Innledning
I vår første avdrag av dette emnet har vi sett på 5 grunner til hvorfor Group Policy kanskje ikke fungerer som den skal i miljøet. Ser tilbake på de 5 grunner utsatt noen viktige faktorer om gruppepolicy. Først avhengig Group Policy på riktig autentisering gjennom DNS til domenekontrollere, bruker Kerberos for godkjenningsprotokollen. Vi så også på begrepet omfanget av ledelse, som lett kan bryte Group Policy hvis ikke riktig konfigurert. Til slutt, og pass på at riktig objekt type setting (bruker eller datamaskin) er satt til å matche objekttypen du kontrollerer er uvurderlig. Nå skal vi gå videre til å diskutere flere årsaker til at gruppepolicy kanskje ikke fungerer som den skal i miljøet.
6. GPO innstilling blir kontrollert av GPO med høyere presedens
Group Policy er komplisert og kan bli forverret ved å legge til et mangfold av GPOer på ulike nivåer innenfor AD. Jeg sier ikke det er ikke vanlig å ha GPOer på ulike nivåer i AD, bare sier at det kan være komplisert. Det er en prioritet på GPOer innenfor AD, inkludert den lokale GPO. Tatt i betraktning at det kan være en GPO knyttet til området, domenet, og organisatoriske enheter i AD, er forrang oppsummert av LSDOU. Lokal GPO har den svakeste forrang, språk knyttet GPOer er neste, domene knyttet GPOer er neste, med OU knyttet GPOer ha høyest prioritet.
Så anta at det er en GPO knyttet til domenet som setter kommandoen Kjør ut av startmenyen til funksjonshemmede, der en annen GPO knyttet til OU nivå sette samme Kjør kommando til Aktivert …. GPO knyttet til OU vil “ vinne ” og brukeren i OU der GPO er knyttet vil ha Kjør-kommandoen politikk satt til Aktivert. (Innstillingen jeg henviser til er “ Ta kommandoen Kjør … ”. Så Kjør ut av Start-menyen vil bli fjernet
Dette forrang må vurderes for hver GPO innstilling, så det kan bare . bli en innstilling skje når alle GPOer og innstillingene er evaluert rsop.msc (Resulterende Regler) kommandoen på målmaskinen vil indikere hvilken innstilling “ won ” og som GPO den kom fra, som kan sees i Figur 1.
Figur 1: rsop.msc indikerer de resulterende GPO innstillinger og hvorfra GPO innstillingen kom fra
Merk:. Når du setter opp “ lister og rdquo; i en GPO omgivelser, slik som brukerrettigheter, begrensede grupper, etc., vil disse listene ikke akkumuleres, men heller blir sett på som en komplett liste på hvert nivå. så hvis GPO på domene viser to oppføringer for innstillingen og GPO på OU lister en oppføring for innstillingen, vil kun én oppføring ende opp for innstillingen, ikke tre.
7. Security Filtering er ikke riktig konfigurert på GPO
som en Group Policy MVP jeg synes at visse aspekter av GPOer er mer komplisert enn andre. En av de mest kompliserte aspekter av GPOer er begrepet sikkerhetsfiltrering. Sikkerhet filtrering er egentlig ikke noe mer enn tilgangskontrollisten (ACL) på GPO. Imidlertid virker det mer komplisert på grunn av utviklingen av innstillingen grensesnitt, kompleksiteten av det som er listet opp, og hva en GPO kan gjelde for, samt minimumskrav for ACL å motta innstillingene.
Først , grensesnittet for denne innstillingen i GPMC masker hva minimums ACL-innstillinger må være. Du kan se grensesnitt for sikkerhetsfiltrering i Figur 2. Du kan se den fastslår at bare brukere, datamaskiner og grupper i listen kan motta GPO innstillinger
Figur 2:. Sikkerhet Filtrering grensesnitt og konfigurasjon for en GPO hjelp av GPMC.
Når du legger til en bruker, datamaskin eller gruppe til dette du er i hovedsak legger til at objektet til ACL for GPO og gi objektet Les og Apply Group policy tillatelser, noe som kan ses i figur 3.
Figur 3:. Detaljert sikkerhetsfiltrering for en GPO
for å komme til grafisk vist i figur 3, må du være innenfor GPMC, noe som sikrer GPO som du ønsker å se detaljene for er valgt. I stedet for å velge kategorien Scope, som er det du ser i figur 3, velg kategorien delegasjon. Kategorien Delegering viser egenskapene til objekt definert av GPMC. Du bør se gruppen Godkjente brukere på en standard GPO. Nå som du ser Godkjente brukere-gruppen i kategorien Delegering velger du Avansert-knappen i nedre høyre hjørne. Dette vil vise sikkerhetsinnstillingene for GPO. Sørg for at du velger gruppen Godkjente brukere, som vil vise det samme resultatet du ser i Figur 3.
For det andre legger merke til hva detalj sikkerhetsfiltrering er for et GPO. Det er riktig, det er Godkjente brukere. Jeg får ofte tilbakemeldinger fra administratorer som Godkjente brukere bare inkluderer brukerkontoer. Det er ikke riktig. Godkjente brukere omfatter alle godkjente objekt til Active Directory, som inkluderer alle domenebrukere, grupper (definert og en del av AD), og datamaskiner som er knyttet til domenet.
For det tredje, selv om sikkerhetsfiltrering ruten sier at det gjelder for brukere, datamaskiner og grupper som er oppført, det er ikke helt sant. Husker fra vår første artikkel som GPOer kan bare gjelde for brukere og datamaskiner. Når en gruppe er oppført, er det bare å gruppere brukere og /eller grupper i stedet for å føre dem individuelt. Brukeren og /eller datamaskinen må fortsatt være under omfanget av ledelse for å få innstillingen definert i GPO. Dette betyr at brukeren og /eller datamaskin må være i gruppen er oppført på sikkerhetsfiltrering listen, samt være i OU (hvis GPO er knyttet til OU), for å få den innstilling som er definert i GPO.
Sammendrag
fra denne artikkelen, kan du se at forrang og tillatelser (sikkerhetsfiltrering) kan føre til dramatiske problemer med resultatene av GPO innstillinger som du prøver å formidle på brukere og datamaskiner. Aldri glemme det grunnleggende Group Policy, som er avgjørende for feilsøking hva som går galt med Group Policy. For forrang, må du være i stand til å fastslå om noen innstillinger er satt i flere GPOer, og deretter bestemme hvilken GPO har høyere prioritet. For sikkerhetsfiltrering, bare sørg for at korrekt brukernavn, datamaskin eller gruppe (gruppe foretrekkes) er notert på sikkerhetsfiltrering ruten. Så, også sørge for at brukeren og /eller datamaskinen er under omfanget av ledelse, noe som vil sikre objektet vil motta innstillingen i GPO knyttet til at AD node.