Dies ist eine kanonische Frage zu den Grundlagen der Active Directory-Gruppenrichtlinien
Was ist eine Gruppenrichtlinie? Wie funktioniert es und warum sollte ich es verwenden?
Hinweis: Dies ist eine Frage und Antwort an den neuen Administrator, der möglicherweise nicht mit der Funktionsweise und Leistungsfähigkeit vertraut ist.
windows
active-directory
group-policy
MDMarra
quelle
quelle
Antworten:
Was ist eine Gruppenrichtlinie?
Gruppenrichtlinien sind ein Tool, das Administratoren zur Verfügung steht, auf denen eine Active Directory-Domäne unter Windows 2000 oder höher ausgeführt wird . Es ermöglicht die zentrale Verwaltung von Einstellungen auf Clientcomputern und Servern, die der Domäne angehören, sowie die rudimentäre Verteilung von Software.
Einstellungen werden in Objekte gruppiert, die als Gruppenrichtlinienobjekte (Group Policy Objects, GPOs) bezeichnet werden. Gruppenrichtlinienobjekte sind mit einer Active Directory-Organisationseinheit (OU) verknüpft und können auf Benutzer und Computer angewendet werden. Gruppenrichtlinienobjekte können nicht direkt auf Gruppen angewendet werden. Mithilfe der Sicherheitsfilterung oder der Ausrichtung auf Elementebene können Sie die Richtlinienanwendung jedoch basierend auf der Gruppenmitgliedschaft filtern.
Das ist cool, was kann das?
Etwas.
Im Ernst, Sie können mit Benutzern oder Computern in Ihrer Domain alles tun, was Sie wollen. Es gibt Hunderte vordefinierter Einstellungen für Dinge wie Ordnerumleitung, Kennwortkomplexität, Energieeinstellungen, Laufwerkszuordnungen, Laufwerkverschlüsselung, Windows Update usw. Alles, was Sie nicht über eine vordefinierte Einstellung konfigurieren können, können Sie über Skripte steuern. Batch- und VBScript- Skripts werden auf allen unterstützten Clients unterstützt, und PowerShell- Skripts können auf Windows 7-Hosts ausgeführt werden.
Wie werden Gruppenrichtlinienobjekte angewendet?
Gruppenrichtlinienobjekte werden in einer vorhersehbaren Reihenfolge angewendet. Lokale Richtlinien werden zuerst angewendet. Auf dem lokalen Computer sind über gpedit.msc Richtlinien festgelegt. Site-Richtlinien werden an zweiter Stelle angewendet. Domänenrichtlinien werden an dritter Stelle angewendet, und Richtlinien für Organisationseinheiten werden an vierter Stelle angewendet. Wenn ein Objekt in mehreren Organisationseinheiten verschachtelt ist, werden die Gruppenrichtlinienobjekte zuerst auf die Organisationseinheiten angewendet, die dem Stamm am nächsten liegen.
Beachten Sie, dass bei einem Konflikt das zuletzt angewendete Gruppenrichtlinienobjekt "gewinnt". Dies bedeutet beispielsweise, dass die in der Organisationseinheit, in der sich ein Computer befindet, verknüpfte Richtlinie gewinnt, wenn ein Konflikt zwischen einer Einstellung in diesem Gruppenrichtlinienobjekt und einer in einer übergeordneten Organisationseinheit verknüpft ist.
Anmelde- und Startskripte scheinen cool, wie funktionieren sie?
Eine Anmeldung oder Startskript kann so lange auf jeder Netzwerkfreigabe lebt , wie der
Domain Users
undDomain Computers
Gruppen auf die Freigabe Lesezugriff haben , dass sie auf. Traditionell leben sie in\\domain.tld\sysvol
, aber das ist keine Voraussetzung.Startskripte werden beim Starten des Computers ausgeführt. Sie werden als SYSTEM-Konto auf dem lokalen Computer ausgeführt. Dies bedeutet, dass sie als Computerkonto auf Netzwerkressourcen zugreifen. Zum Beispiel, wenn Sie ein Startskript wollte auf einem gemeinsamen Zugriff auf eine Netzwerkressource haben, die hat UNC von
\\server01\share1
und den Namen des Computers warWORKSTATION01
, dass machen müssten , um sicherWORKSTATION01$
Zugang hatte zu dieser Aktie. Da dieses Skript als System ausgeführt wird, kann es beispielsweise Software installieren, privilegierte Bereiche der Registrierung ändern und die meisten Dateien auf dem lokalen Computer ändern.Anmeldeskripts werden im Sicherheitskontext des lokal angemeldeten Benutzers ausgeführt. Hoffentlich sind Ihre Benutzer keine Administratoren. Das bedeutet, dass Sie diese nicht verwenden können, um Software zu installieren oder geschützte Registrierungseinstellungen zu ändern.
Anmelde- und Startskripts waren ein Eckpfeiler von Windows 2003 und früheren Domänen, ihre Nützlichkeit wurde jedoch in späteren Versionen von Windows Server verringert. Mithilfe der Gruppenrichtlinieneinstellungen können Administratoren Laufwerks- und Druckerzuordnungen, Verknüpfungen, Dateien, Registrierungseinträge, lokale Gruppenmitgliedschaft und viele andere Dinge, die nur in einem Startskript oder Anmeldeskript möglich sind, wesentlich besser handhaben. Wenn Sie der Meinung sind, dass Sie möglicherweise ein Skript für eine einfache Aufgabe verwenden müssen, gibt es möglicherweise eine Gruppenrichtlinie oder eine Voreinstellung dafür. Heutzutage erfordern auf Domänen mit Windows 7-Clients (oder höher) nur komplexe Aufgaben Start- oder Anmeldeskripts.
Ich habe ein cooles Gruppenrichtlinienobjekt gefunden, aber es gilt für Benutzer. Ich möchte, dass es auf Computer angewendet wird!
Ja ich weiß. Ich war dort. Dies ist besonders häufig in akademischen Labors oder anderen gemeinsam genutzten Computerszenarien der Fall, in denen einige Benutzerrichtlinien für Drucker oder ähnliche Ressourcen auf dem Computer und nicht auf dem Benutzer basieren sollen. Weißt du was, du hast Glück! Sie möchten die GPO-Einstellung für den Gruppenrichtlinien-Loopback-Modus aktivieren .
Bitte.
Sie sagten, ich kann damit Software installieren, oder?
Ja, du kannst. Es gibt jedoch einige Einschränkungen. Die Software muss im MSI- Format vorliegen, und alle Änderungen daran müssen in einer MST- Datei erfolgen. Sie können ein MST mit einer Software wie ORCA oder einem anderen MSI-Editor erstellen. Wenn Sie keine Transformation durchführen, entspricht Ihr Endergebnis der Ausführung
msiexec /i <path to software> /q
Die Software wird auch nur beim Start installiert, daher ist sie keine sehr schnelle Methode zum Verteilen von Software, aber kostenlos. In einer kostengünstigen Laborumgebung habe ich eine geplante Aufgabe (über ein Gruppenrichtlinienobjekt) erstellt, die jeden Laborcomputer um Mitternacht mit einem zufälligen Versatz von 30 Minuten neu startet. Dadurch wird sichergestellt, dass die Software in diesen Labors höchstens einen Tag veraltet ist. Dennoch ist Software wie SCCM , LANDesk , Altaris oder alles andere vorzuziehen , das Software auf On-Demand-Basis "pushen" kann.
Wie oft wird es angewendet?
Clients aktualisieren ihre Gruppenrichtlinienobjekte alle 90 Minuten mit einer 30-minütigen Randomisierung. Das bedeutet, dass standardmäßig bis zu 120 Minuten gewartet werden kann. Einige Einstellungen, z. B. Laufwerkszuordnungen, Ordnerumleitung und Dateieinstellungen, werden nur beim Start oder bei der Anmeldung angewendet. Gruppenrichtlinien sind für die langfristig geplante Verwaltung gedacht, nicht für Situationen, in denen eine sofortige schnelle Fehlerbehebung erforderlich ist.
Domänencontroller aktualisieren ihre Richtlinien alle fünf Minuten.
quelle
Ein kurzer Hinweis zu den Gruppenrichtlinieneinstellungen: Wenn Sie diese Einstellungen verwenden möchten, aber über Windows XP SP2- oder Windows XP SP3-Arbeitsstationen verfügen, müssen diese zuerst die clientseitigen Erweiterungen für Gruppenrichtlinieneinstellungen für Windows XP (KB943729) installieren .
Computer Container gegen Computer OU
Computers container
Unter dem Domänenstamm in Active Directory (AD) gibt es einen Standard, der häufig für eine Active Directory-Organisationseinheit (OU) gehalten wird. Dies ist eigentlich einContainer
und ist keinOU
. Da dies keine Organisationseinheit ist, gelten Gruppenrichtlinien nicht für Objekte in diesem Container. Ausnahmen von dieser Regel sind Gruppenrichtlinien, die auf der angewendet werdendomain level
. Dies sind die einzigen Richtlinien, die auf Objekte im angewendet werdenComputers container
.Standardmäßig wechseln Computerobjekte, die der Domäne beigetreten sind und nicht vorab bereitgestellt wurden, zu
Computers container
.Wenn Sie sich also fragen, warum Ihre Richtlinie nicht angewendet wird, überprüfen Sie, ob sich das betreffende Objekt an der richtigen Position in AD befindet.
Sichern von Gruppenrichtlinienobjekten
Sie können Gruppenrichtlinienobjekte mithilfe der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) sichern.
Group Policy Objects
in die Gesamtstruktur und Domäne, die das zu sichernde Gruppenrichtlinienobjekt (Group Policy Object, GPO) enthält.Group Policy Objects
und dann aufBack Up All
.Backup
. Wenn Sie mehrere Gruppenrichtlinienobjekte sichern, gilt die Beschreibung für alle Gruppenrichtlinienobjekte, die Sie sichern.Das Beste an der Sicherung von Gruppenrichtlinien ist die integrierte Versionskontrolle. Das heißt, Sie können dieses Verfahren mehrmals verwenden und die Änderungen zwischen den Richtlinien verfolgen. Sie können dann eine bestimmte Version einer Richtlinie wiederherstellen.
Sie können sogar eine geplante Aufgabe einrichten, um ein PowerShell- Skript auszuführen , das den Befehl Backup-GPO verwendet, um Sicherungen zu automatisieren.
Sie möchten weiterhin (mithilfe einer herkömmlichen Sicherungsmethode) den Ordner sichern, in dem Sie die Gruppenrichtlinienobjekte sichern.
quelle
Sind Sie auf der Suche nach einem einfachen Powershell-Skript, das Sie zu geplanten Aufgaben hinzufügen können, um Ihre Gruppenrichtlinienobjekte zu sichern? Sie haben kein AGPM aus dem MDOP-Paket?
Bitte schön.
Zuerst wird eine tägliche Rotationssicherung für den Wochentag durchgeführt. Sie müssen den Ordnerpfad für jeden Ordner (Sonntag / Montag / usw.) Im Voraus erstellen. Ich habe New-Item nicht verwendet, da ich herausgefunden habe, warum es sich bei diesen jeweils um ein Test-Item und ein New-Item handelt Wirklich statische Ordner nach Tag 1. Sie benötigen die AD Powershell-Module, die auf dem Server verfügbar sind, auf dem Sie sie ausführen.
Das Gleiche hier, aber diesmal für einen Monat. Erstellen Sie die Ordner erneut im Voraus als Januar, Februar usw.
quelle