Frage Was ist eine Gruppenrichtlinie und wie funktioniert sie?


Das ist ein Kanonische Frage über Grundlagen der Active Directory-Gruppenrichtlinie

Was ist Gruppenrichtlinie? Wie funktioniert es und warum sollte ich es benutzen?

Hinweis: Dies ist eine Frage und Antwort für neue Administratoren, die möglicherweise nicht mit der Funktionsweise und der Leistungsfähigkeit vertraut sind.


30
2017-07-10 02:26


Ursprung


Warum wird diese Frage geschützt, während andere wie sie einfach geschlossen oder auf Eis gelegt werden, weil sie als "kein wirkliches Problem" angesehen werden? Ich verstehe es nicht. - Marki
@Marki Du solltest lesen dieser Meta-Beitrag. Wenn es viele "schlechte" oder Anfängerfragen zu einem Thema gibt, erstellen wir häufig eine kanonische Frage, die eine erhebliche Menge an allgemeinen Informationen zum Thema enthält, so dass alle Anfänger- oder Grundfragen zu einem Thema als Duplikat des Themas geschlossen werden können kanonische Frage. - MDMarra


Antworten:


Was ist Gruppenrichtlinie?

Gruppenrichtlinie ist ein Tool, das Administratoren zur Verfügung steht, die eine Windows 2000 oder später Active Directory-Domäne. Es ermöglicht die zentrale Verwaltung von Einstellungen auf Client-Computern und Servern, die mit der Domäne verbunden sind, und bietet eine rudimentäre Möglichkeit, Software zu verteilen.

Einstellungen sind in Objekten gruppiert, die als Gruppenrichtlinienobjekte (Group Policy Objects, GPOs) bezeichnet werden. Gruppenrichtlinienobjekte sind mit einem verknüpft Active Directory-Organisationseinheit (OU) und kann auf Benutzer und Computer angewendet werden. Gruppenrichtlinienobjekte können nicht direkt auf Gruppen angewendet werden, obwohl Sie sie verwenden können Sicherheitsfilterung oder Targeting auf Objektebene Richtlinienanwendung basierend auf Gruppenmitgliedschaft zu filtern.

Das ist cool, was kann es tun?

Etwas.

Im Ernst, Sie können alles tun, was Sie Benutzern oder Computern in Ihrer Domain wünschen. Es gibt Hunderte von vordefinierten Einstellungen für Dinge wie Ordnerumleitung, Passwortkomplexität, Energieeinstellungen, Laufwerkszuordnungen, Laufwerksverschlüsselung, Windows Update, und so weiter. Alles, was Sie nicht über eine vordefinierte Einstellung konfigurieren können, können Sie über Skripting steuern. Batch und VBScript Skripte werden auf allen unterstützten Clients und unterstützt Power Shell Skripte können auf Windows 7-Hosts ausgeführt werden.

Profi-Tipp: Sie können PowerShell-Startskripte auch auf Windows XP- und Windows Vista-Hosts ausführen, sofern PowerShell 2.0 installiert ist. Sie können eine Stapeldatei erstellen, die das Skript mit dieser Syntax aufruft:

powershell Set-ExecutionPolicy RemoteSigned
powershell \\\\server\share\script.ps1
powershell Set-ExecutionPolicy Restricted

Die erste Zeile ermöglicht das Ausführen nicht signierter Skripts von Remote-Freigaben auf diesem Host und die zweite Zeile das Aufrufen des Skripts aus der Batch-Datei. Der dritte Zeilensatz setzt die Richtlinie für maximale Sicherheit auf restricted (den Standardwert) zurück.

Wie werden Gruppenrichtlinienobjekte angewendet?

Gruppenrichtlinienobjekte werden in einer vorhersagbaren Reihenfolge angewendet. Lokale Richtlinien werden zuerst angewendet. Auf dem lokalen Computer sind über gpedit.msc Richtlinien definiert. Site-Richtlinien werden als zweites angewendet. Domänenrichtlinien werden drittens angewendet, und Organisationsrichtlinien werden vierter angewendet. Wenn ein Objekt in mehreren Organisationseinheiten verschachtelt ist, werden die Gruppenrichtlinienobjekte zuerst auf die Organisationseinheiten angewendet, die dem Stamm am nächsten liegen.

Beachten Sie, dass im Falle eines Konflikts die zuletzt GPO angewendet "gewinnt" Dies bedeutet beispielsweise, dass die Richtlinie, die in der Organisationseinheit verknüpft ist, in der sich ein Computer befindet, gewinnt, wenn ein Konflikt zwischen einer Einstellung in diesem Gruppenrichtlinienobjekt und einer Verknüpfung in einer übergeordneten Organisationseinheit besteht.

Logon und Startup Scripts scheinen cool, wie funktionieren diese?

Ein Anmelde - oder Startskript kann auf einer beliebigen Netzwerkfreigabe gespeichert werden, solange der Domain Usersund Domain Computers Gruppen haben Lesezugriff auf die Freigabe, auf der sie sich befinden. Traditionell wohnen sie in \\domain.tld\sysvol, aber das ist keine Voraussetzung.

Startskripte werden ausgeführt, wenn der Computer gestartet wird. Sie werden als das SYSTEM-Konto auf dem lokalen Computer ausgeführt. Dies bedeutet, dass sie auf Netzwerkressourcen als Computerkonto zugreifen. Wenn Sie beispielsweise möchten, dass ein Startskript Zugriff auf eine Netzwerkressource für eine Freigabe hat, die über die UNC von \\server01\share1 und der Name des Computers war WORKSTATION01 Das müsstest du sicherstellen WORKSTATION01$ hatte Zugriff auf diesen Anteil. Da dieses Skript als System ausgeführt wird, kann es Dinge wie die Installation von Software ausführen, privilegierte Abschnitte der Registrierung ändern und die meisten Dateien auf dem lokalen Computer ändern.

Anmeldeskripts werden im Sicherheitskontext des lokal angemeldeten Benutzers ausgeführt. Hoffentlich sind Ihre Benutzer keine Administratoren, das bedeutet, dass Sie diese nicht verwenden können, um Software zu installieren oder geschützte Registrierungseinstellungen zu ändern.

Anmelde- und Startskripts waren ein Eckpfeiler von Windows 2003- und früheren Domänen. In späteren Versionen von Windows Server wurde ihre Verwendbarkeit jedoch verringert. Mit den Gruppenrichtlinieneinstellungen können Administratoren Laufwerk- und Druckerzuordnungen, Verknüpfungen, Dateien, Registrierungseinträge, lokale Gruppenmitgliedschaften und viele andere Dinge, die nur in einem Start- oder Anmeldeskript vorgenommen werden können, besser verwalten. Wenn Sie denken, dass Sie möglicherweise ein Skript für eine einfache Aufgabe verwenden müssen, gibt es wahrscheinlich stattdessen eine Gruppenrichtlinie oder -präferenz. Auf Domänen mit Windows 7-Clients (oder höher) erfordern nur komplexe Tasks Start- oder Anmeldeskripts.

Ich habe ein cooles Gruppenrichtlinienobjekt gefunden, aber es trifft auf Benutzer zu, ich möchte, dass es auf Computer angewendet wird!

Ja ich weiß. Ich war dort. Dies ist besonders in akademischen Labor- oder anderen gemeinsam genutzten Computerszenarien der Fall, in denen einige der Benutzerrichtlinien für Drucker oder ähnliche Ressourcen auf dem Computer und nicht auf dem Benutzer basieren sollen. Rate mal, du hast Glück! Sie möchten die GPO-Einstellung für aktivieren Gruppenrichtlinien-Loopback-Modus.

Bitte.

Du hast gesagt, ich kann damit Software installieren, oder?

Ja, du kannst. Es gibt jedoch einige Vorbehalte. Die Software muss drin sein MSI Format und alle Änderungen daran müssen in einem sein MST Datei. Sie können eine MST mit Software wie machen ORCA oder einen anderen MSI-Editor. Wenn Sie keine Transformation durchführen, ist das Endergebnis dasselbe wie das Ausführen msiexec /i <path to software> /q

Die Software wird auch nur beim Start installiert, also ist es keine sehr schnelle Möglichkeit, Software zu verteilen, aber es ist kostenlos. In einer kostengünstigen Laborumgebung habe ich eine geplante Aufgabe (über GPO) ausgeführt, die jeden Laborcomputer um Mitternacht mit einem zufälligen 30-Minuten-Offset startet. Dadurch wird sichergestellt, dass die Software in diesen Labors maximal einen Tag veraltet ist. Dennoch, Software wie SCCM, LANDesk, Altaroder irgendetwas anderes, das Software nach Bedarf "pushen" kann, ist vorzuziehen.

Wie oft wird es angewendet?

Clients aktualisieren ihre Gruppenrichtlinienobjekte alle 90 Minuten mit einer 30-minütigen Randomisierung. Das bedeutet, dass standardmäßig bis zu 120 Minuten gewartet werden können. Außerdem werden einige Einstellungen wie Laufwerkszuordnungen, Ordnerumleitung und Dateieinstellungen nur beim Start oder bei der Anmeldung angewendet. Die Gruppenrichtlinie ist für eine langfristig geplante Verwaltung gedacht, nicht für sofortige Schnellkorrektursituationen.

Domänencontroller aktualisieren ihre Richtlinie alle fünf Minuten.


27
2017-07-10 02:26



Nochmal, nette Arbeit. Vielleicht möchtest du auch von deinem epischen AD QA auf diese Seite verlinken. - EEAA
Danke dafür. Wir müssen uns auf diese (und die AD) aus unseren kanonischen Antworten beziehen. - Bart De Vos
Ich denke, dass der AD einer drin ist und ich diesen zur Überprüfung in Meta eingereicht habe. Dies ist immer noch leicht unvollständig, ich hoffe, es heute Abend zu beenden. - MDMarra
Bezieht sich "Altaris" auf ein bestimmtes Produkt von Altaris wie Altiris Deployment Solution (DS)? - Peter Mortensen
Der Link für den Gruppenrichtlinien-Loopback-Modus leitet zu "Laden Sie Windows Server 2003 R2 Retired Content herunter"; vielleicht sollte es zu diesem (oder ähnlichem) Link aktualisiert werden: technet.microsoft.com/en-us/library/cc978513.aspx - Pieter Geerkens


Eine kurze Anmerkung zu den Gruppenrichtlinieneinstellungen: Wenn Sie diese Einstellungen verwenden möchten, aber über Windows XP SP2- oder Windows XP SP3-Arbeitsstationen verfügen, müssen diese zuerst installiert werden Clientseitige Erweiterungen für die Gruppenrichtlinieneinstellung für Windows XP (KB943729).

Computer Container gegen Computer OU

Es gibt einen Standard Computers container unter der Domain root in Active Directory (AD), die oft für eine Active Directory-Organisationseinheit (OE) gehalten wird. Das ist eigentlich ein Containerund ist NICHT ein OU. Da dies keine Organisationseinheit ist, gelten Gruppenrichtlinien nicht für Objekte in diesem Container. Die Ausnahmen von dieser Regel sind Gruppenrichtlinien, die auf die Anwendung angewendet werden domain level. Dies sind die einzigen Richtlinien, die auf Objekte in der Computers container.

Standardmäßig werden Computerobjekte, die der Domäne hinzugefügt wurden und die nicht vorab bereitgestellt sind, in die Computers container.

Wenn Sie sich also fragen, warum Ihre Richtlinie nicht angewendet wird, überprüfen Sie, ob sich das betreffende Objekt an der richtigen Stelle in AD befindet.

GPOs sichern

Sie können Gruppenrichtlinienobjekte mithilfe der Gruppenrichtlinien-Verwaltungskonsole (GPMC) zurücksetzen.

  1. Öffnen Sie die Gruppenrichtlinienverwaltung, und doppelklicken Sie darauf Group Policy Objects in der Gesamtstruktur und Domäne, die das Gruppenrichtlinienobjekt (Group Policy Object, GPO) enthält, das Sie sichern möchten.
  2. Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, und klicken Sie dann auf Sicherung, um ein einzelnes Gruppenrichtlinienobjekt zu sichern. Um alle Gruppenrichtlinienobjekte in der Domäne zu sichern, klicken Sie mit der rechten Maustaste Group Policy Objects und klicke Back Up All.
  3. Klicken Sie im Dialogfeld Sicherungsgruppenrichtlinienobjekt im Feld Speicherort auf Geben Sie den Pfad zu dem Speicherort ein, an dem Sie das Gruppenrichtlinienobjekt speichern möchten Backup (s), oder klicken Sie auf Durchsuchen, suchen Sie den Ordner, in dem Sie möchten Speichern Sie die GPO-Sicherungen, und klicken Sie dann auf OK.
  4. Geben Sie in das Feld Beschreibung eine Beschreibung für die Gruppenrichtlinienobjekte ein, die Sie verwenden möchte sichern und dann klicken Backup. Wenn Sie sichern Wenn Sie mehrere Gruppenrichtlinienobjekte verwenden, gilt die Beschreibung für alle Gruppenrichtlinienobjekte, die Sie sichern.
  5. Klicken Sie nach Abschluss des Vorgangs auf OK.

Das großartige an der Sicherung von Gruppenrichtlinien ist die integrierte Versionskontrolle. Das bedeutet, dass Sie diese Prozedur mehrmals verwenden können und die Änderungen zwischen den Richtlinien protokolliert werden. Sie können dann eine bestimmte Version einer Richtlinie wiederherstellen.

Sie könnten sogar eine geplante Aufgabe einrichten, um eine Power Shell Skript, das das verwendet Backup-Gruppenrichtlinienobjekt Befehl zum Automatisieren von Sicherungen.

Sie möchten dennoch (mit einer herkömmlichen Sicherungsmethode) den Ordner sichern, in dem Sie die Gruppenrichtlinienobjekte sichern.


12
2017-07-10 23:39





Sie sind hier auf der Suche nach einem einfachen Powershell-Skript, das Sie zu geplanten Aufgaben hinzufügen können, um Ihre Gruppenrichtlinienobjekte zu sichern? Haben Sie AGPM nicht aus dem MDOP-Paket?

Bitte schön.

Zuerst macht man eine rotierende tägliche Sicherung für den Wochentag. Sie müssen den Ordnerpfad für jeden Ordner im Voraus erstellen (Sonntag / Montag / etc.) Ich habe New-Item nicht verwendet, da ich dachte, warum mit einem Test-Item und New-Item jedes Mal umgehen, wenn diese sind wirklich statische Ordner nach Tag 1. Sie benötigen die AD PowerShell Module, die auf dem Server verfügbar sind, auf dem Sie es ausführen.

# GPOBackupScriptDayOfWeek.PS1
# This script Backup all GPOs and save it to a folder based on the day of the week
# It runs as an automated task on SERVER and we keep a one week rotation on disk


Import-Module grouppolicy 
$date = get-date
$dayofweek = $date.DayofWeek
#Remove current backup from the folder (to alleviate space issues down the road since it won't overwrite each time)
Remove-Item \\SERVER\GPO_Backup\$dayofweek\* -Recurse -Force
#Backup current GPOs to the folder
Backup-Gpo -All -Path \\SERVER\GPO_Backup\$dayofweek

Das gleiche hier, aber dieses Mal ist es für einen monatlichen. Erstellen Sie die Ordner erneut im Januar, Februar usw.

# GPOBackupScript.PS1
# This script Backup all GPOs and save it to a folder each month on the first of the month
# It runs as an automated task on SERVER and we keep a one year rotation

Import-Module grouppolicy 
$month = get-date -Format MMMM
#Remove current backup from the folder (to alleviate space issues down the road since it won't overwrite each time)
Remove-Item \\SERVER\GPO_Backup\$month\* -Recurse -Force
#Backup current GPOs to the folder
Backup-Gpo -All -Path \\SERVER\GPO_Backup\$month

3
2018-03-18 20:30