GPO-bereik en overname implementeren

  • 7 minuten

Beleidsinstellingen in GPO's definiëren configuratie. U moet echter de computers of gebruikers opgeven waarop het groepsbeleidsobject van toepassing is voordat de configuratiewijzigingen in een groepsbeleidsobject van invloed zijn op computers of gebruikers in uw organisatie. Dit wordt een bereik van een groepsbeleidsobject genoemd. Het bereik van een groepsbeleidsobject is de verzameling gebruikers en computers die de instellingen in het groepsbeleidsobject toepassen.

Belangrijk

U bereikt een groepsbeleidsobject door het te koppelen aan een organisatie-eenheid die de doelgebruikers en computers bevat.

Bereik van een groepsbeleidsobject

U kunt verschillende methoden gebruiken om het bereik van groepsbeleidsobjecten op basis van een domein te beheren. De eerste is de GPO-koppeling. In AD DS kunt u GPO's koppelen aan:

  • Websites
  • Domeinen
  • OE's

De site, het domein of de organisatie-eenheid wordt vervolgens het maximale bereik van het groepsbeleidsobject. De configuraties die door de beleidsinstellingen in het groepsbeleidsobject worden opgegeven, zijn van invloed op alle computers en gebruikers binnen de site, het domein of de organisatie-eenheid, met inbegrip van die in onderliggende OE's. U kunt een groepsbeleidsobject koppelen aan meer dan één domein, organisatie-eenheid of site.

Waarschuwing

Als u GPO's koppelt aan meerdere sites in een forest met meerdere domeinen, kunnen prestatieproblemen optreden bij het toepassen van het beleid. In deze situatie moet u voorkomen dat groepsbeleidsobjecten aan meerdere sites worden gekoppeld. Dit komt doordat de GPO's in een netwerk met meerdere forests meerdere sites worden opgeslagen op de domeincontrollers in het domein waarin de GPO's zijn gemaakt. Het gevolg hiervan is dat computers in andere domeinen mogelijk een langzame WAN-koppeling (Wide Area Network) moeten doorlopen om de GPO's te verkrijgen.

U kunt het bereik van het groepsbeleidsobject verder beperken met een van de twee typen filters die in de volgende tabel worden besproken.

Filteren

Beschrijving

Veiligheid

Deze specificeren beveiligingsgroepen of afzonderlijke gebruikers- of computerobjecten die betrekking hebben op het bereik van een groepsbeleidsobject, maar waarop het groepsbeleidsobject expliciet moet of niet van toepassing is.

WMI

Deze geven een bereik op met behulp van kenmerken van een systeem, zoals een besturingssysteemversie of vrije schijfruimte.

Een schermopname van de console Groepsbeleidsbeheer. De beheerder heeft een groepsbeleidsobject geselecteerd dat is gekoppeld aan de organisatie-eenheid Marketing. Weergegeven in het detailvenster is een WMI-filter met de naam Windows 10-apparaten en een beveiligingsfilter dat is ingesteld op de groep Marketing.

Gebruik beveiligingsfilters en WMI-filters om het bereik te beperken of op te geven binnen het eerste bereik dat de GPO-koppeling heeft gemaakt. Hier volgt een voorbeeld van een WMI-filter dat resulteert in een lijst met computers met Windows 10.

select * from Win32_OperatingSystem where Version like "10.%"

GPO-verwerkingsorder

De groepsbeleidsobjecten die van toepassing zijn op een gebruiker, computer of beide zijn niet allemaal tegelijk van toepassing. GPO's zijn in een bepaalde volgorde van toepassing. Conflicterende instellingen die later worden verwerkt, kunnen eerst instellingen overschrijven die worden verwerkt.

Groepsbeleid volgt de volgende hiërarchische verwerkingsvolgorde:

  1. Lokale GPO's.
  2. Site-gekoppelde GPO's.
  3. Domein-gekoppelde GPO's.
  4. OE-gekoppelde GPO's.
  5. Onderliggende groepsbeleidsobjecten gekoppeld aan organisatie-eenheid.

Belangrijk

In de toepassing Groepsbeleid is de standaardregel dat het laatste beleid (het meest specifieke beleid) voorrang heeft.

Een beleid dat bijvoorbeeld de toegang beperkt tot de Configuratiescherm die op domeinniveau worden toegepast, kan worden omgekeerd door een beleid dat wordt toegepast op OE-niveau voor de objecten in die specifieke organisatie-eenheid.

Als u meerdere groepsbeleidsobjecten koppelt aan een organisatie-eenheid, vindt de verwerking plaats in de volgorde die de beheerder opgeeft op het tabblad Gekoppelde groepsbeleidsobjecten van de organisatie-eenheid in de console Groepsbeleidsbeheer. Verwerking is standaard ingeschakeld voor alle GPO-koppelingen. U kunt de groepsbeleidsobjectkoppeling van een container uitschakelen om de toepassing van een groepsbeleidsobject volledig te blokkeren voor een bepaald domein of een organisatie-eenheid. Als u bijvoorbeeld een recente wijziging hebt aangebracht in een groepsbeleidsobject en dit productieproblemen veroorzaakt, kunt u de koppeling of koppelingen uitschakelen totdat het probleem is opgelost.

Opmerking

Als het groepsbeleidsobject is gekoppeld aan andere containers, blijven ze het groepsbeleidsobject verwerken als hun koppelingen zijn ingeschakeld.

U kunt ook de gebruikers- of computerconfiguratie van een bepaald groepsbeleidsobject onafhankelijk van de gebruiker of computer uitschakelen. Als een sectie van een beleid leeg is, kan het uitschakelen van de andere sectie de verwerking van beleid enigszins versnellen. Als u bijvoorbeeld een beleid hebt dat alleen de configuratie van gebruikerscomputers levert, kunt u de computersectie van het beleid uitschakelen.

Overname van groepsbeleidsobject

U kunt een beleidsinstelling configureren in meer dan één groepsbeleidsobject, wat kan leiden tot conflicten tussen GPO's. In dit geval bepaalt de prioriteit van de GPO's welke beleidsinstelling de client toepast. Een groepsbeleidsobject met een hogere prioriteit heeft voorrang op een groepsbeleidsobject met een lagere prioriteit. Prioriteit wordt numeriek bepaald. Elk groepsbeleidsobject heeft een prioriteitswaarde. Hoe lager het getal, hoe hoger de prioriteit. Daarom heeft een groepsbeleidsobject met een prioriteit van één voorrang boven alle andere GPO's.

Het standaardgedrag van Groepsbeleid is dat GPO's die zijn gekoppeld aan een container op een hoger niveau, worden overgenomen door containers op lager niveau. Wanneer een computer wordt opgestart of een gebruiker zich aanmeldt, onderzoekt de groepsbeleidsclientextensies de locatie van de computer of het gebruikersobject in AD DS en evalueert de groepsbeleidsobjecten met bereiken die de computer of gebruiker bevatten. Vervolgens passen de extensies aan de clientzijde beleidsinstellingen van deze GPO's toe. Beleidsregels zijn opeenvolgend van toepassing, te beginnen met de beleidsregels die aan de site zijn gekoppeld, gevolgd door de beleidsregels die zijn gekoppeld aan het domein, gevolgd door de beleidsregels die zijn gekoppeld aan OE's. Deze sequentiële toepassing van GPO's maakt een effect met de naam overname van beleid. Beleidsregels worden overgenomen. Dit betekent dat de resulterende set beleidsregels (RSOPs) voor een gebruiker of computer het cumulatieve effect is van site-, domein- en OE-beleid.

Overname blokkeren

U kunt een domein of organisatie-eenheid configureren om overname van beleidsinstellingen te voorkomen. Dit staat bekend als blokkerende overname. Als u overname wilt blokkeren, klikt u met de rechtermuisknop op het contextmenu voor het domein of de organisatie-eenheid in de consolestructuur van de GPMC en selecteert u Overname blokkeren.

Een schermopname van het contextmenu voor de organisatie-eenheid Marketing in de console Groepsbeleidsbeheer. De beheerder heeft Overname blokkeren geselecteerd.

De optie Overname blokkeren is een eigenschap van een container, dus blokkeert deze alle groepsbeleidsinstellingen van groepsbeleidsobjecten die zijn gekoppeld aan ouders in de groepsbeleidshiërarchie.

Waarschuwing

Gebruik de optie Overname blokkeren spaarzaam omdat het blokkeren van overname het moeilijker maakt om prioriteit en overname van groepsbeleid te evalueren.

Aanbeveling

Met filteren van beveiligingsgroepen kunt u een groepsbeleidsobject zorgvuldig beperken, zodat deze alleen van toepassing is op de juiste gebruikers en computers op de eerste plaats, waardoor het niet nodig is om de optie Overname blokkeren te gebruiken.

Daarnaast kunt u instellen dat een GPO-koppeling wordt afgedwongen. Als u een GPO-koppeling wilt afdwingen, klikt u met de rechtermuisknop op het contextmenu voor de GPO-koppeling in de consolestructuur en selecteert u Afgedwongen in het snelmenu.

Een schermopname van het contextmenu voor het groepsbeleidsobject Voor domeinbeveiligingsinstellingen van Contoso in de console Groepsbeleidsbeheer. De beheerder heeft Afgedwongen geselecteerd.

Wanneer u een GPO-koppeling instelt op Afgedwongen, heeft het groepsbeleidsobject het hoogste prioriteitsniveau. Beleidsinstellingen in dat groepsbeleidsobject hebben voorrang op conflicterende beleidsinstellingen in andere GPO's.

Belangrijk

Een afgedwongen koppeling is van toepassing op onderliggende containers, zelfs wanneer deze containers zijn ingesteld op Overname blokkeren. Met de optie Afgedwongen wordt het beleid toegepast op alle objecten binnen het bereik.

Afdwingen is handig wanneer u een groepsbeleidsobject moet configureren dat een configuratie definieert die wordt verplicht door uw it-beveiligings- en gebruiksbeleid voor uw bedrijf. Daarom wilt u ervoor zorgen dat andere GPO's die zijn gekoppeld aan dezelfde of lagere niveaus, deze instellingen niet overschrijven. U kunt dit doen door de koppeling van het groepsbeleidsobject af te dwingen.

Prioriteit evalueren

Als u de prioriteit van groepsbeleidsobjecten wilt vergemakkelijken, kunt u gewoon een organisatie-eenheid of domein selecteren en vervolgens het tabblad Overname van groepsbeleid selecteren. Op dit tabblad wordt de resulterende prioriteit van GPO's weergegeven, waarbij de groepsbeleidsobjectkoppeling, koppelingsvolgorde, overnameblokkering en koppelingshandhaving worden afgedwongen.

Een schermopname van de console Groepsbeleidsbeheer. De beheerder heeft het tabblad Overname van groepsbeleid geselecteerd voor de organisatie-eenheid Marketing. Er worden vier beleidsregels weergegeven, waarvan twee worden afgedwongen vanuit het domein.

Belangrijk

Op dit tabblad wordt geen rekening gehouden met beleidsregels die zijn gekoppeld aan een site, voor GPO-beveiliging of WMI-filtering.