Это Канонический вопрос об основах групповой политики Active Directory
Что такое групповая политика? Как это работает и зачем мне его использовать?
Примечание. Это вопрос и ответ для нового администратора, который может не знать, как он работает и насколько мощный.
Групповая политика - это инструмент, доступный администраторам, использующим Windows 2000 или позже Домен Active Directory. Он позволяет централизованно управлять настройками на клиентских компьютерах и серверах, присоединенных к домену, а также предоставляет элементарный способ распространения программного обеспечения.
Параметры сгруппированы в объекты, называемые объектами групповой политики (GPO). GPO связаны с Подразделение Active Directory (OU) и может применяться к пользователям и компьютерам. Объекты групповой политики нельзя применять к группам напрямую, но вы можете использовать фильтрация безопасности или таргетинг на уровне элемента для фильтрации применения политики на основе членства в группах.
Что-нибудь.
Серьезно, вы можете делать все, что хотите, с пользователями или компьютерами в вашем домене. Существуют сотни предопределенных настроек для таких вещей, как перенаправление папок, сложность пароля, настройки питания, сопоставление дисков, шифрование дисков и т. Д. Центр обновления Windows, и так далее. Все, что вы не можете настроить с помощью заранее определенных параметров, вы можете контролировать с помощью сценариев. Пакетная и VBScript скрипты поддерживаются всеми поддерживаемыми клиентами и PowerShell сценарии можно запускать на хостах Windows 7.
Совет профессионала: Фактически вы можете запускать сценарии запуска PowerShell на хостах Windows XP и Windows Vista, если на них установлен PowerShell 2.0. Вы можете создать командный файл, который вызывает сценарий, используя следующий синтаксис:
powershell Set-ExecutionPolicy RemoteSigned
powershell \\\\server\share\script.ps1
powershell Set-ExecutionPolicy Restricted
Первая строка позволяет запускать неподписанные сценарии из удаленных общих ресурсов на этом хосте, а вторая строка вызывает сценарий из пакетного файла. Третья строка устанавливает политику обратно в ограниченное (по умолчанию) для максимальной безопасности.
Объекты групповой политики применяются в предсказуемом порядке. Сначала применяются местные правила. Есть политики, установленные на локальном компьютере через gpedit.msc. Во-вторых, применяются политики сайта. В-третьих, применяются политики домена, а в четвертом - политики подразделений. Если объект вложен в несколько OU, то GPO сначала применяются в OU, ближайшем к корню.
Имейте в виду, что в случае конфликта последний GPO применяет «побеждает». Это означает, например, что политика, связанная с OU, в котором находится компьютер, будет иметь преимущество, если существует конфликт между параметром в этом GPO и параметром, связанным в родительском OU.
Сценарий входа или запуска может находиться в любом сетевом ресурсе до тех пор, пока Domain Users и Domain Computers группы имеют доступ на чтение к общему ресурсу, в котором они находятся. Традиционно они проживают в \\domain.tld\sysvol, но это не требование.
Сценарии запуска запускаются при запуске компьютера. Они запускаются как системная учетная запись на локальном компьютере. Это означает, что они обращаются к сетевым ресурсам как учетная запись компьютера. Например, если вы хотите, чтобы сценарий запуска имел доступ к сетевому ресурсу на общем ресурсе с UNC из \\server01\share1 и имя компьютера было WORKSTATION01 вам нужно убедиться, что WORKSTATION01$ имел доступ к этой общей папке. Поскольку этот сценарий запускается как системный, он может выполнять такие операции, как установка программного обеспечения, изменение привилегированных разделов реестра и изменение большинства файлов на локальном компьютере.
Сценарии входа в систему запускаются в контексте безопасности локально вошедшего в систему пользователя. Надеюсь, ваши пользователи не являются администраторами, поэтому это означает, что вы не сможете использовать их для установки программного обеспечения или изменения защищенных параметров реестра.
Сценарии входа и запуска были краеугольным камнем Windows 2003 и более ранних доменов, но их полезность уменьшилась в более поздних выпусках Windows Server. Предпочтения групповой политики дают администраторам гораздо лучший способ управлять сопоставлениями дисков и принтеров, ярлыками, файлами, записями реестра, членством в локальной группе и многими другими вещами, которые можно было сделать только в сценарии запуска или входа в систему. Если вы думаете, что вам может потребоваться использовать сценарий для простой задачи, возможно, вместо этого есть групповая политика или предпочтение. В настоящее время в доменах с клиентами Windows 7 (или более поздних версий) только сложные задачи требуют сценариев запуска или входа в систему.
Да, я знаю. Я был там. Это особенно распространено в академической лаборатории или других сценариях с общими компьютерами, где вы хотите, чтобы некоторые пользовательские политики для принтеров или аналогичных ресурсов основывались на компьютере, а не на пользователе. Угадай, тебе повезло! Вы хотите включить параметр GPO для Режим обратной связи групповой политики.
Пожалуйста.
Ага, можешь. Однако есть некоторые предостережения. Программное обеспечение должно быть в MSI формат, и любые изменения в нем должны быть в MST файл. Вы можете создать MST с помощью такого программного обеспечения, как ORCA или любой другой редактор MSI. Если вы не сделаете преобразование, ваш конечный результат будет таким же, как при запуске msiexec /i <path to software> /q
Программное обеспечение также устанавливается только при запуске, поэтому это не очень быстрый способ распространения программного обеспечения, но он бесплатный. В малобюджетной лабораторной среде я сделал запланированное задание (через GPO), которое перезагрузит каждый лабораторный компьютер в полночь со случайным 30-минутным смещением. Это гарантирует, что программное обеспечение в этих лабораториях устареет максимум на один день. Тем не менее, программное обеспечение вроде SCCM, LANDesk, Алтарис, или что-нибудь еще, что может «продвигать» программное обеспечение по запросу, является предпочтительным.
Клиенты обновляют свои объекты групповой политики каждые 90 минут с 30-минутной рандомизацией. Это означает, что по умолчанию ожидание может составлять до 120 минут. Кроме того, некоторые параметры, такие как сопоставление дисков, перенаправление папок и параметры файлов, применяются только при запуске или входе в систему. Групповая политика предназначена для долгосрочного планового управления, а не для быстрого решения ситуаций.
Контроллеры домена обновляют свою политику каждые пять минут.
Краткое примечание о предпочтениях групповой политики: если вы хотите использовать эти параметры, но у вас есть рабочие станции с Windows XP SP2 или Windows XP SP3, их сначала необходимо установить Клиентские расширения предпочтений групповой политики для Windows XP (KB943729).
По умолчанию Computers container под корнем домена в Active Directory (AD), который часто ошибочно принимают за организационное подразделение Active Directory (OU). Это на самом деле Container, и НЕ является OU. Поскольку на самом деле это не подразделение, групповые политики не применяются к объектам в этом контейнере. Исключением из этого правила являются групповые политики, применяемые на domain level. Это будут единственные политики, применяемые к объектам в Computers container.
По умолчанию компьютерные объекты, присоединенные к домену, которые не были предварительно подготовлены, переходят в Computers container.
Поэтому, если вам интересно, почему ваша политика не применяется, убедитесь, что рассматриваемый объект находится в правильном месте в AD.
Вы можете создать резервную копию объектов групповой политики с помощью консоли управления групповой политикой (GPMC).
Group Policy Objects в лесу и домене, содержащем объект групповой политики (GPO), для которого требуется создать резервную копию.Group Policy Objects и нажмите Back Up All.Backup. Если вы выполняете резервное копирование нескольких объектов групповой политики, описание будет применяться ко всем объектам групповой политики, резервные копии которых вы выполняете.Самое замечательное в резервном копировании групповых политик - это то, что оно имеет встроенный контроль версий. Это означает, что вы можете использовать эту процедуру несколько раз, и она будет отслеживать изменения между политиками. Затем вы можете восстановить определенную версию политики.
Вы даже можете настроить запланированную задачу для запуска PowerShell сценарий, который использует Резервное копирование-GPO команда для автоматизации резервного копирования.
Вы все равно захотите сделать резервную копию (используя обычный метод резервного копирования) папки, в которую вы выполняете резервное копирование объектов групповой политики.
Пришли сюда в поисках простого сценария Powershell, который можно добавить к запланированным задачам для резервного копирования объектов групповой политики? Нет AGPM из пакета MDOP?
Ну вот.
Сначала выполняется чередующееся ежедневное резервное копирование для дня недели. Вам нужно будет заранее создать путь к папке для каждой папки (воскресенье / понедельник и т. Д.). Я не использовал New-Item, так как понял, зачем иметь дело с Test-Item и New-Item каждый раз, когда они действительно статические папки после первого дня. Вам понадобятся модули AD Powershell, доступные на сервере, на котором они запущены.
# GPOBackupScriptDayOfWeek.PS1
# This script Backup all GPOs and save it to a folder based on the day of the week
# It runs as an automated task on SERVER and we keep a one week rotation on disk
Import-Module grouppolicy
$date = get-date
$dayofweek = $date.DayofWeek
#Remove current backup from the folder (to alleviate space issues down the road since it won't overwrite each time)
Remove-Item \\SERVER\GPO_Backup\$dayofweek\* -Recurse -Force
#Backup current GPOs to the folder
Backup-Gpo -All -Path \\SERVER\GPO_Backup\$dayofweek
То же самое и здесь, но на этот раз ежемесячно. Опять же, создайте папки заранее, например, январь, февраль и т. Д.
# GPOBackupScript.PS1
# This script Backup all GPOs and save it to a folder each month on the first of the month
# It runs as an automated task on SERVER and we keep a one year rotation
Import-Module grouppolicy
$month = get-date -Format MMMM
#Remove current backup from the folder (to alleviate space issues down the road since it won't overwrite each time)
Remove-Item \\SERVER\GPO_Backup\$month\* -Recurse -Force
#Backup current GPOs to the folder
Backup-Gpo -All -Path \\SERVER\GPO_Backup\$month