Az ABC Group Policy, ablakok IT Pro

ARUBA INSTANT WI-FI: egyszerű, hatékony, olcsó

Ön felállítása tíz Windows vagy asztali számítógép, vagy tízezer, tudja, hogy a csoportházirend nyújt felbecsülhetetlen segítséget ebben a feladatban. De sok hallott rémtörténetet az összetett csoport politika, a rendszergazda, hogy a változások ismerete nélkül azok hatásait, és ennek eredményeként nem egyszerűsíti az életét, hanem éppen ellenkezőleg. Például, a változó helyi bejelentkezési engedélyeket az GPO csoportházirend-objektumot (GPO), hogy eltávolítsa a felesleges csoportokat, akkor előfordulhat, hogy megtette azt a GPO, amely az összes számítógép a domain, és most senki sem tud regisztrálni. Azt lehet mondani, hogy történt.

Ezek a problémák igen gyakoriak. De biztos lehet benne, hogy a csoport politika összhangban van a potenciális működő több kulcsfontosságú fogalmak: hogyan kell alkalmazni a GPO, mint a munkavállalási engedély és a szűrőket, hogy mi a különbség a politikák és preferenciák, és hogy az első helyen kell venni, hogy azonosítsa a problémákat.

Megértése csoportházirend munkák

Ahhoz, hogy megértsük, hogy a kliens rendszer működik a GPO, fontos annak biztosítása, hogy minden úgy történik, a terv szerint. Nézzük először megérteni, hogy annak ellenére, hogy a címben funkciók a „csoport”, a politika csak a felhasználó és a számítógép. Ezért, ha rendelni egy csoportházirend-objektum (GPO) Active Directory objektum (AD), Computer része GPO csak a számítógép tárgyak AD részeként a felhasználó alkalmazott felhasználói objektumok csak. Akkor biztonsági csoportok azonosítására egy szűrő, amely a felhasználók és számítógépek társított GPO, de nem lehet cél a GPO meghatározott biztonsági csoportokhoz.

Kövesse az szabály: amikor kötődnek GPO egy tárgyat, domain, vagy szervezeti egység (OU) az Active Directory, győződjön meg arról, hogy a felhasználó vagy a számítógép, amely azt akarja, hogy kell csatlakoztatni, az a jobb gyógyszer a hierarchikus Active Directory tree .

Azt is újra a GPO, csatlakoztassa azt a AD több tartályt, például lehet csatlakoztatni egy impozáns szigorú korlátokat a GPO rendszer négy vagy öt egységben. Az értelemben kapcsolat GPO több konténerek, hogy bármilyen változás a GPO, amelyet később hozzáadható, hatással lesz a felhasználók és a számítógépek minden vele kapcsolatos szervezeti egységben. Azonban, mivel lehetséges, hogy kapcsolják össze a különböző GPO több konténerek AD, hogy egy adott felhasználó vagy számítógép is használható több GPO. Ahhoz, hogy megtudja, mi a politika végrehajtása egy adott esetben szükség van a két kérdés megválaszolására:

Ahogy csoportházirend tudni fogja, mi a GPO kell kezelni az első?

Milyen beállítások hajtják végre, ha a különböző GPO különböző beállításokat?

A csoportházirend-feldolgozás a következő. A helyi GPO feldolgozása a számítógépen, majd GPO, csatlakozik az AD oldal, GPO stb csatlakozik az AD-tartományba, és végül azokat, amelyek kapcsolódnak a szervezeti egységben. Mivel a GPO, csatlakozik a OU, feldolgozása utolsó, végül melyik GPO beállítások alkalmazása a számítógép vagy a felhasználó. Például, ha egy GPO van rendelve a domain eltávolítja a Futtatás menüpontot a Start menüből a Windows, és GPO, csatlakozik a OU, adja hozzá a parancsot vissza a menübe, az utolsó beállítást kell alkalmazni a számítógép vagy a felhasználó, mert a felhasználó a rendszer folyamatok, amelyek ellenzik a második. Ez vezet az a tény, hogy a menü Futtatás parancs jelenik meg a felhasználói menüt.

Engedélyek csoportházirend és szűrés

Amint az 1. ábrán látható Meg lehet változtatni a biztonsági csoport a GPO, egyszerű hozzáadásával vagy eltávolításával csoportok szakasz biztonsági szűrőben a kezelő konzol.

Tegyük fel, hogy a GPO, csatlakozik a Marketing OU, amely 200 felhasználói fiókokat. Azt akarja adni néhány beállítást a felhasználói politika része a felhasználók, akik tagjai a Marketing Special Projects-csoport. A GPMC, hogy ezt nagyon könnyen. Indítás kezelő konzol, írja gpmc.msc

Szűrése biztonsági engedélyek meghatározza, mely a számítógépek és a felhasználók feldolgozni a GPO. Vannak még engedélyeket, amelyek meghatározzák, hogy ki szerkesztheti a GPO. Láthatjuk ezeket az engedélyeket, kiemelve a GPO a kezelő konzol és kiválasztja a küldöttség fül, ahogy a 2. ábrán látható.

Egyszerre csak kapcsolni egy WMI-szűrő a GPO adatokat. Ha a kérelmet meghatározott szűrő, ad reális eredményt olvassuk a GPO, akkor az objektum használják. WMI lekérdezés ellenőrzést végzünk a kliens számítógépen, amely feldolgozza a GPO. Érdeklődés feltárja saját helyi WMI adattár, hogy a válasz „jó” vagy „rossz”. Ha a lekérdezés False, a GPO, hogy a felhasználó vagy a számítógép nem használható. Lehet használni WMI-szűrő és a számítógép vagy a felhasználó függ a lekérdezés. Például, ha a kért információ arról, hogy a számítógép által vezérelt XP, ez a kérdés minden egyes számítógépen, és ha a számítógép által vezérelt XP, GPO alkalmazza a szűrőt, függetlenül attól, hogy regisztrált felhasználó a számítógépen, vagy sem. Azonban, ha a kért információt arról, hogy a felhasználó bejelentkezett Joe Smith a számítógépen abban a pillanatban, GPO fogja alkalmazni a szűrőt csak akkor, ha Joe Smith valójában a rendszerben regisztrált.

Politikai vagy preferencia

Talán a legnépszerűbb része a csoportházirend-felügyeleti sablonok, Felügyeleti sablonok, vagy registry politikát. Ez a terület a csoportházirend segítségével több szempont szerint vezérlik a Windows. Nagyon kényelmes, hogy a registry politika már nem kifejezetten előírt jegyzék és ezért nem alkalmazható, ha nincs rá szükség, mivel ez volt az NT 4.0. Az a tény, explicit recept a következőket jelenti: mondjuk bekapcsolja (vagy kapcsolja ki) a regisztrációs politikai elem a GPO és alkalmazni, hogy a felhasználó vagy a számítógép, majd törölje a GPO, vagy megváltoztathatja a biztonsági szűrő a felhasználó vagy a számítógép. A következő ciklusban, vagy működési háttér feldolgozás eleme ennek a politikának automatikusan törlésre kerül, de nem „beragadt” a registry-ben, amíg meg nem erőszakkal eltávolítani.

Az eltávolítási folyamat működik a leírtak szerint, mert a Microsoft szándékosan létrehozott négy különleges regisztrációs kulcs, ahol minden politika írva, és eltávolítjuk őket, amikor már nem használják. Két rész a registry politikák számítógéphez:

HKEY_LOCAL_MACHINESoftwarePolicies
HKEY_LOCAL_MACHINESoftware
MicrosoftWindowsCurrentVersionPolicies
Registry kulcsfontosságú politikák a felhasználó számára a következők:
HKEY_CURRENT_USERSoftwarePolicies
HKEY_CURRENT_USERSoftware
MicrosoftWindowsCurrentVersionPolicies

Mivel az adatbázis házirend-beállítások vannak írva egy ilyen négy gomb, akkor nem marad a registry, amikor a GPO eltávolítjuk. Persze, hogy levelet politikákat ezen négy részre, alkalmazások vagy komponensek Windows írásban kell, hogy megkérdőjelezték ezeket a szakaszokat a házirend-beállításokat. Azonban továbbra is tud készíteni a ADM sablon fájlokat (ADMX vagy Vista), amely rögzíti a rendszerleíró kulcsot (a HKEY_ LOCAL_MACHINE vagy HKEY_CURRENT_ USER). A politikusok, akik az úgynevezett „beállítások” és bevezetésre kerül a nyilvántartásban, akkor is, ha a GPO, miután azokat eltávolították. Így, ha meg kell szakítani a preferencia, amely végre, meg kell tiltani, hogy a felület a csoportházirend-szerkesztő (GPE), vagy manuálisan távolítsa el a bejegyzést.

Explicit bevezetését társított beállításokat registry politika, hanem egyéb politikák mutatják ezt a viselkedést. Például a biztonsági politika erőszakkal végrehajtási állandó változást a rendszerben alkalmazva. Például, ha beállítja a felhasználói jogok egy adott rendszer (a politikai található Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesUser jogok kiosztása), majd távolítsa el a GPO, akik alkalmazták ezeket a beállításokat, ha a számítógép eljárás közül a célja a felhasználói jogok maradnak mindaddig, amíg nem teszik azokat. Fontos megérteni, mert minden egyes szakpolitikai területen másképp viselkedik, „hagy nyomot” a rendszer. Bizonyos esetekben, például abban az esetben, politikák Mappaátirányítás vagy szoftver telepítése, meg kell adnia a politika, mi a teendő, ha a GPO már nem érvényes, ahogy a 3. ábrán látható.

Az ABC Group Policy, ablakok IT Pro

Hiba diagnózis csoportházirend

Csoport politika - olyan eszköz, nehéz, és néha nem a várt módon működnek. Véletlenül, beállíthatja valami baj, vagy a politika nem működik egyszerűen azért, mert a kudarc. A csoportházirend-feldolgozás megköveteli, hogy bizonyos összetevők dolgozni koncert. Az AD infrastruktúra és munkaállomások sértetlen, és a különböző beállításokat adja összeegyeztethetőnek kell lennie a futó alkalmazások a számítógépen. Ha valami az alábbi nem ez a helyzet, akkor láthatjuk, hogy a feldolgozás csoportházirend nem sikerült.

Összefoglaló lap megmutatja, hogy mely GPO vittük fel a számítógép és a felhasználó, és ami a legfontosabb, hogy mit GPO elutasították, és miért. Komponens állapota részben a jelentés tájékoztatást nyújt-e az összes csoportházirend-feldolgozás hajtottak végre, és ha nem, miért nem. Element Group Policy infrastruktúra, amely látni fogja ebben a szakaszban, beszélni, hogy van egy alapvető része a sikeres csoportházirend-feldolgozás. Ha nem, akkor az általában néhány probléma az infrastruktúra, amelyek akadályozzák a végrehajtását csoportházirend-feldolgozás. Ha hiba lép fel az úgynevezett gazdag kliens, hogy végre a különböző aspektusait a politika, akkor oldja meg a problémát a benyújtott hibajelentést. Ha azt szeretnénk, hogy melyik beállítás egyes politikák kerültek a számítógép vagy a felhasználó, akkor nyissa meg a Beállítások lapot, a zárójelentés csoportházirend, hogy mi a beállításokat eredményeként alkalmazott. Azonban az üzenetet az alkalmazás beállításait RSoP jelentés nem jelenti azt, hogy sikeres volt. Néha jobb, ha az alapbeállításokat, hogy megtudja, ha a beállítást követően keretében történő alkalmazásának biztonsági politika vagy a registry érték létezik.

Csoportházirend összetett és erőteljes. Ha megértjük, hogyan dolgozzák fel, akkor képes lesz arra, hogy teljes mértékben kihasználják a hatalmukat. Ne feledje, hogy a csoportházirend feldolgozása a következő sorrendben: a helyi a GPO, az AD oldal, domain, és OU (néha használják ezt a sorozatot csökkentés LSDOU), és egy tipikus helyzet, „írja az utóbbi nyer”, ha van egy konfliktus beállítást. Irányelvek és kedvezmények, hogyan befolyásolja a politika „nyomot hagyni” a rendszer, amikor a GPO eltávolítjuk, akkor fontos, amikor kiválasztják mellett egy adott eszköz. Registry politika által forgalmazott Microsoft a szokásos ADM és ADMX fájlok általában nem változtatják meg a registry, hanem a saját ADMX fájlokat megteheti. Ezen kívül más politikák, mint a biztonság, a rendszer megváltoztatására, és egyértelműen meg kell, és erőszakkal törölték, míg egyes részei a politikát kell állapítani, hogy szükség van, hogy megszünteti a tetteikért, amikor már nem használják. Végül, ha a politika még mindig nem a várt módon működik, lásd a csoportházirend-eredmények varázsló a kezelő konzol.

Ossza meg képeit barátaival és kollégáival

Kapcsolódó cikkek