W tym artykule przeglądowym postaram się przeanalizować typowe przyczyny, dla których zasady grupy mogą nie zostać zastosowane do jednostki organizacyjnej (OU) lub określonego komputera / użytkownika. Myślę, że ten artykuł przyda się zarówno początkującym, jak i specjalistom ds. Zasad grupy AD, aby zrozumieć, jak działają i architekturę obiektu zasad grupy. Przede wszystkim w artykule opowiem o możliwych problemach ze stosowaniem obiektów zasad grupy związanych z ustawieniami samych zasad na poziomie domeny, a nie o problemach używania obiektów zasad grupy na klientach. Prawie wszystkie ustawienia opisane w tym artykule są wykonywane w konsoli Edytora domeny zasad grupy - Konsoli zarządzania zasadami grupy (GPMC.msc).
Treść
- Zakres GPO
- Filtr bezpieczeństwa GPO
- Filtry WMI GPO
- Status zasad grupy
- Delegacja GPO
- Dziedziczenie zasad grupy
- Egzekwowanie zakresu i zasad grupy (LSDOU)
- Link GPO włączony
- Blokada zasad grupy
- Diagnostyka GPO po stronie klienta
Zakres GPO
Jeśli niektóre ustawienia zasad nie są stosowane na kliencie, sprawdź zakres zasad grupy. Jeśli ustawiasz parametr w sekcji Konfiguracja komputera (Konfiguracja komputera), wówczas zasady grupy muszą być powiązane z jednostką organizacyjną za pomocą komputerów. Odpowiednio, jeśli parametr konfigurowalny odnosi się do Konfiguracja użytkownika (Konfiguracja użytkownika).
Sprawdź także, czy obiekt, do którego próbujesz zastosować zasadę, znajduje się we właściwej jednostce organizacyjnej z komputerami lub użytkownikami. Możesz użyć wyszukiwania według domeny. Jednostka organizacyjna, w której znajduje się obiekt, znajduje się na karcie Obiekt w konsoli ADUC.
Oznacza to, że cel musi znajdować się w jednostce organizacyjnej, do której przypisana jest zasada (lub w zagnieżdżonym kontenerze).
Filtr bezpieczeństwa GPO
Sprawdź wartość filtru zabezpieczeń zasad (Filtrowanie bezpieczeństwa) Domyślnie wszystkie nowe obiekty GPO w domenie mają uprawnienia do „Użytkownicy uwierzytelnieni„. Ta grupa obejmuje wszystkich użytkowników i komputery domeny. Oznacza to, że ta zasada będzie stosowana do wszystkich użytkowników i komputerów PC objętych jej zakresem..
Jeśli zdecydujesz się zmienić ten filtr zabezpieczeń, aby zasady były stosowane tylko do członków określonej grupy zabezpieczeń domeny (lub określonych użytkowników / komputerów) poprzez usunięcie grupy Użytkownicy uwierzytelnieni, upewnij się, że obiekt docelowy (użytkownik lub komputer) został dodany do tej grupy AD. Sprawdź także, czy dla grupy dodanej do Filtrowania zabezpieczeń w obiekcie zasad grupy -> Delegowanie -> karta Zaawansowane lista uprawnień zawiera prawa Czytaj i Zastosuj zasady grupy z autorytetem Zastosuj.
Jeśli używasz niestandardowych filtrów bezpieczeństwa zasad, sprawdź, czy nie ma wyraźnego zakazu używania obiektów zasad grupy dla grup docelowych (Odmów).
Filtry WMI GPO
W zasadach grupy możesz używać specjalnych filtrów WMI. Umożliwia to zastosowanie zasad do komputerów na podstawie niektórych żądań WMI. Na przykład możemy utworzyć filtr GPO WMI, aby zastosować zasadę tylko do komputerów z określoną wersją systemu Windows, do komputera w określonej podsieci IP, tylko do laptopów itp..
Korzystając z filtrów zasad grupy WMI, należy sprawdzić poprawność żądania WMI, które wybiera tylko te systemy, których potrzebujesz, a komputery docelowe nie są wykluczone. Możesz przetestować filtr WMI na komputerach za pomocą programu PowerShell
gwmi -Query 'wybierz * z Win32_OperatingSystem, gdzie wersja jak „10.%” i ProductType = „1”
Jeśli żądanie zwróci jakiekolwiek dane, na tym komputerze zostanie zastosowany filtr WMI.
Status zasad grupy
Sprawdź status zasad grupy, przechodząc do karty GPMC.msc we właściwościach karty zasad Szczegóły. Zwróć uwagę na wartość w polu Status GPO.
Jak widać, dostępne są 4 opcje:
- Wszystkie ustawienia wyłączone - wszystkie ustawienia zasad są wyłączone (nie dotyczy);
- Ustawienia konfiguracji komputera wyłączone - ustawienia z ustawień GPO komputera nie są stosowane;
- Ustawienia konfiguracji użytkownika wyłączone - niestandardowe ustawienia zasad nie są stosowane;
- Włączone - wszystkie ustawienia zasad dotyczą celów AD (wartość domyślna).
Delegacja GPO
Na karcie zasad Delegacja Uprawnienia skonfigurowane dla tych zasad grupy są wymienione. Tutaj możesz zobaczyć, które grupy mają prawo do zmiany ustawień GPO, a także do włączenia lub wyłączenia zastosowania zasad. Możesz przyznać prawa do zarządzania obiektami GPO z tej konsoli lub przy użyciu kreatora delegowania w programie ADUC. Ponadto obecność ciągu dostępu dla kontrolerów domeny przedsiębiorstwa determinuje możliwość replikacji tej zasady między kontrolerami domeny usługi Active Directory (należy o tym pamiętać, jeśli występują problemy z replikacją zasad między kontrolerami domeny). Należy zauważyć, że uprawnienia na karcie Delegowanie odpowiadają prawom NTFS przypisanym do katalogu strategii w folderze SYSVOL
Dziedziczenie zasad grupy
Dziedziczenie jest jedną z podstawowych koncepcji zasad grupy. Zasady najwyższego poziomu są domyślnie stosowane do wszystkich zagnieżdżonych obiektów w hierarchii domen. Administrator może jednak zablokować stosowanie wszystkich odziedziczonych zasad do określonej jednostki organizacyjnej. Aby to zrobić, w konsoli GPMC kliknij RMB na jednostce organizacyjnej i wybierz element menu Blokuj dziedziczenie.
Jednostki organizacyjne z wyłączonym dziedziczeniem zasad są wyświetlane w konsoli z niebieskim wykrzyknikiem.
Jeśli zasada nie jest stosowana na kliencie, sprawdź, czy jest w jednostce organizacyjnej z wyłączonym dziedziczeniem.
Pamiętaj, że zasady domeny, dla których właściwości to „Wymuszone”, Zastosuj nawet w jednostkach organizacyjnych z wyłączonym dziedziczeniem (odziedziczone zasady dotyczące kontenera są dostępne na karcie Dziedziczenie zasad grupy).
Egzekwowanie zakresu i zasad grupy (LSDOU)
Aby zapamiętać funkcje stosowania zasad grupy w domenie, musisz pamiętać skrót Lsdou. Ten skrót pozwala zapamiętać kolejność stosowania obiektu zasad grupy:
- Zasady komputera lokalnego (Lokalny) skonfigurowane przez gpedit.msc (jeśli skonfigurowane niepoprawnie, możesz je zresetować);
- Zasady grupy na poziomie witryny (Witryna);
- Zasady grupy na poziomie domeny (Domena);
- Zasady grupy jednostek organizacyjnych (Jednostka organizacyjna).
Ostatni politycy mają najwyższy priorytet. Tj. jeśli włączyłeś określony parametr systemu Windows na poziomie zasad domeny, ale w docelowej jednostce organizacyjnej, ten parametr zostanie wyłączony przez inną zasadę - oznacza to, że żądany parametr zostanie wyłączony na kliencie (wygra zasada najbliższa obiektowi w hierarchii AD).
Podczas korzystania z parametru Wymuszony GPO wygrywa, zasada znajduje się wyżej w hierarchii domen (na przykład, gdy opcja Wymuszona jest włączona w Domyślnych zasadach domeny, wygrywa ze wszystkimi innymi obiektami GPO).
Ponadto administrator może zmienić kolejność zasad przetwarzania (Kolejność łączy) w konsoli zarządzania zasadami grupy. Aby to zrobić, wybierz OU i przejdź do zakładki Połączone obiekty zasad grupy. Lista zawiera listę obiektów zasad grupy, które mają pierwszeństwo w tej jednostce organizacyjnej. Zasady są przetwarzane w odwrotnej kolejności (od dołu do góry). To oznacza politykę z Kolejność połączeń 1 zostanie wykonany jako ostatni. Możesz zmienić priorytet GPO, używając strzałek w lewej kolumnie, przesuwając go wyżej lub niżej na liście.
Link GPO włączony
Dla każdego obiektu zasad grupy związanego z kontenerem organizacyjnym AD można włączyć lub wyłączyć komunikację (stosując zasady). Aby to zrobić, włącz lub wyłącz opcję Komunikacja włączona (Link włączony) w menu zasad. Jeśli połączenie dla zasady jest wyłączone, jej ikona staje się blada. Po rozłączeniu połączenia zasada przestaje obowiązywać klientów, ale odwołanie do obiektu zasad grupy nie jest usuwane z hierarchii. Możesz aktywować ten link w dowolnym momencie..
Blokada zasad grupy
Po włączeniu Tryb blokady zasad grupy (Tryb przetwarzania sprzężenia zwrotnego) możesz zastosować na komputerze ustawienia zawarte w sekcji GPO wraz z ustawieniami przez użytkowników. Na przykład, jeśli zastosujesz zasadę do jednostki organizacyjnej na komputerach, na których skonfigurowane są ustawienia w sekcji Konfiguracje użytkownika, te zasady nie zostaną zastosowane do użytkownika bez użycia zamknięcia. Tryb przetwarzania sprzężenia zwrotnego jest włączony w obszarze Konfiguracja komputera -> Szablony administracyjne -> System -> Zasady grupy -> Skonfiguruj tryb przetwarzania sprzężenia zwrotnego zasad grupy użytkownika.
Ta polityka ma dwa możliwe znaczenia:
- Tryb scalania - Scalanie obiektów zasad grupy na podstawie lokalizacji użytkownika, a następnie obiektów zasad grupy powiązanych z komputerem. W przypadku konfliktu między zasadami jednostki organizacyjnej użytkownika i jednostki organizacyjnej komputera, zasada na komputerze będzie miała wyższy priorytet. W tym trybie zasada działa dwa razy, o czym należy pamiętać podczas używania; skrypty logowania.
- Tryb zastępowania (wymiana) - dotyczą tylko zasad przypisanych do jednostki organizacyjnej zawierającej komputer, na którym zalogowany jest użytkownik.
Diagnostyka GPO po stronie klienta
Można zdiagnozować wymuszanie zasad grupy po stronie klienta za pomocą narzędzi dziennika zdarzeń gpresult, rsop.msc i Windows. Podczas korzystania z Podglądu zdarzeń należy użyć filtra według źródła GroupPolicy (Microsoft-Windows-GroupPolicy), oraz w dziennikach aplikacji i usług -> Microsoft -> Windows -> Zasady grupy -> Operacyjne.
Możesz także przeczytać artykuły opisujące zasady diagnozowania przy zbyt długim stosowaniu zasad wobec klientów.
Podsumowując, chcę powiedzieć, że powinieneś zachować możliwie jak najprostszą strukturę zasad grupy i nie tworzyć niepotrzebnie niepotrzebnych zasad. Korzystając z jednego schematu nazewnictwa zasad, nazwa obiektu zasad grupy powinna jasno rozumieć, do czego służy..
