Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Zasady grupy umożliwiają konfigurowanie i zarządzanie ustawieniami ustawień użytkownika i komputera na komputerach z systemami operacyjnymi Windows Server i Windows Client. Oprócz używania zasad grupy do definiowania konfiguracji dla grup użytkowników i komputerów klienckich, można również użyć zasad grupy, aby ułatwić zarządzanie komputerami serwerów, konfigurując wiele ustawień operacyjnych i zabezpieczeń specyficznych dla serwera.
Co to są zasady grupy
Zasady grupy mogą reprezentować ustawienia zasad w lokalnym systemie plików lub w usługach domenowych Active Directory (AD DS). W przypadku użycia z usługą Active Directory (AD) ustawienia zasad grupy są zawarte w obiekcie zasad grupy (GPO). Obiekt zasad grupy to wirtualna kolekcja ustawień zasad, uprawnień zabezpieczeń i zakresu zarządzania (SOM), które można zastosować do użytkowników i komputerów w systemie AD. Obiekt zasad grupy składa się z dwóch głównych składników: kontenera zasad grupy i szablonu zasad grupy. Kontener zasad grupy jest przechowywany w partycji domeny usługi Active Directory, podczas gdy szablon zasad grupy znajduje się w folderze SYSVOL na każdym kontrolerze domeny (DC).
Te składniki są replikowane między kontrolerami domen (DCs) za pośrednictwem replikacji usługi AD i usługi replikacji plików (FRS) lub rozproszonej replikacji systemu plików (DFSR).
Obiekty zasad grupy obejmują konfiguracje zarówno dla ustawień komputera, jak i użytkownika. Konfiguracje komputerów są stosowane w całym systemie i zarządzają ustawieniami, takimi jak zarządzanie energią i reguły zapory sieciowej. Konfiguracje użytkowników mają wpływ tylko na bieżącego użytkownika z opcjami, takimi jak ustawienia programu Internet Explorer i przekierowanie folderu. Obiekty zasad grupy (GPO) mogą być połączone z różnymi poziomami w hierarchii AD, takimi jak lokalizacje, domeny i jednostki organizacyjne (OU), co definiuje ich zakres zastosowania.
Ustawienia zasad są stosowane podczas uruchamiania komputera i logowania użytkownika. Usługa zasad grupy określa odpowiednie obiekty zasad grupy, wysyłając zapytanie do Active Directory na podstawie członkostwa w lokacji, domenie i jednostkach organizacyjnych. A Client-side extension (CSE) applies the specific settings dictated by the GPOs, managing tasks like registry updates and security configurations. Ustawienia zasad są stosowane do komputerów podczas uruchamiania i do użytkowników podczas logowania. Po uruchomieniu komputera usługa Zasad grupy sprawdza Active Directory w celu określenia, które GPO są połączone i mają zastosowanie do obiektu komputerowego, w tym:
Lokacja, w której znajduje się komputer.
Domena, do której należy komputer.
Nadrzędna jednostka organizacyjna, do której komputer należy bezpośrednio, a także wszystkie jednostki organizacyjne znajdujące się wyżej.
Preferencje zasad grupy oferują podobne możliwości zarządzania co standardowe zasady grupy i są zarządzane w ten sam sposób. Administratorzy mogą tworzyć i zarządzać obiektami zasad grupy przy użyciu edytora lokalnych zasad grupy (gpedit.msc) dla ustawień lokalnych lub edytora obiektów zasad grupy w przystawce programu MMC związanej z usługą AD dla ustawień dotyczących domeny. Każdy obiekt zasad grupy ma unikatowy identyfikator globalny (GUID) i podąża za hierarchiczną strukturą usługi Active Directory w celu oceny zasad. Dokładne zrozumienie sposobu tworzenia, modyfikowania i łączenia obiektów zasad grupy w usłudze Active Directory (AD) jest niezbędne do efektywnego zarządzania zasadami. Zasady grupy są przechowywane zarówno w usłudze Active Directory, jak i folderze SYSVOL na każdym kontrolerze domeny, umożliwiając scentralizowane administrowanie i wymuszanie polityk.
Client-side extensions
CsE zasad grupy jest izolowanym składnikiem odpowiedzialnym za przetwarzanie określonych ustawień zasad dostarczanych przez infrastrukturę zasad grupy. Każde CSE zarządza danymi zasad i przechowuje je we własnym formacie, niezależnie od infrastruktury zasad grupy, która nie interpretuje szczegółów tych danych ani nie zarządza nimi. Podstawową funkcją zasad grupy jest dostarczanie ustawień do komputera, gdzie każdy CSE stosuje jego część ustawień zasad z wielu obiektów zasad grupy.
Wyobraź sobie infrastrukturę zasad grupy jako system biblioteczny. System biblioteki zarządza i dostarcza książki (lub dane) do różnych gałęzi (komputerów). Biblioteka nie musi rozumieć zawartości każdej książki; to po prostu zapewnia, że prawidłowa książka dostaje się do właściwej gałęzi. W tej analogii usługa polityki grupy jest jak system bibliotek, dostarczając książki bez znajomości ich zawartości. Różne ustawienia zasad są podobne do różnych gatunków lub kolekcji książek. Grupowa CSE reprezentuje bibliotekarza w każdym oddziale, który wie, jak zarządzać swoją kolekcją. Podobnie jak każdy bibliotekarz jest wyposażony w zarządzanie kolekcją, każdy CSE odczytuje informacje o określonym ustawieniu zasad i wykonuje akcje na podstawie tego, co znajduje w tych ustawieniach.
Jak działają zasady grupy
W przypadku komputerów zasady grupy są stosowane podczas uruchamiania komputera. W przypadku użytkowników zasady grupy są stosowane podczas logowania. To wstępne przetwarzanie zasad może być również określane jako polityka pierwszoplanowa.
Pierwszoplanowa aplikacja zasad grupy może być synchroniczna lub asynchroniczna. W trybie synchronicznym komputer nie kończy uruchamiania systemu, dopóki polityki komputera nie zostaną pomyślnie zastosowane. Proces logowania użytkownika nie zostanie ukończony, dopóki zasady użytkownika nie zostaną zastosowane pomyślnie. W trybie asynchronicznym, jeśli nie ma żadnych zmian zasad wymagających synchronicznego przetwarzania, komputer może ukończyć sekwencję uruchamiania przed ukończeniem stosowania zasad komputera. Powłoka może być dostępna dla użytkownika przed ukończeniem stosowania zasad użytkownika. Następnie system okresowo stosuje (odświeża) zasady grupy w tle. Podczas odświeżania ustawienia zasad są stosowane asynchronicznie.
Aby dowiedzieć się więcej o sposobie działania zasad grupy, zobacz Przetwarzanie zasad grupy.
Co to jest jednostka organizacyjna (OU)
Jednostka organizacyjna jest najniższym kontenerem usługi AD, do którego można przypisać ustawienia zasad grupy. Zazwyczaj większość obiektów zasad grupy przypisuje się na poziomie jednostki organizacyjnej, dlatego upewnij się, że struktura twojej jednostki organizacyjnej wspiera strategię zarządzania klientami opartą na zasadach grupy. Możesz również zastosować niektóre ustawienia zasad grupy na poziomie domeny, szczególnie zasady haseł. Na poziomie witryny zastosowano kilka ustawień polityki. Dobrze zaprojektowana struktura jednostki organizacyjnej, która odzwierciedla strukturę administracyjną organizacji i wykorzystuje dziedziczenie zasad grupowych, upraszcza stosowanie polityki grupowej. Na przykład dobrze zaprojektowana struktura jednostki organizacyjnej może zapobiec duplikowaniu niektórych obiektów zasad grupy, aby można było zastosować te obiekty zasad grupy do różnych części organizacji. Jeśli to możliwe, utwórz jednostki organizacyjne, aby delegować uprawnienia administracyjne i ułatwić implementowanie Zasad grupy.
Projektowanie jednostki organizacyjnej wymaga zrównoważenia potrzeb dotyczących delegowania uprawnień administracyjnych niezależnie od wymagań dotyczących zasad grupy, oraz konieczności ustalania zakresu stosowania tych zasad. Jednostki organizacyjne można utworzyć w domenie i delegować kontrolę administracyjną dla określonych jednostek organizacyjnych dla określonych użytkowników lub grup. Korzystając ze struktury, w której jednostki organizacyjne zawierają homogeniczne obiekty, takie jak obiekty użytkownika lub komputera, ale nie oba, można łatwo wyłączyć te sekcje obiektu zasad grupy, które nie mają zastosowania do określonego typu obiektu. Takie podejście do projektowania jednostek organizacyjnych zmniejsza złożoność i poprawia szybkość wdrażania zasad grupowych. Obiekty zasad grupy połączone z wyższymi poziomami struktury jednostki organizacyjnej są domyślnie dziedziczone przez jednostki organizacyjne na niższych poziomach, co zmniejsza potrzebę duplikowania obiektów zasad grupy lub łączenia obiektu zasad grupy z wieloma kontenerami.