Che cos'è Criteri di gruppo e come funziona?

31

Questa è una domanda canonica sulle nozioni di base sui criteri di gruppo di Active Directory

Che cos'è Criteri di gruppo? Come funziona e perché dovrei usarlo?

Nota: questa è una domanda e risposta al nuovo amministratore che potrebbe non avere familiarità con il suo funzionamento e la sua potenza.

windows  active-directory  group-policy 
MDMarra
fonte
Perché questa domanda è protetta mentre altri simili sono semplicemente chiusi o messi in attesa perché sono considerati "nessun problema reale qui"? Non capisco
Marki,
@Marki Dovresti leggere questo meta post . Quando ci sono molte domande "cattive" o per principianti su un argomento, creiamo spesso una domanda canonica che contiene una quantità sostanziale di informazioni generali sull'argomento in modo che tutte le domande di base o principianti su un argomento possano essere chiuse come duplicato del domanda canonica.
MDMarra,

Risposte:

27

Che cos'è Criteri di gruppo?

Criteri di gruppo è uno strumento disponibile per gli amministratori che eseguono un dominio Active Directory Windows 2000 o successivo . Consente la gestione centralizzata delle impostazioni su computer client e server uniti al dominio, oltre a fornire un modo rudimentale di distribuire software.

Le impostazioni sono raggruppate in oggetti chiamati oggetti Criteri di gruppo (GPO). Gli oggetti Criteri di gruppo sono collegati a un'unità organizzativa (OU) di Active Directory e possono essere applicati a utenti e computer. Gli oggetti Criteri di gruppo non possono essere applicati direttamente ai gruppi, sebbene sia possibile utilizzare il filtro di sicurezza o il targeting a livello di elemento per filtrare l'applicazione della politica in base all'appartenenza al gruppo.

È bello, cosa può fare?

Nulla.

Seriamente, puoi fare tutto ciò che vuoi agli utenti o ai computer nel tuo dominio. Esistono centinaia di impostazioni predefinite per cose come il reindirizzamento delle cartelle, la complessità della password, le impostazioni di risparmio energia, i mapping dell'unità, la crittografia dell'unità, Windows Update e così via. Tutto ciò che non è possibile configurare tramite un'impostazione predefinita che è possibile controllare tramite script. Gli script Batch e VBScript sono supportati su tutti i client supportati e gli script PowerShell possono essere eseguiti su host Windows 7.

Suggerimento professionale: puoi effettivamente eseguire script di avvio di PowerShell su host Windows XP e Windows Vista, purché abbiano installato PowerShell 2.0. È possibile creare un file batch che chiama lo script con questa sintassi: 

powershell Set-ExecutionPolicy RemoteSigned
powershell \\\\server\share\script.ps1
powershell Set-ExecutionPolicy Restricted

La prima riga consente l'esecuzione di script non firmati da condivisioni remote su quell'host e la seconda riga chiama lo script dal file batch. La terza riga imposta il criterio su limitato (impostazione predefinita) per la massima sicurezza.

Come vengono applicati gli oggetti Criteri di gruppo?

Gli oggetti Criteri di gruppo vengono applicati in un ordine prevedibile. Le politiche locali vengono applicate per prime. Esistono politiche impostate sul computer locale tramite gpedit.msc. Le politiche del sito vengono applicate in secondo luogo. I criteri di dominio vengono applicati in terzo luogo e i criteri OU vengono applicati in quarto luogo. Se un oggetto è nidificato all'interno di più unità organizzative, gli oggetti Criteri di gruppo vengono applicati prima nelle unità organizzative più vicine alla radice.

Tenere presente che in caso di conflitto, l' ultimo oggetto Criteri di gruppo applicato "vince". Ciò significa, ad esempio, che la politica collegata all'unità organizzativa in cui risiede un computer vincerà se si verifica un conflitto tra un'impostazione in quell'oggetto Criteri di gruppo e una collegata in un'unità organizzativa principale.

Gli script di accesso e di avvio sembrano interessanti, come funzionano?

Uno script di accesso o di avvio può risiedere su qualsiasi condivisione di rete purché i gruppi Domain Userse Domain Computersabbiano accesso in lettura alla condivisione in cui si trovano. Tradizionalmente, risiedono \\domain.tld\sysvol, ma questo non è un requisito.

Gli script di avvio vengono eseguiti all'avvio del computer. Vengono eseguiti come account SYSTEM sul computer locale. Ciò significa che accedono alle risorse di rete come account del computer. Ad esempio, se si voleva uno script di avvio di avere accesso a una risorsa di rete in una condivisione che ha l'UNC del \\server01\share1e il nome del computer era WORKSTATION01si avrebbe bisogno di fare in modo che WORKSTATION01$ha avuto accesso a tale condivisione. Poiché questo script viene eseguito come sistema, può fare cose come installare software, modificare sezioni privilegiate del registro e modificare la maggior parte dei file sul computer locale.

Gli script di accesso vengono eseguiti nel contesto di sicurezza dell'utente connesso localmente. Si spera che i tuoi utenti non siano amministratori, quindi ciò significa che non sarai in grado di utilizzarli per installare software o modificare le impostazioni di registro protette.

Gli script di accesso e di avvio sono stati una pietra miliare di Windows 2003 e domini precedenti, ma la loro utilità è stata ridotta nelle versioni successive di Windows Server. Preferenze di Criteri di gruppo offre agli amministratori un modo molto migliore di gestire mappature di unità e stampanti, collegamenti, file, voci di registro, appartenenza a gruppi locali e molte altre cose che possono essere eseguite solo in uno script di avvio o di accesso. Se stai pensando che potrebbe essere necessario utilizzare uno script per un'attività semplice, è probabile invece che sia presente un criterio di gruppo o una preferenza. Oggi su domini con client Windows 7 (o successivi), solo attività complesse richiedono script di avvio o di accesso.

Ho trovato un oggetto Criteri di gruppo interessante, ma si applica agli utenti, voglio che si applichi ai computer!

Si lo so. Ci sono stato. Ciò è particolarmente diffuso nel laboratorio accademico o in altri scenari di computer condivisi in cui si desidera che alcuni dei criteri utente per stampanti o risorse simili siano basati sul computer, non sull'utente. Indovina, sei fortunato! Si desidera abilitare l'impostazione dell'oggetto Criteri di gruppo per la modalità di loopback di criteri di gruppo .

Prego.

Hai detto che posso usarlo per installare il software, giusto?

Sì, puoi. Ci sono alcuni avvertimenti, però. Il software deve essere in formato MSI e qualsiasi modifica apportata deve essere in un file MST . Puoi creare un MST con software come ORCA o qualsiasi altro editor MSI. Se non si effettua una trasformazione, il risultato finale sarà lo stesso della corsamsiexec /i <path to software> /q

Inoltre, il software viene installato solo all'avvio, quindi non è un modo molto veloce di distribuire il software, ma è gratuito. In un ambiente di laboratorio a basso budget, ho eseguito un'attività pianificata (tramite GPO) che riavvierà ogni computer di laboratorio a mezzanotte con un offset casuale di 30 minuti. Ciò garantirà che il software non sia aggiornato al massimo un giorno in quei laboratori. Tuttavia, sono preferibili software come SCCM , LANDesk , Altaris o qualsiasi altra cosa in grado di "spingere" il software su richiesta.

Quanto spesso viene applicato?

I client aggiornano gli oggetti Criteri di gruppo ogni 90 minuti con una randomizzazione di 30 minuti. Ciò significa che, per impostazione predefinita, è possibile attendere fino a 120 minuti. Inoltre, alcune impostazioni, come i mapping delle unità, il reindirizzamento delle cartelle e le preferenze dei file, vengono applicate solo all'avvio o all'accesso. Criteri di gruppo è destinato alla gestione pianificata a lungo termine, non a situazioni di soluzione rapida istantanea.

I controller di dominio aggiornano i loro criteri ogni cinque minuti.

MDMarra
fonte
3
Ancora una volta, bel lavoro. Potresti voler collegare a questa pagina anche dal tuo epico QA AD.
SEE
1
Grazie per questo. Dobbiamo collegarci a questo (e a quello AD) dalle nostre risposte canoniche.
Bart De Vos,
Penso che l'AD sia presente e che ho inviato questo per la revisione in meta. Questo è ancora leggermente incompleto, spero di finirlo stasera.
MDMarra,
"Altaris" si riferisce a un prodotto particolare di Altaris, come Altiris Deployment Solution (DS)?
Peter Mortensen,
1
Il collegamento per la modalità loopback di Criteri di gruppo reindirizza a " Scarica contenuto ritirato di Windows Server 2003 R2 "; forse dovrebbe essere aggiornato a questo (o simile) link: technet.microsoft.com/en-us/library/cc978513.aspx
Pieter Geerkens,
12

Una breve nota sulle preferenze di Criteri di gruppo: se si desidera utilizzare queste impostazioni ma si dispone di stazioni di lavoro Windows XP SP2 o Windows XP SP3, queste dovranno prima installare Estensioni lato client preferenze di Criteri di gruppo per Windows XP (KB943729) .

Contenitore di computer vs Computer OU

Esiste un valore predefinito Computers containernella radice del dominio in Active Directory (AD), che viene spesso scambiato per un'unità organizzativa di Active Directory (OU). Questo è in realtà un Container, e NON è un OU. Poiché questa non è in realtà un'unità organizzativa, i criteri di gruppo non si applicano agli oggetti all'interno di questo contenitore. Le eccezioni a questa regola sono le politiche di gruppo applicate a domain level. Questi saranno gli unici criteri applicati agli oggetti nel file Computers container.

Per impostazione predefinita, gli oggetti computer aggiunti al dominio, che non sono pre-messi in scena, passano a Computers container.

Quindi, se ti stai chiedendo perché la tua politica non si applica, controlla per assicurarti che l'oggetto in questione sia nella posizione corretta in AD.

Backup degli oggetti Criteri di gruppo

È possibile eseguire il backup degli oggetti Criteri di gruppo utilizzando la Console Gestione Criteri di gruppo (GPMC).

  1. Aprire Gestione criteri di gruppo e fare doppio clic Group Policy Objectsnella foresta e nel dominio contenenti l'oggetto Criteri di gruppo (GPO) di cui si desidera eseguire il backup.
  2. Per eseguire il backup di un singolo oggetto Criteri di gruppo, fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo, quindi fare clic su Backup. Per eseguire il backup di tutti gli oggetti Criteri di gruppo nel dominio, fare clic con il tasto destro Group Policy Objectse fare clic Back Up All.
  3. Nella finestra di dialogo Oggetto Criteri di gruppo di backup, nella casella Posizione, immettere il percorso della posizione in cui si desidera archiviare i backup degli oggetti Criteri di gruppo oppure fare clic su Sfoglia, individuare la cartella in cui si desidera archiviare il backup degli oggetti Criteri di gruppo ( s), quindi fare clic su OK.
  4. Nella casella Descrizione digitare una descrizione per gli oggetti Criteri di gruppo di cui si desidera eseguire il backup, quindi fare clic su Backup. Se si esegue il backup di più oggetti Criteri di gruppo, la descrizione verrà applicata a tutti gli oggetti Criteri di gruppo di cui si esegue il backup.
  5. Al termine dell'operazione, fare clic su OK.

La cosa grandiosa del backup di Criteri di gruppo è che ha il controllo della versione integrato. Ciò significa che è possibile utilizzare questa procedura più volte e terrà traccia delle modifiche tra i criteri. È quindi possibile ripristinare una versione specifica di un criterio.

È anche possibile impostare un'attività pianificata per eseguire uno script PowerShell che utilizza il comando Backup-GPO per automatizzare i backup.

Si desidera comunque eseguire il backup (utilizzando un metodo di backup convenzionale) della cartella in cui si sta eseguendo il backup degli oggetti Criteri di gruppo.

bit di host
fonte
3

Sei venuto qui alla ricerca di un semplice script Powershell che puoi aggiungere alle Attività pianificate per eseguire il backup dei tuoi oggetti Criteri di gruppo? Non hai AGPM dal pacchetto MDOP?

Ecco qui.

Il primo esegue un backup giornaliero rotante per il giorno della settimana. Dovrai creare il percorso della cartella in anticipo per ogni cartella (domenica / lunedì / ecc.) Non ho usato New-Item dal momento che ho capito perché gestire un Test-Item e New-Item ogni volta che sono cartelle veramente statiche dopo il giorno 1. Avrai bisogno dei moduli AD Powershell disponibili sul server su cui lo esegui.

# GPOBackupScriptDayOfWeek.PS1
# This script Backup all GPOs and save it to a folder based on the day of the week
# It runs as an automated task on SERVER and we keep a one week rotation on disk


Import-Module grouppolicy 
$date = get-date
$dayofweek = $date.DayofWeek
#Remove current backup from the folder (to alleviate space issues down the road since it won't overwrite each time)
Remove-Item \\SERVER\GPO_Backup\$dayofweek\* -Recurse -Force
#Backup current GPOs to the folder
Backup-Gpo -All -Path \\SERVER\GPO_Backup\$dayofweek

Stessa cosa qui, ma questa volta è per un mensile. Ancora una volta, crea le cartelle in anticipo come gennaio, febbraio, ecc.

# GPOBackupScript.PS1
# This script Backup all GPOs and save it to a folder each month on the first of the month
# It runs as an automated task on SERVER and we keep a one year rotation

Import-Module grouppolicy 
$month = get-date -Format MMMM
#Remove current backup from the folder (to alleviate space issues down the road since it won't overwrite each time)
Remove-Item \\SERVER\GPO_Backup\$month\* -Recurse -Force
#Backup current GPOs to the folder
Backup-Gpo -All -Path \\SERVER\GPO_Backup\$month
TheCleaner
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.