Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Grupprincip möjliggör konfiguration och inställningshantering av användar- och datorinställningar på datorer som kör Windows Server- och Windows-klientoperativsystem. Förutom att använda grupprincip för att definiera konfigurationer för grupper av användare och klientdatorer kan du också använda grupprincip för att hantera serverdatorer genom att konfigurera många serverspecifika drift- och säkerhetsinställningar.
Vad är en grupprincip?
Grupprincip kan representera principinställningar lokalt i filsystemet eller i Active Directory Domain Services (AD DS). När de används med Active Directory (AD) finns grupprincipinställningar i ett grupprincipobjekt (GPO). Ett grupprincipobjekt (GPO) är en virtuell samling av principinställningar, säkerhetsbehörigheter och omfattning för hantering (SOM) som du kan tillämpa på användare och datorer i Active Directory (AD). Ett grupprincipobjekt består av två huvudkomponenter: grupprincipcontainern och grupprincipmallen. Gruppolicycontainern lagras i domänpartitionen av Active Directory, medan gruppolicymallen finns i SYSVOL-mappen på varje domänkontrollant (DC).
Dessa komponenter replikeras mellan domänkontrollanter via AD-replikering och antingen File Replication Service (FRS) eller distribuerad filsystemreplikering (DFSR).
Grupprincipobjekt innehåller konfigurationer för både dator- och användarinställningar. Datorkonfigurationer gäller över hela systemet och hanterar inställningar som energihantering och brandväggsregler. Användarkonfigurationer påverkar endast den aktuella användaren, med alternativ som Internet Explorer-inställningar och Mappomdirigering. Grupprincipobjekt kan länkas till olika nivåer i AD-hierarkin, till exempel platser, domäner och organisationsenheter, vilka definierar deras tillämpningsområde.
Principinställningar tillämpas vid datorstart och användarinloggning. Grupprinciptjänsten bestämmer tillämpliga grupprincipobjekt genom att köra frågor mot AD baserat på plats-, domän- och organisationsenhetsmedlemskap. Ett tillägg på klientsidan (CSE) tillämpar de specifika inställningar som bestäms av grupprincipobjekten och hanterar uppgifter som registeruppdateringar och säkerhetskonfigurationer. Principinställningar tillämpas på datorer när de startar och för användare när de loggar in. När en dator startas kontrollerar grupprinciptjänsten AD för att avgöra vilka grupprincipobjekt som är länkade och tillämpliga för datorobjektet, inklusive:
Den plats där datorn finns.
Domänen där datorn är medlem.
Den överordnade organisationsenhet som datorn är direkt medlem i och andra organisationsenheter ovanför den överordnade organisationsenheten.
Grupprincipinställningar erbjuder liknande hanteringsfunktioner som standardgruppprinciper och hanteras på samma sätt. Administratörer kan skapa och hantera grupprincipobjekt med hjälp av redigeraren för lokal grupprincip (gpedit.msc) för lokala inställningar eller redigeraren för grupprincipobjekt i en AD-relaterad MMC-snapin-modul för domänomfattande inställningar. Varje GPO har en globalt unik identifierare (GUID) och följer den hierarkiska strukturen för Active Directory (AD) vid principutvärdering. En grundlig förståelse för hur du skapar, länkar och ändrar grupppolicyobjekt inom Active Directory är väsentligt för effektiv policyhantering. Group Policy Objects (GPO) lagras i både Active Directory (AD) och SYSVOL-mappen i varje domänkontrollant, vilket underlättar central administration av och efterlevnad av principer.
Tillägg på klientsidan
En grupprincip-CSE är en isolerad komponent som ansvarar för bearbetning av specifika principinställningar som levereras av grupprincipinfrastrukturen. Varje CSE hanterar och lagrar sina principdata i sitt eget specifika format, oberoende av grupprincipinfrastrukturen, som inte tolkar eller hanterar informationen om dessa data. Grupprincipens primära funktion är att leverera inställningar till en dator, där varje CSE tillämpar sin del av principinställningarna från flera grupprincipobjekt.
Tänk dig infrastrukturen för gruppolicy som ett bibliotekssystem. Bibliotekssystemet hanterar och levererar böcker (eller data) till olika grenar (datorerna). Biblioteket behöver inte förstå innehållet i varje bok. det säkerställer helt enkelt att rätt bok kommer till rätt gren. I den här analogin är grupprinciptjänsten som bibliotekssystemet och levererar böcker utan att känna till deras innehåll. De olika principinställningarna liknar olika genrer eller samlingar av böcker. Gruppolicy CSE representerar en bibliotekarie i varje filial, som vet hur de ska hantera sin specifika samling. Precis som varje bibliotekarie är utrustad för att hantera sin samling läser varje CSE sin specifika principinställningsinformation och utför åtgärder baserat på vad den hittar i dessa inställningar.
Så här fungerar grupprincip
För datorer tillämpas grupprincip när datorn startas. För användare tillämpas grupprincip vid inloggning. Den här inledande bearbetningen av policyn kan även kallas för en förgrundspolicytillämpning.
Förgrundsapplikationen för grupprincip kan vara synkron eller asynkron. I synkront läge slutför inte datorn systemets start förrän datorpolicyn har tillämpats. Inloggningsprocessen för användaren slutförs inte förrän användarpolicyn har tillämpats korrekt. Om det inte finns några principändringar som kräver synkron bearbetning i asynkront läge kan datorn slutföra startsekvensen innan tillämpningen av datorprincipen är klar. Skalet kan vara tillgängligt för användaren innan tillämpningen av användarpolicyn har slutförts. Systemet tillämpar sedan regelbundet (uppdaterar) grupprincipen i bakgrunden. Under en uppdatering tillämpas principinställningarna asynkront.
Mer information om hur grupprinciper fungerar finns i Grupprincipbearbetning.
Vad är en organisationsenhet
En organisationsenhet är den AD-container på lägsta nivå som du kan tilldela gruppolicyinställningar till. Vanligtvis tilldelar du de flesta grupprincipobjekt på organisationsenhetsnivå, så se till att organisationsenhetens struktur stöder din grupprincipbaserade klienthanteringsstrategi. Du kan också använda vissa grupprincipinställningar på domännivå, särskilt lösenordsprinciper. Få principinställningar tillämpas på platsnivå. En väl utformad organisationsenhetsstruktur som återspeglar organisationens administrativa struktur och drar nytta av GPO-arv förenklar tillämpningen av grupprincip. En väl utformad organisationsenhetsstruktur kan till exempel förhindra duplicering av vissa grupprincipobjekt så att du kan tillämpa dessa grupprincipobjekt på olika delar av organisationen. Om möjligt, skapa organisationsenheter för att delegera administrativa rättigheter och för att implementera en gruppolicy.
Organisationsenhetsdesign kräver balanskrav för delegering av administrativa rättigheter oberoende av grupprincipbehov och behovet av att omfångsbegränsa tillämpningen av grupprincipen. Du kan skapa organisationsenheter inom en domän och delegera administrativ kontroll för specifika organisationsenheter till vissa användare eller grupper. Genom att använda en strukturering där OU:er innehåller homogena objekt, till exempel antingen användarobjekt eller datorobjekt men inte båda, kan du enkelt stänga av de delar av en GPO som inte gäller för en viss typ av objekt. Den här metoden för organisationsenhetsdesign minskar komplexiteten och förbättrar hastigheten med vilken grupprincip tillämpas. Grupprincipobjekt som är länkade till de högre lagren i organisationsenhetens struktur ärvs som standard för organisationsenheter i det lägre lagret, vilket minskar behovet av att duplicera grupprincipobjekt eller länka ett grupprincipobjekt till flera containrar.