Apa itu Kebijakan Grup dan bagaimana cara kerjanya?


31

Ini adalah Pertanyaan Canonical tentang Dasar-Dasar Kebijakan Grup Direktori Aktif

Apa itu Kebijakan Grup? Bagaimana cara kerjanya dan mengapa saya harus menggunakannya?

Catatan: Ini adalah Pertanyaan & Jawaban untuk administrator baru yang mungkin tidak terbiasa dengan fungsinya dan seberapa kuat fungsinya.


Mengapa pertanyaan ini dilindungi sementara yang lain hanya ditutup atau ditunda karena mereka dianggap "tidak ada masalah di sini"? Saya tidak mengerti.
Marki

@Marki Anda harus membaca posting meta ini . Ketika ada banyak pertanyaan "buruk" atau pemula pada suatu topik, kami sering membuat pertanyaan kanonik yang berisi sejumlah besar informasi umum tentang topik tersebut sehingga semua pertanyaan pemula atau dasar tentang suatu topik dapat ditutup sebagai duplikat dari pertanyaan kanonik.
MDMarra

Jawaban:


27

Apa itu Kebijakan Grup?

Kebijakan Grup adalah alat yang tersedia untuk administrator yang menjalankan Domain Direktori Aktif Windows 2000 atau lebih baru . Hal ini memungkinkan manajemen pengaturan terpusat pada komputer klien dan server yang bergabung dengan domain serta menyediakan cara yang belum sempurna untuk mendistribusikan perangkat lunak.

Pengaturan dikelompokkan menjadi objek yang disebut Group Policy Objects (GPOs). GPO ditautkan ke unit organisasi direktori aktif (OU) dan dapat diterapkan untuk pengguna dan komputer. GPO tidak dapat diterapkan ke grup secara langsung, meskipun Anda dapat menggunakan pemfilteran keamanan atau penargetan tingkat item untuk memfilter aplikasi kebijakan berdasarkan keanggotaan grup.

Itu keren, apa fungsinya?

Apa pun.

Serius, Anda dapat melakukan apa pun yang Anda inginkan untuk pengguna atau komputer di domain Anda. Ada ratusan pengaturan yang telah ditetapkan untuk hal-hal seperti pengalihan folder, kompleksitas kata sandi, pengaturan daya, pemetaan drive, enkripsi drive, Pembaruan Windows , dan sebagainya. Apa pun yang tidak dapat Anda konfigurasi melalui pengaturan yang ditentukan sebelumnya yang dapat Anda kontrol melalui skrip. Skrip Batch dan VBScript didukung pada semua klien yang didukung dan skrip PowerShell dapat dijalankan pada host Windows 7.

Kiat profesional: Anda benar-benar dapat menjalankan skrip startup PowerShell pada host Windows XP dan Windows Vista juga selama masih diinstal PowerShell 2.0. Anda dapat membuat file batch yang memanggil skrip dengan sintaks ini:

powershell Set-ExecutionPolicy RemoteSigned
powershell \\\\server\share\script.ps1
powershell Set-ExecutionPolicy Restricted

Baris pertama memungkinkan skrip yang tidak ditandatangani dari share jarak jauh dijalankan pada host itu dan baris kedua memanggil skrip dari file batch. Set baris ketiga mengatur kebijakan kembali ke dibatasi (default) untuk keamanan maksimum.

Bagaimana objek kebijakan grup diterapkan?

GPO diterapkan dalam urutan yang dapat diprediksi. Kebijakan lokal diterapkan terlebih dahulu. Ada kebijakan yang ditetapkan pada mesin lokal melalui gpedit.msc. Kebijakan situs diterapkan kedua. Kebijakan domain diterapkan ketiga, dan kebijakan OU diterapkan keempat. Jika suatu objek bersarang di dalam beberapa OU, maka GPO diterapkan pada OU yang terdekat dengan root.

Ingatlah bahwa jika ada konflik, GPO terakhir yang diterapkan "menang." Ini berarti, misalnya, bahwa kebijakan yang ditautkan di OU yang dihuni komputer akan menang jika ada konflik antara pengaturan di GPO itu dan yang dikaitkan di OU induk.

Script Logon dan Startup tampak keren, bagaimana cara kerjanya?

Skrip logon atau startup dapat hidup di jaringan apa pun asalkan Domain Usersdan Domain Computersgrup telah membaca akses ke share yang mereka gunakan. Secara tradisional, mereka tinggal \\domain.tld\sysvol, tetapi itu bukan keharusan.

Skrip startup dijalankan saat komputer dinyalakan. Mereka dijalankan sebagai akun SISTEM pada mesin lokal. Ini berarti mereka mengakses sumber daya jaringan sebagai akun komputer. Misalnya, jika Anda ingin skrip startup untuk memiliki akses ke sumber daya jaringan pada saham yang memiliki UNC dari \\server01\share1dan nama komputer adalah WORKSTATION01Anda akan perlu memastikan bahwa WORKSTATION01$memiliki akses untuk berbagi itu. Karena skrip ini dijalankan sebagai sistem, skrip ini dapat melakukan hal-hal seperti menginstal perangkat lunak, memodifikasi bagian istimewa registri, dan memodifikasi sebagian besar file di mesin lokal.

Skrip masuk dijalankan dalam konteks keamanan pengguna yang masuk secara lokal. Semoga pengguna Anda bukan administrator, sehingga Anda tidak akan dapat menggunakannya untuk menginstal perangkat lunak atau mengubah pengaturan registri yang dilindungi.

Skrip log masuk dan startup adalah landasan Windows 2003 dan domain sebelumnya, tetapi kegunaannya telah berkurang pada rilis Windows Server selanjutnya. Preferensi Kebijakan Grup memberi administrator cara yang jauh lebih baik untuk menangani pemetaan drive dan printer, pintasan, file, entri registri, keanggotaan grup lokal, dan banyak hal lain yang hanya dapat dilakukan dalam skrip startup atau logon. Jika Anda berpikir bahwa Anda mungkin perlu menggunakan skrip untuk tugas sederhana, mungkin ada Kebijakan Grup atau preferensi untuk itu. Saat ini di domain dengan klien Windows 7 (atau lebih baru), hanya tugas kompleks yang memerlukan skrip startup atau logon.

Saya menemukan GPO keren, tetapi ini berlaku untuk pengguna, saya ingin ini berlaku untuk komputer!

Ya aku tahu. Aku pernah disana. Ini sangat lazim di laboratorium akademik atau skenario komputer bersama lainnya di mana Anda ingin beberapa kebijakan pengguna untuk printer atau sumber daya serupa didasarkan pada komputer, bukan pengguna. Coba tebak, Anda beruntung! Anda ingin mengaktifkan pengaturan GPO untuk Mode Loopback Kebijakan Grup .

Sama-sama.

Anda bilang saya bisa menggunakan ini untuk menginstal perangkat lunak, kan?

Yap, kamu bisa. Namun ada beberapa peringatan. Perangkat lunak harus dalam format MSI , dan modifikasi apa pun harus dalam file MST . Anda dapat membuat MST dengan perangkat lunak seperti ORCA atau editor MSI lainnya. Jika Anda tidak melakukan transformasi, hasil akhir Anda akan sama dengan berjalanmsiexec /i <path to software> /q

Perangkat lunak ini juga hanya diinstal saat startup, jadi ini bukan cara yang sangat cepat untuk mendistribusikan perangkat lunak, tetapi gratis. Dalam lingkungan lab beranggaran rendah, saya telah membuat tugas terjadwal (via GPO) yang akan mem-boot ulang setiap komputer lab pada tengah malam dengan offset 30 menit acak. Ini akan memastikan bahwa perangkat lunak, maksimal, satu hari kedaluwarsa di lab-lab tersebut. Tetap saja, perangkat lunak seperti SCCM , LANDesk , Altaris , atau apa pun yang dapat "mendorong" perangkat lunak berdasarkan permintaan lebih disukai.

Seberapa sering itu diterapkan?

Klien menyegarkan Objek Kebijakan Grup mereka setiap 90 menit dengan pengacakan 30 menit. Itu berarti, secara default, bisa menunggu hingga 120 menit. Juga, beberapa pengaturan, seperti pemetaan drive, pengalihan folder, dan preferensi file, hanya diterapkan pada startup atau masuk. Kebijakan Grup dimaksudkan untuk manajemen jangka panjang yang terencana, bukan untuk situasi perbaikan cepat instan.

Pengontrol Domain menyegarkan kebijakan mereka setiap lima menit.


3
Sekali lagi, kerja bagus. Mungkin ingin menautkan ke halaman ini dari QA AD epik Anda juga.
EEAA

1
Terima kasih untuk ini. Kita perlu menautkan ini (dan yang AD) dari jawaban kanonik kita.
Bart De Vos

Saya pikir yang AD ada di sana dan saya sudah mengirimkan ini untuk ditinjau dalam meta. Ini masih belum lengkap, saya berharap bisa menyelesaikannya malam ini.
MDMarra

Apakah "Altaris" merujuk ke produk tertentu dari Altaris, seperti Altiris Deployment Solution (DS)?
Peter Mortensen

1
Tautan untuk Mode Loopback Kebijakan Grup pengalihan ke " Unduh Konten yang Telah Diturunkan Windows Server 2003 R2 "; mungkin itu harus diperbarui ke link ini (atau serupa): technet.microsoft.com/en-us/library/cc978513.aspx
Pieter Geerkens

12

Catatan singkat tentang Preferensi Kebijakan Grup: Jika Anda ingin menggunakan pengaturan ini tetapi memiliki workstation Windows XP SP2 atau Windows XP SP3, ini pertama-tama harus menginstal Ekstensi Kebijakan Grup Preferensi Klien untuk Windows XP (KB943729) .

Kontainer Komputer vs Komputer OU

Ada default di Computers containerbawah root domain di Active Directory (AD), yang sering keliru untuk unit organisasi Active Directory (OU). Ini sebenarnya Container, dan BUKAN OU. Karena ini sebenarnya bukan OU, kebijakan grup tidak berlaku untuk objek dalam wadah ini. Pengecualian untuk aturan ini adalah kebijakan grup yang diterapkan di domain level. Ini akan menjadi satu-satunya kebijakan yang diterapkan pada objek di Computers container.

Secara default, objek komputer bergabung ke domain, yang tidak dipra-stage, buka Computers container.

Jadi jika Anda bertanya-tanya mengapa kebijakan Anda tidak berlaku, periksa untuk memastikan objek yang dimaksud, berada di lokasi yang benar dalam AD.

Mencadangkan GPO

Anda dapat mencadangkan GPO menggunakan Konsol Manajemen Kebijakan Grup (GPMC).

  1. Buka Manajemen Kebijakan Grup dan klik dua kali Group Policy Objectsdi hutan dan domain yang berisi objek Kebijakan Grup (GPO) yang ingin Anda buat cadangannya.
  2. Untuk mencadangkan satu GPO, klik kanan GPO, lalu klik Cadangkan. Untuk mencadangkan semua GPO di domain, klik kanan Group Policy Objectsdan klik Back Up All.
  3. Di kotak dialog Objek Kebijakan Grup Cadangan, di kotak Lokasi, masukkan jalur ke lokasi di mana Anda ingin menyimpan cadangan GPO, atau klik Browse, cari folder tempat Anda ingin menyimpan cadangan GPO ( s), dan kemudian klik OK.
  4. Di kotak Deskripsi, ketikkan deskripsi untuk GPO yang ingin Anda buat cadangannya, lalu klik Backup. Jika Anda mencadangkan beberapa GPO, deskripsi akan berlaku untuk semua GPO yang Anda cadangkan.
  5. Setelah operasi selesai, klik OK.

Yang hebat tentang membuat cadangan Kebijakan Grup, adalah bahwa ia memiliki kontrol versi bawaan. Artinya, Anda dapat menggunakan prosedur ini beberapa kali dan itu akan melacak perubahan antar kebijakan. Anda kemudian dapat mengembalikan ke versi kebijakan tertentu.

Anda bahkan bisa mengatur tugas yang dijadwalkan untuk menjalankan skrip PowerShell yang menggunakan perintah Backup-GPO untuk mengotomatiskan cadangan.

Anda tetap ingin mencadangkan (menggunakan metode pencadangan konvensional) ke folder tempat Anda membuat cadangan GPO.


3

Datang ke sini mencari skrip Powershell sederhana yang dapat Anda tambahkan ke Tugas Terjadwal untuk membuat cadangan GPO Anda? Tidak punya AGPM dari paket MDOP?

Ini dia

Yang pertama melakukan backup harian yang berputar untuk hari dalam seminggu. Anda harus membuat lintasan folder terlebih dahulu untuk setiap folder (Minggu / Senin / dll.) Saya tidak menggunakan Item-Baru karena saya pikir mengapa berurusan dengan Item-Tes dan Item-Baru setiap kali ini. folder yang benar-benar statis setelah hari 1. Anda akan membutuhkan Modul AD Powershell yang tersedia di server tempat Anda menjalankannya.

# GPOBackupScriptDayOfWeek.PS1
# This script Backup all GPOs and save it to a folder based on the day of the week
# It runs as an automated task on SERVER and we keep a one week rotation on disk


Import-Module grouppolicy 
$date = get-date
$dayofweek = $date.DayofWeek
#Remove current backup from the folder (to alleviate space issues down the road since it won't overwrite each time)
Remove-Item \\SERVER\GPO_Backup\$dayofweek\* -Recurse -Force
#Backup current GPOs to the folder
Backup-Gpo -All -Path \\SERVER\GPO_Backup\$dayofweek

Hal yang sama di sini, tapi kali ini untuk Bulanan. Sekali lagi, buat folder sebelumnya seperti Januari, Februari, dll.

# GPOBackupScript.PS1
# This script Backup all GPOs and save it to a folder each month on the first of the month
# It runs as an automated task on SERVER and we keep a one year rotation

Import-Module grouppolicy 
$month = get-date -Format MMMM
#Remove current backup from the folder (to alleviate space issues down the road since it won't overwrite each time)
Remove-Item \\SERVER\GPO_Backup\$month\* -Recurse -Force
#Backup current GPOs to the folder
Backup-Gpo -All -Path \\SERVER\GPO_Backup\$month
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.