Core Network Companion Guide: Group Policy Deployment

 

Is van toepassing op: Windows Server 2012

Dit is een aanvullende handleiding voor het basisnetwerk van Windows Server® 2012, die kan worden gedownload in een Microsoft Office Word-indeling van het Microsoft Downloadcentrum (https://go.microsoft.com/fwlink/?LinkId=255199, Engelstalig) en in een HTML-indeling van de technische bibliotheek van Windows Server 2012 (https://technet.microsoft.com/library/hh911995.aspx, Engelstalig).

De aanvullende handleiding voor het basisnetwerk van Windows Server 2012 bevat instructies voor het plannen en implementeren van de basisonderdelen die vereist zijn voor een volledig werkend netwerk en een nieuw Active Directory-domein in een nieuw forest.

In deze handleiding wordt uitgelegd hoe u het basisnetwerk verder uitbreidt door groepsbeleidsobjecten te implementeren via het gebruik van lidmaatschapsgroepen in plaats van de organisatie-eenheden waaruit de hiërarchie van een Active Directory-domein is opgebouwd.

Deze handleiding bevat de volgende secties.

• Over deze handleiding

• Vereisten

• Wat deze handleiding niet biedt

• Overzicht van de technologie van groepsbeleid

• Groepsbeleid implementatie-overzicht

• Groepsbeleid implementatie plannen

• Implementatie van beleid voor groep

• Aanvullende bronnen

Notitie

Deze handleiding is beschikbaar op de volgende locaties.

• De aanvullende handleiding Windows Server 2012 Core Network Companion Guide: Group Policy Deployment is beschikbaar in een Word-indeling in het Microsoft Downloadcentrum.
• Windows Server 2012 Core Network Companion Guide: Group Policy Deployment is beschikbaar in een HTML-indeling in de technische bibliotheek van Windows Server 2012.

Over deze handleiding

Deze handleiding bevat instructies voor het implementeren van instellingen voor groepsbeleid voor een reeks clientcomputers of gebruikers via lidmaatschapsgroepen in plaats van via accountlocatie in de hiërarchie van organisatie-eenheden (OE-hiërarchie) van een domein.

De methode die in deze handleiding wordt beschreven, laat zien hoe u een lidmaatschapsgroep maakt waaraan u de gebruikers- of computeraccounts kunt toevoegen die een configuratie moeten krijgen met behulp van groepsbeleidsobjecten. Het lidmaatschap van de groep, en niet de accountlocatie in de OE-hiërarchie, bepaalt of de computer een van de GPO's ontvangt die aan de lidmaatschapsgroep zijn gekoppeld. Bovendien worden WMI-filters (Windows Management Instrumentation) gebruikt om ervoor te zorgen dat alleen het groepsbeleidsobject wordt toegepast met de instellingen die overeenkomen met de versie van Windows die op de computer wordt uitgevoerd.

Er zijn twee belangrijke voordelen bij het gebruik van deze methode voor het implementeren van GPO's:

• Het is volledig onafhankelijk van de structuur van de organisatie-eenheid van uw domein. Als u een GPO wilt toepassen op één computer, hoeft u niet langer computers te verplaatsen naar een andere organisatie-eenheid of uw OE-hiërarchie te herstructureren.

• De instellingen in een GPO kunnen heel eenvoudig worden toegepast of gestopt. U hoeft alleen maar het gebruikers- of computeraccount van de lidmaatschapsgroep te verwijderen. Hiermee verwijdert u de gebruiker of computer uit het bereik van de GPO zonder dat dit van invloed is op de overige GPO's die van toepassing zijn op de gebruiker of computer.

Deze handleiding is ontworpen voor netwerk- en systeembeheerders die de instructies in de handleiding voor het basisnetwerk van Windows Server 2012 hebben gevolgd om een basisnetwerk te implementeren of voor beheerders die reeds de basistechnologieën hebben geïmplementeerd die zijn opgenomen in het basisnetwerk, inclusief AD DS (Active Directory Domain Services), DNS (Domain Name Service), DHCP (Dynamic Host Configuration Protocol), TCP/IP en WINS (Windows Internet Name Service) (optioneel).

U wordt aangeraden de ontwerp- en implementatiehandleidingen te raadplegen voor de technologieën die worden gebruikt in dit implementatiescenario. Met behulp van deze handleidingen kunt u bepalen of dit implementatiescenario de benodigde services en configuratie voor uw organisatienetwerk biedt.

Vereisten

Waarschuwing

U wordt aangeraden de methoden die in deze handleiding zijn beschreven, alleen te gebruiken voor GPO's die voor de meeste computers in uw organisatie moeten worden geïmplementeerd, en alleen als de OE-hiërarchie in uw Active Directory-domein niet goed overeenkomt met de implementatievereisten van deze GPO's. Mits ondersteund door de OE-hiërarchie, kunt u een GPO implementeren door deze te koppelen aan het laagste niveau van de organisatie-eenheid die alle accounts bevat waarop de GPO van toepassing is.

In een grote onderneming met honderden of duizenden GPO's kan het gebruik van deze methode resulteren in gebruikers- of computeraccounts voor een uitzonderlijk groot aantal groepen. Dit kan leiden tot problemen met de netwerkverbindingen als de grenzen van het netwerkprotocol worden overschreden. Zie de volgende artikelen in Microsoft Knowledge Base voor meer informatie over de problemen in verband met een heel groot aantal groepslidmaatschappen:

• Wat is nieuw voor Kerberos in Windows Server 2012 bevat informatie over verbeteringen om authenticatiefouten vanwege grote servicetickets tegen te gaan. Zie https://technet.microsoft.com/library/hh831747.aspx (Engelstalig).
• Artikel 327825: Problemen met Kerberos-authenticatie wanneer een gebruiker tot verschillende groepen behoort (https://go.microsoft.com/fwlink/?LinkId=23044)
• Artikel 263693: Group Policy may not be applied to users belonging to many groups (Groepsbeleid wordt mogelijk niet toegepast op gebruikers die lid zijn van meerdere groepen) (https://go.microsoft.com/fwlink/?LinkId=126293, Engelstalig)
• Artikel 328889: Users who are members of more than 1,015 groups may fail logon authentication (Aanmeldingsverificatie kan mislukken voor gebruikers die lid zijn van meer dan 1015 groepen) (https://go.microsoft.com/fwlink/?LinkId=115213, Engelstalig)

Hier volgen de vereisten voor het gebruik van groepsbeleid:

• Voor het implementeren van groepsbeleid dient u een Active Directory-domeincontroller te hebben die als host fungeert voor een domein en de computers die aan het domein zijn gekoppeld.

• Als u GPO's wilt configureren, lidmaatschapsgroepen wilt maken en leden aan de groepen wilt toewijzen, moet u zijn aangemeld als lid van de groep Domeinadministrators.

Wat deze handleiding niet biedt

Deze handleiding biedt geen uitgebreide instructies voor het ontwerpen en implementeren van een infrastructuur voor groepsbeleid met behulp van AD DS. U wordt aangeraden documentatie over AD DS en groepsbeleid te lezen voordat u de technologieën in deze handleiding implementeert. Zie Aanvullende bronnen voor meer informatie.

Overzicht van de technologie van groepsbeleid

Groepsbeleid is een beheertechnologie die gebruikers vanaf een beheerde computer consistente toegang geeft tot hun toepassingen, toepassingsinstellingen, zwervende gebruikersprofielen en gebruikersgegevens, ook wanneer ze niet zijn verbonden met het netwerk. De instellingen voor groepsbeleid zijn opgenomen in GPO's. Deze zijn gekoppeld aan sites, domeinen en organisatie-eenheden (OE's) binnen een Active Directory-domein. De instellingen in GPO's worden vervolgens geëvalueerd en toegepast door de betreffende computers en gebruikers. Groepsbeleid is een van de belangrijkste redenen voor het implementeren van Active Directory Domain Services (AD DS), omdat u er gebruikers- en computerobjecten mee kunt beheren.

De meeste administrators koppelen GPO-implementatie aan de OE-hiërarchie van een Active Directory-domein. U kunt een GPO koppelen aan een OE, waarna alle computers of gebruikers in die OE of een van de afgeleiden ervan het beleid ontvangen en toepassen. Een Active Directory-domein kan echter slechts één OE-hiërarchie bevatten en computer- en gebruikersaccounts kunnen slechts in één OE kunnen worden geplaatst. Daarom kan het voorkomen dat een OE-hiërarchie die geschikt is voor het oplossen van een bepaald probleem, niet geschikt is om een ander probleem op te lossen. Veel organisaties ontwerpen bijvoorbeeld de OE-hiërarchie ter ondersteuning van gedelegeerd beheer. Computer- en gebruikersaccounts worden in OE's geplaatst waarvoor een IT-team verantwoordelijk is. Door het IT-team beheerdersrechten te verlenen voor de OE-container, kunnen ze de computers en gebruikers beheren waarvan de accounts zich in de OE bevinden. Dezelfde hiërarchie kan ongeschikt zijn voor het implementeren van groepsbeleidsinstellingen die betrekking hebben op computers in de hele organisatie, bijvoorbeeld bij het implementeren van IPsec-instellingen (Internet Protocol-beveiliging) voor scenario's met server- en domeinisolatie.

Bovendien kan bij het configureren van een bepaalde Windows-versie een beleidsinstelling zijn vereist die verschilt van de beleidsinstelling die wordt gebruikt voor een andere versie van Windows. Bijvoorbeeld: IPsec-regels in Windows Server 2012, Windows Server 2008, Windows 8, Windows 7 en Windows Vista worden beheerd door een ander deel van de GPO dan de IPsec-regels voor Windows Server 2003 en eerdere versies van Windows. Dit betekent dat u zes afzonderlijke GPO's kunt hebben die elk dezelfde functie voor verschillende besturingssystemen uitvoeren: voor Windows Server 2012, Windows Server 2008, Windows Server 2003, Windows 8, Windows 7 en Windows Vista. De GPO voor Windows Server 2003 is ook geschikt voor eerdere versies van Windows.