Was ist eine Gruppenrichtlinie und wie funktioniert sie?

31

Dies ist eine kanonische Frage zu den Grundlagen der Active Directory-Gruppenrichtlinien

Was ist eine Gruppenrichtlinie? Wie funktioniert es und warum sollte ich es verwenden?

Hinweis: Dies ist eine Frage und Antwort an den neuen Administrator, der möglicherweise nicht mit der Funktionsweise und Leistungsfähigkeit vertraut ist.

MDMarra
quelle
Warum ist diese Frage geschützt, während andere wie sie einfach geschlossen oder zurückgestellt werden, weil sie als "kein wirkliches Problem hier" angesehen werden? Ich verstehe es nicht.
Marki
@Marki Du solltest diesen Meta-Beitrag lesen . Wenn es zu einem Thema viele "schlechte" oder Anfängerfragen gibt, erstellen wir häufig eine kanonische Frage, die eine erhebliche Menge allgemeiner Informationen zum Thema enthält, damit alle Anfänger- oder Grundfragen zu einem Thema als Duplikat von geschlossen werden können kanonische Frage.
MDMarra

Antworten:

27

Was ist eine Gruppenrichtlinie?

Gruppenrichtlinien sind ein Tool, das Administratoren zur Verfügung steht, auf denen eine Active Directory-Domäne unter Windows 2000 oder höher ausgeführt wird . Es ermöglicht die zentrale Verwaltung von Einstellungen auf Clientcomputern und Servern, die der Domäne angehören, sowie die rudimentäre Verteilung von Software.

Einstellungen werden in Objekte gruppiert, die als Gruppenrichtlinienobjekte (Group Policy Objects, GPOs) bezeichnet werden. Gruppenrichtlinienobjekte sind mit einer Active Directory-Organisationseinheit (OU) verknüpft und können auf Benutzer und Computer angewendet werden. Gruppenrichtlinienobjekte können nicht direkt auf Gruppen angewendet werden. Mithilfe der Sicherheitsfilterung oder der Ausrichtung auf Elementebene können Sie die Richtlinienanwendung jedoch basierend auf der Gruppenmitgliedschaft filtern.

Das ist cool, was kann das?

Etwas.

Im Ernst, Sie können mit Benutzern oder Computern in Ihrer Domain alles tun, was Sie wollen. Es gibt Hunderte vordefinierter Einstellungen für Dinge wie Ordnerumleitung, Kennwortkomplexität, Energieeinstellungen, Laufwerkszuordnungen, Laufwerkverschlüsselung, Windows Update usw. Alles, was Sie nicht über eine vordefinierte Einstellung konfigurieren können, können Sie über Skripte steuern. Batch- und VBScript- Skripts werden auf allen unterstützten Clients unterstützt, und PowerShell- Skripts können auf Windows 7-Hosts ausgeführt werden.

Professioneller Tipp: Sie können PowerShell-Startskripts auf Windows XP- und Windows Vista-Hosts ausführen, sofern PowerShell 2.0 installiert ist. Sie können eine Batchdatei erstellen, die das Skript mit der folgenden Syntax aufruft:

powershell Set-ExecutionPolicy RemoteSigned
powershell \\\\server\share\script.ps1
powershell Set-ExecutionPolicy Restricted

In der ersten Zeile können nicht signierte Skripts von Remotefreigaben auf diesem Host ausgeführt werden, und in der zweiten Zeile wird das Skript aus der Batchdatei aufgerufen. In der dritten Zeile wird die Richtlinie für maximale Sicherheit auf "Eingeschränkt" (Standard) zurückgesetzt.

Wie werden Gruppenrichtlinienobjekte angewendet?

Gruppenrichtlinienobjekte werden in einer vorhersehbaren Reihenfolge angewendet. Lokale Richtlinien werden zuerst angewendet. Auf dem lokalen Computer sind über gpedit.msc Richtlinien festgelegt. Site-Richtlinien werden an zweiter Stelle angewendet. Domänenrichtlinien werden an dritter Stelle angewendet, und Richtlinien für Organisationseinheiten werden an vierter Stelle angewendet. Wenn ein Objekt in mehreren Organisationseinheiten verschachtelt ist, werden die Gruppenrichtlinienobjekte zuerst auf die Organisationseinheiten angewendet, die dem Stamm am nächsten liegen.

Beachten Sie, dass bei einem Konflikt das zuletzt angewendete Gruppenrichtlinienobjekt "gewinnt". Dies bedeutet beispielsweise, dass die in der Organisationseinheit, in der sich ein Computer befindet, verknüpfte Richtlinie gewinnt, wenn ein Konflikt zwischen einer Einstellung in diesem Gruppenrichtlinienobjekt und einer in einer übergeordneten Organisationseinheit verknüpft ist.

Anmelde- und Startskripte scheinen cool, wie funktionieren sie?

Eine Anmeldung oder Startskript kann so lange auf jeder Netzwerkfreigabe lebt , wie der Domain Usersund Domain ComputersGruppen auf die Freigabe Lesezugriff haben , dass sie auf. Traditionell leben sie in \\domain.tld\sysvol, aber das ist keine Voraussetzung.

Startskripte werden beim Starten des Computers ausgeführt. Sie werden als SYSTEM-Konto auf dem lokalen Computer ausgeführt. Dies bedeutet, dass sie als Computerkonto auf Netzwerkressourcen zugreifen. Zum Beispiel, wenn Sie ein Startskript wollte auf einem gemeinsamen Zugriff auf eine Netzwerkressource haben, die hat UNC von \\server01\share1und den Namen des Computers war WORKSTATION01, dass machen müssten , um sicher WORKSTATION01$Zugang hatte zu dieser Aktie. Da dieses Skript als System ausgeführt wird, kann es beispielsweise Software installieren, privilegierte Bereiche der Registrierung ändern und die meisten Dateien auf dem lokalen Computer ändern.

Anmeldeskripts werden im Sicherheitskontext des lokal angemeldeten Benutzers ausgeführt. Hoffentlich sind Ihre Benutzer keine Administratoren. Das bedeutet, dass Sie diese nicht verwenden können, um Software zu installieren oder geschützte Registrierungseinstellungen zu ändern.

Anmelde- und Startskripts waren ein Eckpfeiler von Windows 2003 und früheren Domänen, ihre Nützlichkeit wurde jedoch in späteren Versionen von Windows Server verringert. Mithilfe der Gruppenrichtlinieneinstellungen können Administratoren Laufwerks- und Druckerzuordnungen, Verknüpfungen, Dateien, Registrierungseinträge, lokale Gruppenmitgliedschaft und viele andere Dinge, die nur in einem Startskript oder Anmeldeskript möglich sind, wesentlich besser handhaben. Wenn Sie der Meinung sind, dass Sie möglicherweise ein Skript für eine einfache Aufgabe verwenden müssen, gibt es möglicherweise eine Gruppenrichtlinie oder eine Voreinstellung dafür. Heutzutage erfordern auf Domänen mit Windows 7-Clients (oder höher) nur komplexe Aufgaben Start- oder Anmeldeskripts.

Ich habe ein cooles Gruppenrichtlinienobjekt gefunden, aber es gilt für Benutzer. Ich möchte, dass es auf Computer angewendet wird!

Ja ich weiß. Ich war dort. Dies ist besonders häufig in akademischen Labors oder anderen gemeinsam genutzten Computerszenarien der Fall, in denen einige Benutzerrichtlinien für Drucker oder ähnliche Ressourcen auf dem Computer und nicht auf dem Benutzer basieren sollen. Weißt du was, du hast Glück! Sie möchten die GPO-Einstellung für den Gruppenrichtlinien-Loopback-Modus aktivieren .

Bitte.

Sie sagten, ich kann damit Software installieren, oder?

Ja, du kannst. Es gibt jedoch einige Einschränkungen. Die Software muss im MSI- Format vorliegen, und alle Änderungen daran müssen in einer MST- Datei erfolgen. Sie können ein MST mit einer Software wie ORCA oder einem anderen MSI-Editor erstellen. Wenn Sie keine Transformation durchführen, entspricht Ihr Endergebnis der Ausführungmsiexec /i <path to software> /q

Die Software wird auch nur beim Start installiert, daher ist sie keine sehr schnelle Methode zum Verteilen von Software, aber kostenlos. In einer kostengünstigen Laborumgebung habe ich eine geplante Aufgabe (über ein Gruppenrichtlinienobjekt) erstellt, die jeden Laborcomputer um Mitternacht mit einem zufälligen Versatz von 30 Minuten neu startet. Dadurch wird sichergestellt, dass die Software in diesen Labors höchstens einen Tag veraltet ist. Dennoch ist Software wie SCCM , LANDesk , Altaris oder alles andere vorzuziehen , das Software auf On-Demand-Basis "pushen" kann.

Wie oft wird es angewendet?

Clients aktualisieren ihre Gruppenrichtlinienobjekte alle 90 Minuten mit einer 30-minütigen Randomisierung. Das bedeutet, dass standardmäßig bis zu 120 Minuten gewartet werden kann. Einige Einstellungen, z. B. Laufwerkszuordnungen, Ordnerumleitung und Dateieinstellungen, werden nur beim Start oder bei der Anmeldung angewendet. Gruppenrichtlinien sind für die langfristig geplante Verwaltung gedacht, nicht für Situationen, in denen eine sofortige schnelle Fehlerbehebung erforderlich ist.

Domänencontroller aktualisieren ihre Richtlinien alle fünf Minuten.

MDMarra
quelle
3
Wieder schöne Arbeit. Vielleicht möchten Sie auch von Ihrer epischen AD-Qualitätssicherung aus auf diese Seite verlinken.
EEAA
1
Danke dafür. Wir müssen aus unseren kanonischen Antworten auf diese (und die AD) verweisen.
Bart De Vos
Ich denke, dass der AD dort ist und ich habe diesen zur Überprüfung in Meta eingereicht. Dies ist noch ein wenig unvollständig, ich hoffe, es heute Abend zu beenden.
MDMarra
Bezieht sich "Altaris" auf ein bestimmtes Produkt von Altaris, z. B. Altiris Deployment Solution (DS)?
Peter Mortensen
1
Der Link für den Gruppenrichtlinien-Loopback-Modus wird zu " Herunterladen von nicht mehr unterstütztem Windows Server 2003 R2-Inhalt " weitergeleitet. Vielleicht sollte es auf diesen (oder einen ähnlichen) Link aktualisiert werden: technet.microsoft.com/en-us/library/cc978513.aspx
Pieter Geerkens
12

Ein kurzer Hinweis zu den Gruppenrichtlinieneinstellungen: Wenn Sie diese Einstellungen verwenden möchten, aber über Windows XP SP2- oder Windows XP SP3-Arbeitsstationen verfügen, müssen diese zuerst die clientseitigen Erweiterungen für Gruppenrichtlinieneinstellungen für Windows XP (KB943729) installieren .

Computer Container gegen Computer OU

Computers containerUnter dem Domänenstamm in Active Directory (AD) gibt es einen Standard, der häufig für eine Active Directory-Organisationseinheit (OU) gehalten wird. Dies ist eigentlich ein Containerund ist kein OU. Da dies keine Organisationseinheit ist, gelten Gruppenrichtlinien nicht für Objekte in diesem Container. Ausnahmen von dieser Regel sind Gruppenrichtlinien, die auf der angewendet werden domain level. Dies sind die einzigen Richtlinien, die auf Objekte im angewendet werden Computers container.

Standardmäßig wechseln Computerobjekte, die der Domäne beigetreten sind und nicht vorab bereitgestellt wurden, zu Computers container.

Wenn Sie sich also fragen, warum Ihre Richtlinie nicht angewendet wird, überprüfen Sie, ob sich das betreffende Objekt an der richtigen Position in AD befindet.

Sichern von Gruppenrichtlinienobjekten

Sie können Gruppenrichtlinienobjekte mithilfe der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) sichern.

  1. Öffnen Sie die Gruppenrichtlinienverwaltung, und doppelklicken Sie Group Policy Objectsin die Gesamtstruktur und Domäne, die das zu sichernde Gruppenrichtlinienobjekt (Group Policy Object, GPO) enthält.
  2. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, und klicken Sie dann auf Sichern, um ein einzelnes Gruppenrichtlinienobjekt zu sichern. Um alle Gruppenrichtlinienobjekte in der Domäne zu sichern, klicken Sie mit der rechten Maustaste Group Policy Objectsund dann auf Back Up All.
  3. Geben Sie im Dialogfeld Gruppenrichtlinienobjekt sichern im Feld Speicherort den Pfad zu dem Speicherort ein, an dem Sie die GPO-Sicherung (en) speichern möchten, oder klicken Sie auf Durchsuchen, und suchen Sie den Ordner, in dem Sie die GPO-Sicherung speichern möchten ( s), und klicken Sie dann auf OK.
  4. Geben Sie im Feld Beschreibung eine Beschreibung für die zu sichernden Gruppenrichtlinienobjekte ein, und klicken Sie dann auf OK Backup. Wenn Sie mehrere Gruppenrichtlinienobjekte sichern, gilt die Beschreibung für alle Gruppenrichtlinienobjekte, die Sie sichern.
  5. Klicken Sie nach Abschluss des Vorgangs auf OK.

Das Beste an der Sicherung von Gruppenrichtlinien ist die integrierte Versionskontrolle. Das heißt, Sie können dieses Verfahren mehrmals verwenden und die Änderungen zwischen den Richtlinien verfolgen. Sie können dann eine bestimmte Version einer Richtlinie wiederherstellen.

Sie können sogar eine geplante Aufgabe einrichten, um ein PowerShell- Skript auszuführen , das den Befehl Backup-GPO verwendet, um Sicherungen zu automatisieren.

Sie möchten weiterhin (mithilfe einer herkömmlichen Sicherungsmethode) den Ordner sichern, in dem Sie die Gruppenrichtlinienobjekte sichern.

HostBits
quelle
3

Sind Sie auf der Suche nach einem einfachen Powershell-Skript, das Sie zu geplanten Aufgaben hinzufügen können, um Ihre Gruppenrichtlinienobjekte zu sichern? Sie haben kein AGPM aus dem MDOP-Paket?

Bitte schön.

Zuerst wird eine tägliche Rotationssicherung für den Wochentag durchgeführt. Sie müssen den Ordnerpfad für jeden Ordner (Sonntag / Montag / usw.) Im Voraus erstellen. Ich habe New-Item nicht verwendet, da ich herausgefunden habe, warum es sich bei diesen jeweils um ein Test-Item und ein New-Item handelt Wirklich statische Ordner nach Tag 1. Sie benötigen die AD Powershell-Module, die auf dem Server verfügbar sind, auf dem Sie sie ausführen.

# GPOBackupScriptDayOfWeek.PS1
# This script Backup all GPOs and save it to a folder based on the day of the week
# It runs as an automated task on SERVER and we keep a one week rotation on disk


Import-Module grouppolicy 
$date = get-date
$dayofweek = $date.DayofWeek
#Remove current backup from the folder (to alleviate space issues down the road since it won't overwrite each time)
Remove-Item \\SERVER\GPO_Backup\$dayofweek\* -Recurse -Force
#Backup current GPOs to the folder
Backup-Gpo -All -Path \\SERVER\GPO_Backup\$dayofweek

Das Gleiche hier, aber diesmal für einen Monat. Erstellen Sie die Ordner erneut im Voraus als Januar, Februar usw.

# GPOBackupScript.PS1
# This script Backup all GPOs and save it to a folder each month on the first of the month
# It runs as an automated task on SERVER and we keep a one year rotation

Import-Module grouppolicy 
$month = get-date -Format MMMM
#Remove current backup from the folder (to alleviate space issues down the road since it won't overwrite each time)
Remove-Item \\SERVER\GPO_Backup\$month\* -Recurse -Force
#Backup current GPOs to the folder
Backup-Gpo -All -Path \\SERVER\GPO_Backup\$month
Der Reiniger
quelle