GPO's definiëren

  • 7 minuten

Sinds vroege versies van Windows Server biedt de functie Groepsbeleid van Windows-besturingssystemen een infrastructuur waarmee beheerders instellingen centraal kunnen definiëren en deze vervolgens kunnen implementeren op computers in hun organisatie.

It-medewerkers van Contoso kunnen daarom hun volledige configuratie definiëren, afdwingen en bijwerken met behulp van GPO-instellingen. Door GPO-instellingen te gebruiken, kunnen ze van invloed zijn op een hele site of een domein binnen hun organisatie, of ze kunnen hun focus beperken tot één organisatie-eenheid.

Aanbeveling

Door te filteren op basis van lidmaatschap van beveiligingsgroepen en kenmerken van fysieke computers kan Contoso ook het doel voor hun GPO-instellingen nog verder definiëren.

Wat is Groepsbeleid?

Groepsbeleid is een framework in Windows-besturingssystemen met onderdelen die zich in AD DS, op domeincontrollers en op elke Windows Server en client bevinden. Met behulp van deze onderdelen kunt u de configuratie in een AD DS-domein beheren. U definieert groepsbeleidsinstellingen binnen een groepsbeleidsobject. Een groepsbeleidsobject is een object dat een of meer beleidsinstellingen bevat die van toepassing zijn op een of meer configuratie-instellingen voor een gebruiker of een computer.

Een schermopname van de console Groepsbeleidsbeheer. De beheerder heeft het Contoso.com domein geselecteerd. Weergegeven zijn drie GPO's. Ook weergegeven zijn de OE's in het domein, waarvan sommige gekoppelde GPO's hebben.

Groepsbeleid is een krachtig beheerprogramma. U kunt GPO's gebruiken om verschillende instellingen naar een groot aantal gebruikers en computers te pushen. Omdat u ze kunt toepassen op verschillende niveaus, van de lokale computer naar het domein, kunt u deze instellingen ook nauwkeurig richten. In de eerste plaats gebruikt u Groepsbeleid om instellingen te configureren die u niet wilt dat gebruikers configureren. Daarnaast kunt u Groepsbeleid gebruiken om bureaubladomgevingen op alle computers in een organisatie-eenheid (OE) of in een hele organisatie te standaardiseren. U kunt groepsbeleid ook gebruiken om extra beveiliging te bieden, om enkele geavanceerde systeeminstellingen te configureren en voor andere doeleinden die in een volgende demonstratie-eenheid worden besproken.

Een schermopname van de Editor voor groepsbeleidsbeheer. De beheerder heeft de knooppunten Computerconfiguratie en Gebruikersconfiguratie uitgebreid om de mappen Beleid en Voorkeuren weer te geven.

Wat zijn GPO's?

Het meest gedetailleerde onderdeel van Groepsbeleid is een afzonderlijke beleidsinstelling. Een afzonderlijke beleidsinstelling definieert een specifieke configuratie, zoals een beleidsinstelling die voorkomt dat een gebruiker toegang heeft tot hulpprogramma's voor registerbewerking. Als u deze beleidsinstelling definieert en deze vervolgens toepast op een gebruiker, kan die gebruiker geen hulpprogramma's zoals Regedit.exe uitvoeren.

Sommige instellingen zijn van invloed op een gebruiker, ook wel gebruikersconfiguratie-instellingen of gebruikersbeleid genoemd, en sommige zijn van invloed op de computer, ook wel computerconfiguratie-instellingen of computerbeleid genoemd.

Belangrijk

Instellingen zijn niet rechtstreeks van invloed op groepen en zijn alleen van toepassing op gebruikers- en computerobjecten.

Groepsbeleid beheert verschillende beleidsinstellingen en het groepsbeleidsframework is uitbreidbaar. U kunt vrijwel elke configureerbare instelling beheren met Groepsbeleid.

Een schermopname van het dialoogvenster Automatische updates configureren in de editor groepsbeleidsbeheer. De instelling is ingeschakeld. Andere waarden worden weergegeven.

Een beleidsinstelling definiëren:

  1. Zoek in de editor voor groepsbeleidsbeheer de beleidsinstelling en selecteer vervolgens Enter. Het dialoogvenster Eigenschappen voor beleidsinstellingen verschijnt.
  2. Wijzig de beleidsstatus in Ingeschakeld of Uitgeschakeld. De meeste beleidsinstellingen kunnen drie statussen hebben: Niet geconfigureerd, ingeschakeld en uitgeschakeld.
  3. Configureer indien nodig aanvullende waarden en selecteer OK wanneer u klaar bent.

GPO's slaan groepsbeleidsinstellingen op. In een nieuw groepsbeleidsobject wordt elke beleidsinstelling standaard ingesteld op Niet geconfigureerd. Wanneer u een beleidsinstelling inschakelt of uitschakelt, wordt in Windows Server een wijziging aangebracht in de configuratie van gebruikers en computers waarop het groepsbeleidsobject wordt toegepast.

Opmerking

Wanneer u een instelling retourneert naar de waarde Niet geconfigureerd , keert u deze terug naar de standaardwaarde.

Ga als volgt te werk om een nieuw groepsbeleidsobject in een domein te maken:

  1. Klik in Groepsbeleidsbeheer met de rechtermuisknop op het contextmenu voor de container Groepsbeleidsobjecten en selecteer vervolgens Nieuw.
  2. Als u de configuratie-instellingen in een groepsbeleidsobject wilt wijzigen, klikt u met de rechtermuisknop of opent u het contextmenu voor het groepsbeleidsobject en selecteert u Bewerken. Hiermee opent u de module Editor voor groepsbeleidsbeheer.

De Editor voor groepsbeleidsbeheer geeft alle beleidsinstellingen weer die beschikbaar zijn in een groepsbeleidsobject in een georganiseerde hiërarchie die begint met de verdeling tussen computerinstellingen en gebruikersinstellingen: het knooppunt Computerconfiguratie en het knooppunt Gebruikersconfiguratie .

Groepsbeleidsobjecten worden weergegeven in een container met de naam Groepsbeleidsobjecten. De volgende twee niveaus van de hiërarchie zijn knooppunten met de naam Beleid en Voorkeuren. Als u door de hiërarchie gaat, worden in de Editor groepsbeleidsbeheer mappen weergegeven, knooppunten of beleidsinstellingsgroepen genoemd. De beleidsinstellingen bevinden zich in de mappen.

Wat zijn starter groepsbeleidsobjecten?

U kunt een Starter-groepsbeleidsobject gebruiken als sjabloon waaruit u andere groepsbeleidsobjecten kunt maken in de console Groepsbeleidsbeheer. Starter groepsbeleidsobjecten hebben alleen beheersjablooninstellingen. U kunt een Starter-groepsbeleidsobject gebruiken om een beginpunt te bieden voor het maken van nieuwe GPO's in uw domein. Het groepsbeleidsobject Starter heeft mogelijk al specifieke instellingen die aanbevolen procedures zijn voor uw omgeving. U kunt starter groepsbeleidsobjecten exporteren naar en importeren uit, cabinetbestanden (.cab) om distributie naar andere omgevingen eenvoudig en efficiënt te maken.

Opmerking

De Console Groepsbeleidsbeheer slaat Starter GPO's op in een map met de naam StarterGPOs, die zich in SYSVOL bevindt.

Opmerking

SYSVOL is een gedeelde map op domeincontrollers.

Microsoft bevat vooraf geconfigureerde Starter-GPO's voor Windows-clientbesturingssystemen. Deze Starter GPO's hebben instellingen voor beheersjablonen die de aanbevolen procedures weerspiegelen die Microsoft aanbeveelt voor de configuratie van de clientomgeving.