5 lucruri pe care nu le știai despre politica de grup și directorul activ

Autor: Louise Ward
Data Creației: 5 Februarie 2021
Data Actualizării: 18 Mai 2024
Anonim
5 lucruri pe care le crezi COOL, dar nu sunt
Video: 5 lucruri pe care le crezi COOL, dar nu sunt

Conţinut


Sursa: 3dreams / Dreamstime.com

La pachet:

Cunoașteți limitările Politicii de grup atunci când creați obiecte de politică de grup.

Ca administrator de domeniu Windows, depindem cu toții de Politica de grup pentru a livra setări de configurare, cum ar fi:

  • Setări de securitate, cum ar fi parolele și politicile de blocare
  • Setările corecte ale afișajului pentru mașina desemnată
  • Metoda prin care Windows Updates vor fi livrate
  • Setări de gestionare a energiei pentru dispozitive portabile

De asemenea, putem folosi Politica de grup pentru a împiedica accesul la anumite părți ale sistemului de operare pentru utilizatorii normali, cum ar fi ascunderea diverselor appleturi în Panoul de control sau împiedicarea accesului la promptul de comandă sau la editorul de registru. Politica de grup este un instrument extrem de puternic care oferă admin-ului de rețea o cantitate mare de pârghie pentru a gestiona atât utilizatorii cât și dispozitivele din rețea și pentru a se asigura că setările aplicațiilor rămân conforme. GP este alcătuit de fapt din două subgrupuri: politica de grup și preferințele de politică de grup. Politicile făcute din oricare dintre aceste subgrupuri se aplică sistemelor atunci când pornesc (politici din partea computerului) și când utilizatorii se conectează (politici din partea utilizatorului). Pentru a livra setări la ținta dorită, trebuie să creați un obiect de politică de grup sau GPO și să îl atribuiți unei zone cu Active Directory în care locuiesc utilizatorii sau computerele vizate. (Pentru mai multe despre Active Directory, consultați Cele mai importante cinci puncte de durere pentru gestionarea Active Directory.)


Deși probabil utilizați într-un fel oarecare Politica de grup în fiecare zi într-un mediu de întreprindere mare, puteți fi surprins să aflați câteva lucruri despre acest instrument puternic.

1. Livrare unică a Setărilor de șabloane

Setările șabloanelor administrative de politică de grup sunt livrate o singură dată și o singură dată. Cu alte cuvinte, odată ce o setare bazată pe șabloanele administrative GP a fost livrată și aplicată, nu se mai livrează niciodată. Să presupunem că ați creat o politică de computer care a dezactivat Restaurarea sistemului. Această setare va fi apoi livrată în registru și va împiedica utilizatorii să utilizeze această caracteristică. Oricât de multe ori computerul va porni, nu va mai descărca setarea. Să ne prefacem acum că un utilizator cu drepturi de administrare locală accesează registrul și inversează setarea. Ghici ce? Politica nu va fi niciodată redistribuită în ciuda nerespectării acesteia. Așadar, în timp ce Politica de grup face o treabă bună în aplicarea setărilor pentru majoritatea utilizatorilor, GP nu poate împiedica administratorii locali sau utilizatorii experimentali din registru să-i ocolească. În plus, nu există nicio remediere.


2. Setări în patru zone de registru

Conform Microsoft, politicile adevărate care blochează setările sunt vizate în patru zone principale din registru:

  • HKLM Software Politici (setări computer, locația preferată)
  • HKLM Software Microsoft Windows CurrentVersion Politici (setări computer, o locație alternativă)
  • HKCU Software Politici (setări utilizator, locația preferată)
  • HKCU Software Microsoft Windows CurrentVersion Politici (setări utilizator, o locație alternativă)

Atunci când un GPO nu intră în sfera de aplicare, setările livrate în aceste patru zone de registru sunt readuse automat la valorile lor implicite. Un exemplu de cădere din domeniul de aplicare este atunci când un utilizator este promovat într-o nouă poziție și este găzduit acum într-o zonă a Active Directory pe care GPO nu mai vizează. O altă instanță ar putea fi aceea că un administrator șterge pur și simplu GPO.

Dar ce se întâmplă cu setările care nu se încadrează în aceste zone de registru desemnate? În acest caz, setările pot fi tatuate în registru. Cu alte cuvinte, setările nu sunt readuse la starea lor implicită. Singura modalitate de a anula setările care au scăzut de sfera de aplicare în aceste cazuri este de a modifica GPO și dezactiva setarea. Când politica este actualizată, setarea nu va mai fi tatuată.

Fără bug-uri, fără stres - Ghidul dvs. pas cu pas pentru crearea de programe care schimbă viața fără a vă distruge viața

Nu îți poți îmbunătăți abilitățile de programare atunci când nimeni nu îi pasă de calitatea software-ului.

3. Preferințe de politică de grup

Preferințele de politică de grup ne oferă posibilitatea de a furniza setări la fel ca tradiționala Politică de grup. Cu toate acestea, GPP are mai multe diferențe și, după cum îi spune și numele, GPP oferă doar preferințe. Spre deosebire de politicile tradiționale, setările nu sunt blocate în interfața de utilizator, astfel încât utilizatorii pot modifica cu ușurință setările livrate în voie. Cu toate acestea, un GPO realizat cu Preferințe de politică de grup este reîmprospătat în mod regulat, aproximativ la fiecare 90 de minute, cât timp mașina este pe linie. Un obiect de politică de grup configurat prin GPP va tatua setările, de asemenea, atunci când nu intră în sfera de aplicare. Mulți utilizatori consideră că acest lucru poate fi atenuat verificând una dintre selecțiile de setare a proprietății, care afirmă: „Eliminați acest element atunci când nu mai este aplicat.”

Deși este adevărat că această setare va împiedica setările tatuate, ceea ce mulți nu știu este că toate setările sunt șterse. Așa este, setarea registrului va fi complet eliminată de la mașină. Acest proces este denumit nuking registru. Singura modalitate de a configura această setare în viitor va fi să o recreezi manual de fapt în registru.

4. Managementul avansat al politicilor de grup

Obiectele de politică de grup sunt create și gestionate folosind Consola de gestionare a politicilor de grup sau GPMC implicite. Microsoft oferă un instrument suplimentar numit Advanced Management Policy Management pe care îl puteți descărca. Deoarece este comercializat ca un instrument avansat, s-ar putea crede că vine cu setări suplimentare și funcții avansate care vă vor ridica și îmbunătăți capacitatea de a furniza setări. În realitate, M nu adaugă deloc funcții sau funcționalități noi la Politica de grup. M este un instrument de gestionare a fluxului de lucru, care permite mai multor administratori să modifice simultan politicile. M vă permite să auditați modificările și să găsiți cu ușurință diferențele dintre versiunile GPO. De asemenea, acceptă urmărirea versiunilor, capturarea istoricului și rularea rapidă a modificărilor GPO dislocate în cazul în care rezultatul final al unei politici nu este ceea ce intenționați. (Pentru a afla despre planificarea configurației IT, consultați Bazele planificării IT.)

5. gpupdate

Cu toții, din când în când, am folosit comanda „gpupdate” la un moment dat. Poate că ați făcut un GPO nou și ați dorit să îl testați, astfel încât ați emis acea comandă pentru a livra setările pe mașina dvs. desemnată. Sau poate că modificați GPO și doriți să testați noile setări. De multe ori, oamenii emit „comanda gpudpate / force”, neștiind diferența dintre acestea și folosesc „gpupdate”. Adăugarea cuvântului „forță” sună mult mai puternic și mai managerial. Cert este că 99% din timp, „gpupdate” este tot ce ai nevoie. Comanda, "gpupdate" descarcă orice GPO nou sau orice GPO modificat, care este tot ceea ce doriți să descărcați oricum. Amintiți-vă, politicile de grup tradiționale sunt descărcate oricând o singură dată, astfel încât, chiar dacă comanda "gpupdate / force" caută un controler de domeniu pentru toate GPO-urile care sunt alocate mașinii vizate, multe dintre setări nu vor fi reaplicate. Cert este că „gpudpate / force” durează pur și simplu mult mai mult, având de-a face cu fiecare GPO desemnat și nu obține niciun rezultat adăugat.