Bekerja dengan Dasar Kumpulan: The Essentials - Bagaimana Untuk

Bekerja dengan Dasar Kumpulan: The Essentials

Ketika pertama kali saya mulai belajar Active Directory (AD) dan Policy Group, saya butuh sedikit waktu untuk memimpin saya. Dan pada masa itu, saya tidak dapat mencari "primers" yang mudah dan berkesan dalam talian untuk memulakan saya. Oleh itu saya fikir cara terbaik untuk belajar adalah untuk mengajar diri saya sendiri melalui penyelidikan dan pengalaman saya sepanjang perjalanan.

Dasar AD dan Kumpulan boleh menjadi binatang untuk belajar dan menguruskan (bergantung kepada sejauh mana anda ingin menurunkan lubang kelinci), jadi dokumen ini hanya bertujuan untuk berfungsi sebagai buku asas untuk orang yang baru saja bermula, atau mempunyai pengalaman atau pengetahuan yang sedikit tentang kerja dalaman dasar AD dan Dasar Kumpulan. Dengan itu, saya akan memberi tumpuan kepada konsep umum dan asas, dan bukannya membentangkan setiap kemungkinan apa yang anda tahu. Lagipun, anda mungkin hanya ingin buku asas jika anda membaca dokumen ini :).

NOTA (Kata Pengantar): Jika anda sudah biasa dengan AD dan bagaimana ia berfungsi, anda boleh melangkau bahagian "Direktori Aktif" dan terus terus ke bahagian "Dasar Kumpulan" di bawah; melainkan jika anda ingin menyemak pengetahuan anda tentang AD dan lihat jika ada sesuatu yang mudah anda mungkin terlepas dalam perjalanan anda;)

* UPDATE *: Saya menambah maklumat tambahan mengenai penapisan WMI pada 2019-03-15.

3 langkah total

Langkah 1: Direktori Aktif:

Untuk mengetahui bagaimana dasar Kumpulan berfungsi, anda perlu memahami dasar-dasar bagaimana kerja AD; kedua-dua pergi tangan-tangan. Dan demi menjaga info tentang AD hingga minimum, saya hanya akan merujuk kepada apa yang saya percaya secara peribadi adalah maklumat yang relevan yang anda perlu ketahui untuk menjadi mahir dengan asas-asas Dasar Kumpulan.

Komputer dan Pengguna boleh diuruskan secara berpusat melalui konsol pengurusan yang disebut "Pengguna & Komputer Direktori Aktif" (ADUC).Dari sini, apabila saya merujuk kepada "AD", anda boleh memikirkan AD dan ADUC secara sinonim, kerana ADUC pada umumnya akan digunakan untuk mengurus AD. Dan anda boleh menggunakan konsol pengurusan ini sama ada secara terus dari pelayan yang disediakan untuknya, atau anda boleh menguruskannya dari stesen kerja di hutan yang sama menggunakan RSAT. Berikut adalah pautan untuk RSAT pada Windows 7: http://www.microsoft.com/en-us/download/details.aspx?id=7887

Dalam AD, objek komputer dan objek pengguna biasanya disimpan di dalam Unit Organisasi (OUs). Saya tidak akan mendapat terlalu banyak butir-butir tentang cara membuat dan menyusun OU dan objek anda, tetapi saya sekurang-kurangnya akan memberi anda contoh umum tentang bagaimana saya menyusun semua saya sekarang. Dan tanpa mendedahkan sebarang butiran khusus mengenai rangkaian saya, saya akan menggunakan contoh yang dipeluwap dengan istilah / nama yang sangat umum untuk menyampaikan struktur dan tujuan rangkaian AD saya:

companydomain.com (domain)
_____site1 (geo lokasi OU)
__________komputer (OU)
_______________ site1-pc-group1 (OU)
____________________ site1-pc1 (object)
____________________ site1-pc2 (object)
_______________ site1-pc-group2 (OU)
____________________ site1-pc3 (object)
____________________ site1-pc4 (object)
__________users (OU)
_______________ site1-user1 (objek)
_______________ site1-user2 (objek)

_____site2 (geo lokasi OU)
__________komputer (OU)
_______________ site2-pc-group1 (OU)
____________________ site2-pc1 (object)
____________________ site2-pc2 (object)
_______________ site2-pc-group2 (OU)
____________________ site2-pc3 (object)
____________________ site2-pc4 (object)
__________users (OU)
_______________ site2-user1 (objek)
_______________ site2-user2 (object)

Sekali lagi, ini adalah contoh yang sangat singkat dan umum, tetapi anda dapat melihat bahawa saya mempunyai OU untuk setiap laman web (kami mempunyai 5 tapak di seluruh bandar yang dihubungkan dengan pautan gentian), sub-OU untuk komputer dan sub-OU di bawah ini . Saya juga mempunyai sub-OU untuk pengguna di setiap laman web. Di bawah setiap komputer OU (ex: site1-pc-group1) adalah tempat objek komputer sebenar disimpan. Sub-OU komputer ini digunakan untuk "kumpulan" komputer untuk menggunakan dasar tertentu.

Katakan anda mempunyai 10 komputer di satu laman web, dan mereka secara fizikal terletak di beberapa jabatan, tetapi anda ingin menggunakan beberapa dasar khusus untuk semua 10 komputer ini. Mempunyai mereka semua dalam satu OU memberikan anda keupayaan untuk menjadikannya berlaku dengan "menghubungkan GPO (Objek Dasar Kumpulan) ke OU mereka di dalam". Saya akan mendapat lebih terperinci tentang ini kerana kita meneruskan buku ini.

Saya sangat mengesyorkan supaya anda mendapat seperti biasa dengan rangkaian anda seperti yang anda mungkin boleh, terutamanya mengenai komputer yang terletak dan bagaimana ia dinamakan.

Terdapat banyak cara yang berbeza untuk mencapai matlamat yang sama, tetapi di sini adalah contoh bagaimana saya secara peribadi menamakan mesin saya untuk mengenali dan mengurusnya dengan mudah: -

Berikut adalah beberapa contoh nama mesin yang terdapat di Tapak 1:
SITE1-HR01
SITE1-HR02
SITE1-CHECKIN1
SITE1-CHECKIN2
SITE1-ACCT1
SITE1-ACCT2

Saya menggunakan digit tunggal untuk jabatan di mana mesin tidak akan melebihi 9, dan dua digit di mana mesin akan melebihi 9 tetapi tidak akan melebihi 99, dan saya menggunakan dash antara nama tapak dan nama jabatan. Ini membantu saya lebih mudah melihat perbezaan antara kedua-dua.

Perkara-perkara yang memudahkan skema penamaan jenis ini adalah:
1. Saya dapat dengan cepat mengenal pasti mesin tapak mana yang dimiliki.
2. Saya dengan cepat dapat mengenal pasti kawasan di tapak yang mesin dimiliki (umumnya jabatan).
3. Saya boleh dengan cepat menyerlahkan dan memindahkan mesin dari satu OU ke OU yang lain kerana saya dengan mudah boleh mengenal pasti apa yang mereka dan saya dengan mudah boleh menentukan di mana saya mahu memindahkannya.

NOTE1 (Menamakan semula): Sekiranya anda mempunyai OU yang ingin ditukar nama, saya cadangkan membuat OU baru dengan nama yang sesuai, memindahkan objek dari OU lama ke yang baru, kemudian memadamkan OU lama sebaik sahaja anda tahu ia tidak lagi diperlukan. Alasannya ialah kerana menamakan semula OU boleh menyebabkan masalah. Siapa yang mahu menyebabkan masalah dengan tujuan? :)

NOTE2 (Moving): Sebelum anda pernah menggerakkan objek di sekitar AD, adalah idea yang baik untuk melihat GPO yang pertama di lokasi sumber, serta lokasi destinasi yang anda merancang untuk menggerakkan objek. Ini akan membantu mengelakkan sebarang masalah yang tidak dijangka. Contohnya: Jika anda mempunyai komputer yang boleh membakar cakera, dan anda ingin memindahkan komputer itu ke OU yang berbeza (semasa masih mengekalkan keupayaan untuk membakar), anda akan memastikan bahawa destinasi OU tidak mempunyai GPO memohon padanya yang menghalang keupayaan membakar cakera.

OK, jadi sekarang anda mempunyai pemahaman asas mengenai AD dan bagaimana ia berfungsi - mari beralih kepada Dasar Kumpulan!

Langkah 2: Dasar Kumpulan:

Asas-asas dasar bagaimana dasar diterapkan pada komputer dan / atau pengguna adalah dengan "menghubungkan" GPO ke OUs. Dan perkara yang keren adalah bahawa Kumpulan Dasar piggy-backs AD, jadi struktur Dasar Kumpulan mencerminkan struktur AD (untuk sebahagian besar). Jika anda menambah atau memadam OU di AD, anda boleh menyegarkan Konsol Pengurusan Dasar Kumpulan anda (GPMC) dan melihat perubahan dengan serta-merta.

Tujuan umum Dasar Kumpulan adalah untuk dapat menggunakan pelbagai dasar (tetapan, konfigurasi, dll) untuk komputer, pengguna, atau kedua-duanya. Dan apabila saya berkata "berpusat", saya maksudkan bahawa anda boleh melakukan perkara-perkara seperti memohon pelbagai tetapan untuk beratus-ratus komputer, semuanya dari satu pelayan.

Cara utama bahawa pelbagai dasar digunakan untuk komputer atau pengguna adalah melalui penggunaan GPO. GPO boleh menjadi sesuatu yang mudah seperti satu tetapan yang ditujukan untuk beberapa objek pengguna, kepada sesuatu yang kompleks seperti sekumpulan tetapan yang boleh digunakan untuk beratus-ratus objek komputer. Salah satu cara yang anda boleh memikirkan GPO adalah untuk membandingkannya dengan tongkat sihir yang telah dikonfigurasikan dengan apa sihir sihir yang ingin digunakan oleh ahli silap mata. Apabila ahli silap mata telah mengkonfigurasi tongkat sihir, apa yang dia perlu lakukan adalah gelombang di udara, katakanlah perkataan, dan semua sihir dilepaskan ke dalam apa sahaja yang dimaksudkan untuk mempengaruhi. Sama dengan cara yang sama, seorang pentadbir domain boleh membina GPO, bungkus penuh dengan semua tetapan yang dia mahu memohon, dan kemudian "menghubungkan" ia ke semua objek yang dia mahu tetapannya mempengaruhi.

Kembali ke struktur domain anda di GPMC, semuanya pada dasarnya akan kelihatan sama seperti yang dilakukan di AD, kecuali anda akan melihat beberapa objek lain yang tersebar di sekitar (di atas OU AD anda dan di dalamnya). Anda juga akan melihat ke bawah pokok anda, ada sesuatu yang dipanggil "Objek Dasar Kumpulan". Sekiranya anda memperluaskannya, ia akan menunjukkan kepada anda semua GPO yang kini wujud. Fikirkan ini sebagai tempat di mana semua GPO anda "hidup", dan fikirkan semua tempat lain yang mereka muncul dalam struktur pokok sebagai "pautan" (pautan kembali ke tempat sebenar di mana GPO hidup). Jika anda mengklik pada GPO dari "rumah" (tempat tempat ia sebenarnya hidup; tempat yang saya sebutkan tadi), ia akan membuka window butiran di panel besar di sebelah kanan. Jika anda klik pada pautan GPO, kali pertama anda klik, anda akan diminta oleh mesej yang pada dasarnya memberi amaran kepada anda bahawa anda mengklik pada pautan ke GPO dan bukan GPO yang sebenarnya itu sendiri. Ini penting untuk difahami, kerana tidak memahami dengan benar ia boleh mengakibatkan GPO secara tidak sengaja dipadam jika anda tidak berhati-hati dan sedar.

NOTA1 ("Kelajuan!"): Sesetengah orang mungkin tidak bersetuju dengan saya pada nota ini, tetapi jika anda seorang pentadbir rangkaian tunggal, mempunyai beberapa laman web dengan Multiple Controllers Domain (DCs), ini adalah bagaimana saya akan mengesyorkan bekerja di AD dan Policy Group : Sambungkan ke DC yang sesuai ("DC" yang paling dekat) supaya anda boleh mengelakkan daripada membuat anda atau pengguna perlu menunggu replikasi. Berikut adalah beberapa contoh:

1. Seorang pengguna dari Laman 1 menelefon dan perlu menetapkan semula kata laluannya. Akaunnya mengesahkan kepada DC di Tapak 1. Di AD, pastikan anda disambungkan ke pengawal domain ini. Jika tidak, klik kanan pada domain dan pilih "Tukar Pengawal Domain", dan pilih DC di Laman 1. Sekarang apabila anda menukar kata laluannya, dia akan dapat mengujinya dengan segera.

2. Pengguna dari panggilan Tapak 2 dan tidak dapat memasang aplikasi yang sah kerana ia disekat oleh GPO. Komputernya mengotentikasi ke DC di Tapak 2. Dalam Polisi Kumpulan, anda memastikan anda disambungkan ke pengawal domain ini, anda mengemas kini GPO dengan peraturan laluan baru yang membolehkan aplikasi yang ingin dipasang oleh pengguna, dan anda menjalankan gpupdate pada komputer pengguna. Sekarang pengguna boleh menguji semula aplikasi dengan segera untuk memastikan ia berfungsi.

NOTE2 (Amalan Terbaik): Sehingga anda sangat selesa dengan Dasar Kumpulan, saya akan mengesyorkan agar membuat GPO secara langsung dari "folder" Objek Dasar Kumpulan di GPMC. Cukup klik kanan dan pilih "Baru", berikan nama GPO (memilih "tiada" untuk "Starter GPO" adalah baik), dan klik OK. (A sub-nota di sini!) → Pastikan anda tahu dengan tepat apa yang anda mahu namakan GPO anda, kerana jika anda tidak, jika anda cuba mengembalikan nama semasa anda menciptanya, ia tidak akan membiarkan anda . Walau bagaimanapun, anda boleh menyerlahkan teks yang ingin anda ubah dan taip semula jika anda perlu membuat pembetulan.

Terdapat dua perkara utama yang perlu anda ketahui ketika bekerja dengan GPMC:
1. GPO yang anda bekerjasama.
2. Jika GPO dipautkan.

Butiran halus yang lain, anda juga harus sedar:
1. Sama ada OU menghalang warisan atau tidak (OU bahawa ARE menyekat warisan akan mempunyai lambang ikon seru biru dan putih)

2. GPO SAHAJA perlu "dikuatkuasakan" jika anda mahu mereka memohon kepada SEMUA sub OU di mana mereka telah dikaitkan (terutamanya OU yang menghalang warisan). Menghalang warisan tidak akan "menghalang" GPO yang telah dikuatkuasakan. GPO yang dipaksakan akan mempunyai lambang ikon kunci.

3. Penapisan Keselamatan: Perkara utama untuk mengetahui dan memahami di sini adalah ini → Jika anda mahu GPO untuk memohon kepada komputer DAN pengguna, kumpulan "Pengguna Beresahkan" akan meliputi SEMUA objek pengguna dan komputer. Jika GPO anda HANYA terpakai kepada komputer dan tidak juga digunakan kepada pengguna, pilih "Komputer Domain".

4. Status GPO: Perkara utama yang perlu diketahui dan difahami di sini ialah → Jika GPO anda hanya mengandungi dasar yang digunakan untuk komputer ("Konfigurasi Komputer"), anda harus memilih status "Tetapan konfigurasi pengguna dilumpuhkan". Jika GPO anda hanya mengandungi dasar yang dikenakan kepada pengguna ("Konfigurasi Pengguna"), anda harus memilih status "Tetapan konfigurasi komputer dilumpuhkan". Ini akan menjadikan dasar kumpulan lebih cekap, terutamanya dalam cara GPO diproses (iaitu: mematikan tetapan yang tidak digunakan menjadikan perkara menjadi lebih cepat / lancar). Nota pantas di sini !! -> Sekiranya anda mempunyai GPO yang hanya mempunyai tetapan yang dikonfigurasi dalam bahagian "Konfigurasi Pengguna", tetapi GPO tidak dikaitkan dengan OU yang mempunyai objek pengguna (iaitu: ia hanya dikaitkan dengan OU dengan objek komputer), anda akan kemungkinan besar untuk menggunakan "pemproses loopback" (ini akan dikonfigurasi dalam bahagian "Konfigurasi Komputer" di bawah Dasar -> Templat Pentadbiran -> Sistem / Dasar Kumpulan -> Mod pemprosesan pusingan balik Kumpulan Pengguna Pengguna). Dan jika anda tidak pasti tentang jenis pemproses semula loopback yang digunakan, gabungan biasanya cara selamat untuk pergi (sekurang-kurangnya sehingga anda mengetahui lebih lanjut mengenai pentadbiran dasar kumpulan).

5. Perwakilan: Sekiranya anda ingin "membingungkan" dengan ini, cara yang paling berkesan (pada pendapat saya) ialah klik butang "Advanced" di penjuru kanan sebelah bawah skrin, d suka melaksanakan. Ini juga merupakan cara yang ideal untuk mentadbir pilihan Penapisan Keselamatan tambahan di mana lalai ("Pengguna yang Beresahkan") bukan keutamaan anda untuk GPO tertentu.

Sebaik sahaja anda telah membuat GPO, anda boleh mula mengkonfigurasi dasar mana yang anda mahu melaksanakan. Dan kerana butiran topik itu boleh menjadi panduan yang berasingan, saya akan membungkusnya dan menyimpannya untuk masa yang lain.

Saya mempunyai beberapa petua minit terakhir yang saya boleh meninggalkan anda dengan:

Langkah 3: Tips & Trik lain:

* Penapisan WMI - Penapis WMI membolehkan anda "menyaring" apa yang ingin anda targetkan atau tidak menargetkan objek dalam AD yang mempunyai GPO yang diterapkan kepada mereka.

Sekurang-kurangnya ada dua contoh yang boleh saya fikirkan di mana anda mungkin mahu melaksanakannya:
1. Jika anda mempunyai struktur yang agak rata dan bukannya OU yang khusus di mana anda menyimpan mesin anda
2. Jika anda hanya mahu memohon GPO ke mesin yang menjalankan OS tertentu (iaitu: Mana-mana OU GPO anda dihubungkan, HANYA memakai GPO ini untuk mesin Windows 7; bukan mesin XP)

Pada masa ini hanya terdapat 3 penapis yang saya gunakan dalam persekitaran AD kami:
1. Windows 7 Workstations
2. Workstation Windows 10
3. Workstation Windows 10 & Mana-mana Pelayan

Apabila anda membuat penapis, anda memberikan nama (contoh: "Workstation Windows 7"), anda boleh memberikan penerangan dan kemudian anda memberikan pertanyaan kepadanya.

NOTA 1: Apabila mencipta dan / atau menyunting nama, perihalan atau pertanyaan, anda tidak boleh melonggarkan jika anda membuat kesilapan. Anda perlu meletakkan kursor di hadapan apa sahaja yang anda mahu padamkan dan kemudian tekan kekunci "Padam"
pada papan kekunci anda.

NOTA 2: Bagi setiap penapis yang anda buat, ruang nama biasanya akan menjadi lalai dari "root CIMv2".

- Berikut adalah pertanyaan yang kelihatan seperti untuk "Windows 7 Workstations" penapis WMI:
pilih * dari Win32_OperatingSystem di mana Versi seperti '6.1%' dan ProductType = '1'

- Berikut adalah pertanyaan yang kelihatan seperti untuk "Windows 10 Workstations" penapis WMI:
pilih * dari Win32_OperatingSystem dimana Versi seperti '10.% 'dan ProductType =' 1 '

- Berikut adalah pertanyaan yang kelihatan seperti untuk "Windows 10 Workstations & Any Server" penapis WMI saya:
pilih * dari Win32_OperatingSystem di mana (bukan versi seperti '6.1%' atau tidak ProductType = '1')

NOTA: Sekiranya anda ingin menguji penapis sebelum memohonnya (untuk memastikan ia sebenarnya berfungsi), anda boleh menjalankan pertanyaan anda melalui petugas Admin PowerShell pada satu atau lebih mesin sasaran. Berikut adalah contoh sintaks (pada asasnya anda menggunakan "wmiobject -query"):)
get-wmiobject -query "select * from Win32_OperatingSystem where (not version like '6.1%' or not ProductType = '1')"

Sebagai contoh: Apabila saya cuba menentukan sama ada ini berfungsi pada pelayan APA, serta mana-mana stesen kerja Windows 10, saya berlari perintah PowerShell dari salah satu pelayan R2 2008 kami (yang jatuh di bawah versi seperti '6.1%', tetapi TIDAK jatuh di bawah ProductType '1') dan saya juga menjalankannya dari stesen kerja Windows 10 (yang berada di bawah ProductType '1', tetapi TIDAK jatuh di bawah versi seperti '6.1%'). Di sinilah pilihan "atau" berguna dengan pertanyaan WMI.

* Membuat dan menggunakan laporan GPO: Ini amat berguna jika anda mempunyai persediaan komputer dwi-monitor (atau monitor tunggal dan cetakan fizikal untuk tujuan rujukan), dan anda mahu melihat tetapan GPO dan menggunakannya sebagai rujukan semasa membuat / menyunting GPO yang lain. Untuk membuat laporan, klik kanan pada GPO (atau GPO yang dipautkan), pilih "Simpan Laporan", dan berikan nama dan destinasi di mana anda ingin menyimpannya (saya menyimpan laporan dalam format HTML dan kemudian buka mereka dalam pelayar web)

* Menyusun dan memulihkan GPO:
1. Untuk membuat sandaran GPO tunggal, semak imbas ke tempat GPO hidup, klik kanan pada GPO yang anda mahu sandaran, pilih "Back Up", pilih tempat yang anda ingin simpan (menambah Penerangan adalah pilihan ) dan klik butang "Back Up". Untuk membuat sandaran SEMUA GPO anda, klik kanan pada folder "Objek Dasar Kumpulan" di mana GPO hidup dan pilih "Back Up All", pilih tempat yang anda ingin simpan dan klik butang "Back Up".

2. Memulihkan GPO: Sayangnya, proses ini tidak semudah dan lurus ke depan sebagai cadangan, dan saya lebih suka menyimpan butiran ini untuk panduan yang kemudian. Begitu juga untuk mengimport GPO dan / atau tetapan dari GPOs.

* Kemas Kini Dasar Kumpulan:
Ini adalah topik lain yang saya ingin tukar dalam panduan kemudian kerana terdapat banyak pemboleh ubah / senario untuk dibicarakan (kemampuan untuk memulakan GPUpdate jauh dari Server 2012 misalnya).

* Bagaimana untuk menambah pilihan konfigurasi / pilihan yang tidak wujud semasa membuat / mengedit GPO:
Ini dilakukan dengan sama ada membuka GPMC dari mesin yang TIDAK mempunyai akses kepada pilihan, atau ia mengimportnya melalui templat ADMX.

Saya harap anda menikmati panduan ini dan mendapati ia berguna. Tolong beritahu saya apa yang anda fikirkan panduan ini, atau jika anda mempunyai sebarang pertanyaan atau maklum balas yang akan membantu menjadikan panduan ini lebih baik.

Terima kasih! :)