแผงควบคุมหรือป้องกันการเข้าถึงพรอมต์คำสั่งหรือตัวแก้ไขรีจิสทรี นโยบายกลุ่มเป็นเครื่องมือที่มีประสิทธิภาพสูงซึ่งให้ผู้ดูแลระบบเครือข่ายสามารถใช้ประโยชน์จากการจัดการทั้งผู้ใช้และอุปกรณ์ภายในเครือข่ายและมั่นใจได้ว่าการตั้งค่าแอปพลิเคชันยังคงเป็นไปตาม GP ประกอบด้วยกลุ่มย่อยสองกลุ่ม: การกำหนดนโยบายกลุ่มและการกำหนดนโยบายกลุ่มแบบดั้งเดิม นโยบายที่ทำจากกลุ่มย่อยเหล่านี้จะถูกนำไปใช้กับระบบเมื่อพวกเขาบูตเครื่อง (นโยบายด้านคอมพิวเตอร์) และเมื่อผู้ใช้เข้าสู่ระบบ (นโยบายด้านผู้ใช้) ในการส่งมอบการตั้งค่าไปยังเป้าหมายที่ต้องการคุณจะต้องสร้าง Group Policy Object หรือ GPO และกำหนดให้กับพื้นที่ที่มี Active Directory ซึ่งมีผู้ใช้หรือคอมพิวเตอร์เป้าหมายอยู่ (สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ Active Directory ดูจุดปวดการจัดการไดเรกทอรีที่ใช้งานอยู่ห้าอันดับแรก)


แม้ว่าคุณอาจใช้นโยบายกลุ่มอย่างใดอย่างหนึ่งทุกวันในสภาพแวดล้อมขององค์กรขนาดใหญ่คุณอาจประหลาดใจที่ได้เรียนรู้บางสิ่งเกี่ยวกับเครื่องมืออันทรงพลังนี้

1. การส่งมอบการตั้งค่าเทมเพลตแบบครั้งเดียว

การตั้งค่าเทมเพลตการจัดการนโยบายกลุ่มจะถูกส่งเพียงครั้งเดียวและครั้งเดียวเท่านั้น กล่าวอีกนัยหนึ่งเมื่อการตั้งค่าตามเทมเพลตการดูแล GP ได้รับการส่งมอบและนำไปใช้แล้วจะไม่มีการส่งมอบอีกครั้ง สมมติว่าคุณทำนโยบายคอมพิวเตอร์ที่ปิดการคืนค่าระบบ การตั้งค่านั้นจะถูกส่งไปยังรีจิสทรีและป้องกันไม่ให้ผู้ใช้ใช้คุณสมบัตินี้ ไม่ว่าคอมพิวเตอร์จะบู๊ตกี่ครั้งก็จะไม่ดาวน์โหลดการตั้งค่านั้นอีกเลย ตอนนี้สมมติว่าผู้ใช้ที่มีสิทธิ์ของผู้ดูแลระบบในพื้นที่เข้าถึงรีจิสทรีและกลับการตั้งค่า คาดเดาอะไร นโยบายจะไม่ถูกส่งซ้ำแม้ว่าจะไม่ได้ปฏิบัติตามก็ตาม ดังนั้นในขณะที่นโยบายกลุ่มทำงานได้ดีในการบังคับใช้การตั้งค่าสำหรับผู้ใช้ส่วนใหญ่ GP ไม่สามารถป้องกันผู้ดูแลระบบในท้องถิ่นหรือผู้ใช้ที่เข้าใจรีจิสทรีไม่ให้หลีกเลี่ยงได้ ยิ่งไปกว่านั้นไม่มีการแก้ไข


2. การตั้งค่าในพื้นที่การลงทะเบียนสี่แห่ง

ตามที่ Microsoft นโยบายที่แท้จริงที่ล็อคการตั้งค่าถูกกำหนดเป้าหมายในพื้นที่หลักที่สี่ภายในรีจิสทรี:

  • HKLM Software Policies (การตั้งค่าคอมพิวเตอร์, ตำแหน่งที่ต้องการ)
  • HKLM Software Microsoft Windows CurrentVersion Policies (การตั้งค่าคอมพิวเตอร์ตำแหน่งอื่น)
  • HKCU Software Policies (การตั้งค่าผู้ใช้ตำแหน่งที่ต้องการ)
  • HKCU Software Microsoft Windows CurrentVersion Policies (การตั้งค่าผู้ใช้ตำแหน่งอื่น)

เมื่อ GPO ไม่อยู่ในขอบเขตการตั้งค่าที่ส่งมอบภายในพื้นที่รีจิสทรีทั้งสี่นี้จะถูกเปลี่ยนกลับเป็นค่าเริ่มต้นโดยอัตโนมัติ ตัวอย่างของการหลุดออกจากขอบเขตคือเมื่อผู้ใช้ได้รับการเลื่อนตำแหน่งไปยังตำแหน่งใหม่และตอนนี้โฮสต์ในพื้นที่ของ Active Directory ซึ่ง GPO ไม่ได้เป็นเป้าหมายอีกต่อไป อินสแตนซ์อื่นอาจเป็นได้ว่าผู้ดูแลระบบเพียงแค่ลบ GPO

แต่สิ่งที่เกี่ยวกับการตั้งค่าที่อยู่นอกพื้นที่รีจิสทรีที่กำหนดเหล่านี้? ในกรณีดังกล่าวการตั้งค่าสามารถสักภายในรีจิสตรี กล่าวอีกนัยหนึ่งการตั้งค่าจะไม่เปลี่ยนกลับเป็นสถานะเริ่มต้น วิธีเดียวที่จะยกเลิกการตั้งค่าที่หลุดจากขอบเขตในกรณีเหล่านี้คือการแก้ไข GPO และปิดการใช้งานการตั้งค่า เมื่อนโยบายถูกรีเฟรชการตั้งค่าจะไม่ถูกสักอีกต่อไป

ไม่มีข้อบกพร่องไม่มีความเครียด - คู่มือแบบเป็นขั้นตอนเพื่อสร้างซอฟต์แวร์ที่เปลี่ยนแปลงชีวิตโดยไม่ทำลายชีวิตของคุณ

คุณไม่สามารถพัฒนาทักษะการเขียนโปรแกรมของคุณเมื่อไม่มีใครใส่ใจคุณภาพของซอฟต์แวร์

3. การตั้งค่านโยบายกลุ่ม

การตั้งค่านโยบายกลุ่มทำให้เราสามารถส่งมอบการตั้งค่าเช่นเดียวกับนโยบายกลุ่มแบบดั้งเดิม GPP มีความแตกต่างกันหลายประการและตามชื่อของมันบ่งบอกว่า GPP มอบความพึงพอใจนั้น ไม่เหมือนกับนโยบายดั้งเดิมการตั้งค่าจะไม่ถูกล็อคภายในส่วนต่อประสานผู้ใช้เพื่อให้ผู้ใช้สามารถปรับเปลี่ยนการตั้งค่าที่จัดส่งได้ตามต้องการ อย่างไรก็ตาม GPO ที่ทำกับการตั้งค่านโยบายกลุ่มจะได้รับการรีเฟรชเป็นประจำประมาณ 90 นาทีหรือทุก ๆ ชั่วโมงตราบเท่าที่เครื่องออนไลน์ วัตถุนโยบายกลุ่มที่กำหนดค่า GPP จะทำการสักการตั้งค่าเช่นกันเมื่ออยู่นอกขอบเขต ผู้ใช้หลายคนคิดว่าสิ่งนี้สามารถบรรเทาได้ด้วยการเลือกตัวเลือกการตั้งค่าคุณสมบัติรายการใดรายการหนึ่งซึ่งระบุว่า“ ลบรายการนี้เมื่อไม่ได้ใช้งานแล้ว”

แม้ว่าจะเป็นความจริงที่ว่าการตั้งค่านี้จะป้องกันการตั้งค่ารอยสัก แต่สิ่งที่หลายคนไม่ทราบว่าการตั้งค่าทั้งหมดจะถูกลบ ถูกต้องการตั้งค่ารีจิสทรีจะถูกกำจัดอย่างสมบูรณ์จากเครื่อง กระบวนการนี้เรียกว่าการทำความสะอาดรีจิสทรี วิธีเดียวในการกำหนดค่าการตั้งค่านี้ในอนาคตจะเป็นการสร้างด้วยตนเองจริง ๆ ภายในรีจิสทรี

4. การจัดการนโยบายกลุ่มขั้นสูง

วัตถุนโยบายกลุ่มถูกสร้างและจัดการโดยใช้คอนโซลการจัดการนโยบายกลุ่มเริ่มต้นหรือ GPMC Microsoft เสนอเครื่องมือเพิ่มเติมที่เรียกว่าการจัดการนโยบายกลุ่มขั้นสูงที่คุณสามารถดาวน์โหลดได้ เนื่องจากวางตลาดเป็นเครื่องมือขั้นสูงใครจะคิดว่ามันมาพร้อมกับการตั้งค่าเพิ่มเติมและคุณสมบัติขั้นสูงที่จะยกระดับและเพิ่มความสามารถในการส่งมอบการตั้งค่า ในความเป็นจริงแล้ว M ไม่ได้เพิ่มฟีเจอร์หรือฟังก์ชั่นใหม่ ๆ ให้กับนโยบายกลุ่มเลย M เป็นเครื่องมือการจัดการกระบวนการทำงานอย่างเคร่งครัดทำให้ผู้ดูแลระบบหลายคนสามารถปรับเปลี่ยนนโยบายได้พร้อมกัน M ช่วยให้คุณสามารถตรวจสอบการเปลี่ยนแปลงและค้นหาความแตกต่างระหว่างรุ่น GPO ได้อย่างง่ายดาย นอกจากนี้ยังสนับสนุนการติดตามเวอร์ชันการบันทึกประวัติและการย้อนกลับอย่างรวดเร็วของการเปลี่ยนแปลง GPO ที่ปรับใช้หากผลลัพธ์สุดท้ายของนโยบายไม่ใช่สิ่งที่คุณตั้งใจ (หากต้องการเรียนรู้เกี่ยวกับการวางแผนการตั้งค่าไอทีของคุณดูพื้นฐานของการวางแผนไอที)

5. gpupdate

พวกเราทุกคนใช้คำสั่ง“ gpupdate” ในบางครั้ง บางทีคุณได้สร้าง GPO ใหม่และต้องการทดสอบเพื่อให้คุณออกคำสั่งเพื่อส่งการตั้งค่าไปยังเครื่องที่คุณกำหนด หรือบางทีคุณกำลังแก้ไข GPO และต้องการทดสอบการตั้งค่าใหม่ หลายคนอาจเกิดปัญหาคำสั่ง "gpudpate / force" โดยไม่รู้ถึงความแตกต่างระหว่างสิ่งนั้นกับการใช้ "gpupdate" การเพิ่มคำว่า "แรง" ให้เสียงที่ทรงพลังและการจัดการมากขึ้น ความจริงก็คือ 99% ของเวลา "gpupdate" เป็นสิ่งที่คุณต้องการ คำสั่ง "gpupdate" ดาวน์โหลด GPO ใหม่ใด ๆ หรือ GPO ใด ๆ ที่ได้รับการแก้ไขซึ่งเป็นสิ่งที่คุณต้องการดาวน์โหลดต่อไป โปรดจำไว้ว่านโยบายกลุ่มแบบดั้งเดิมจะดาวน์โหลดเพียงครั้งเดียวเท่านั้นโดยไม่คำนึงถึงแม้ว่าคำสั่ง "gpupdate / force" จะค้นหาตัวควบคุมโดเมนสำหรับ GPO ใด ๆ และทั้งหมดที่กำหนดให้กับเครื่องเป้าหมายการตั้งค่าจำนวนมากจะไม่นำมาใช้อีก ความจริงก็คือ "gpudpate / force" นั้นใช้เวลานานกว่านั้นในการจัดการกับ GPO ที่ได้รับมอบหมายทุกครั้งและไม่ได้รวบรวมผลลัพธ์ที่เพิ่มเข้ามา