Zašto se grupna pravila ne primjenjuju na računalo ili OU?

U ovom ćemo preglednom članku pokušati analizirati tipične razloge zbog kojih se grupna pravila ne mogu primijeniti na organizacijsku jedinicu (OU) ili na određeno računalo / korisnika. Mislim da će ovaj članak biti koristan i početnicima i profesionalcima AD Group Policy kako bi razumjeli kako rade i arhitekturu GPO-a. Prije svega, u članku ću govoriti o mogućim problemima primjene GPO-a koji se odnose na postavke samih politika na razini domene, a ne o problemu upotrebe GPO-a na klijentima. Gotovo sve postavke opisane u članku izvode se na konzoli uređivača domena grupne politike - konzoli za upravljanje grupnim politikama (GPMC.msc).

sadržaj:

  • Opseg GPO-a
  • GPO sigurnosni filtar
  • WMI GPO filteri
  • Status politike grupe
  • GPO delegacija
  • Nasljeđivanje grupnih politika
  • Provođenje opsega i grupnih politika (LSDOU)
  • Omogućena GPO veza
  • Zaključavanje grupnih pravila
  • GPO dijagnostika na strani klijenta

Opseg GPO-a

Ako se na klijentu ne primjenjuju neke postavke pravila, provjerite opseg Grupnih pravila. Ako postavljate parametar u odjeljku Konfiguracija računala (Konfiguracija računala), tada se vaša grupna pravila moraju povezati s OU-om s računalima. Prema tome, ako se podesivi parametar odnosi na Korisnička konfiguracija (Korisnička konfiguracija).

Provjerite i da je objekt na koji pokušavate primijeniti pravilo u ispravnom OU-u s računalima ili korisnicima. Možete koristiti pretraživanje prema domeni. OU u kojem se objekt nalazi nalazi se na kartici Objekt u ADUC konzoli.

Odnosno, cilj se mora nalaziti u OU-u kojem je pravilo dodijeljeno (ili u ugniježđenom spremniku).

GPO sigurnosni filtar

Provjerite vrijednost sigurnosnog filtra pravila (Sigurnosno filtriranje). Prema zadanim postavkama, svi novi GPO-ovi u domeni imaju dopuštenja za "Autentični korisnici”. Ova grupa uključuje sve korisnike i računala s domenama. To znači da će se ova pravila primjenjivati ​​na sve korisnike i računala koja spadaju u njezin domet..

Ako odlučite promijeniti ovaj sigurnosni filtar tako da se pravilo primjenjuje samo na članove određene sigurnosne skupine domena (ili određene korisnike / računala) brisanjem grupe Ovjereni korisnici, provjerite je li ciljni objekt (korisnik ili računalo) dodan u ovu AD grupu. Provjerite i da za grupu koju ste dodali u Sigurnosno filtriranje na GPO -> Delegaciji -> kartici Napredno, popis dozvola sadrži prava Pročitajte i Primjena grupnih pravila s autoritetom primijeniti.

Ako koristite nestandardne sigurnosne filtre pravila, provjerite da nema izričite zabrane upotrebe GPO-a za ciljne skupine (zabrani).

WMI GPO filteri

U pravilima grupe možete koristiti posebne WMI filtre. Ovo vam omogućuje primjenu pravila na računala na temelju nekog WMI zahtjeva. Na primjer, možemo stvoriti WMI GPO filter za primjenu pravila samo na računala sa određenom verzijom Windowsa, na PC u određenoj IP podmreži, samo na prijenosna računala itd..

Kada koristite filtre WMI Group Policy, morate provjeriti ispravnost WMI zahtjeva koji odabire samo one sustave koji su vam potrebni i vaša ciljna računala nisu isključeni. Možete testirati WMI filter na računalima putem PowerShell-a

gwmi -Query 'odaberite * iz Win32_OperatingSystem gdje je verzija poput "10.%" i ProductType = "1"'

Ako zahtjev vrati bilo koje podatke, tada će se WMI filtar primijeniti na ovo računalo.

Status politike grupe

Provjerite status Grupnih pravila tako da otvorite karticu GPMC.msc u svojstvima kartice pravila Detalji. Obratite pažnju na vrijednost u polju GPO status.

Kao što vidite, dostupne su 4 mogućnosti:

  • Sve postavke onemogućene - sve postavke pravila su onemogućene (nije primjenjivo);
  • Postavke konfiguracije računala onemogućene - postavke iz GPO postavki računala se ne primjenjuju;
  • Korisničke postavke konfiguracije onemogućene su - prilagođene postavke pravila ne primjenjuju se;
  • Omogućeno - sve postavke pravila odnose se na AD ciljeve (zadana vrijednost).

GPO delegacija

Na kartici pravila delegacija Navedena su dopuštenja koja su konfigurirana za ovu grupnu politiku. Ovdje možete vidjeti koje skupine imaju pravo na promjenu GPO postavki, kao i da omoguće ili onemoguće primjenu pravila. Prava upravljanja GPO-om možete odobriti s ove konzole ili pomoću čarobnjaka za delegiranje u ADUC-u. Uz to, prisutnost pristupnog niza za Enterprise Domain Controllers određuje sposobnost kopiranja ovog pravila između kontrolera domena Active Directory (to treba imati na umu ako postoje problemi s replikacijom politike između DC-a). Imajte na umu da prava na kartici Delegacija odgovaraju NTFS pravima dodijeljenim direktoriju politika u mapi SYSVOL

Nasljeđivanje grupnih politika

Nasljeđivanje je jedan od osnovnih pojmova grupnih politika. Pravila najviše razine prema zadanom se primjenjuju na sve ugniježđene objekte u hijerarhiji domene. Međutim, administrator može blokirati primjenu svih nasljeđenih pravila na određeni OU. Da biste to učinili, u GPMC konzoli kliknite RMB na OU i odaberite stavku izbornika Blokiranje nasljedstva.

Organizacijske jedinice s nasljeđivanjem polisa s invaliditetom pojavljuju se na konzoli s plavim uskličnikom.

Ako se pravilo ne primjenjuje na klijenta, provjerite je li u OU-u s onemogućenim nasljeđivanjem.

Imajte na umu da pravila o domenama za koja su svojstva "prisilni", Primijenite čak i na OU s onemogućenim nasljeđivanjem (naslijeđena pravila koja se odnose na spremnik dostupna su na kartici Nasljeđivanje grupnih politika).

Provođenje opsega i grupnih politika (LSDOU)

Da biste zapamtili značajke primjene grupnih pravila u domeni, morate zapamtiti kraticu LSDOU. Ova kratica omogućuje vam zapamtiti redoslijed primjene GPO-a:

  1. Lokalna računalna pravila (lokalne) konfigurirani putem gpedit.msc (ako su pogrešno konfigurirani, možete ih resetirati);
  2. Pravila grupe na razini web mjesta (mjesto);
  3. Pravila grupe na domeni (domena);
  4. Politika grupe organizacijskih jedinica (Organizacijska jedinica).

Nedavni političari imaju najveći prioritet. tj ako ste omogućili određeni Windows parametar na razini pravila domene, ali na ciljnom OU-u, ovaj je parametar onemogućen drugim pravilima - to znači da će željeni parametar biti onemogućen na klijentu (dobit će se najbliža politika objektu u AD hijerarhiji).

Pri korištenju parametra Prisilni GPO pobjeđuje, pravilo je više u hijerarhiji domene (na primjer, kada je Forced omogućen u zadanim pravilima domene, onda pobjeđuje protiv svih ostalih GPO-a).

Uz to, administrator može promijeniti redoslijed obrade pravila (Link Order) u GPMC-u. Da biste to učinili, odaberite OU i idite na karticu Povezani objekti grupne politike. Popis sadrži popis GPO-a koji se primjenjuju na ovaj OU s prioritetom. Politike se obrađuju obrnutim redoslijedom (odozdo prema gore). To znači politika s Vezni red 1 bit će izvršen zadnji. Možete promijeniti prioritet GPO pomoću strelica u lijevom stupcu pomicanjem više ili niže na popisu.

Omogućena GPO veza

Za svaki GPO koji je vezan za AD organizacijski spremnik možete omogućiti ili onemogućiti komunikaciju (primjenjujući pravilo). Da biste to učinili, omogućite ili onemogućite opciju Komunikacija omogućena (Veza je omogućena) u izborniku pravila. Ako je veza za pravilo onemogućena, njegova ikona postaje blijeda. Kad se veza prekine, pravilo se prestaje primjenjivati ​​na klijente, ali referenca na GPO se ne uklanja iz hijerarhije. Tu vezu možete aktivirati u bilo koje vrijeme..

Zaključavanje grupnih pravila

Kad je omogućeno Način zaključavanja grupnih pravila (Način obrade petlje) možete primijeniti na računalo postavke koje se nalaze u odjeljku GPO s postavkama korisnika. Na primjer, ako primijenite pravilo na OU s računalima na kojima su konfigurirane postavke u odjeljku Korisničke konfiguracije, ta se pravila neće primijeniti na korisnika bez korištenja zatvaranja. Način obrade petlje omogućen je u odjeljku Konfiguracija računala -> Administrativni predlošci -> Sustav -> Grupna politika -> Konfigurirajte način obrade petlje s povratkom pravila grupe.

Ovo pravilo ima dva moguća značenja:

  • Način spajanja - Spajanje GPO-ova temeljeno na lokaciji korisnika, a zatim GPO-ovi vezani za računalo. U slučaju sukoba između pravila OU korisnika i OU računala, politika na računalu će imati veći prioritet. U ovom načinu rada politika se pokreće dva puta, to se mora zapamtiti pri korištenju; skripte za prijavu.
  • Način zamjene (zamjena) - na njega se primjenjuju samo pravila dodijeljena OU-u koja sadrže računalo na koje je korisnik prijavljen..

GPO dijagnostika na strani klijenta

Možete dijagnosticirati provođenje pravila grupe na strani klijenta pomoću alata za dnevnike događaja gpresult, rsop.msc i Windows. Kada koristite Event Viewer, morate koristiti filter prema izvoru GroupPolicy (Microsoft-Windows-GroupPolicy), kao i u Zapisima aplikacija i usluga -> Microsoft -> Windows -> Grupna pravila -> Operativni.

Također možete pročitati članke koji opisuju načela dijagnoze kod predugog primjenjivanja pravila na klijente.

Na kraju, želim reći da bi trebali zadržati strukturu grupnih politika što je jednostavnije i nepotrebno stvarati nepotrebne politike. Koristite jedinstvenu shemu imenovanja pravila, naziv GPO-a trebao bi dati nedvosmisleno razumijevanje zašto je potreban.