it-swarm.com.de

Was ist Gruppenrichtlinie und wie funktioniert sie?

Dies ist ein Canonical Question zu den Grundlagen der Active Directory-Gruppenrichtlinie

Was ist Gruppenrichtlinie? Wie funktioniert es und warum sollte ich es verwenden?

Hinweis: Dies ist eine Frage und Antwort an einen neuen Administrator, der möglicherweise nicht mit der Funktionsweise und der Leistungsfähigkeit vertraut ist.

32
MDMarra

Was ist Gruppenrichtlinie?

Gruppenrichtlinien sind ein Tool, das Administratoren zur Verfügung steht, die Windows 2000 oder höher Active Directory-Domäne ausführen. Es ermöglicht die zentralisierte Verwaltung von Einstellungen auf Clientcomputern und Servern, die mit der Domäne verbunden sind, sowie eine rudimentäre Möglichkeit zur Verteilung von Software.

Einstellungen werden in Objekten gruppiert, die als Gruppenrichtlinienobjekte (Group Policy Objects, GPOs) bezeichnet werden. Gruppenrichtlinienobjekte sind mit einer Active Directory-Organisationseinheit (Organisationseinheit) verknüpft und können auf Benutzer und Computer angewendet werden. Gruppenrichtlinienobjekte können nicht direkt auf Gruppen angewendet werden. Sie können jedoch Sicherheitsfilterung oder Targeting auf Elementebene verwenden, um Richtlinienanwendungen basierend auf Gruppen zu filtern Mitgliedschaft.

Das ist cool, was kann es tun?

Etwas.

Im Ernst, Sie können Benutzern oder Computern in Ihrer Domäne alles tun, was Sie wollen. Es gibt Hunderte von vordefinierten Einstellungen für Dinge wie Ordnerumleitung, Kennwortkomplexität, Energieeinstellungen, Laufwerkszuordnungen, Laufwerksverschlüsselung, Windows Update und so weiter. Alles, was Sie nicht über eine vordefinierte Einstellung konfigurieren können, können Sie per Skript steuern. Batch- und VBScript Skripte werden auf allen unterstützten Clients unterstützt und PowerShell Skripte können auf Windows 7-Hosts ausgeführt werden.

Professioneller Tipp: Sie können PowerShell-Startskripte unter Windows XP und Windows Vista-Hosts) ausführen, solange diese vorhanden sind PowerShell 2.0 installiert haben. Sie können eine Batchdatei erstellen, die das Skript mit folgender Syntax aufruft:

powershell Set-ExecutionPolicy RemoteSigned
powershell \\\\server\share\script.ps1
powershell Set-ExecutionPolicy Restricted

In der ersten Zeile können nicht signierte Skripts von Remotefreigaben auf diesem Host ausgeführt werden, und in der zweiten Zeile wird das Skript aus der Batchdatei aufgerufen. In der dritten Zeile wird die Richtlinie für maximale Sicherheit auf eingeschränkt (Standardeinstellung) zurückgesetzt.

Wie werden Gruppenrichtlinienobjekte angewendet?

Gruppenrichtlinienobjekte werden in einer vorhersehbaren Reihenfolge angewendet. Lokale Richtlinien werden zuerst angewendet. Auf dem lokalen Computer werden Richtlinien über gpedit.msc festgelegt. Site-Richtlinien werden an zweiter Stelle angewendet. Domänenrichtlinien werden an dritter Stelle und OU-Richtlinien an vierter Stelle angewendet. Wenn ein Objekt in mehreren Organisationseinheiten verschachtelt ist, werden die Gruppenrichtlinienobjekte zuerst auf die Organisationseinheiten angewendet, die dem Stamm am nächsten liegen.

Beachten Sie, dass im Falle eines Konflikts das last GPO angewendet "gewinnt. Dies bedeutet beispielsweise, dass die in der Organisationseinheit verknüpfte Richtlinie das Ein Computer, in dem er sich befindet, gewinnt, wenn ein Konflikt zwischen einer Einstellung in diesem GPO und einer in einer übergeordneten Organisationseinheit verknüpften Einstellung besteht.

Anmelde- und Startskripte scheinen cool zu sein. Wie funktionieren diese?

Ein Anmelde- oder Startskript kann auf jeder Netzwerkfreigabe ausgeführt werden, solange die Gruppen Domain Users Und Domain Computers Lesezugriff auf die Freigabe haben, auf der sie sich befinden. Traditionell befinden sie sich in \\domain.tld\sysvol, Aber das ist keine Voraussetzung.

Startskripte werden beim Start des Computers ausgeführt. Sie werden als SYSTEM-Konto auf dem lokalen Computer ausgeführt. Dies bedeutet, dass sie als Computerkonto auf Netzwerkressourcen zugreifen. Wenn Sie beispielsweise möchten, dass ein Startskript Zugriff auf eine Netzwerkressource auf einer Freigabe hat, die [~ # ~] unc [~ # ~] von \\server01\share1 und der Name des Computers war WORKSTATION01. Sie müssten sicherstellen, dass WORKSTATION01$ Zugriff auf diese Freigabe hat. Da dieses Skript als System ausgeführt wird, kann es beispielsweise Software installieren, privilegierte Abschnitte der Registrierung ändern und die meisten Dateien auf dem lokalen Computer ändern.

Anmeldeskripts werden im Sicherheitskontext des lokal angemeldeten Benutzers ausgeführt. Hoffentlich sind Ihre Benutzer keine Administratoren. Dies bedeutet, dass Sie diese nicht zum Installieren von Software oder zum Ändern geschützter Registrierungseinstellungen verwenden können.

Anmelde- und Startskripte waren ein Eckpfeiler von Windows 2003 und früheren Domänen, aber ihre Nützlichkeit wurde in späteren Versionen von Windows Server verringert. Mit den Gruppenrichtlinieneinstellungen können Administratoren Laufwerks- und Druckerzuordnungen, Verknüpfungen, Dateien, Registrierungseinträge, lokale Gruppenmitgliedschaft und viele andere Dinge, die nur in einem Start- oder Anmeldeskript ausgeführt werden können, viel besser verwalten. Wenn Sie der Meinung sind, dass Sie möglicherweise ein Skript für eine einfache Aufgabe verwenden müssen, gibt es wahrscheinlich stattdessen eine Gruppenrichtlinie oder eine Präferenz dafür. Heutzutage erfordern auf Domänen mit Windows 7-Clients (oder höher) nur komplexe Aufgaben Start- oder Anmeldeskripts.

Ich habe ein cooles Gruppenrichtlinienobjekt gefunden, aber es gilt für Benutzer. Ich möchte, dass es für Computer gilt!

Ja ich weiß. Ich war dort. Dies ist besonders häufig in akademischen Labors oder anderen gemeinsam genutzten Computerszenarien der Fall, in denen einige Benutzerrichtlinien für Drucker oder ähnliche Ressourcen auf dem Computer und nicht auf dem Benutzer basieren sollen. Ratet mal, du hast Glück! Sie möchten die Einstellung GPO für Gruppenrichtlinien-Loopback-Modus aktivieren.

Bitte.

Sie sagten, ich kann damit Software installieren, oder?

Ja, das kannst du. Es gibt jedoch einige Einschränkungen. Die Software muss im Format [~ # ~] msi [~ # ~] vorliegen, und alle Änderungen müssen im Format [~ # ~] erfolgen. mst [~ # ~] Datei. Sie können eine MST mit Software wie [~ # ~] orca [~ # ~] oder einem anderen MSI-Editor erstellen. Wenn Sie keine Transformation durchführen, entspricht Ihr Endergebnis der Ausführung von msiexec /i <path to software> /q

Die Software wird auch nur beim Start installiert, daher ist es keine sehr schnelle Möglichkeit, Software zu verteilen, aber sie ist kostenlos. In einer Low-Budget-Laborumgebung habe ich eine geplante Aufgabe (über ein Gruppenrichtlinienobjekt) erstellt, mit der jeder Laborcomputer um Mitternacht mit einem zufälligen Versatz von 30 Minuten neu gestartet wird. Dadurch wird sichergestellt, dass die Software in diesen Labors maximal einen Tag veraltet ist. Software wie [~ # ~] sccm [~ # ~] , LANDesk , Altaris oder alles andere, was Software auf Abruf "pushen" kann, ist vorzuziehen.

Wie oft wird es angewendet?

Clients aktualisieren ihre Gruppenrichtlinienobjekte alle 90 Minuten mit einer 30-minütigen Randomisierung. Das bedeutet, dass standardmäßig bis zu 120 Minuten gewartet werden kann. Einige Einstellungen, wie Laufwerkszuordnungen, Ordnerumleitung und Dateieinstellungen, werden nur beim Start oder bei der Anmeldung angewendet. Gruppenrichtlinien sind für die langfristige geplante Verwaltung gedacht, nicht für sofortige Schnellkorrekturen.

Domänencontroller aktualisieren ihre Richtlinien alle fünf Minuten.

28
MDMarra

Ein kurzer Hinweis zu den Gruppenrichtlinieneinstellungen: Wenn Sie diese Einstellungen verwenden möchten, aber über Windows XP SP2- oder Windows XP SP3-Workstations verfügen, müssen diese zuerst installiert werden Clientseitige Erweiterungen für Gruppenrichtlinieneinstellungen für Windows XP (KB943729) .

Computer Container vs Computer OU

Es gibt einen Standardwert Computers container Unter dem Domänenstamm in Active Directory (AD), der häufig mit einer Active Directory-Organisationseinheit (OU) verwechselt wird. Dies ist eigentlich ein Container und KEIN OU. Da dies eigentlich keine Organisationseinheit ist, gelten Gruppenrichtlinien nicht für Objekte in diesem Container. Ausnahmen von dieser Regel sind Gruppenrichtlinien, die am domain level Angewendet werden. Dies sind die einzigen Richtlinien, die auf Objekte im Computers container Angewendet werden.

Standardmäßig werden Computerobjekte, die der Domäne beigetreten sind und nicht vorab bereitgestellt wurden, in Computers container Gezeigt.

Wenn Sie sich also fragen, warum Ihre Richtlinie nicht angewendet wird, überprüfen Sie, ob sich das betreffende Objekt an der richtigen Stelle in AD befindet.

Sichern von Gruppenrichtlinienobjekten

Sie können Gruppenrichtlinienobjekte mithilfe der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) sichern.

  1. Öffnen Sie die Gruppenrichtlinienverwaltung und doppelklicken Sie in der Gesamtstruktur und Domäne mit dem Gruppenrichtlinienobjekt (Group Policy Object, GPO), das Sie sichern möchten, auf Group Policy Objects.
  2. Um ein einzelnes Gruppenrichtlinienobjekt zu sichern, klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, und klicken Sie dann auf Sichern. Um alle Gruppenrichtlinienobjekte in der Domäne zu sichern, klicken Sie mit der rechten Maustaste auf Group Policy Objects Und klicken Sie auf Back Up All.
  3. Geben Sie im Dialogfeld Gruppenrichtlinienobjekt sichern im Feld Speicherort den Pfad zu dem Speicherort ein, an dem Sie die Sicherung GPO Backup) speichern möchten, oder klicken Sie auf Durchsuchen, und suchen Sie den Ordner in in dem Sie die Sicherung GPO Backup) speichern möchten, und klicken Sie dann auf OK.
  4. Geben Sie im Feld Beschreibung eine Beschreibung für die Gruppenrichtlinienobjekte ein, die Sie sichern möchten, und klicken Sie dann auf Backup. Wenn Sie mehrere Gruppenrichtlinienobjekte sichern, gilt die Beschreibung für alle Gruppenrichtlinienobjekte, die Sie sichern.
  5. Klicken Sie nach Abschluss des Vorgangs auf OK.

Das Tolle am Sichern von Gruppenrichtlinien ist, dass die Versionskontrolle integriert ist. Das heißt, Sie können dieses Verfahren mehrmals verwenden und die Änderungen zwischen den Richtlinien verfolgen. Sie können dann eine bestimmte Version einer Richtlinie wiederherstellen.

Sie können sogar eine geplante Aufgabe einrichten, um ein PowerShell -Skript auszuführen, das den Befehl Backup-GPO verwendet, um Sicherungen zu automatisieren.

Sie möchten weiterhin (mit einer herkömmlichen Sicherungsmethode) den Ordner sichern, in dem Sie die Gruppenrichtlinienobjekte sichern.

12
HostBits

Sind Sie auf der Suche nach einem einfachen Powershell-Skript, das Sie zu geplanten Aufgaben hinzufügen können, um Ihre Gruppenrichtlinienobjekte zu sichern? Sie haben kein AGPM aus dem MDOP-Paket?

Bitte schön.

Zuerst erstellt man ein rotierendes tägliches Backup für den Wochentag. Sie müssen den Ordnerpfad für jeden Ordner im Voraus erstellen (Sonntag/Montag/etc.). Ich habe New-Item nicht verwendet, da ich herausgefunden habe, warum ich jedes Mal mit einem Test-Item und New-Item umgehen soll, wenn dies der Fall ist wirklich statische Ordner nach Tag 1. Sie benötigen die AD Powershell-Module, die auf dem Server verfügbar sind, auf dem Sie sie ausführen.

# GPOBackupScriptDayOfWeek.PS1
# This script Backup all GPOs and save it to a folder based on the day of the week
# It runs as an automated task on SERVER and we keep a one week rotation on disk


Import-Module grouppolicy 
$date = get-date
$dayofweek = $date.DayofWeek
#Remove current backup from the folder (to alleviate space issues down the road since it won't overwrite each time)
Remove-Item \\SERVER\GPO_Backup\$dayofweek\* -Recurse -Force
#Backup current GPOs to the folder
Backup-Gpo -All -Path \\SERVER\GPO_Backup\$dayofweek

Das Gleiche hier, aber diesmal für einen Monat. Erstellen Sie die Ordner erneut im Voraus als Januar, Februar usw.

# GPOBackupScript.PS1
# This script Backup all GPOs and save it to a folder each month on the first of the month
# It runs as an automated task on SERVER and we keep a one year rotation

Import-Module grouppolicy 
$month = get-date -Format MMMM
#Remove current backup from the folder (to alleviate space issues down the road since it won't overwrite each time)
Remove-Item \\SERVER\GPO_Backup\$month\* -Recurse -Force
#Backup current GPOs to the folder
Backup-Gpo -All -Path \\SERVER\GPO_Backup\$month
3
TheCleaner