Implementuj zakres i dziedziczenie obiektu zasad grupy

  • 7 minut

Ustawienia zasad w obiektach zasad grupy definiują konfigurację. Należy jednak określić komputery lub użytkowników, do których ma zastosowanie obiekt zasad grupy przed zmianami konfiguracji w obiekcie zasad grupy będzie miało wpływ na komputery lub użytkowników w organizacji. Jest to nazywane określeniem zakresu obiektu zasad grupy. Zakres obiektu zasad grupy to kolekcja użytkowników i komputerów, które będą stosować ustawienia w obiekcie zasad grupy.

Ważne

Zakres obiektu zasad grupy można ograniczyć, łącząc go z jednostką organizacyjną zawierającą docelowych użytkowników i komputerów.

Określanie zakresu obiektu zasad grupy

Do zarządzania zakresem obiektów zasad grupy opartych na domenie można użyć kilku metod. Pierwszy to link obiektu zasad grupy. W usługach AD DS można połączyć obiekty zasad grupy z:

  • Witryny
  • Domeny
  • Jednostki organizacyjne

Lokacja, domena lub jednostka organizacyjna staje się maksymalnym zakresem obiektu zasad grupy. Konfiguracje określone przez ustawienia zasad w obiekcie zasad grupy będą mieć wpływ na wszystkie komputery i użytkowników w lokacji, domenie lub jednostce organizacyjnej, w tym te w podrzędnych jednostkach organizacyjnych. Obiekt zasad grupy można połączyć z więcej niż jedną domeną, jednostką organizacyjną lub lokacją.

Ostrzeżenie

Łączenie obiektów zasad grupy z wieloma lokacjami w wielu lasach domeny może powodować problemy z wydajnością podczas stosowania zasad i należy unikać łączenia obiektów zasad grupy z wieloma lokacjami w tej sytuacji. Dzieje się tak dlatego, że w sieci wielu lokacjach obiekty zasad grupy są przechowywane na kontrolerach domeny w domenie, w której zostały utworzone obiekty zasad grupy. Konsekwencją tego jest to, że komputery w innych domenach mogą wymagać przejścia po wolnym łączem sieci rozległej (WAN), aby uzyskać obiekty zasad grupy.

Zakres obiektu zasad grupy można dodatkowo zawęzić przy użyciu jednego z dwóch typów filtrów omówionych w poniższej tabeli.

Filtr

Opis

Zabezpieczenia

Określają one grupy zabezpieczeń lub pojedyncze obiekty użytkowników lub komputerów, które odnoszą się do zakresu obiektu zasad grupy, ale do których obiekt zasad grupy jawnie powinien lub nie powinien mieć zastosowania.

WMI

Określają one zakres przy użyciu cech systemu, takich jak wersja systemu operacyjnego lub wolne miejsce na dysku.

Zrzut ekranu przedstawiający konsolę zarządzania zasadami grupy (Group Policy Management). Administrator wybrał GPO połączony z jednostką organizacyjną Marketing. W okienku szczegółów wyświetlane są filtr WMI o nazwie Urządzenia z systemem Windows 10 i filtr zabezpieczeń ustawiony na grupę Marketing.

Użyj filtrów zabezpieczeń i filtrów WMI, aby zawęzić lub określić zakres w początkowym zakresie utworzonym przez łącze obiektu zasad grupy. Poniżej przedstawiono przykład filtru WMI, który powoduje wyświetlenie listy komputerów z systemem Windows 10.

select * from Win32_OperatingSystem where Version like "10.%"

Kolejność przetwarzania obiektu zasad grupy

Obiekty zasad grupy, które mają zastosowanie do użytkownika, komputera lub obu tych obiektów, nie mają zastosowania jednocześnie. Obiekty zasad grupy mają zastosowanie w określonej kolejności. Ustawienia powodujące konflikt, które przetwarzają później, mogą zastąpić ustawienia, które najpierw przetwarzają.

Zasady grupy są zgodne z następującą hierarchiczną kolejnością przetwarzania:

  1. Lokalne obiekty zasad grupy.
  2. Obiekty zasad grupy połączone z witryną.
  3. Obiekty zasad grupy połączone z domeną.
  4. Obiekty zasad grupy połączone z jednostkami organizacyjnymi.
  5. Podrzędne obiekty zasad grupy połączone z jednostkami organizacyjnymi.

Ważne

W aplikacji Zasad grupy domyślna reguła polega na tym, że ostatnie zasady (najbardziej specyficzne zasady) obowiązują.

Na przykład zasady ograniczające dostęp do Panel sterowania stosowane na poziomie domeny mogą zostać odwrócone przez zasady stosowane na poziomie jednostki organizacyjnej dla obiektów zawartych w tej konkretnej jednostki organizacyjnej.

Jeśli połączysz kilka obiektów zasad grupy z jednostką organizacyjną, ich przetwarzanie odbywa się w kolejności określonej przez administratora na karcie Połączone obiekty zasad grupy jednostki organizacyjnej w konsoli zarządzania zasadami grupy. Domyślnie przetwarzanie jest włączone dla wszystkich łączy obiektu zasad grupy. Możesz wyłączyć link obiektu zasad grupy kontenera, aby całkowicie zablokować aplikację obiektu zasad grupy dla danej domeny lub jednostki organizacyjnej. Jeśli na przykład wprowadzono ostatnią zmianę obiektu zasad grupy i powoduje to problemy w środowisku produkcyjnym, możesz wyłączyć link lub linki, dopóki problem nie zostanie rozwiązany.

Uwaga / Notatka

Należy pamiętać, że jeśli obiekt zasad grupy jest połączony z innymi kontenerami, będzie on nadal przetwarzać obiekt zasad grupy, jeśli ich łącza są włączone.

Można również wyłączyć konfigurację użytkownika lub komputera określonego obiektu zasad grupy niezależnie od użytkownika lub komputera. Jeśli jedna sekcja zasad jest znana jako pusta, wyłączenie drugiej sekcji może nieznacznie przyspieszyć przetwarzanie zasad. Jeśli na przykład masz zasady, które zapewniają tylko konfigurację pulpitu użytkownika, możesz wyłączyć sekcję komputera zasad.

Dziedziczenie obiektu zasad grupy

Ustawienie zasad można skonfigurować w więcej niż jednym obiekcie zasad grupy, co może spowodować konflikt obiektów zasad grupy ze sobą. W tym przypadku pierwszeństwo obiektów zasad grupy określa, które ustawienie zasad ma zastosowanie klient. Obiekt zasad grupy o wyższym pierwszeństwie ma pierwszeństwo przed obiektem zasad grupy o niższym pierwszeństwie. Pierwszeństwo jest określane liczbowo. Każdy obiekt zasad grupy ma wartość pierwszeństwa. Im niższa liczba, tym wyższy priorytet. W związku z tym obiekt zasad grupy, który ma pierwszeństwo przed wszystkimi innymi obiektami zasad grupy.

Domyślne zachowanie zasad grupy polega na tym, że obiekty zasad grupy połączone z kontenerem wyższego poziomu są dziedziczone przez kontenery niższego poziomu. Po uruchomieniu komputera lub zalogowaniu się użytkownika Rozszerzenia klienta Zasad Grupy sprawdzają lokalizację komputera lub obiektu użytkownika w usługach AD DS i oceniają Obiekty Zasad Grupy z zakresami, które obejmują komputer lub użytkownika. Następnie rozszerzenia po stronie klienta stosują ustawienia zasad z tych obiektów zasad grupy. Zasady są stosowane sekwencyjnie, począwszy od zasad, które łączą się z witryną, a następnie tych, które łączą się z domeną, a następnie tych, które łączą się z jednostkami organizacyjnymi. To sekwencyjne zastosowanie obiektów zasad grupy tworzy efekt nazywany dziedziczeniem zasad. Zasady są dziedziczone, co oznacza, że wynikowy zestaw zasad (RSoPs) dla użytkownika lub komputera będzie skumulowanym efektem zasad lokacji, domeny i jednostki organizacyjnej.

Blokuj dziedziczenie

Można skonfigurować domenę lub jednostki organizacyjne, aby zapobiec dziedziczeniu ustawień zasad. Jest to nazywane blokowaniem dziedziczenia. Aby zablokować dziedziczenie, kliknij prawym przyciskiem myszy lub uzyskaj dostęp do menu kontekstowego dla domeny lub jednostki organizacyjnej w drzewie konsoli zarządzania zasadami grupy, a następnie wybierz pozycję Blokuj dziedziczenie.

Zrzut ekranu przedstawiający menu kontekstowe jednostki organizacyjnej Marketing w konsoli Zarządzania Zasadami Grupy. Administrator wybrał pozycję Blokuj dziedziczenie.

Opcja Blokuj dziedziczenie jest właściwością kontenera, dlatego blokuje wszystkie ustawienia zasad grupy z obiektów zasad grupy, które łączą się z elementami nadrzędnymi w hierarchii zasad grupy.

Ostrzeżenie

Użyj opcji Blokuj dziedziczenie oszczędnie, ponieważ blokowanie dziedziczenia utrudnia ocenę pierwszeństwa i dziedziczenia zasad grupy.

Wskazówka

Dzięki filtrowaniu grup zabezpieczeń można dokładnie określić zakres obiektu zasad grupy, aby był stosowany tylko do odpowiednich użytkowników i komputerów w pierwszej kolejności, co sprawia, że nie trzeba używać opcji Dziedziczenie blokowe.

Ponadto można ustawić link obiektu zasad grupy do wymuszania. Aby wymusić łącze obiektu zasad grupy, kliknij prawym przyciskiem myszy lub uzyskaj dostęp do menu kontekstowego linku obiektu zasad grupy w drzewie konsoli, a następnie wybierz pozycję Wymuszone z menu skrótów.

Zrzut ekranu przedstawiający menu kontekstowe dla GPO Ustawienia zabezpieczeń domeny firmy Contoso w konsoli zarządzania zasadami grupy. Administrator wybrał opcję Wymuszone.

Po ustawieniu linku obiektu zasad grupy do wymuszonego obiektu zasad grupy przyjmuje najwyższy poziom pierwszeństwa. Ustawienia zasad w tym obiekcie zasad grupy przeważają nad wszelkimi ustawieniami zasad powodującym konflikt w innych obiektach zasad grupy.

Ważne

Wymuszony link ma zastosowanie do kontenerów podrzędnych nawet wtedy, gdy te kontenery są ustawione na wartość Blokuj dziedziczenie. Opcja Wymuszone powoduje, że zasady mają być stosowane do wszystkich obiektów w jej zakresie.

Wymuszanie jest przydatne, gdy należy skonfigurować obiekt zasad grupy, który definiuje konfigurację, która jest wymagana przez firmowe zasady zabezpieczeń i użycia IT. W związku z tym należy upewnić się, że inne obiekty zasad grupy połączone z tymi samymi lub niższymi poziomami nie zastępują tych ustawień. Można to zrobić, wymuszając link obiektu zasad grupy.

Ocenianie pierwszeństwa

Aby ułatwić ocenę precedencji obiektów zasad grupy, możesz po prostu wybrać jednostkę organizacyjną lub domenę, a następnie wybrać kartę Dziedziczenie zasad grupy. Na tej karcie jest wyświetlana wynikowa precedencja obiektów zasad grupy, uwzględniając linki obiektów zasad grupy, kolejność linków, blokadę dziedziczenia i wymuszanie linków.

Zrzut ekranu przedstawiający konsolę zarządzania zasadami grupowymi. Administrator wybrał kartę Dziedziczenie zasad grupy dla jednostki organizacyjnej Marketing. Wyświetlane są cztery zasady, z których dwie są wymuszane z poziomu domeny.

Ważne

Ta karta nie uwzględnia zasad połączonych z witryną, zabezpieczeń obiektu zasad grupy ani filtrowania WMI.