Udostępnij za pośrednictwem

Przewodnik uzupełniający po sieciach podstawowych: wdrażanie zasad grupy

  • Artykuł

 

Dotyczy: Windows Server 2012

Jest to przewodnik uzupełniający do Przewodnika po sieciach podstawowych systemu Windows Server® 2012, który jest dostępny do pobrania w formacie programu Microsoft Office Word w Centrum pobierania Microsoft (https://go.microsoft.com/fwlink/?LinkId=255199) i w formacie HTML w bibliotece technicznej systemu Windows Server 2012 (https://technet.microsoft.com/library/hh911995.aspx).

W Przewodniku po sieciach podstawowych systemu Windows Server 2012 zamieszczono instrukcje planowania i wdrażania najważniejszych składników niezbędnych do utworzenia w pełni funkcjonalnej sieci i nowej domeny usługi Active Directory w nowym lesie.

W tym przewodniku objaśniono sposób tworzenia sieci podstawowych, dostarczając instrukcji wdrażania obiektów zasad grupy (GPO) przy użyciu członkostwa w grupach, a nie jednostek organizacyjnych (OU) tworzących hierarchię domeny usługi Active Directory.

Przewodnik zawiera następujące sekcje.

Uwaga

Ten przewodnik jest dostępny w następujących lokalizacjach.

O tym przewodniku

Ten przewodnik zawiera instrukcje dotyczące wdrażania ustawień zasad grupy w zestawie komputerów klienckich lub użytkowników za pomocą grup członkostwa zamiast za pomocą lokalizacji konta w hierarchii jednostek organizacyjnych domeny.

W tym przewodnik przedstawiono metodę tworzenia pojedynczej grupy członkostwa, do której można dodać konta użytkowników lub komputerów mające odbierać konfigurację za pomocą obiektów zasad grupy. Członkostwo w grupie, a nie lokalizacja konta w hierarchii jednostek organizacyjnych, określa, czy komputer otrzyma jeden z obiektów zasad grupy skojarzonych z grupą członkostwa. Ponadto są używane filtry Instrumentacji zarządzania Windows (WMI) w celu zapewnienia, że stosowany jest tylko obiekt zasad grupy z ustawieniami, które odpowiadają wersji systemu Windows uruchomionej na komputerze.

Z tą metodą wdrażania obiektów zasad grupy wiążą się dwie główne korzyści:

  • Jest całkowicie niezależna od struktury jednostek organizacyjnych domeny. Zastosowanie obiektu zasad grupy na jednym komputerze nie oznacza już przenoszenia komputerów do innej jednostki organizacyjnej lub restrukturyzacji hierarchii jednostek organizacyjnych.

  • Stosowanie lub zaprzestanie stosowania ustawień w obiekcie zasad grupy jest bardzo proste. Po prostu usuwasz konto użytkownika lub komputera z grupy członkostwa. Powoduje to usunięcie użytkownika lub komputera z zasięgu obiektu zasad grupy bez wpływu na inne obiekty zasad grupy mające zastosowanie do użytkownika lub komputera.

Ten przewodnik jest przeznaczony dla administratorów sieci i systemów, którzy postępowali zgodnie z instrukcjami w Przewodniku po sieciach podstawowych systemu Windows Server 2012 w celu wdrożenia sieci podstawowej, lub dla tych, którzy wcześniej wdrożyli podstawowe technologie uwzględnione w sieci podstawowej, w tym usługi domenowe Active Directory (AD DS), usługę DNS, protokół dynamicznej konfiguracji hosta (DHCP), protokół TCP/IP i usługę nazw internetowych systemu Windows — WINS (opcjonalnie).

Warto przejrzeć przewodniki projektowania i wdrażania dla każdej z technologii, które są używane w tym scenariuszu wdrażania. Przewodniki te mogą być pomocne w ustaleniu, czy ten scenariusz wdrażania udostępnia usługi i konfigurację, które są wymagane dla sieci organizacji.

Wymagania

Ostrzeżenie

Zalecane jest używanie metod opisanych w tym przewodniku tylko w przypadku obiektów zasad grupy, które należy wdrożyć na większości komputerów w organizacji, i tylko wtedy, gdy hierarchia jednostek organizacyjnych w domenie usługi Active Directory nie odpowiada zbyt dokładnie potrzebom wdrożeniowym tych obiektów zasad grupy. Jeśli obiekt zasad grupy jest obsługiwany przez hierarchię jednostek organizacyjnych, należy go wdrożyć, łącząc go z jednostką organizacyjną najniższego poziomu zawierającą wszystkie konta, do których ten obiekt będzie się odnosić.

W wyniku użycia tej metody w środowisku dużego przedsiębiorstwa z setkami lub tysiącami obiektów zasad grupy konta użytkowników lub komputerów mogą stać się członkami nadmiernej liczby grup. To z kolei może spowodować problemy z łącznością sieciową, gdy zostaną przekroczone limity protokołów sieci. Aby uzyskać więcej informacji na temat problemów związanych z członkostwem w nadmiernej liczbie grup, zobacz następujące artykuły z bazy wiedzy Microsoft Knowledge Base:

Poniżej przedstawiono wymagania dotyczące użycia zasad grupy:

  • Do wdrożenia zasad grupy konieczny jest kontroler domeny usługi Active Directory hostujący domenę i komputery przyłączone do domeny.

  • Aby konfigurować obiekty zasad grupy, tworzyć grupy członkostwa i przypisywać do nich elementy członkowskie, niezbędne jest zalogowanie się jako członek grupy Administratorzy domeny.

Informacje, których nie ma w tym przewodniku

Ten przewodnik nie zawiera szczegółowych instrukcji dotyczących projektowania i wdrażania infrastruktury zasad grupy przy użyciu usług AD DS. Zalecane jest przejrzenie dokumentacji usług AD DS i zasad grupy przed wdrożeniem technologii z tego przewodnika. Aby uzyskać więcej informacji, zobacz temat Dodatkowe zasoby.

Omówienie technologii zasad grupy

Zasady grupy to technologia zarządzania, która umożliwia użytkownikom spójny dostęp do aplikacji, ustawień aplikacji, profilów użytkowników mobilnych i danych użytkowników z dowolnego komputera zarządzanego, nawet jeśli nie mają połączenia z siecią. Ustawienia zasad grupy są zawarte w obiektach zasad grupy, które są połączone z lokacjami, domenami lub jednostkami organizacyjnymi w domenie usługi Active Directory. Ustawienia w obrębie obiektów zasad grupy są następnie sprawdzane i stosowane przez docelowe komputery i użytkowników. Zasady grupy to jeden z głównych powodów wdrażania usług domenowych Active Directory (AD DS), za względu na możliwość zarządzania obiektami użytkowników i komputerów.

Większość administratorów kojarzy wdrożenie obiektu zasad grupy z hierarchią jednostek organizacyjnych domeny usługi Active Directory. Obiekt zasad grupy można połączyć z jednostką organizacyjną i wówczas wszystkie komputery oraz użytkownicy w tej jednostce organizacyjnej lub jednym z jej obiektów zależnych będą odbierać i stosować te zasady. Domena usługi Active Directory może jednak zawierać tylko pojedynczą hierarchię jednostek organizacyjnych, a konta komputerów i użytkowników mogą być umieszczane tylko w jednej jednostce organizacyjnej. Z tego powodu zdarza się, że hierarchia jednostek organizacyjnych, która jest odpowiednia przy rozwiązywaniu jednego problemu, nie sprawdza się w innej sytuacji. Na przykład wiele organizacji projektuje hierarchię jednostek organizacyjnych do obsługi delegowania administracji. Konta komputerów i użytkowników są umieszczane w jednostkach organizacyjnych, za które jest odpowiedzialny zespół informatyczny. Po udzieleniu uprawnień administracyjnych zespołowi informatycznemu w kontenerze jednostki organizacyjnej może on zarządzać komputerami i użytkownikami, którzy mają konta w jednostce organizacyjnej. Ta sama hierarchia może być nieefektywna w przypadku wdrażania ustawień zasad grupy, które mają wpływ na komputery w całej organizacji, na przykład podczas wdrażania ustawień protokołu IPsec na potrzeby scenariuszy izolacji serwera i domeny.

Ponadto konfigurowanie jednej wersji systemu Windows może wymagać odmiennego ustawienia zasad niż używane w innej wersji systemu Windows. Na przykład reguły protokołu IPsec w systemach Windows Server 2012, Windows Server 2008, Windows 8, Windows 7 i Windows Vista są zarządzane przez inną część obiektu zasad grupy niż reguły protokołu IPsec dla systemu Windows Server 2003 i wcześniejszych wersji systemu Windows. Oznacza to, że można mieć sześć oddzielnych obiektów zasad grupy, z których wszystkie spełniają tę samą funkcję, ale każdy dla innego systemu: Windows Server 2012, Windows Server 2008, Windows Server 2003, Windows 8, Windows 7 i Windows Vista. Obiekt zasad grupy systemu Windows Server 2003 ma również zastosowanie do wcześniejszych wersji systemu Windows.