Это канонический вопрос об основах групповой политики Active Directory

Что такое групповая политика? Как это работает и почему я должен его использовать?

_{Примечание. Это вопрос и ответ новому администратору, который может не знать, как он работает и насколько он мощный.}

Что такое групповая политика?

Групповая политика - это инструмент, который доступен администраторам под управлением Windows 2000 или более поздней версии домена Active Directory . Это позволяет централизованно управлять настройками на клиентских компьютерах и серверах, подключенных к домену, а также обеспечивает элементарный способ распространения программного обеспечения.

Параметры сгруппированы в объекты, называемые объектами групповой политики (GPO). Объекты групповой политики связаны с подразделением Active Directory и могут применяться к пользователям и компьютерам. Объекты групповой политики нельзя применять непосредственно к группам, хотя вы можете использовать фильтрацию безопасности или таргетинг на уровне элементов для фильтрации приложений политики на основе членства в группах.

Это круто, что это может сделать?

Что-нибудь.

Серьезно, вы можете делать все что угодно пользователям или компьютерам в вашем домене. Существуют сотни предустановленных настроек для таких вещей, как перенаправление папок, сложность пароля, настройки электропитания, сопоставления дисков, шифрование дисков, Центр обновления Windows и так далее. Все, что вы не можете настроить с помощью предварительно определенных настроек, вы можете контролировать с помощью сценариев. Пакетные сценарии и сценарии VBScript поддерживаются на всех поддерживаемых клиентах, а сценарии PowerShell можно запускать на хостах Windows 7.

Профессиональный совет: на самом деле вы можете запускать сценарии запуска PowerShell на хостах Windows XP и Windows Vista, если на них установлен PowerShell 2.0. Вы можете создать командный файл, который вызывает скрипт с этим синтаксисом:

powershell Set-ExecutionPolicy RemoteSigned
powershell \\\\server\share\script.ps1
powershell Set-ExecutionPolicy Restricted

Первая строка позволяет запускать неподписанные сценарии с удаленных общих ресурсов на этом хосте, а вторая строка вызывает сценарий из командного файла. Третья строка устанавливает политику обратно на ограниченную (по умолчанию) для максимальной безопасности.

Как применяются объекты групповой политики?

Объекты групповой политики применяются в предсказуемом порядке. Локальные политики применяются в первую очередь. Существуют политики, установленные на локальной машине через gpedit.msc. Правила сайта применяются вторыми. Политики домена применяются третьим, а политики OU - четвертым. Если объект вложен в несколько OU, то объекты GPO применяются в первую очередь к OU, ближайшим к корню.

Имейте в виду, что в случае конфликта последний примененный объект групповой политики «выигрывает». Это означает, например, что политика, связанная с подразделением, в котором находится компьютер, выиграет, если возникнет конфликт между настройкой в ​​этом объекте групповой политики и настройкой, связанной с родительским подразделением.

Скрипты входа и запуска кажутся классными, как они работают?

Входа в систему или запуска сценария может жить в любой сетевой ресурс до тех пор , как Domain Usersи Domain Computersгруппы имеют доступ на чтение к общему ресурсу , что они находятся на. Традиционно они проживают \\domain.tld\sysvol, но это не является обязательным требованием.

Сценарии запуска запускаются при запуске компьютера. Они запускаются как системная учетная запись на локальном компьютере. Это означает, что они получают доступ к сетевым ресурсам как учетная запись компьютера. Например, если вы хотите сценарий запуска , чтобы иметь доступ к сетевому ресурсу , на долю которого есть UNC из \\server01\share1и имя компьютера было WORKSTATION01бы вы должны убедиться , что WORKSTATION01$имел доступ к этой акции. Поскольку этот скрипт запускается как системный, он может выполнять такие вещи, как установка программного обеспечения, изменение привилегированных разделов реестра и изменение большинства файлов на локальном компьютере.

Сценарии входа в систему выполняются в контексте безопасности локально вошедшего в систему пользователя. Надеемся, что ваши пользователи не являются администраторами, так что это означает, что вы не сможете использовать их для установки программного обеспечения или изменения параметров защищенного реестра.

Сценарии входа и запуска были краеугольным камнем Windows 2003 и более ранних доменов, но их полезность снизилась в более поздних выпусках Windows Server. Предпочтения групповой политики дают администраторам гораздо лучший способ обрабатывать сопоставления дисков и принтеров, ярлыки, файлы, записи реестра, членство в локальной группе и многое другое, что можно сделать только в сценарии запуска или входа в систему. Если вы думаете, что вам может понадобиться использовать сценарий для простой задачи, возможно, вместо него есть групповая политика или предпочтение. В настоящее время в доменах с клиентами Windows 7 (или более поздними версиями) только сложные задачи требуют сценариев запуска или входа.

Я нашел классный объект групповой политики, но он относится к пользователям, я хочу, чтобы он применялся к компьютерам!

Да, знаю. Я был там. Это особенно распространено в академической лаборатории или других сценариях общего компьютера, где вы хотите, чтобы некоторые пользовательские политики для принтеров или аналогичных ресурсов основывались на компьютере, а не на пользователе. Угадай что, тебе повезло! Вы хотите включить параметр объекта групповой политики для режима обратной связи групповой политики .

Пожалуйста.

Вы сказали, что я могу использовать это для установки программного обеспечения, верно?

Да, вы можете. Однако есть некоторые предостережения. Программное обеспечение должно быть в формате MSI , а любые изменения в нем должны быть в файле MST . Вы можете создать MST с помощью программного обеспечения, такого как ORCA или любого другого редактора MSI. Если вы не сделаете преобразование, ваш конечный результат будет таким же, как запускmsiexec /i <path to software> /q

Программное обеспечение также устанавливается только при запуске, поэтому это не очень быстрый способ распространения программного обеспечения, но это бесплатно. В малобюджетной лабораторной среде я выполнил запланированное задание (через GPO), которое перезагрузит каждый лабораторный компьютер в полночь со случайным смещением в 30 минут. Это гарантирует, что программное обеспечение, как минимум, устареет в этих лабораториях на один день. Тем не менее, программное обеспечение, такое как SCCM , LANDesk , Altaris или что-либо еще, что может «подталкивать» программное обеспечение по требованию, является предпочтительным.

Как часто это применяется?

Клиенты обновляют свои объекты групповой политики каждые 90 минут с 30-минутным рандомизацией. Это означает, что по умолчанию время ожидания может составлять до 120 минут. Кроме того, некоторые параметры, такие как сопоставление дисков, перенаправление папок и параметры файлов, применяются только при запуске или входе в систему. Групповая политика предназначена для долгосрочного планового управления, а не для мгновенных быстрых решений.

Контроллеры домена обновляют свою политику каждые пять минут.

Краткое примечание о предпочтениях групповой политики. Если вы хотите использовать эти параметры, но у вас есть рабочие станции с Windows XP SP2 или Windows XP SP3, им сначала необходимо установить клиентские расширения предпочтений групповой политики для Windows XP (KB943729) .

Компьютеры Контейнер vs Компьютеры OU

В Active Directory (AD) по умолчанию существует Computers containerкорневой каталог домена , который часто ошибочно принимают за подразделение Active Directory. Это на самом деле , а не . Поскольку это на самом деле не подразделение, групповые политики не применяются к объектам в этом контейнере. Исключением из этого правила являются групповые политики, применяемые в . Это будут единственные политики, применяемые к объектам в .ContainerOUdomain levelComputers container

По умолчанию компьютерные объекты, присоединенные к домену, которые не являются предварительно подготовленными, переходят в Computers container.

Поэтому, если вам интересно, почему ваша политика не применяется, убедитесь, что рассматриваемый объект находится в правильном месте в AD.

Резервное копирование объектов групповой политики

Резервное копирование объектов групповой политики можно выполнять с помощью консоли управления групповыми политиками (GPMC).

1. Откройте Управление групповой политикой и дважды щелкните Group Policy Objectsлес и домен, содержащий объект групповой политики (GPO), для которого требуется создать резервную копию.
2. Чтобы создать резервную копию одного объекта групповой политики, щелкните его правой кнопкой мыши и выберите «Создать резервную копию». Для резервного копирования всех объектов групповой политики в домене щелкните правой кнопкой мыши Group Policy Objectsи выберите Back Up All.
3. В диалоговом окне «Объект групповой политики резервного копирования» в поле «Местоположение» введите путь к хранилищу, в котором вы хотите сохранить резервные копии объектов групповой политики, или нажмите «Обзор», найдите папку, в которой вы хотите сохранить резервную копию объекта групповой политики ( s), а затем нажмите кнопку ОК.
4. В поле «Описание» введите описание объекта групповой политики, для которого требуется создать резервную копию, и нажмите кнопку Backup. Если вы создаете резервные копии нескольких объектов групповой политики, описание будет применяться ко всем объектам резервной копии, которые вы резервируете.
5. После завершения операции нажмите ОК.

Преимущество резервного копирования групповых политик заключается в том, что он имеет встроенный контроль версий. Это означает, что вы можете использовать эту процедуру несколько раз, и она будет отслеживать изменения между политиками. Затем вы можете восстановить конкретную версию политики.

Можно даже настроить запланированное задание для запуска сценария PowerShell, который использует команду Backup-GPO для автоматизации резервного копирования.

Вы все равно хотите сделать резервную копию (используя обычный метод резервного копирования) папки, в которую вы копируете объекты групповой политики.

Пришли сюда в поисках простого скрипта Powershell, который вы можете добавить к запланированным задачам для резервного копирования ваших объектов групповой политики? У вас нет AGPM из пакета MDOP?

Ну вот.

Первый выполняет ежедневное резервное копирование на день недели. Вам нужно будет заранее создать путь к папке для каждой папки (воскресенье / понедельник и т. Д.). Я не использовал New-Item, так как понял, почему каждый раз, когда они имеют дело с Test-Item и New-Item действительно статичные папки после первого дня. Вам понадобятся модули AD Powershell, доступные на сервере, на котором вы их запускаете.

# GPOBackupScriptDayOfWeek.PS1
# This script Backup all GPOs and save it to a folder based on the day of the week
# It runs as an automated task on SERVER and we keep a one week rotation on disk


Import-Module grouppolicy 
$date = get-date
$dayofweek = $date.DayofWeek
#Remove current backup from the folder (to alleviate space issues down the road since it won't overwrite each time)
Remove-Item \\SERVER\GPO_Backup\$dayofweek\* -Recurse -Force
#Backup current GPOs to the folder
Backup-Gpo -All -Path \\SERVER\GPO_Backup\$dayofweek

То же самое и здесь, но на этот раз для Ежемесячника. Опять же, создайте папки заранее, как январь, февраль и т. Д.

# GPOBackupScript.PS1
# This script Backup all GPOs and save it to a folder each month on the first of the month
# It runs as an automated task on SERVER and we keep a one year rotation

Import-Module grouppolicy 
$month = get-date -Format MMMM
#Remove current backup from the folder (to alleviate space issues down the road since it won't overwrite each time)
Remove-Item \\SERVER\GPO_Backup\$month\* -Recurse -Force
#Backup current GPOs to the folder
Backup-Gpo -All -Path \\SERVER\GPO_Backup\$month