Implementace oboru a dědičnosti objektu zásad skupin

  • 7 min

Nastavení zásad v objektech zásad skupiny definují konfiguraci. Musíte ale zadat počítače nebo uživatele, na které se objekt zásad skupiny vztahuje, než změny konfigurace v objektu zásad skupiny ovlivní počítače nebo uživatele ve vaší organizaci. Tomu se říká nastavení oboru objektu zásad služby. Obor objektu zásad skupiny je kolekce uživatelů a počítačů, které použijí nastavení v objektu zásad skupiny.

Důležité

Objekt zásad skupiny můžete nastavit tak, že ho propojíte s organizační jednotky, která obsahuje cílové uživatele a počítače.

Určení rozsahu objektu zásad skupin

Ke správě oboru objektů zásad skupiny založeného na doméně můžete použít několik metod. První je odkaz objektu zásad_obnovení. Ve službě AD DS můžete propojit GPO k:

  • Internetové stránky
  • Domény
  • Organizační jednotky

Lokalita, doména nebo organizační jednotky se pak stane maximálním rozsahem objektu zásad skupiny. Konfigurace, které určují nastavení zásad v objektu zásad skupiny, ovlivní všechny počítače a uživatele v lokalitě, doméně nebo organizační jednotce, včetně těch v podřízených organizačních jednotkách. GPO můžete propojit s více doménou, organizačními jednotky nebo lokalitou.

Upozornění

Propojení objektů zásad skupiny s více lokalitami ve více doménových strukturách může při použití zásad zavádět problémy s výkonem a v této situaci byste se měli vyhnout propojení objektů zásad skupiny s více lokalitami. Důvodem je to, že v síti s více doménovými strukturami s více doménovými strukturami jsou objekty zásad skupiny uložené na řadičích domény v doméně, ve které byly objekty zásad skupiny vytvořeny. Důsledkem toho je, že počítače v jiných doménách můžou muset procházet pomalým propojením sítě WAN (Wide Area Network), aby získaly objekty zásad skupiny.

Rozsah objektu zásad skupiny můžete dále zúžit pomocí jednoho ze dvou typů filtrů probíraných v následující tabulce.

Filtr

Popis

Zabezpečení

Ty určují skupiny zabezpečení nebo jednotlivé objekty uživatele nebo počítače, které se vztahují k oboru objektu zásad skupiny, ale které by objekt zásad skupiny měl nebo neměl použít.

rozhraní WMI

Tyto typy určují rozsah pomocí charakteristik systému, jako je verze operačního systému nebo volné místo na disku.

Snímek obrazovky konzoly pro správu zásad skupiny. Správce vybral objekt zásad skupiny (GPO) propojený s organizační jednotkou marketingu. V podokně s podrobnostmi je zobrazen filtr WMI nazvaný Windows 10 Devices a bezpečnostní filtr nastavený na skupinu Marketing.

Pomocí filtrů zabezpečení a filtrů rozhraní WMI můžete zúžit nebo určit rozsah v počátečním rozsahu vytvořeném propojením objektu zásad zabezpečení. Následuje příklad filtru rozhraní WMI, který vede k seznamu počítačů se systémem Windows 10.

select * from Win32_OperatingSystem where Version like "10.%"

Pořadí zpracování objektů zásad skupiny

Objekty zásad skupiny, které platí pro uživatele, počítač nebo obojí, se nevztahují všechny najednou. Objekty zásad skupiny se použijí v určitém pořadí. Konfliktní nastavení, která proces později zpracuje, může nejprve přepsat nastavení, která tento proces zpracuje.

Zásady skupiny se řídí následujícím hierarchickým pořadím zpracování:

  1. Místní objekty zásad skupiny.
  2. Objekty zásad skupiny propojené s webem
  3. Objekty zásad skupiny propojené s doménou
  4. Objekty zásad skupiny propojené organizačními jednotky
  5. Podřízené organizační jednotky propojené s objekty zásad skupiny

Důležité

V aplikaci Zásad skupiny výchozí pravidlo spočívá v tom, že poslední zásada (nejvýraznější zásada) převládá.

Například zásada, která omezuje přístup k Ovládací panely použité na úrovni domény, může být obrácena zásadou použitou na úrovni organizační jednotky pro objekty obsažené v této konkrétní organizační jednotky.

Pokud k organizační jednotce propojíte několik objektů zásad skupiny, dojde ke zpracování v pořadí, jak jej určí správce na kartě Propojené objekty zásad skupiny organizační jednotky v konzole pro správu skupinových politik. Ve výchozím nastavení je zpracování povolené pro všechna propojení objektů zásad skupiny. Odkaz objektu zásad skupiny kontejneru můžete zakázat a zablokovat aplikaci objektu zásad skupiny pro danou doménu nebo organizační jednotky. Pokud jste například provedli nedávnou změnu objektu zásad zabezpečení a způsobuje produkční problémy, můžete odkaz nebo odkazy zakázat, dokud se problém nevyřeší.

Poznámka:

Všimněte si, že pokud je objekt zásad zásad blob propojený s jinými kontejnery, bude objekt zásad zásad blob dál zpracovávat, pokud jsou jejich odkazy povolené.

Konfiguraci konkrétního objektu zásad skupiny můžete také zakázat nezávisle na uživateli nebo počítači. Pokud je známo, že jedna část zásady je prázdná, může zakázání druhé části urychlit zpracování zásad mírně. Pokud máte například zásadu, která poskytuje pouze konfiguraci plochy uživatele, můžete zakázat část počítače zásad.

Dědičnost objektů zásad služby

Nastavení zásad můžete nakonfigurovat ve více než jednom objektu zásad skupiny, což může vést k vzájemnému konfliktu objektů zásad skupiny. V tomto případě priorita objektů zásad skupiny určuje, které nastavení zásad klient použije. Objekt zásadU s vyšší prioritou převládá nad objektem zásad zásadu zásad a nižší prioritou. Priorita je určena číselně. Každý objekt zásad zásad služby má hodnotu priority. Čím nižší je číslo, tím vyšší je priorita. Proto objekt zásad skupiny, který má přednost před všemi ostatními objekty zásad skupiny, převládá.

Výchozí chování zásad skupiny je, že objekty zásad skupiny propojené s kontejnerem vyšší úrovně dědí kontejnery nižší úrovně. Když se počítač spustí nebo se přihlásí uživatel, klientská rozšíření zásad skupiny zkontrolují umístění počítače nebo objektu uživatele ve službě AD DS a vyhodnotí objekty zásad skupiny s obory, které zahrnují počítač nebo uživatele. Potom rozšíření na straně klienta použijí nastavení zásad z těchto objektů zásad skupiny. Zásady se použijí postupně, počínaje zásadami, které odkazují na web, následované těmi, které odkazují na doménu, následované zásadami, které odkazují na organizační jednotky. Tato sekvenční aplikace objektů zásad skupiny vytvoří efekt označovaný jako dědičnost zásad. Zásady se dědí, což znamená, že výsledná sada zásad (RSoPs) pro uživatele nebo počítač bude kumulativním účinkem zásad lokality, domény a organizačních jednotek.

Dědičnost bloku

Doménu nebo organizační jednotky můžete nakonfigurovat tak, aby se zabránilo dědičnosti nastavení zásad. To se označuje jako blokování dědičnosti. Pokud chcete blokovat dědičnost, klikněte pravým tlačítkem myši nebo přejděte do místní nabídky domény nebo organizační jednotky ve stromu konzoly GPMC a pak vyberte Blokovat dědičnost.

Snímek obrazovky kontextové nabídky organizační jednotky Marketing v konzoli pro správu zásad skupiny. Správce vybral možnost Blokovat dědičnost.

Možnost Blokovat dědičnost je vlastností kontejneru, takže blokuje všechna nastavení zásad skupiny z objektů zásad skupiny, které odkazují na nadřazené objekty v hierarchii zásad skupiny.

Upozornění

Možnost Dědičnost bloku používejte střídmě, protože blokování dědičnosti ztěžuje vyhodnotit prioritu a dědičnost zásad skupiny.

Návod

Pomocí filtrování skupin zabezpečení můžete pečlivě nastavit obor objektu zásad skupiny, aby se použil pouze na správné uživatele a počítače na prvním místě, aby se nepotřebovala možnost Blokovat dědičnost.

Kromě toho můžete nastavit odkaz objektu zásad skupiny, který se má vynutit. Chcete-li vynutit propojení GPO, klikněte pravým tlačítkem myši na odkaz GPO ve stromu konzoly nebo vyvolejte kontextovou nabídku a pak z nabídky zvolte Vynuceno.

Snímek obrazovky s místní nabídkou objektu zásad zabezpečení domény Contoso v konzole pro správu zásad skupiny. Správce vybral možnost Vynuceno.

Když nastavíte odkaz objektu zásad skupiny na Vynuceno, převezme objekt zásad skupiny nejvyšší úroveň priority. Nastavení zásad v daném objektu zásad převládají nad všemi konfliktními nastaveními zásad v jiných objektech zásad skupiny.

Důležité

Vynucené propojení se vztahuje na podřízené kontejnery i v případě, že jsou tyto kontejnery nastaveny na blokovat dědičnost. Možnost Vynucení způsobí, že se zásada použije pro všechny objekty v rámci svého oboru.

Vynucení je užitečné, když musíte nakonfigurovat objekt zásad zabezpečení a používání IT, který definuje konfiguraci, která je povinná. Proto chcete zajistit, aby ostatní objekty zásad skupiny propojené se stejnými nebo nižšími úrovněmi nepřepsaly tato nastavení. Můžete to provést vynucením odkazu objektu zásad zásad služby.

Vyhodnocení priority

Pokud chcete usnadnit vyhodnocení priority objektu zásad skupiny, můžete jednoduše vybrat organizační jednotky nebo doménu a pak vybrat kartu Dědičnost zásad skupiny . Tato karta zobrazuje výslednou prioritu objektů zásad skupiny, účtování propojení objektů zásad skupiny, pořadí propojení, blokování dědičnosti a vynucení propojení.

Snímek obrazovky konzoly pro správu zásad skupiny Správce vybral kartu Dědičnost zásad skupiny pro organizační jednotky marketingu. Zobrazí se čtyři zásady, z nichž dvě se vynucují z domény.

Důležité

Tato karta nebere v úvahu zásady, které jsou propojené s webem, pro zabezpečení objektů zásad zásad nebo filtrování rozhraní WMI.