जीपीओ स्कोप और इनहेरिटेंस को लागू करें
GPOs में नीति सेटिंग्स कॉन्फ़िगरेशन निर्धारित करें। हालाँकि, GPO में कॉन्फ़िगरेशन परिवर्तन आपके संगठन में कंप्यूटर्स या उपयोगकर्ताओं को प्रभावित करने से पहले GPO पर GPO लागू करने वाले कंप्यूटर या उपयोगकर्ताओं को निर्दिष्ट करना होगा. इसे GPO स्कोपिंग कहा जाता है। GPO का दायरा उपयोगकर्ताओं और कंप्यूटरों का संग्रह है जो GPO में सेटिंग्स लागू करेगा।
महत्वपूर्ण
आप GPO को लक्षित उपयोगकर्ता और कंप्यूटर वाले OU से लिंक करके स्कोप करते हैं.
GPO कार्यक्षेत्र
डोमेन-आधारित GPOs के क्षेत्र को प्रबंधित करने के लिए आप कई विधियों का उपयोग कर सकते हैं। पहला जीपीओ लिंक है। AD DS में, आप GPOs को इससे लिंक कर सकते हैं:
- साइट
- डोमेन
- ओयू
साइट, डोमेन, या OU तब GPO का अधिकतम क्षेत्र बन जाता है। GPO निर्दिष्ट नीति सेटिंग्स कॉन्फ़िगरेशन सभी कंप्यूटर्स और साइट, डोमेन, या OU में उपयोगकर्ताओं को चाइल्ड OUs में शामिल प्रभावित करेगा। आप GPO को एक से अधिक डोमेन, OU या साइट से लिंक कर सकते हैं.
सावधानी
GPOs को एकाधिक डोमेन फ़ॉरेस्ट में एकाधिक साइट्स से लिंक करना नीति लागू करते समय प्रदर्शन समस्याएँ प्रस्तुत कर सकता है, और आपको इस स्थिति में GPOs को एकाधिक साइट्स से लिंक करने से बचना चाहिए. ऐसा इसलिए है, क्योंकि एक बहु-फ़ॉरेस्ट एकाधिक-साइट नेटवर्क में, GPOs जहाँ GPOs बनाए गए थे डोमेन नियंत्रकों पर संग्रहीत हैं। इसका परिणाम यह है कि अन्य डोमेन में कंप्यूटर GPOs प्राप्त करने के लिए एक धीमी वाइड एरिया नेटवर्क (WAN) लिंक ट्रैवर्स करने के लिए की आवश्यकता हो सकती है।
आप निम्न तालिका में चर्चा किए गए दो प्रकार के फ़िल्टर में से एक के साथ GPO के दायरे को और कम कर सकते हैं।
फ़िल्टर
विवरण
प्रतिभूति
ये सुरक्षा समूहों या अलग-अलग उपयोगकर्ता या कंप्यूटर ऑब्जेक्ट्स जो GPO के क्षेत्र से संबंधित हैं, लेकिन जो करने के लिए GPO स्पष्ट रूप से लागू करना चाहिए या नहीं करना चाहिए निर्दिष्ट करें।
WMI
ये सिस्टम की विशेषताओं, जैसे ऑपरेटिंग सिस्टम संस्करण या मुक्त डिस्क स्थान का उपयोग करके एक क्षेत्र निर्दिष्ट करते हैं।
GPO लिंक द्वारा बनाए गए प्रारंभिक क्षेत्र में क्षेत्र को संकीर्ण या निर्दिष्ट करने के लिए सुरक्षा फ़िल्टर और WMI फ़िल्टर का उपयोग करें. निम्न WMI फ़िल्टर का एक उदाहरण है जिसके परिणामस्वरूप Windows 10 चला रहे कंप्यूटरों की सूची होती है.
select * from Win32_OperatingSystem where Version like "10.%"
GPO प्रसंस्करण आदेश
उपयोगकर्ता, कंप्यूटर या दोनों पर लागू होने वाले GPO एक बार में सभी लागू नहीं होते हैं। जीपीओ एक विशेष क्रम में लागू होते हैं। बाद में प्रक्रिया करने वाली विरोधी सेटिंग्स पहले प्रक्रिया करने वाली सेटिंग्स को अधिलेखित कर सकती हैं।
समूह नीति निम्न पदानुक्रमित संसाधन क्रम का पालन करती है:
- स्थानीय जीपीओ।
- साइट-लिंक्ड जीपीओ।
- डोमेन-लिंक्ड GPOs.
- ओयू-लिंक्ड जीपीओ।
- बाल ओयू-लिंक्ड जीपीओ।
महत्वपूर्ण
समूह नीति अनुप्रयोग में, डिफ़ॉल्ट नियम लागू अंतिम नीति (सबसे विशिष्ट नीति) प्रबल है कि है।
उदाहरण के लिए, डोमेन स्तर पर लागू नियंत्रण कक्ष तक पहुँच प्रतिबंधित करने वाली नीति को उस विशेष OU में शामिल ऑब्जेक्ट्स के लिए OU स्तर पर लागू नीति द्वारा उलटा किया जा सकता है.
यदि आप कई GPOs किसी OU से लिंक हैं, तो उनकी प्रक्रिया व्यवस्थापक OU के लिंक किए गए समूह नीति ऑब्जेक्ट टैब पर समूह नीति प्रबंधन कंसोल में निर्दिष्ट क्रम में होती है। डिफ़ॉल्ट रूप से, सभी GPO लिंक के लिए संसाधन सक्षम किया गया है। आप किसी दिए गए डोमेन या OU के लिए GPO के अनुप्रयोग को पूरी तरह से अवरोधित करने के लिए कंटेनर के GPO लिंक को अक्षम कर सकते हैं. उदाहरण के लिए, यदि आपने GPO में हाल ही में कोई परिवर्तन किया है और यह उत्पादन समस्याएँ पैदा कर रहा है, तो आप समस्या हल होने तक लिंक या लिंक को अक्षम कर सकते हैं।
नोट
ध्यान दें कि यदि GPO अन्य कंटेनरों से जुड़ा हुआ है, तो यदि उनके लिंक सक्षम हैं, तो वे GPO को संसाधित करना जारी रखेंगे।
आप किसी विशेष GPO के उपयोगकर्ता या कंप्यूटर कॉन्फ़िगरेशन को उपयोगकर्ता या कंप्यूटर से स्वतंत्र रूप से अक्षम भी कर सकते हैं। यदि पॉलिसी का एक खंड खाली होने के लिए जाना जाता है, तो दूसरे अनुभाग को अक्षम करने से पॉलिसी प्रोसेसिंग में थोड़ी तेजी आ सकती है। उदाहरण के लिए, यदि आपके पास ऐसी नीति है जो केवल उपयोगकर्ता डेस्कटॉप कॉन्फ़िगरेशन वितरित करती है, तो आप नीति के कंप्यूटर अनुभाग को अक्षम कर सकते हैं.
GPO इनहेरिटेंस
आप एक से अधिक GPO, जो GPOs एक दूसरे के साथ विरोध में परिणाम हो सकता है में नीति सेटिंग कॉन्फ़िगर कर सकते हैं। इस स्थिति में, GPOs की वरीयता निर्धारित करती है कि क्लाइंट कौन सी नीति सेटिंग लागू करता है। उच्च वरीयता वाला जीपीओ कम वरीयता वाले जीपीओ पर प्रबल होता है। वरीयता संख्यात्मक रूप से निर्धारित की जाती है। प्रत्येक GPO का एक पूर्वता मान होता है। संख्या जितनी कम होगी, प्राथमिकता उतनी ही अधिक होगी। इसलिए, एक जीपीओ जिसकी एक प्राथमिकता है, अन्य सभी जीपीओ पर प्रबल होता है।
समूह नीति का डिफ़ॉल्ट व्यवहार यह है कि उच्च-स्तरीय कंटेनर से जुड़े जीपीओ निचले स्तर के कंटेनरों द्वारा विरासत में मिले हैं। जब कोई कंप्यूटर प्रारंभ हो जाता है या उपयोगकर्ता साइन इन करता है, तो समूह नीति क्लाइंट एक्सटेंशन AD DS में कंप्यूटर या उपयोगकर्ता ऑब्जेक्ट के स्थान की जाँच करता है और GPOs कंप्यूटर या उपयोगकर्ता शामिल क्षेत्रों के साथ मूल्यांकन करता है। उसके बाद, क्लाइंट-साइड एक्सटेंशन इन GPOs से नीति सेटिंग्स लागू करें। नीतियाँ क्रमिक रूप से लागू होती हैं, जो साइट से लिंक करने वाली नीतियों से शुरू होती हैं, उसके बाद वे जो डोमेन से लिंक होती हैं, उसके बाद वे जो OUs से लिंक होती हैं। जीपीओ का यह अनुक्रमिक अनुप्रयोग पॉलिसी इनहेरिटेंस नामक एक प्रभाव पैदा करता है। नीतियाँ इनहेरिट की गई हैं, जिसका अर्थ है कि किसी उपयोगकर्ता या कंप्यूटर के लिए नीतियों का परिणामी सेट (RSoPs) साइट, डोमेन और OU नीतियों का संचयी प्रभाव होगा.
ब्लॉक इनहेरिटेंस
आप नीति सेटिंग्स की इनहेरिटेंस रोकने के लिए डोमेन या OU कॉन्फ़िगर कर सकते हैं। इसे ब्लॉकिंग इनहेरिटेंस के रूप में जाना जाता है। इनहेरिटेंस को अवरोधित करने के लिए, राइट-क्लिक करें या GPMC कंसोल ट्री में डोमेन या OU के लिए संदर्भ मेनू तक पहुँचें, और उसके बाद ब्लॉक इनहेरिटेंस का चयन करें।
ब्लॉक इनहेरिटेंस विकल्प एक कंटेनर की एक संपत्ति है, इसलिए यह समूह नीति पदानुक्रम में माता-पिता से लिंक करने वाले GPO से सभी समूह नीति सेटिंग्स को ब्लॉक करता है।
सावधानी
ब्लॉक इनहेरिटेंस विकल्प का संयम से उपयोग करें क्योंकि इनहेरिटेंस को ब्लॉक करना समूह नीति वरीयता और विरासत का मूल्यांकन करना अधिक कठिन बनाता है।
युक्ति
सुरक्षा समूह फ़िल्टरिंग के साथ, आप सावधानीपूर्वक GPO का दायरा बढ़ा सकते हैं ताकि यह केवल सही उपयोगकर्ताओं और कंप्यूटर्स पर लागू हो, जिससे यह ब्लॉक इनहेरिटेंस विकल्प का उपयोग करना अनावश्यक हो जाए.
GPO लिंक लागू करना
साथ ही, आप लागू किया जा करने के लिए GPO लिंक सेट कर सकते हैं। GPO लिंक लागू करने के लिए, राइट-क्लिक करें या कंसोल ट्री में GPO लिंक के लिए संदर्भ मेनू तक पहुँचें, और उसके बाद शॉर्टकट मेनू से लागू का चयन करें।
जब आप लागू करने के लिए GPO लिंक सेट करते हैं, GPO वरीयता का उच्चतम स्तर लेता है। उस GPO में नीति सेटिंग्स अन्य GPOs में किसी भी विरोधी नीति सेटिंग्स पर प्रबल होती हैं.
महत्वपूर्ण
एक लागू लिंक चाइल्ड कंटेनर पर तब भी लागू होता है जब वे कंटेनर ब्लॉक इनहेरिटेंस पर सेट होते हैं। प्रबलित विकल्प के कारण नीति अपने क्षेत्र के भीतर सभी ऑब्जेक्ट्स पर लागू करने के लिए होती है।
प्रवर्तन तब उपयोगी होता है जब आपको एक GPO कॉन्फ़िगर करना होता है जो आपके कॉर्पोरेट IT सुरक्षा और उपयोग नीतियों द्वारा अनिवार्य कॉन्फ़िगरेशन निर्धारित करता है. इसलिए, आप समान या निचले स्तर से लिंक किए गए अन्य GPOs उन सेटिंग्स ओवरराइड नहीं है कि सुनिश्चित करने के लिए चाहते हैं। आप GPO के लिंक को लागू करके ऐसा कर सकते हैं।
वरीयता का मूल्यांकन
GPO वरीयता का मूल्यांकन करने की सुविधा के लिए, आप बस किसी OU या डोमेन का चयन करें, और उसके बाद समूह नीति इनहेरिटेंस टैब का चयन कर सकते हैं। यह टैब GPO की परिणामी पूर्वता प्रदर्शित करता है, GPO लिंक, लिंक क्रम, इनहेरिटेंस ब्लॉकिंग और लिंक प्रवर्तन के लिए लेखांकन।
महत्वपूर्ण
यह टैब उन नीतियों के लिए खाता नहीं है जो किसी साइट से लिंक की गई हैं, GPO सुरक्षा या WMI फ़िल्टरिंग के लिए।
सुरक्षा प्रिंसिपल का उपयोग करके GPO क्षेत्र फ़िल्टर करें
GPO लिंक द्वारा बनाए गए क्षेत्र में लिंक की गई साइट, डोमेन या OU में प्रत्येक उपयोगकर्ता और कंप्यूटर शामिल हैं। सुरक्षा फ़िल्टरिंग आपको उस क्षेत्र को संकीर्ण करने देता है ताकि GPO केवल विशिष्ट सुरक्षा प्रिंसिपल—सुरक्षा समूहों, व्यक्तिगत उपयोगकर्ताओं या अलग-अलग कंप्यूटरों पर लागू होता है।
क्लाइंट द्वारा इसकी सेटिंग्स लागू करने से पहले किसी कंप्यूटर या उपयोगकर्ता के पास GPO पर दो अनुमतियाँ होनी चाहिए:
- पढ़ना
- समूह नीति लागू करें
डिफ़ॉल्ट रूप से, प्रमाणीकृत उपयोगकर्ता समूह को दोनों अनुमतियाँ दी जाती हैं. प्रमाणीकृत उपयोगकर्ताओं में डोमेन को प्रमाणित करने वाले सभी उपयोगकर्ता और कंप्यूटर खाते शामिल हैं, क्योंकि एक नया लिंक किया गया GPO इसके दायरे में हर किसी के लिए लागू होता है।
क्षेत्र को फ़िल्टर करने के लिए, GPO के क्षेत्र टैब पर सुरक्षा फ़िल्टरिंग अनुभाग का उपयोग करें:
- प्रमाणित उपयोगकर्ताओं को निकालें।
- सुरक्षा समूहों, उपयोगकर्ताओं या कंप्यूटरों को जोड़ें जिन पर GPO लागू होना चाहिए।
जब आप सुरक्षा फ़िल्टरिंग अनुभाग में कोई प्रिंसिपल जोड़ते हैं, तो समूह नीति प्रबंधन कंसोल स्वचालित रूप से उस प्रिंसिपल को पढ़ने औरलागू करें समूह नीति अनुमतियाँ प्रदान करता है।
महत्वपूर्ण
MS16-072 सुरक्षा अद्यतन के बाद, समूह नीति GPO की सूची को कंप्यूटर के सुरक्षा संदर्भ में उपयोगकर्ता के बजाय पुनर्प्राप्त करता है। परिणामस्वरूप, कंप्यूटर खाते के पास कम से कम GPO को पढ़ने की अनुमति होनी चाहिए। यदि आप सुरक्षा फ़िल्टरिंग से प्रमाणीकृत उपयोगकर्ताओं को निकालते हैं, तो डोमेन कंप्यूटर समूह (या प्रासंगिक कंप्यूटर खाते) को पठन अनुमति—लेकिन समूह नीति लागू न करें —जोड़ें ताकि उपयोगकर्ता-लक्षित GPO अभी भी ठीक से प्रक्रिया करें.
आप किसी प्रिंसिपल को स्पष्ट रूप से बाहर भी कर सकते हैं। GPO के डेलिगेशन टैब पर, उन्नत का चयन करें, प्रिंसिपल जोड़ें, और उसके बाद समूह नीति लागू करेंको अस्वीकार करें सेट करें। एक अस्वीकृति अनुमति हमेशा एक अनुमति को ओवरराइड करती है, इसलिए GPO उस प्रिंसिपल पर लागू नहीं होगा, भले ही वह एक शामिल समूह का सदस्य हो।
युक्ति
कम से कम इनकार का प्रयोग करें। स्पष्ट अस्वीकृति अनुमतियाँ सुरक्षा फ़िल्टरिंग अनुभाग में प्रकट नहीं होती हैं, जो समस्या निवारण वरीयता और क्षेत्र को अधिक कठिन बना सकती हैं.
WMI फ़िल्टर का उपयोग करके GPO क्षेत्र फ़िल्टर करें
एक Windows प्रबंधन इंस्ट्रूमेंटेशन (WMI) फ़िल्टर लक्ष्य सिस्टम, जैसे ऑपरेटिंग सिस्टम संस्करण, हार्डवेयर प्लेटफ़ॉर्म, मुक्त डिस्क स्थान, या कंप्यूटर एक लैपटॉप है या क्या के आधार पर GPO के क्षेत्र को सीमित करता है। WMI फ़िल्टर WMI क्वेरी भाषा (WQL) में प्रत्येक लक्ष्य कंप्यूटर पर WMI रिपॉजिटरी के विरुद्ध मूल्यांकन किया जाता है जो में लिखा गया एक क्वेरी है। GPO केवल तभी लागू होता है जब क्वेरी सही करने के लिए मूल्यांकन करती है।
निम्न उदाहरण केवल 10 से प्रारंभ होता है जो Windows का एक संस्करण चला रहे कंप्यूटरों पर सही देता है:
select * from Win32_OperatingSystem where Version like "10.%"
अगला उदाहरण केवल उन कंप्यूटरों पर सही लौटाता है जो पोर्टेबल कंप्यूटर (लैपटॉप) से संबंधित चेसिस प्रकार की रिपोर्ट करते हैं:
select * from Win32_SystemEnclosure where ChassisTypes = "9" or ChassisTypes = "10" or ChassisTypes = "14"
WMI फ़िल्टर की निम्नलिखित विशेषताओं को ध्यान में रखें:
- एक GPO को केवल एक WMI फ़िल्टर से जोड़ा जा सकता है, लेकिन एक WMI फ़िल्टर को कई GPO से जोड़ा जा सकता है।
- WMI फ़िल्टर का मूल्यांकन हर बार समूह नीति प्रक्रियाओं, जो ओवरहेड जोड़ता है। WMI फ़िल्टर का व्यापक उपयोग साइन-इन और स्टार्टअप को धीमा कर सकता है।
- मूल्यांकन करने में विफल रहता है जो एक WMI क्वेरी (उदाहरण के लिए, क्योंकि यह क्लाइंट पर मौजूद नहीं है जो किसी वर्ग को संदर्भित करता है) गलत के रूप में माना जाता है, और GPO लागू नहीं होता है।
WMI फ़िल्टर लागू करने के लिए, समूह नीति प्रबंधन कंसोल में GPO का चयन करें, और क्षेत्र टैब पर, WMI फ़िल्टरिंग ड्रॉप-डाउन सूची से फ़िल्टर चुनें।
समूह नीति लूपबैक संसाधन कॉन्फ़िगर करें
सामान्यतया, उपयोगकर्ता कॉन्फ़िगरेशन सेटिंग्स जो किसी उपयोगकर्ता के लिए लागू होते हैं जो AD DS में उपयोगकर्ता के स्थान के लिए scoped GPO से आते हैं, और कंप्यूटर कॉन्फ़िगरेशन सेटिंग्स GPOs से कंप्यूटर के स्थान के लिए स्कोप आते हैं। कुछ परिदृश्यों—जैसे कियोस्क, कक्षा और प्रयोगशाला कंप्यूटर, और Remote Desktop सत्र होस्ट—में आप चाहते हैं कि उपयोगकर्ता अनुभव उपयोगकर्ता द्वारा साइन इन किया जाए, न कि उपयोगकर्ता के स्वयं के खाता स्थान से।
लूपबैक संसाधन उपयोगकर्ता कॉन्फ़िगरेशन सेटिंग्स GPOs से कंप्यूटर पर लागू होता है, भले ही उपयोगकर्ता साइन इन करें। आप इसे कॉन्फ़िगर करें उपयोगकर्ता समूह नीति लूपबैक संसाधन मोड, कंप्यूटर कॉन्फ़िगरेशन\Policies\Administrative Templates\System\Group नीति में पाया गया कॉन्फ़िगर करके सक्षम करें। सेटिंग दो मोड प्रदान करती है:
मोड समूह
व्यवहार
Replace
उपयोगकर्ता सेटिंग्स जो सामान्य रूप से उपयोगकर्ता के स्थान के आधार पर लागू होती हैं, उन्हें संसाधित नहीं किया जाता है। केवल कंप्यूटर के लिए स्कोप किए गए GPOs में उपयोगकर्ता सेटिंग्स लागू होते हैं।
मर्ज करें
उपयोगकर्ता के लिए स्कोप किए गए GPOs से उपयोगकर्ता सेटिंग्स पहले लागू होते हैं, और उसके बाद कंप्यूटर के लिए स्कोप किए गए GPO से उपयोगकर्ता सेटिंग्स लागू होते हैं। जहां दो विरोध करते हैं, कंप्यूटर-स्कोप उपयोगकर्ता सेटिंग्स प्रबल होती हैं क्योंकि वे अंतिम लागू होते हैं।
नोट
लूपबैक संसाधन केवल GPO की उपयोगकर्ता कॉन्फ़िगरेशन सेटिंग्स को प्रभावित करता है। कंप्यूटर कॉन्फ़िगरेशन सेटिंग्स हमेशा AD DS में कंप्यूटर के स्थान के आधार पर लागू होती हैं।