Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Groepsbeleid maakt configuratie- en instellingenbeheer mogelijk van gebruikers- en computerinstellingen op computers met Windows Server- en Windows Client-besturingssystemen. Naast het gebruik van Groepsbeleid voor het definiëren van configuraties voor groepen gebruikers en clientcomputers, kunt u ook Groepsbeleid gebruiken om servercomputers te beheren, door veel serverspecifieke operationele en beveiligingsinstellingen te configureren.
Wat is een groepsbeleid?
Groepsbeleid kan beleidsinstellingen in het lokaal in het bestandssysteem of in Active Directory Domain Services (AD DS) vertegenwoordigen. Bij gebruik met Active Directory (AD) bevinden groepsbeleidsinstellingen zich in een groepsbeleidsobject (GPO). Een groepsbeleidsobject is een virtuele verzameling beleidsinstellingen, beveiligingsmachtigingen en beheerbereik (SOM) die u kunt toepassen op gebruikers en computers in Active Directory. Een groepsbeleidsobject bestaat uit twee hoofdonderdelen: de groepsbeleidscontainer en de groepsbeleidssjabloon. De groepsbeleidscontainer wordt opgeslagen in de domeinpartitie van Active Directory, terwijl de groepsbeleidssjabloon zich in de map SYSVOL op elke domeincontroller (DC) bevindt.
Deze onderdelen worden gerepliceerd tussen DC's via AD-replicatie en ofwel de File Replication Service (FRS) of Distributed File System Replication (DFSR).
GPO's bevatten configuraties voor zowel computer- als gebruikersinstellingen. Computerconfiguraties passen systeembrede instellingen toe en beheren instellingen zoals energiebeheer en firewallregels. Gebruikersconfiguraties zijn alleen van invloed op de huidige gebruiker, met opties zoals Internet Explorer-instellingen en mapomleiding. GPO's kunnen worden gekoppeld aan verschillende niveaus binnen de AD-hiërarchie, zoals sites, domeinen en organisatie-eenheden (OE's), die hun toepassingsbereik definiëren.
Beleidsinstellingen worden toegepast bij het opstarten van de computer en aanmelden van gebruikers. De groepsbeleidsservice bepaalt toepasselijke GPO's door een query uit te voeren op de AD op basis van site, domein en OE-lidmaatschap. Een extensie aan de clientzijde (CSE) past de specifieke instellingen toe die door de GPO's worden bepaald, en beheert taken zoals registerupdates en beveiligingsconfiguraties. Beleidsinstellingen worden toegepast op computers wanneer ze worden opgestart en aan gebruikers wanneer ze zich aanmelden. Wanneer een computer wordt opgestart, controleert de groepsbeleidsservice AD om te bepalen welke groepsbeleidsobjecten zijn gekoppeld en van toepassing op het computerobject, waaronder:
De site waarin de computer zich bevindt.
Het domein waarin de computer lid is.
De bovenliggende organisatie-eenheid waaraan de computer een direct lid is en eventuele andere organisatie-eenheden boven de bovenliggende organisatie-eenheid.
Voorkeuren voor groepsbeleid bieden vergelijkbare beheermogelijkheden als standaardgroepsbeleid en worden op dezelfde manier beheerd. Beheerders kunnen GPO's maken en beheren met behulp van de editor voor lokaal groepsbeleid (gpedit.msc) voor lokale instellingen, of de Groepsbeleidsobjecteditor binnen een AD-gerelateerde MMC-module voor domeinbrede instellingen. Elk GPO heeft een GUID (Globally Unique Identifier) en volgt de hiërarchische structuur van AD voor beleidsevaluatie. Een grondig begrip van het maken, wijzigen en koppelen van GPO's binnen AD is essentieel voor effectief beleidsbeheer. GPO's worden opgeslagen in zowel AD als de SYSVOL-map op elke DC, waardoor gecentraliseerd beheer en beleidsafdwinging wordt vergemakkelijkt.
Extensies aan clientzijde
Een Groepsbeleid CSE is een geïsoleerd onderdeel dat verantwoordelijk is voor het verwerken van specifieke beleidsinstellingen die worden geleverd door de groepsbeleidsinfrastructuur. Elke CSE beheert en bewaart de beleidsgegevens in een eigen specifieke indeling, onafhankelijk van de infrastructuur van groepsbeleid, die de details van deze gegevens niet interpreteert of beheert. De primaire functie van Groepsbeleid is het leveren van instellingen aan een computer, waarbij elke CSE het gedeelte van de beleidsinstellingen van meerdere groepsbeleidsobjecten toepast.
Stel dat de groepsbeleidsinfrastructuur een bibliotheeksysteem is. Het bibliotheeksysteem beheert en levert boeken (of data) aan verschillende filialen (de computers als afleverpunten). De bibliotheek hoeft de inhoud van elk boek niet te begrijpen; het zorgt ervoor dat het juiste boek bij de juiste vestiging terechtkomt. In deze analogie is de service Groepsbeleid vergelijkbaar met het bibliotheeksysteem, waarbij boeken worden geleverd zonder dat ze hun inhoud kennen. De verschillende beleidsinstellingen zijn zoals verschillende genres of verzamelingen boeken. De Groepsbeleid CSE vertegenwoordigt een bibliothecaris bij elk filiaal, die weet hoe ze hun specifieke collectie moeten beheren. Net zoals elke bibliothecaris is uitgerust om zijn verzameling te beheren, leest elke CSE zijn specifieke beleidsinformatie en voert acties uit op basis van wat het binnen deze instellingen vindt.
Hoe Groepsbeleid werkt
Voor computers wordt groepsbeleid toegepast wanneer de computer wordt gestart. Voor gebruikers wordt Groepsbeleid toegepast bij het aanmelden. Deze initiële verwerking van beleid kan ook worden aangeduid als een toepassing van voorgrondbeleid.
De voorgrondtoepassing van Groepsbeleid kan synchroon of asynchroon zijn. In de synchrone modus voltooit de computer de systeemstart pas als het computerbeleid succesvol is toegepast. Het aanmeldingsproces van de gebruiker wordt pas voltooid nadat het gebruikersbeleid is toegepast. Als er in de asynchrone modus geen beleidswijzigingen zijn waarvoor synchrone verwerking is vereist, kan de computer de beginvolgorde voltooien voordat de toepassing van het computerbeleid is voltooid. De shell kan beschikbaar zijn voor de gebruiker voordat de toepassing van gebruikersbeleid is voltooid. Het systeem past vervolgens periodiek groepsbeleid toe (vernieuwt) op de achtergrond. Tijdens het vernieuwen worden beleidsinstellingen asynchroon toegepast.
Zie Groepsbeleid verwerken voor meer informatie over de werking van groepsbeleid.
Wat is een organisatie-eenheid?
Een organisatie-eenheid is de AD-container op het laagste niveau waaraan u groepsbeleidsinstellingen kunt toewijzen. Doorgaans wijst u de meeste GPO's toe op organisatie-eenheidsniveau, dus zorg ervoor dat uw organisatie-eenheidsstructuur ondersteuning biedt voor uw strategie voor clientbeheer op basis van groepsbeleid. U kunt ook enkele groepsbeleidsinstellingen toepassen op domeinniveau, met name wachtwoordbeleid. Er worden weinig beleidsinstellingen toegepast op siteniveau. Een goed ontworpen organisatie-eenheidsstructuur die de beheerstructuur van uw organisatie weerspiegelt en profiteert van GPO-overname vereenvoudigt de toepassing van groepsbeleid. Een goed ontworpen organisatie-eenheidsstructuur kan bijvoorbeeld voorkomen dat bepaalde GPO's worden gedupliceerd, zodat u deze GPO's kunt toepassen op verschillende onderdelen van de organisatie. Maak indien mogelijk OE's voor het delegeren van beheerinstanties en om groepsbeleid te implementeren.
OU-ontwerp vereist een balans tussen vereisten voor het delegeren van beheerrechten, onafhankelijk van de eisen van groepsbeleid, en de noodzaak om de toepassing van groepsbeleid te bepalen. U kunt OE's binnen een domein maken en beheerbeheer voor specifieke organisatie-eenheden delegeren aan bepaalde gebruikers of groepen. Door een structuur te gebruiken waarin OE's homogene objecten bevatten, zoals gebruikers- of computerobjecten, maar niet beide, kunt u deze secties van een groepsbeleidsobject die niet van toepassing zijn op een bepaald type object eenvoudig uitschakelen. Deze benadering van OE-ontwerp vermindert de complexiteit en verbetert de snelheid waarmee groepsbeleid wordt toegepast. GPO's die aan de hogere lagen van de organisatie-eenheidsstructuur zijn gekoppeld, worden standaard overgenomen door OU's op de lagere lagen. Hierdoor is het minder vaak nodig om GPO's te dupliceren of een groepsbeleidsobject aan meerdere containers te koppelen.