יישום טווח והעברה בירושה של GPO
הגדרות מדיניות ב- GPO מגדירות תצורה. עם זאת, עליך לציין את המחשבים או המשתמשים שעליו יחול ה- GPO לפני שינויי התצורה ב- GPO ישפיעו על מחשבים או משתמשים בארגון שלך. פעולה זו נקראת הגדרת טווח של GPO. הטווח של GPO הוא אוסף של משתמשים ומחשבים שיחליו את ההגדרות ב- GPO.
חשוב
ניתן להגדיר טווח של GPO על-ידי קישורו ל- OU המכיל את המשתמשים והמחשבים המשמשים כיעד.
טווח GPO
באפשרותך להשתמש בכמה שיטות כדי לנהל את הטווח של אובייקטי GPO מבוססי תחום. הראשון הוא הקישור GPO. ב- AD DS, באפשרותך לקשר אובייקטי GPO ל:
- אתרים
- תחומים
- ציוד מקורי
לאחר מכן, האתר, התחום או ה- OU יהפוך לטווח המרבי של ה- GPO. התצורות שהגדרות המדיניות ב- GPO מציינות ישפיעו על כל המחשבים והמשתמשים בתוך האתר, התחום או ה- OU, כולל אלה ב- OUs צאצא. באפשרותך לקשר GPO ליותר מתחום אחד, ל- OU או לאתר אחד.
זהירות
קישור אובייקטי GPO לאתרים מרובים ביער תחומים מרובים יכול לגרום לבעיות ביצועים בעת החלת המדיניות, ועלך להימנע מקישור אובייקטי GPO לאתרים מרובים במצב זה. זאת משום, ברשת מרובת אתרים מרובת יערות, אובייקטי ה- GPO מאוחסנים בבקרי התחום בתחום שבו נוצרו אובייקטי ה- GPO. כתוצאה מכך, ייתכן שמחשבים בתחום אחר יצטרכו לגשת לקישור רשת אזורית איטית (WAN) כדי להשיג את אובייקטי ה- GPO.
באפשרותך לצמצם עוד יותר את טווח ה- GPO באמצעות אחד משני סוגים של מסננים שנדונו בטבלה הבאה.
מסנן
תיאור
אבטחה
אלה מציינים קבוצות אבטחה או אובייקטים ספציפיים של משתמש או מחשב הקשורים לטווח של GPO, אך על ה- GPO להחיל או לא להחיל אותם במפורש.
WMI
טווחים אלה מציינים טווח באמצעות מאפיינים של מערכת, כגון גירסת מערכת הפעלה או שטח דיסק פנוי.
השתמש במסנני אבטחה ובמסנני WMI כדי לצמצם או לציין את הטווח בתוך הטווח ההתחלתי שהקישור GPO יצר. להלן דוגמה של מסנן WMI התוצאה היא רשימה של מחשבים שבהם פועל Windows 10.
select * from Win32_OperatingSystem where Version like "10.%"
הזמנת עיבוד של GPO
אובייקטי ה- GPO החלים על משתמש, מחשב או שניהם אינם מחילים את כולם בבת אחת. אובייקטי GPO חלים בסדר מסוים. הגדרות מתנגשות המעבדות מאוחר יותר עשויות להחליף תחילה הגדרות המעבדות.
מדיניות קבוצתית עוקבת אחר סדר העיבוד ההירארכי הבא:
- אובייקטי GPO מקומיים.
- אובייקטי GPO המקושרים לאתר.
- אובייקטי GPO המקושרים לתחום.
- אובייקטי GPO המקושרים ל- OU.
- אובייקטי GPO המקושרים ל- OU של צאצא.
חשוב
ביישום מדיניות קבוצתית, כלל ברירת המחדל הוא שהמדיניות האחרונה (המדיניות הספציפית ביותר) הוחלו על השורות.
לדוגמה, מדיניות שמגבילה את הגישה ללוח הבקרה המוחל ברמת התחום עשויה להיות הפוכה על-ידי מדיניות שחלה ברמת ה- OU עבור האובייקטים הכלולים ב- OU מסוים זה.
אם אתה מקשר כמה אובייקטי GPO ל- OU, העיבוד שלהם מתרחש בסדר שמנהל המערכת מציין באובייקטי מדיניות קבוצתית מקושרת של OU במסוף ניהול המדיניות הקבוצתית. כברירת מחדל, העיבוד זמין עבור כל קישורי ה- GPO. באפשרותך להפוך קישור GPO של גורם מכיל ללא זמין כדי לחסום את היישום של GPO לחלוטין עבור תחום או OU נתון. לדוגמה, אם ביצעת שינוי לאחרונה ב- GPO וגורם לבעיות ייצור, באפשרותך להפוך את הקישור או הקישורים ללא זמינים עד לפתרון הבעיה.
הערה
שים לב שאם ה- GPO מקושר לגורמים מכילים אחרים, הם ימשיכו לעבד את ה- GPO אם הקישורים שלהם זמינים.
באפשרותך גם להשבית את תצורת המשתמש או המחשב של GPO מסוים בנפרד מהמשתמש או מהמחשב. אם ידוע שסעיף אחד של מדיניות ריק, הפיכת הסעיף השני ללא זמין עשויה לזרז את עיבוד המדיניות. לדוגמה, אם יש לך מדיניות המספקים תצורת שולחן עבודה של משתמש בלבד, באפשרותך להפוך את מקטע המחשב של המדיניות ללא זמין.
ירושת GPO
באפשרותך לקבוע תצורה של הגדרת מדיניות ביותר מ- GPO אחד, מה שעלול לגרום להתנגשות אובייקטי GPO זה עם זה. במקרה זה, הקדימות של אובייקטי ה- GPO קובעת את הגדרת המדיניות החלת הלקוח. GPO עם קדימות גבוהה יותר שכיח מעל GPO עם קדימות נמוכה יותר. קדימות נקבעת באופן מספרי. לכל GPO יש ערך קדימות. ערך המספר נמוך יותר, כך הקדימות גבוהה יותר. לכן, GPO בעל קדימות אחת קודם לכל אובייקטי ה- GPO האחרים.
אופן הפעולה המהווה ברירת מחדל של מדיניות קבוצתית הוא ש- GPO המקושרים לגורמים מכילים ברמה גבוהה יותר יירשו על-ידי גורמים מכילים ברמה נמוכה יותר. כאשר מחשב מופעל או שמשתמש נכנס, הרחבות הלקוח של המדיניות הקבוצתית בודקות את מיקום המחשב או אובייקט המשתמש ב- AD DS ומעריכה את אובייקטי ה- GPO עם טווחים הכוללים את המחשב או המשתמש. לאחר מכן, ההרחבות בצד הלקוח מחילות הגדרות מדיניות על אובייקטי GPO אלה. פריטי מדיניות חלים ברצף, החל בפריטי המדיניות המקשרים לאתר, ואחריהן פריטי המדיניות המקשרים לתחום, ולאחר מכן פריטי המדיניות המקשרים אל OUs. יישום רציף זה של אובייקטי GPO יוצר אפקט שנקרא ירושת מדיניות. פריטי מדיניות יירשו, כלומר ערכת המדיניות המתקבלת (RSoPs) עבור משתמש או מחשב תהיה ההשפעה המצטברת של פריטי מדיניות של אתר, תחום ו- OU.
חסום ירושה
באפשרותך לקבוע תצורה של תחום או OU כדי למנוע העברה בירושה של הגדרות מדיניות. פעולה זו נקראת חסימת העברה בירושה. כדי לחסום ירושה, לחץ באמצעות לחצן העכבר הימני על התפריט תלוי ההקשר או גש אליו עבור התחום או ה- OU בעץ המסוף של GPMC ולאחר מכן בחר חסום ירושה.
האפשרות חסום ירושה היא מאפיין של גורם מכיל, ולכן היא חוסמת את כל הגדרות המדיניות הקבוצתית מתוך אובייקטי GPO המקשרים להורים בהירארכיית המדיניות הקבוצתית.
זהירות
השתמש באפשרות חסום ירושה לעתים רחוקות מאחר שחסימת ירושה מקשה יותר להעריך קדימות וירושה של מדיניות קבוצתית.
עצה
באמצעות סינון קבוצת אבטחה, באפשרותך להגדיר טווח בקפידה של GPO כך שהוא יחול רק על המשתמשים והמחשבים הנכונים מלכתחילה, כך שלא יהיה צורך להשתמש באפשרות חסום ירושה.
אכיפת קישור GPO
בנוסף, באפשרותך להגדיר קישור GPO לאכיפתו. כדי לאכוף קישור GPO, לחץ באמצעות לחצן העכבר הימני על התפריט תלוי ההקשר או גש אליו עבור הקישור GPO בעץ המסוף ולאחר מכן בחר נאכף בתפריט הקיצור.
בעת הגדרת קישור GPO ל'נאכף', ה- GPO מקבל את רמת הקדימות הגבוהה ביותר. הגדרות מדיניות ב- GPO זה מבוססות על הגדרות מדיניות מתנגשות כלשהן ב- GPO אחרים.
חשוב
קישור שנאכף חל על גורמים מכילים של צאצאים גם כאשר גורמים מכילים אלה מוגדרים לחסימת ירושה. האפשרות נאכפת גורמת למדיניות לחול על כל האובייקטים בטווח שלה.
אכיפה שימושית כאשר עליך לקבוע תצורה של GPO המגדיר תצורה המנוהכת על-ידי אבטחת ה- IT ומדיניות השימוש הארגוניים שלך. לכן, ברצונך להבטיח ש- GPO אחרים המקושרים לאותה הרמות או לרמות נמוכות יותר לא יעקוף הגדרות אלה. ניתן לעשות זאת על-ידי אכיפת הקישור של ה- GPO.
הערכת קדימות
כדי להקל על הערכה של קדימות GPO, באפשרותך פשוט לבחור OU או תחום ולאחר מכן לבחור את המדיניות הקבוצתית הקודמת. כרטיסיה זו מציגה את הקדימות המתקבלת של אובייקטי GPO, חשבונאות עבור קישור GPO, סדר קישורים, חסימת ירושה ואכיפת קישורים.
חשוב
כרטיסיה זו אינה מחשבת פריטי מדיניות המקושרים לאתר, עבור אבטחת GPO או סינון WMI.