Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Aplikace Zásad skupiny určuje, které objekty zásad skupiny se použijí pro uživatele nebo počítače, a vynucuje odpovídající nastavení. Pro efektivní plánování a nasazení konfigurací zásad skupiny je nezbytné důkladné porozumění zpracování zásad skupiny. Pochopení zpracování zásad skupiny začíná konceptem rozsahu. Rozsah definuje, které objekty zásad skupiny jsou aplikovatelné na uživatele nebo počítač, podle jejich umístění v Active Directory (AD). Rozsah vytvoříte propojením objektů zásad skupiny na konkrétní weby, domény nebo organizační jednotky (organizační jednotky) v AD.
Co je rozsah?
Rozsah GPO (objektu zásad skupiny) určuje okruh uživatelů a počítačů, na které lze nastavení zásad aplikovat. Pochopení rozsahu pomáhá správcům řídit, kde a na koho se zásady použijí. Změna rozsahu objektů zásad skupiny ovlivňuje, která nastavení zásad se aplikují a která nikoli. Rozsah zásad skupiny změníte pomocí možností pořadí zpracování, filtrování a odkazů. Pokud chcete určit obor pro konkrétního uživatele nebo počítače, můžete zkontrolovat jeho rozlišující název ve službě AD. Rozlišující název jednoznačně identifikuje objekt a označuje jeho pozici v adresářové struktuře. Například:
CN=Kim Askers,OU=Human Resources,DC=corp,DC=contoso,DC=com
CN=Kim Askers: Tato část identifikuje běžný název (CN) objektu, což je často jméno osoby, pokud objekt představuje uživatele.
OU=Lidské zdroje: Toto je název organizační jednotky, což je kontejner v rámci adresáře. Obvykle představuje oddělení nebo skupinu v rámci organizace.
DC=corp: Jedná se o součást domény představující část názvu domény.
DC=contoso: Jiná komponenta domény v kombinaci s ostatními vytvoří doménu
contoso.com
.DC=com: Součást domény nejvyšší úrovně, v tomto případě ,
.com
.
Společně tyto komponenty tvoří jedinečnou cestu, která identifikuje objekt (například Kim Askers v organizační struktuře lidských zdrojů) v corp.contoso.com
adresářové struktuře domény.
Typy rozsahů objektu zásad skupin
Efektivní správa zásad skupiny vyžaduje jasné pochopení toho, jak obor zásad skupiny řídí použití nastavení zásad pro uživatele a počítače. Pečlivá konfigurace rozsahu objektů zásad skupiny umožňuje správcům aplikovat zásady na konkrétní uživatele a počítače, čímž se zlepšuje zabezpečení a zjednodušuje správa v celé organizaci. Pochopení těchto typů oborů a jejich interakcí je zásadní pro řešení konfliktů a udržování efektivní organizace. Další informace o těchto typech oborů najdete v následujících informacích.
Propojování
Propojení odkazuje na proces přidružení objektu zásad skupiny k objektu kontejneru v AD. Můžete propojit objekty zásad skupiny (GPO) s následujícími typy objektů kontejneru:
Místní objekty: Každý počítač s Windows má místní objekt zásad skupiny, který se použije jako první. Místní GPO jsou užitečné pro definování zásad, které by se měly uplatnit bez ohledu na členství uživatele v doméně, zejména v případech, kdy počítač není připojen k síti. Mají však nejnižší prioritu v prostředí AD, což znamená, že objekty zásad skupiny založené na doméně můžou přepsat nastavení definovaná místně.
Objekty webu: Představují fyzické nebo logické seskupení počítačů, potenciálně zahrnující více domén. Tyto zásady se použijí po místních GPO. Lokalita v AD představuje fyzický nebo logický segment vaší sítě. Objekty zásad skupiny založené na lokalitě lze použít k nastavení pro všechny počítače v rámci konkrétního geografického umístění. Vzhledem k širšímu rozsahu a složitosti konfigurace je jejich použití méně časté než u objektů zásad skupiny domény nebo organizační jednotky.
Objekty domény: Zahrnuje všechny uživatele a počítače v rámci konkrétní domény, včetně všech organizačních jednotek, které obsahuje. Tyto se uplatňují po zásadách skupiny pro danou lokalitu. Objekty zásad skupiny na úrovni domény slouží k vynucení nastavení pro všechny uživatele a počítače v této doméně. Vzhledem k tomu, že se vztahují na úrovni domény, mají v porovnání s webovými a místními zásadami větší autoritu a mohou je přehlížet.
Objekty organizační jednotky: Umožňují podrobnější seskupení v rámci domény, což podporuje vnořené organizační jednotky, uživatele a počítače. Ty mají nejvyšší úroveň priority v hierarchii aplikace GPO. Umožňují nejpodrobnější kontrolu, protože se dají použít u konkrétních skupin uživatelů nebo počítačů v rámci domény. Pokud jsou vnořeny více organizační jednotky, nejprve se použijí zásady skupiny z organizačních jednotek nejvyšší úrovně, a ty z organizačních jednotek nižší úrovně (nejblíže k objektu, ať už je to uživatel nebo počítač) se použijí až nakonec, čímž mohou přepsat nastavení z organizačních jednotek vyšší úrovně.
Tyto kontejnerové objekty určují hranice pro uplatnění zásad skupin. Propojením objektu zásad skupiny s lokalitou, doménou nebo organizační jednotkou řídíte, které uživatele a počítače v těchto kontejnerech přijmou nastavení zásad. Objekt zásad skupiny nelze propojit přímo s objektem uživatele. Zřetězením rozlišujících komponent názvů zleva doprava však můžete trasovat posloupnost objektů kontejneru (lokality, domény, organizační jednotky), které jsou schopné použít zásady skupiny pro uživatele. V tomto příkladu:
CN=Kim Askers,OU=Managers,OU=Research,OU=RandD,DC=corp,DC=contoso,DC=com
OU=Managers,OU=Research,OU=RandD,DC=corp,DC=contoso,DC=com
OU=Research,OU=RandD,DC=corp,DC=contoso,DC=com
OU=RandD,DC=corp,DC=contoso,DC=com
DC=corp,DC=contoso,DC=com
Každé z těchto umístění představuje úroveň v hierarchii AD, kde je možné použít zásady skupiny. Služba Zásady skupiny shromažďuje všechny objekty zásad skupiny propojené s těmito kontejnery, aby určila, které zásady jsou v rozsahu pro uživatele nebo počítač. Zpracování začíná organizační jednotkou nejblíže k uživateli nebo počítači a postupuje po hierarchii k doméně. Výsledkem tohoto procesu je seznam objektů zásad skupiny, které by se mohly vztahovat na uživatele nebo počítač. Ne všechny objekty zásad skupiny v tomto seznamu se však nutně použijí, protože další faktory, jako je filtrování a možnosti propojení, můžou ovlivnit jejich aplikaci.
Atribut GPLink
Propojení zásad skupiny je možné na webech, doménách a organizačních jednotkách AD, protože každý z těchto objektů obsahuje atribut GPLink. Přestože je atribut GPLink definován ve schématu AD jako řetězec s jednou hodnotou, zásady skupiny jej považují za vícehodnotový. Konzola pro správu zásad skupiny (GPMC) ukládá atribut GPLink pomocí následujícího formátu:
[distinguishedNameOfGroupPolicyContainer;linkOptions][...][...]
Token distinguishedNameOfGroupPolicyContainer
je jedinečný název kontejneru zásad skupiny (GPC) v AD. Každý objekt zásad skupiny má dvě části: šablonu zásad skupiny (uloženou v systému souborů) a GPC (uloženou v oddílu domény AD).
Token linkOptions
je celé číslo, které určuje možnosti propojení pro objekt Zásad skupiny. Odkaz objektu zásad skupiny můžete povolit nebo zakázat a můžete ho také nastavit jako vynucený. Hodnota linkOptions
je bitová maska, která umožňuje kombinovat tato nastavení a řídit, jak se objekt zásad skupiny používá. Například:
Povoleno (0x0): Tato hodnota znamená, že propojení objektu zásad skupiny je aktivní a používá se normálně. Pokud nejsou nastaveny žádné speciální možnosti, je povolen výchozí stav, který odpovídá hodnotě
linkOptions
0x0
.Zakázáno (0x1): Když je odkaz zakázaný, znamená to, že se objekt zásad skupiny vůbec nepoužije, i když je propojený s kontejnerem. To odpovídá nastavení prvního bitu s
linkOptions
hodnotou0x1
.Vynuceno (0x2): Pokud je odkaz objektu zásad skupiny nastavený na Vynuceno, jeho nastavení přepíší všechna konfliktní nastavení z jiných nevynucovaných objektů zásad skupiny bez ohledu na jejich pozici v pořadí zpracování. V Konzole pro správu zásad skupiny je vynucený odkaz na propojenou zásadu označen ikonou visacího zámku. Vynucená nastavení GPO se vždy použijí, i když je dědičnost zásad blokovaná na úrovni organizační jednotky.
Když zakážete propojení GPO, služba zásad skupiny přestane uvažovat o tomto objektu při aplikaci zásad na cílové uživatele nebo počítače. Odkazy na objekty zásad skupiny jsou uloženy v posloupnosti, kde je každý odkaz reprezentován distinguishedNameOfGroupPolicyContainer
a linkOptions
, uzavřen v hranatých závorkách ([ ]
) a oddělen středníkem (;
). Tato sekvence se čte zleva doprava službou Zásady skupiny. Když je nový objekt zásad skupiny (GPO) propojen, jeho položka se vloží na začátek této sekvence a stávající položky se posunou doprava. To znamená, že pořadí se průběžně přeuspořádává s naposledy propojeným objektem zásad skupiny na začátku.
I když se objekty zásad skupiny čtou zleva doprava, použijí se v obráceném pořadí, přičemž poslední objekt zásad skupiny v posloupnosti (úplně vpravo) se použije jako první. Tento obrácený postup přiřazuje prioritu: první objekt zásad skupiny v sekvenci má nejnižší prioritu, protože se uplatňuje jako první, ale může být přepsán všemi následujícími objekty zásad skupiny. Každý následující objekt zásad skupiny má postupně vyšší prioritu a dokáže přepsat ty, které před ním přišly. Poslední objekt zásad zabezpečení v posloupnosti má tedy nejvyšší prioritu, protože může nahradit všechny ostatní, pokud dojde ke konfliktu v nastavení. Toto pořadí zajišťuje, že nejnovější propojené zásady jsou nejvíce dominantní.
Předpokládejme například, že máte následující objekty zásad skupiny:
- GPO1:
[LDAP://{cn=1111aaa-0000-1111-22bb-333333cccccc},cn=policies;cn=system;DC=corp;DC=contoso;DC=com;0]
- GPO2:
[LDAP://{cn=2222aaa-0000-1111-22bb-333333cccccc},cn=policies;cn=system;DC=corp;DC=contoso;DC=com;0]
- GPO3:
[LDAP://{cn=3333aaa-0000-1111-22bb-333333cccccc},cn=policies;cn=system;DC=corp;DC=contoso;DC=com;0]
Atribut GPLink může vypadat takto:
[LDAP://{cn=3333aaa-0000-1111-22bb-333333cccccc},cn=policies;cn=system;DC=corp;DC=contoso;DC=com;0]
[LDAP://{cn=2222aaa-0000-1111-22bb-333333cccccc},cn=policies;cn=system;DC=corp;DC=contoso;DC=com;0]
[LDAP://{cn=1111aaa-0000-1111-22bb-333333cccccc},cn=policies;cn=system;DC=corp;DC=contoso;DC=com;0]
Pořadí GPLink může vypadat takto:
- 1. (GPO3):
[LDAP://{cn=3333aaa-0000-1111-22bb-333333cccccc},cn=policies;cn=system;DC=corp;DC=contoso;DC=com;0]
- 2. (GPO2):
[LDAP://{cn=2222aaa-0000-1111-22bb-333333cccccc},cn=policies;cn=system;DC=corp;DC=contoso;DC=com;0]
- 3. (GPO1):
[LDAP://{cn=1111aaa-0000-1111-22bb-333333cccccc},cn=policies;cn=system;DC=corp;DC=contoso;DC=com;0]
Pořadí aplikací může vypadat takto:
- 1. (GPO1):
[LDAP://{cn=1111aaa-0000-1111-22bb-333333cccccc},cn=policies;cn=system;DC=corp;DC=contoso;DC=com;0]
(použito jako poslední, nejvyšší priorita) - 2. (GPO2):
[LDAP://{cn=2222aaa-0000-1111-22bb-333333cccccc},cn=policies;cn=system;DC=corp;DC=contoso;DC=com;0]
- 3. (GPO3):
[LDAP://{cn=3333aaa-0000-1111-22bb-333333cccccc},cn=policies;cn=system;DC=corp;DC=contoso;DC=com;0]
(použito jako první, nejnižší priorita)
Filtrování objektů zásad skupiny
Při správě zásad skupiny v AD jsou filtrování zabezpečení a filtrování rozhraní WMI základními nástroji pro upřesnění, na které uživatele a počítače se vztahuje objekt zásad skupiny. Tyto mechanismy filtrování umožňují správcům přesně cílit objekty zásad skupiny, které umožňují efektivní a flexibilní nasazení zásad napříč různými IT prostředími.
Filtrování zabezpečení
Filtrování zabezpečení v zásadách skupiny je metoda, která určuje, kteří uživatelé nebo počítače smí použít konkrétní objekt zásad skupiny. To je založeno na oprávněních nastavených v rámci AD. Aby mohl být aplikován objekt zásad skupiny, musí být uživateli nebo počítači udělena oprávnění pro čtení a aplikaci zásad skupiny. Služba zásad skupiny vyhodnocuje každý GPO, aby zjistila, zda jsou požadovaná oprávnění k dispozici. Pokud má uživatel nebo počítač potřebná oprávnění, je objekt zásad skupiny zahrnutý v seznamu příslušných objektů zásad skupiny pro daného uživatele nebo počítače.
Filtrování rozhraní WMI
Filtrování rozhraní WMI (Windows Management Instrumentation) dále upřesňuje, které objekty zásad skupiny se použijí pomocí dotazů, které vyhodnocují určité podmínky v cílovém systému. WMI umožňuje správcům vytvářet dotazy založené na vlastnostech systému, operačních systémech a dalších spravovaných komponentách k určení použitelnosti objektu zásad skupiny (GPO). Tyto dotazy mají za následek pravdivý nebo nepravdivý výsledek, což ovlivňuje, zda objekt zásad skupiny zůstává použitelný. Pokud je výsledek dotazu WMI pravdivý, zůstane objekt zásad skupiny ve filtrovaném seznamu, jinak je odstraněn.
Filtrování zabezpečení využívá nastavení oprávnění k určení použitelnosti zásad skupiny, aby zásady mohli používat jenom uživatelé a počítače s příslušnými přístupovými právy. Filtrování rozhraní WMI mezitím využívá systémové atributy a podmínky prostřednictvím dotazů k dalšímu upřesnění cílení zásad. Tyto procesy pracují společně, aby dokončily seznam objektů zásad skupin relevantních pro konkrétního uživatele nebo počítač v jednom cyklu.
Řešení konfliktů GPO
Každý objekt zásad skupiny obsahuje různá nastavení zásad a je běžné, že několik objektů zásad skupiny definuje stejné nastavení, což vede k potenciálním konfliktům. Zvažte dva zaměstnance, kteří se snaží rezervovat stejnou zasedací místnost ve stejný čas – je dodržena pouze poslední rezervace, která přepíše předchozí rezervaci. Ke správě těchto konfliktů používají Zásady skupiny techniku s názvem "poslední zapisovatel vyhrává". Tato metoda řeší konflikty na základě pořadí aplikace, kde má přednost nejnověji použitý Objekt skupinové politiky. Pořadí aplikace je určeno hierarchií. Nejprve se zásady použijí na místní úrovni, za kterými následuje lokalita, doména a pak organizační jednotky. Ve stejném umístění AD se objekty zásad skupiny použijí podle pořadí propojení nastaveného v Konzole pro správu zásad skupiny.
Řešení konfliktů často řeší nastavení propojená s různými umístěními AD, ale konflikty můžou nastat také mezi zásadami skupiny (GPO) propojenými se stejným nastavením. V těchto případech zásady skupiny nadále používají metodu posledního zápisu k určení, které nastavení má přednost. Pořadí, ve kterém se objekty zásad skupiny (GPO) použijí v daném umístění AD, je definováno jejich pořadím propojení v nástroji GPMC. Porozumění tomu, jak jsou objekty zásad skupiny propojené a seřazené v Konzole pro správu zásad skupiny, je klíčem k předpovídání toho, která nastavení se vynucují, když dojde ke konfliktům ve stejné organizační jednotce AD.