У овом ћемо чланку покушати анализирати типичне разлоге због којих се групна политика не може примијенити на организацијску јединицу (ОУ) или на одређени рачунар / корисника. Мислим да ће овај чланак бити користан и почетницима и професионалцима АД Гроуп Полици да разумеју како раде и архитектуру ГПО-а. Прво, у чланку ћу говорити о могућим проблемима примене ГПО-а који се односе на подешавања самих полиса на нивоу домена, а не о проблему коришћења ГПО-а на клијентима. Скоро сва подешавања описана у чланку изводе се на конзоли уређивача домена групне политике - конзоли за управљање групним политикама (ГПМЦ.мсц).
Садржај:
- Опсег ГПО-а
- ГПО безбедносни филтер
- ВМИ ГПО филтери
- Статус групне политике
- Делегација ГПО-а
- Наслеђивање групних политика
- Провођење опсега и групних политика (ЛСДОУ)
- ГПО веза је омогућена
- Закључавање групне политике
- ГПО дијагностика на страни клијента
Опсег ГПО-а
Ако се неко подешавање политике не примењује на клијенту, проверите обим Групне политике. Ако у секцији постављате параметар Конфигурација рачунара (Конфигурација рачунара), тада ваша групна политика мора бити везана за ОУ помоћу рачунара. Према томе, ако се може подесити параметар на који се односи Корисничка конфигурација (Корисничка конфигурација).
Проверите и да ли је објекат на који покушавате да примените у правилном ОУ са рачунаром или корисницима. Можете да претражите по домену. ОУ у којем се објект налази налази се на картици Објецт у АДУЦ конзоли.
Односно, циљ се мора налазити у ОУ коме је политика додељена (или у угнезђеном спремнику).
ГПО безбедносни филтер
Проверите вредност сигурносног филтра смерница (Сигурносно филтрирање) Подразумевано, сви нови ГПО-ови домена имају дозволе за „Аутентични корисници". Ова група укључује све кориснике и рачунаре домена. То значи да ће се ова политика применити на све кориснике и рачунаре који спадају у њен домет..
Ако одлучите да промените овај безбедносни филтер тако да се правило примењује само на чланове одређене безбедносне групе домена (или одређене кориснике / рачунаре) брисањем групе Аутентификовани корисници, уверите се да је циљни објект (корисник или рачунар) додан у ову АД групу. Такође проверите да ли за групу коју сте додали у Сигурносно филтрирање на ГПО картици -> Делегација -> Напредна листа дозвола садржи права Прочитајте и Примените групну политику са ауторитетом Пријавите се.
Ако користите нестандардне безбедносне филтере политике, проверите да нема изричите забране употребе ГПО-а за циљне групе (Забрани).
ВМИ ГПО филтери
У групним политикама можете користити посебне ВМИ филтере. Ово вам омогућава да примените политику на рачунаре на основу неког ВМИ захтева. На пример, можемо да створимо ВМИ ГПО филтер да применимо смернице само на рачунаре са одређеном верзијом Виндовса, на ПЦ на одређеној ИП подмрежи, само на лаптоп рачунаре, итд..
Када користите филтере ВМИ Гроуп Полици, морате да проверите исправност ВМИ захтева, који бира само оне системе који су вам потребни и циљни рачунари нису искључени. Можете тестирати ВМИ филтер на рачунарима путем ПоверСхелл-а
гвми -Куери 'селецт * фром Вин32_ОператингСистем где верзија попут "10.%" и ПродуцтТипе = "1"'
Ако захтев врати било који податак, тада ће се ВМИ филтер применити на овај рачунар.
Статус групне политике
Проверите статус групних полиса тако што ћете отворити картицу ГПМЦ.мсц у својствима картице смерница Детаљи. Обратите пажњу на вредност на терену ГПО статус.
Као што видите, доступне су 4 опције:
- Сва подешавања су онемогућена - сва подешавања смерница су онемогућена (није применљиво);
- Подешавања конфигурације рачунара су онемогућена - подешавања из ГПО поставки рачунара се не примењују;
- Корисничке поставке конфигурације су онемогућене - подешавања прилагођених смерница се не примењују;
- Омогућено - сва подешавања смерница важе за АД циљеве (подразумевана вредност).
Делегација ГПО-а
На картици смерница Делегација Дозвола која су конфигурисана за ову групну политику су наведена. Овде можете видети које групе имају право да мењају ГПО поставке, као и да омогуће или онемогуће примену политике. Права за управљање ГПО-ом можете дати са ове конзоле или помоћу чаробњака за делегирање у АДУЦ-у. Поред тога, присуство приступног низа за Ентерприсе Домаин Цонтроллерс одређује способност копирања ове политике између контролера домена Ацтиве Дирецтори (то треба имати на уму ако постоје проблеми са репликацијом политике између ДЦ-а). Имајте на уму да права на картици Делегација одговарају НТФС правима додијељеним директоријума политика у мапи СИСВОЛ
Наслеђивање групних политика
Насљеђивање је један од основних концепата групних политика. Правила највишег нивоа примењују се подразумевано на све угнијежђене објекте у хијерархији домена. Међутим, администратор може блокирати примену свих наслеђених полиса на одређени ОУ. Да бисте то учинили, на ГПМЦ конзоли кликните РМБ на ОУ и одаберите ставку менија Блокирање насљеђивања.
Организационе јединице са наследјем полиса са инвалидитетом појављују се на конзоли са плавим ускличником.
Ако се полиса не примењује на клијенту, проверите да ли је у ОУ са онемогућеним наследством.
Имајте на уму да су смернице домена за које су својства „Извршен“, Примените чак и на ОУ са онемогућеним наслеђивањем (наслеђене смернице које се односе на спремник доступне су на картици Наслеђивање групних политика).
Провођење опсега и групних политика (ЛСДОУ)
Да бисте запамтили функције примене групних смерница у домену, морате да запамтите скраћеницу Лсдоу. Ова скраћеница вам омогућава да запамтите редослед примене ГПО:
- Локалне рачунарске политике (Локално) конфигурисани преко гпедит.мсц (ако су погрешно конфигурисани, можете их ресетовати);
- Правила групе на нивоу веб локације (Сајт);
- Правила групе на нивоу домена (Домен);
- Политика групе организационих јединица (Организациона јединица).
Недавни политичари имају највећи приоритет. И.е. ако сте омогућили одређени Виндовс параметар на нивоу смерница домена, али на циљном ОУ, овај је параметар онемогућен другом политиком - то значи да ће жељени параметар бити онемогућен на клијенту (победиће најближа политика објекту у АД хијерархији).
Када користите параметар Присилно ГПО побеђује, политика је виша у хијерархији домена (на пример, када је Форцед омогућен у подразумеваној политици домена, он осваја против свих осталих ГПО-а).
Поред тога, администратор може променити редослед политика обраде (Линк Ордер) у ГПМЦ-у. Да бисте то учинили, одаберите ОУ и идите на картицу Повезани објекти групне политике. Листа садржи листу ГПО-а који се примењују на овај ОУ са приоритетом. Политике се обрађују обрнутим редоследом (одоздо према горе). То значи политика са Линк Ордер 1 биће извршен последњи. Можете да промените ГПО приоритет коришћењем стрелица у левом колону померањем га изнад или ниже на листи.
ГПО веза је омогућена
За сваки ГПО који је везан за АД организацијски спремник можете омогућити или онемогућити комуникацију (примењујући смернице). Да бисте то учинили, омогућите или онемогућите опцију Комуникација је омогућена (Веза је омогућена) у менију смерница. Ако је веза за полису онемогућена, њена икона постаје бледа. Када се веза прекине, полиса престаје да се примењује на клијенте, али референца на ГПО није уклоњена из хијерархије. Ову везу можете да активирате у било ком тренутку..
Закључавање групне политике
Када је омогућено Начин закључавања групних полиса (Режим обраде петље) на рачунар можете да примените подешавања која су садржана у одељку ГПО са подешавањима од стране корисника. На пример, ако примените полису на ОУ са рачунарима на којима су подешена подешавања у одељку Корисничке конфигурације, ове смернице се неће применити на корисника без коришћења. Начин обраде петље омогућен је у оквиру Конфигурација рачунара -> Административни предлошци -> Систем -> Групна политика -> Конфигуришите режим обраде петље за повратне информације групе корисника.
Ова политика има два могућа значења:
- Режим спајања - Спајање ГПО-а засновано на локацији корисника, а затим ГПО-ови везани за рачунар. У случају сукоба између политика ОУ корисника и ОУ рачунара, политика у рачунару ће имати већи приоритет. У овом режиму политика се покреће два пута, то се мора запамтити при коришћењу; пријаве за скрипте.
- Режим замене (замена) - на њега се односе само смернице додељене ОУ-у које садрже рачунар на који је корисник пријављен..
ГПО дијагностика на страни клијента
Можете дијагностицирати примену смерница на страни клијента помоћу услужних програма за евиденцију догађаја гпресулт, рсоп.мсц и Виндовс. Када користите Евент Виевер, морате да користите филтер по извору ГроупПолици (Мицрософт-Виндовс-ГроупПолици), као и у апликацијским и услужним евиденцијама -> Мицрософт -> Виндовс -> Гроуп Полици -> Оперативни.
Такође можете прочитати чланке који описују принципе дијагнозе када предуго примењујете политике на клијентима.
Закључно, желим рећи да би требало да структуру групних политика држите што једноставнију и да непотребно не креирате непотребне политике. Користите јединствену схему именовања смерница, назив ГПО-а требао би дати недвосмислено разумевање зашто је потребан.