นี่เป็นคำถามที่ยอมรับได้เกี่ยวกับพื้นฐานนโยบายกลุ่มของ Active Directory

นโยบายกลุ่มคืออะไร มันทำงานอย่างไรและทำไมฉันจึงควรใช้

_{หมายเหตุ: นี่เป็นคำถามและคำตอบสำหรับผู้ดูแลระบบใหม่ที่อาจไม่คุ้นเคยกับการทำงานและประสิทธิภาพของมัน}

นโยบายกลุ่มคืออะไร

นโยบายกลุ่มเป็นเครื่องมือที่สามารถใช้ได้กับผู้บริหารที่ใช้เป็นWindows 2000หรือหลังจากนั้นใช้งานโดเมนไดเรกทอรี จะช่วยให้การจัดการการตั้งค่าส่วนกลางบนคอมพิวเตอร์ไคลเอนต์และเซิร์ฟเวอร์ที่เข้าร่วมโดเมนรวมทั้งให้วิธีการพื้นฐานในการกระจายซอฟต์แวร์

การตั้งค่าถูกจัดกลุ่มเป็นวัตถุที่เรียกว่า Group Policy Objects (GPOs) วัตถุนโยบายกลุ่มเชื่อมโยงกับหน่วยองค์กร (OU) ของActive Directoryและสามารถนำไปใช้กับผู้ใช้และคอมพิวเตอร์ ไม่สามารถใช้ GPO กับกลุ่มได้โดยตรง แต่คุณสามารถใช้การกรองความปลอดภัยหรือการกำหนดเป้าหมายระดับรายการเพื่อกรองแอปพลิเคชันนโยบายตามความเป็นสมาชิกกลุ่ม

มันเยี่ยมมากมันจะทำอะไรดี?

สิ่งใด

อย่างจริงจังคุณสามารถทำสิ่งที่คุณต้องการให้ผู้ใช้หรือคอมพิวเตอร์ในโดเมนของคุณ มีการตั้งค่าที่กำหนดไว้ล่วงหน้าหลายร้อยรายการสำหรับสิ่งต่าง ๆ เช่นการเปลี่ยนเส้นทางโฟลเดอร์ความซับซ้อนของรหัสผ่านการตั้งค่าพลังงานการแมปไดรฟ์การเข้ารหัสไดรฟ์Windows Updateและอื่น ๆ สิ่งใดก็ตามที่คุณไม่สามารถกำหนดค่าผ่านการตั้งค่าที่กำหนดไว้ล่วงหน้าคุณสามารถควบคุมผ่านการเขียนสคริปต์ สคริปต์ชุดงานและVBScriptรองรับไคลเอนต์ที่รองรับทั้งหมดและสคริปต์PowerShellสามารถเรียกใช้บนโฮสต์ Windows 7

คำแนะนำอย่างมืออาชีพ:คุณสามารถเรียกใช้สคริปต์เริ่มต้น PowerShell ในโฮสต์ Windows XP และ Windows Vista ได้เช่นเดียวกับที่ติดตั้ง PowerShell 2.0 คุณสามารถสร้างแบตช์ไฟล์ที่เรียกใช้สคริปต์ด้วยไวยากรณ์นี้:

powershell Set-ExecutionPolicy RemoteSigned
powershell \\\\server\share\script.ps1
powershell Set-ExecutionPolicy Restricted

บรรทัดแรกอนุญาตให้สคริปต์ที่ไม่ได้ลงชื่อจากการแชร์แบบรีโมตสามารถรันบนโฮสต์นั้นและบรรทัดที่สองเรียกสคริปต์จากไฟล์แบตช์ ชุดบรรทัดที่สามตั้งค่านโยบายกลับเป็น จำกัด (ค่าเริ่มต้น) เพื่อความปลอดภัยสูงสุด

วัตถุนโยบายกลุ่มมีการนำไปใช้อย่างไร

GPOs ถูกนำไปใช้ในลำดับที่คาดการณ์ได้ ใช้นโยบายท้องถิ่นก่อน มีนโยบายที่กำหนดไว้ในเครื่องท้องถิ่นผ่านทาง gpedit.msc นโยบายของไซต์จะถูกนำไปใช้ลำดับที่สอง มีการใช้นโยบายโดเมนที่สามและนโยบาย OU จะถูกนำไปใช้ที่สี่ หากวัตถุซ้อนอยู่ภายในหลาย OU ดังนั้น GPOs จะถูกนำไปใช้ที่ OUs ใกล้กับรูทก่อน

โปรดทราบว่าหากมีข้อขัดแย้งGPO ล่าสุดจะใช้ "ชนะ" ตัวอย่างเช่นนี้หมายความว่านโยบายที่เชื่อมโยงกับ OU ที่คอมพิวเตอร์อยู่จะเป็นผู้ชนะหากมีข้อขัดแย้งระหว่างการตั้งค่าใน GPO นั้นและนโยบายที่เชื่อมโยงใน OU หลัก

สคริปต์การเข้าสู่ระบบและการเริ่มต้นดูเท่ทำงานเหล่านั้นได้อย่างไร?

สคริปต์การเข้าสู่ระบบหรือสคริปต์เริ่มต้นสามารถใช้งานได้บนเครือข่ายใด ๆ ก็ตามตราบใดที่Domain UsersและDomain Computersกลุ่มมีการเข้าถึงการอ่านเพื่อแบ่งปันที่พวกเขาอยู่ ตามเนื้อผ้าพวกมันอาศัยอยู่\\domain.tld\sysvolแต่นั่นไม่ใช่ข้อกำหนด

สคริปต์การเริ่มต้นทำงานเมื่อคอมพิวเตอร์เริ่มทำงาน พวกเขาจะเรียกใช้เป็นบัญชีระบบบนเครื่องท้องถิ่น ซึ่งหมายความว่าพวกเขาเข้าถึงทรัพยากรเครือข่ายเป็นบัญชีของคอมพิวเตอร์ ตัวอย่างเช่นถ้าคุณต้องการสคริปต์การเริ่มต้นให้มีการเข้าถึงทรัพยากรเครือข่ายในหุ้นที่มีการUNCของ\\server01\share1และชื่อของคอมพิวเตอร์เป็นWORKSTATION01คุณจะต้องให้แน่ใจว่าWORKSTATION01$มีการเข้าถึงที่ใช้ร่วมกัน เนื่องจากสคริปต์นี้ทำงานเป็นระบบจึงสามารถทำสิ่งต่าง ๆ เช่นติดตั้งซอฟต์แวร์แก้ไขส่วนที่ได้รับสิทธิพิเศษของรีจิสทรีและแก้ไขไฟล์ส่วนใหญ่ในเครื่องท้องถิ่น

สคริปต์การเข้าสู่ระบบจะทำงานในบริบทความปลอดภัยของผู้ใช้ที่เข้าสู่ระบบในเครื่อง หวังว่าผู้ใช้ของคุณไม่ใช่ผู้ดูแลระบบดังนั้นหมายความว่าคุณจะไม่สามารถใช้สิ่งเหล่านี้เพื่อติดตั้งซอฟต์แวร์หรือแก้ไขการตั้งค่ารีจิสทรีที่ได้รับการป้องกัน

สคริปต์การเข้าสู่ระบบและการเริ่มต้นเป็นรากฐานที่สำคัญของ Windows 2003 และโดเมนก่อนหน้า แต่ความมีประโยชน์ของพวกเขาลดลงใน Windows Server รุ่นที่ใหม่กว่า การกำหนดค่านโยบายกลุ่มช่วยให้ผู้ดูแลระบบมีวิธีที่ดีกว่าในการจัดการการจับคู่ไดรฟ์และเครื่องพิมพ์ทางลัดไฟล์รายการรีจิสทรีการเป็นสมาชิกกลุ่มโลคัลและสิ่งอื่น ๆ ที่สามารถทำได้ในการเริ่มต้นหรือสคริปต์การเข้าสู่ระบบเท่านั้น หากคุณคิดว่าคุณอาจจำเป็นต้องใช้สคริปต์สำหรับงานง่ายๆอาจมีนโยบายกลุ่มหรือการตั้งค่าแทน ทุกวันนี้บนโดเมนที่มีไคลเอนต์ Windows 7 (หรือใหม่กว่า) งานที่ซับซ้อนเท่านั้นต้องใช้สคริปต์เริ่มต้นหรือเข้าสู่ระบบ

ฉันพบ GPO ที่ยอดเยี่ยม แต่มันใช้ได้กับผู้ใช้ฉันต้องการให้มันใช้กับคอมพิวเตอร์!

ใช่ฉันรู้. ฉันเคยไปที่นั่น. นี่เป็นที่แพร่หลายโดยเฉพาะอย่างยิ่งในห้องปฏิบัติการทางวิชาการหรือสถานการณ์คอมพิวเตอร์ที่ใช้ร่วมกันอื่น ๆ ที่คุณต้องการนโยบายผู้ใช้บางอย่างสำหรับเครื่องพิมพ์หรือทรัพยากรที่คล้ายกันที่จะใช้คอมพิวเตอร์ไม่ใช่ผู้ใช้ คาดเดาสิ่งที่คุณโชคดี! คุณต้องการเปิดใช้งานการตั้งค่า GPO สำหรับโหมด Loopback นโยบายกลุ่ม

ไม่เป็นไร

คุณบอกว่าฉันสามารถใช้สิ่งนี้เพื่อติดตั้งซอฟต์แวร์ได้ไหม?

ใช่คุณสามารถ มีข้อแม้อยู่บ้าง ซอฟต์แวร์จะต้องอยู่ในรูปแบบของMSIและการดัดแปลงใด ๆ ต้องเป็นไฟล์MST คุณสามารถสร้าง MST ด้วยซอฟต์แวร์เช่นORCAหรือโปรแกรมแก้ไข MSI อื่น ๆ หากคุณไม่ทำการแปลงผลลัพธ์สุดท้ายของคุณจะเหมือนกับการทำงานmsiexec /i <path to software> /q

ซอฟต์แวร์ยังได้รับการติดตั้งเมื่อเริ่มต้นเท่านั้นดังนั้นจึงไม่ใช่วิธีการกระจายซอฟต์แวร์ที่รวดเร็วมาก แต่ให้บริการฟรี ในสภาพแวดล้อมของห้องแล็บที่มีงบประมาณต่ำฉันได้ทำงานตามกำหนดเวลา (ผ่าน GPO) ที่จะรีบูทคอมพิวเตอร์ทุกเครื่องในเวลาเที่ยงคืนโดยมีการชดเชยแบบสุ่ม 30 นาที สิ่งนี้จะช่วยให้มั่นใจได้ว่าซอฟต์แวร์จะล้าสมัยในห้องปฏิบัติการอย่างน้อยหนึ่งวัน ยังคงเป็นซอฟต์แวร์เช่นSCCM , LANDesk , Altarisหรือสิ่งอื่นใดที่สามารถ "ผลักดัน" ซอฟต์แวร์ตามความต้องการได้

ใช้บ่อยแค่ไหน?

ลูกค้ารีเฟรชวัตถุนโยบายกลุ่มทุก 90 นาทีด้วยการสุ่ม 30 นาที ซึ่งหมายความว่าตามค่าเริ่มต้นสามารถรอได้นานถึง 120 นาที นอกจากนี้การตั้งค่าบางอย่างเช่นการแมปไดรฟ์การเปลี่ยนเส้นทางโฟลเดอร์และการตั้งค่าไฟล์จะใช้เฉพาะเมื่อเริ่มต้นหรือเข้าสู่ระบบ นโยบายกลุ่มมีไว้สำหรับการจัดการระยะยาวตามแผนไม่ใช่สำหรับสถานการณ์ด่วนแก้ไขด่วน

ตัวควบคุมโดเมนจะรีเฟรชนโยบายทุกห้านาที

ทราบอย่างรวดเร็วในการตั้งค่านโยบายกลุ่ม: ถ้าคุณต้องการที่จะใช้การตั้งค่าเหล่านี้ แต่มี Windows XP SP2 หรือ Windows XP SP3 เวิร์กสเตชันเหล่านี้จะต้องติดตั้งนโยบายกลุ่มไคลเอนต์ของด้านข้างส่วนขยายสำหรับ Windows XP (KB943729)

คอมพิวเตอร์คอนเทนเนอร์ vs คอมพิวเตอร์ OU

มีค่าเริ่มต้นComputers containerภายใต้รูทโดเมนในActive Directory (AD) ซึ่งมักจะเข้าใจผิดว่าเป็นหน่วยองค์กร (OU) ของ Active Directory นี้เป็นจริงและไม่ได้เป็นContainer OUเนื่องจากนี่ไม่ใช่ OU จริงนโยบายกลุ่มจึงไม่มีผลกับวัตถุภายในคอนเทนเนอร์นี้ domain levelข้อยกเว้นกฎนี้กลุ่มนโยบายที่นำไปใช้ Computers containerเหล่านี้จะเป็นเพียงนโยบายนำไปใช้กับวัตถุใน

Computers containerโดยค่าเริ่มต้นคอมพิวเตอร์วัตถุเข้าร่วมกับโดเมนที่ยังไม่ได้จัดฉากล่วงหน้าไปที่

ดังนั้นหากคุณสงสัยว่าทำไมนโยบายของคุณไม่ได้ใช้ให้ตรวจสอบเพื่อให้แน่ใจว่าวัตถุที่เป็นปัญหาอยู่ในตำแหน่งที่ถูกต้องในโฆษณา

การสำรอง GPOs

คุณสามารถสำรอง GPO ได้โดยใช้คอนโซลการจัดการนโยบายกลุ่ม (GPMC)

1. เปิดการจัดการนโยบายกลุ่มและดับเบิลคลิกGroup Policy Objectsในฟอเรสต์และโดเมนที่มีวัตถุนโยบายกลุ่ม (GPO) ที่คุณต้องการสำรองข้อมูล
2. หากต้องการสำรองข้อมูล GPO หนึ่งรายการให้คลิกขวาที่ GPO แล้วคลิกสำรอง เพื่อสำรอง GPOs ทั้งหมดในโดเมนคลิกขวาและคลิกGroup Policy ObjectsBack Up All
3. ในกล่องโต้ตอบวัตถุนโยบายกลุ่มสำรองในกล่องตำแหน่งให้ป้อนเส้นทางไปยังตำแหน่งที่คุณต้องการจัดเก็บสำเนาสำรอง GPO หรือคลิกเรียกดูค้นหาโฟลเดอร์ที่คุณต้องการจัดเก็บสำเนาสำรอง GPO ( s) แล้วคลิกตกลง
4. ในกล่องคำอธิบายพิมพ์คำอธิบายสำหรับวัตถุนโยบายกลุ่มที่คุณต้องการสำรองข้อมูลแล้วคลิกBackupตกลง หากคุณสำรองข้อมูล GPO หลายตัวคำอธิบายจะนำไปใช้กับ GPO ทั้งหมดที่คุณสำรองไว้
5. หลังจากการดำเนินการเสร็จสมบูรณ์คลิกตกลง

สิ่งที่ดีเกี่ยวกับการสำรองนโยบายกลุ่มคือมีการควบคุมเวอร์ชันในตัว หมายความว่าคุณสามารถใช้ขั้นตอนนี้หลายครั้งและจะติดตามการเปลี่ยนแปลงระหว่างนโยบาย จากนั้นคุณสามารถคืนค่าเป็นนโยบายเฉพาะรุ่น

คุณสามารถตั้งค่างานที่กำหนดเวลาไว้เพื่อเรียกใช้สคริปต์PowerShellที่ใช้คำสั่งBackup-GPOเพื่อทำการสำรองข้อมูลโดยอัตโนมัติ

คุณยังต้องการสำรองข้อมูล (โดยใช้วิธีสำรองข้อมูลตามปกติ) โฟลเดอร์ที่คุณสำรองข้อมูล GPO ไว้

มาที่นี่กำลังมองหาสคริปต์ Powershell แบบง่าย ๆ ที่คุณสามารถเพิ่มไปยัง Scheduled Tasks เพื่อสำรอง GPO ของคุณหรือไม่ ไม่มี AGPM จากชุด MDOP ใช่ไหม

ไปเลย

อันแรกทำการสำรองข้อมูลรายวันที่หมุนเวียนได้สำหรับวันในสัปดาห์ คุณจะต้องสร้างเส้นทางโฟลเดอร์ล่วงหน้าสำหรับแต่ละโฟลเดอร์ (วันอาทิตย์ / วันจันทร์ / ฯลฯ ) ฉันไม่ได้ใช้รายการใหม่ตั้งแต่ฉันคิดว่าเหตุใดจึงจัดการกับรายการทดสอบและรายการใหม่ทุกครั้ง โฟลเดอร์คงที่จริงๆหลังจากวันที่ 1 คุณจะต้องมีโมดูลโฆษณา Powershell ที่มีอยู่บนเซิร์ฟเวอร์ที่คุณใช้งาน

# GPOBackupScriptDayOfWeek.PS1
# This script Backup all GPOs and save it to a folder based on the day of the week
# It runs as an automated task on SERVER and we keep a one week rotation on disk


Import-Module grouppolicy 
$date = get-date
$dayofweek = $date.DayofWeek
#Remove current backup from the folder (to alleviate space issues down the road since it won't overwrite each time)
Remove-Item \\SERVER\GPO_Backup\$dayofweek\* -Recurse -Force
#Backup current GPOs to the folder
Backup-Gpo -All -Path \\SERVER\GPO_Backup\$dayofweek

สิ่งเดียวกันที่นี่ แต่คราวนี้มันสำหรับรายเดือน สร้างโฟลเดอร์ล่วงหน้าเป็นเดือนมกราคมกุมภาพันธ์เป็นต้น

# GPOBackupScript.PS1
# This script Backup all GPOs and save it to a folder each month on the first of the month
# It runs as an automated task on SERVER and we keep a one year rotation

Import-Module grouppolicy 
$month = get-date -Format MMMM
#Remove current backup from the folder (to alleviate space issues down the road since it won't overwrite each time)
Remove-Item \\SERVER\GPO_Backup\$month\* -Recurse -Force
#Backup current GPOs to the folder
Backup-Gpo -All -Path \\SERVER\GPO_Backup\$month