Grupprincip är en uppsättning regler eller inställningar enligt vilka arbetsmiljön för mottagning/sändning är konfigurerad ( Windows , X-unix och andra operativsystem med nätverksstöd). Grupppolicyer skapas inom en domän och replikeras över hela domänen. Ett grupprincipobjekt ( GPO ) består av två fysiskt separata komponenter: en grupprincipbehållare ( GPC ) och en grupprincipmall ( GPT ) . Dessa två komponenter innehåller all information om inställningarna för arbetsmiljön, som ingår i GPO. Den genomtänkta tillämpningen av GPO på Active Directory -objekt gör att du kan skapa en effektiv och lätthanterlig Windows -baserad datormiljö . Principer tillämpas uppifrån och ned i Active Directory -hierarkin .
Som standard skapas två grupppolicyer i Active Directory-kataloghierarkin: Default Domain Policy (standarddomänpolicy) och Default Domain Controller's Policy (standardpolicy för domänkontrollanter). Den första är tilldelad till domänen och den andra tilldelas behållaren som innehåller domänkontrollanten . Om du vill skapa din egen GPO måste du ha nödvändiga behörigheter. Som standard har grupperna Enterprise Administrators och Domain Administrators rätt att skapa nya GPO:er .
När du arbetar med grupppolicyer, kom ihåg att:
Föreställ dig att någon parameter (till exempel inloggningsbanner) är definierad i både policy P3 och policy P1. I det här fallet skiljer sig värdet på parametern som anges i policyn P3 från värdet som anges i policyn P1. Vilket värde kommer att tilldelas parametern som ett resultat av att båda dessa principer tillämpas? I en sådan situation sätts objektparametern till det värde som hämtas från det GPO som är närmast objektet. I den aktuella situationen kommer alltså inloggningsbannerparametern att tilldelas det värde som extraherats från P1-policyn.
Föreställ dig att policy P3 innehåller värdet för inloggningsbannerparametern, medan policy P1 inte definierar denna parameter. I det här fallet, om båda dessa principer gäller för objektet, kommer objektparametern i fråga att tilldelas värdet från P3-policyn. Ingen policy har dock definierats för SA-behållaren. Däremot kommer inloggningsbannerparametern för denna behållare att ställas in på värdet från P3-policyn. Dessutom kommer P3- och P1-policyerna att tillämpas fullt ut på den här behållaren, eftersom SA-behållaren kommer att ärva dessa policyer från sina föräldrar.
Föreställ dig att policyerna P4 och P5, som definierar värdena för en mängd olika parametrar, tillämpas på Acct-behållaren. I avsnittet om datorkonfiguration i P4-policyn får medlemmar i den globala redovisningsgruppen ansluta lokalt till vilken dator som helst i kontobehållaren, såväl som i alla underbehållare i denna behållare. Och i avsnittet om datorkonfiguration i P5-policyn tilldelas inga rättigheter till redovisningsgruppen. I listan över policyer som visas på grupprincipsidan i fönstret Domänkontrollanters egenskaper är P5-policyn högst upp på listan, ovanför P4-policyn. De principer som anges i den här listan tillämpas på objektet i ordning från botten till toppen. Med andra ord tillämpas principerna längst ned på listan först, följt av policyerna längst upp på listan. Sålunda, vid bearbetning av den övervägda uppsättningen policyer i relation till kontobehållaren, kommer policy P4 att tillämpas först, och sedan policy P5. Därför, efter att ha bearbetat uppsättningen policyer, kommer parametern för lokala anslutningsrättigheter att innehålla värdet från P5-policyn. Medlemmar i den globala redovisningsgruppen kommer således inte att ha rätt att ansluta lokalt till datorerna i Acct-behållaren och dess underbehållare. För att ändra ordningen i vilken policyer bearbetas, använd upp- och nedknapparna i det nedre högra hörnet på fliken Grupprincip.
Windows 2000 låter dig blockera tillämpningen av vissa delar av ett GPO-objekt. Om policyn inte tillämpas helt på behållaren, utan endast delvis, reduceras den totala tiden som användaren ansluter till systemet. Ju färre GPO-inställningar som behöver tillämpas på ett objekt, desto snabbare bearbetas motsvarande policy. Du kan inaktivera bearbetning av vissa avsnitt av policyn per GPO-basis. För att göra detta, följ dessa steg:
Blockering av tillämpningen av en av policysektionerna är konfigurerad för ett specifikt GPO och gäller alla behållare som detta GPO är tilldelat.
Windows 2000 låter dig blockera policyarv från ett överordnat objekt. Om du till exempel vill att bara policyer som definierats på IT-nivå ska gälla för IT-behållaren och alla dess underbehållare, markerar du kryssrutan Block Policy Arv på grupprincipsidan i IT-objektets egenskaper. P1- och P3-policyer kommer dock inte att gälla för IT-arbetsstationer och IT-servrar. Blockering av policyarv kan inte inaktiveras för någon policy. Om blockering av principärvning är aktiverad för en behållare, upphör absolut alla policyer som tilldelats på högre nivåer i Active Directory-kataloghierarkin att gälla för denna behållare och alla dess underbehållare. Den här inställningen kan konfigureras per GPO-basis och gäller alla behållare som denna GPO är tilldelad. Om en GPO är inställd på Ingen åsidosättning, kommer inställningarna från den associerade principen alltid att ha företräde när policykonflikter uppstår, oavsett vilken nivå i hierarkin behållarna som GPO tillämpas på finns. Om du till exempel öppnar egenskapsfönstret för domänen shinyapple.msft och markerar kryssrutan Ingen åsidosättning för policy P1, kommer objekt lägre i Active Directory-hierarkin alltid att konfigureras enligt värdena som anges i policy P1. I händelse av en policykonflikt kommer värdena från P1 att ha företräde. Ett bra exempel på en situation där du kanske vill använda den här funktionen är när du använder säkerhetsinställningar. Om blockering av principärvning är aktiverat för någon behållare, kommer en policy som har egenskapen No Override fortfarande att tillämpas eftersom inställningen No Override har högre prioritet.
Att filtrera tillämpade policyer baserat på objektets säkerhetsgruppmedlemskap är en annan metod för att ändra hur policyer normalt tillämpas på Active Directory-objekt. Filtrering utförs med hjälp av ACLs (Access Control List). Varje GPO tilldelas en ACL. Information i GPO:s ACL tolkas av säkerhetssystemet oavsett vilken behållare GPO gäller. En policy tillämpas endast på ett objekt om objektet har läs- och appliceringsbehörighet för grupprinciper på det associerade GPO. Om ett objekt (användare eller grupp) inte har behörigheten Apply Group Policy, tillämpas inte grupppolicyn på det.
För att dokumentera i loggen i vilken ordning policyer och profiler tillämpas, använd Registereditorn för att lägga till UserEnvDebugLevel-värdet av typen REG_DWORD till nyckeln HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon, som måste vara 0x10002. Efter det startar du om din dator. Programloggen för policy och profil kommer att skrivas till filen %SystemRoot%\Debug\Usermode\Userenv.log. Utöver de GPO som finns i Active Directory , har alla Windows 2000-system också en lokal policy. Den lokala policyn definierar inställningarna enligt vilka arbetsstationen är konfigurerad. Systemet tillämpar policyer i en specifik ordning. Den lokala policyn tillämpas först, sedan webbplatspolicyn, sedan domänpolicyn och slutligen policyn för organisationsenhet. Ordningen i vilken policyer tillämpas indikeras ofta av en teckensekvens (L, S, D, OU). Om en lokal policy är i konflikt med en värd-, domän- eller OU-behållarepolicy förlorar den alltid. Med andra ord, när policyer tillämpas har den lokala policyn lägst prioritet. Alla inställningar, förutom scenarierna för systemstart/start och systemavstängning/avstängning, samt programvaruinstallation (antingen tilldelad eller publicerad), uppdateras var 90:e minut med en variabel offset på plus eller minus 30 minuter. Uppdateringen initieras av uppdateringsmekanismen för grupppolicy på klientsidan, som håller reda på när klienten senast utförde en uppdatering. I början av uppgraderingsprocessen jämförs versionsnumren för alla aktiva policyer med de lokala versionsnumren. Om de lokala och fjärrversionsnumren inte stämmer överens, tillämpas hela policyn igen. Annars sker ingen uppdatering. Domänkontrollanters policyer uppdateras var femte minut.
När du migrerar till Windows 2000 kommer du sannolikt att ha datorer i nätverket som kör tidigare versioner av Windows . För att effektivt hantera ett sådant nätverk är det viktigt att förstå vilka datorer som kommer att påverkas av grupppolicyn. Följande listar de operativsystem som grupprincipen gäller för.
Operativsystemet Windows NT låter dig tilldela varje användare ett skript som innehåller kommandon som ska köras när den användaren ansluter till systemet . Vanligtvis används anslutningsskript för att initialt ställa in en användares arbetsmiljö. Förutom anslutningsskript stöder Windows 2000 även frånkopplingsskript. Dessutom, i det nya operativsystemet för varje dator , kan du tilldela skript för att starta och stänga av systemet. Windows Scripting Host (WSH) skriptkörning stöder exekvering av skript skrivna på språk som Visual Basic eller Jscript som tillåter direkt åtkomst till Windows API- funktioner . Låt oss titta på några av möjligheterna med att använda skript i Windows 2000 -miljön .
Sådana skript stöds precis som de var i Windows NT 4.0 och existerar främst för kompatibilitet med tidigare versioner av Windows . Windows 2000- och Windows NT 4.0 -klienter försöker upptäcka sådana skript i serverns Netlogon - resurs . Om skriptet inte kan hittas, görs sökningen i katalogen %SystemRoot%\system32\Repl\lmport\Scripts (skriptplatsen som används i NT 4.0). Netlogon-resursen finns i SysVol-katalogen (sysvol\domännamn\scripts) och replikeras automatiskt av FRS. NT 4.0- operativsystemskriptkatalogreplikering måste konfigureras manuellt .
Dessa scenarier gäller OU-behållare. Med andra ord, för att tilldela ett anslutnings- eller frånkopplingsskript till en användare, måste du göra användaren till medlem i OU-behållaren som har definierat principen för att ansluta eller koppla från skriptet tilldelas. Denna metod är mer flexibel. Om du migrerar ditt nätverk för att använda Windows 2000 finns det några andra skriptöverväganden som du också bör vara medveten om. Många nätverk har datorer som kör tidigare versioner av Windows utöver Windows 2000-maskiner, så vi rekommenderar att du uppgraderar servern som innehåller NETLOGON-resursen sist. Detta beror på att replikeringstjänsten som används i Windows 2000 (FRS) inte är kompatibel med NT-replikeringstjänsterna. När du uppgraderar nätverket måste du alltså vara säker på att absolut alla klienter har möjlighet att komma åt Netlogon-mappen och anslutningsskript, oavsett vilket operativsystem de använder. Observera också att på Windows NT körs anslutningsskript i användarens säkerhetssammanhang. I Windows 2000 är detta bara delvis sant. I Windows 2000 körs även användarrelaterade skript (inloggning och ut ur systemet) i användarens säkerhetssammanhang, medan datorrelaterade skript (systemstart och systemavstängning) körs i säkerhetssammanhang.localsystem.
Möjligheten att hantera GPO kan delegeras till andra ansvariga personer. Delegering görs med hjälp av ACL. GPO ACL:er låter dig tilldela behörigheter till den GPO för att ändra den GPO, eller att tilldela en GPO till en behållare. Således kan du förhindra skapandet av obehöriga GPO:er. Till exempel kan skapandet och modifieringen av GPO:er anförtros till gruppen Domänadministratörer, medan tilldelningen av dessa GPO:er kan göras av administratörer av enskilda OU-behållare. OU-behållaradministratören kan välja den mest lämpliga GPO och tillämpa den GPO på vilken som helst av OE under hans kontroll. Det kommer dock inte att kunna ändra innehållet i detta GPO eller skapa ett nytt GPO.
Med gruppolicy kan du omdirigera vissa användarkataloger så att när du kommer åt dem kommer användaren faktiskt åt nätverkskataloger eller vissa platser i det lokala filsystemet. Uppsättningen mappar som kan omdirigeras på detta sätt inkluderar:
Mekanismen för att omdirigera användarmappar är en del av IntelliMirror- teknologin , vars syfte är att ge åtkomst till arbetsfiler och konfigurationsinformation, oavsett vilken arbetsstation användaren använder för att arbeta. Som ett resultat säkerställer Intellimirror-tekniken säkerheten för användarfiler och konfigurationsdata om användarens arbetsstation skulle gå sönder. Katalogomdirigering konfigureras i avsnittet Användarkonfiguration Windows-inställningar Mappomdirigering i grupprincipobjektet. Det här avsnittet visar alla tidigare listade mappar. För att omdirigera en av dessa mappar till en ny plats, högerklicka på dess namn och välj Egenskaper från menyn som visas.
På fliken Mål kan du välja mellan tre anpassade mappomdirigeringsalternativ.