ניהול עצמים של קבוצה: צור GPOs, הקשר GPOs וערוך GPOs

מדריכים

אם אתה מקצוען בטכנולוגיות המידע ועובד עם Active Directory, תוכל להשתמש ב-Group Policy כדי להגדיר את סביבות ה- Windows של מחשבי המשתמשים שלך ושרתי העסק שלך באמצעות אובייקטי מדיניות קבוצה (GPO). אך, המאבק ליצירת סביבה אינטואיטיבית ומאובטחת הוא אמיתי. במאמר זה, אני אסביר כיצד ליצור GPO, וכיצד לקשר, למחוק ולנטרל אותם. כאשר נסיים, תבינו טוב יותר את הפרטים הקטנים של העולם המורכב והמופלא של מדיניות הקבוצה.

עבודה עם GPOs

קיימות שתי דרכים לעבוד עם GPOs: תוכל להשתמש ב-עורך מדיניות קבוצה מקומי כדי להתאים את המדיניות במחשב מקומי או להשתמש ב-מסוף ניהול מדיניות קבוצה (GPMC) כדי לעבוד על סביבת העסק שלך. מכיוון שהמדיניות המקומית מעובדת ראשונה (לפני מדיניות הדומיין) וכדי לשמור ולעצב סביבה חזקה, נתמקד בתרחיש העסקי במאמר זה.

פרסומת

התקנת כלי ה- Group Policy RSAT

קונסולת ניהול מדיניות קבוצתית היא חלק מ-ערכת הכלים לניהול שרת מרוחק (RSAT) המסורתית. זהו כלי מבוסס-MMC (קונסולת ניהול של Microsoft) המותקן עם אפליקציית ההגדרות של Windows המודרניות ב-Windows. אני אראה לך איך להתקין אותה מיד.

בשרת בקר תחום (DC), הגדרות מדיניות קבוצתית מאוחסנות בתיקיה השיתופית 'SYSVOL' ומופצות לכל בקרי התחום האחרים בתחום (ו-ליער, אם אתה מוגדר כך). זה מתאר את הגמישות המובנית בתשתית מדיניות קבוצתית.

כדי להציג לך איך להתקין את הכלי Group Policy Management Console, אני אשתמש במעבדת ה-Hyper-V שלי שרצה בתחום רשת של שרת Windows Server 2022. נכנסתי לתחום העבודה שלי ב- Windows 10 גרסה 22H2, אז בואו נתחיל:

  • ראשית, לחץ על כפתור ה- Start והקלד ' optional '.
Searching for ‘optional’ features in the Start Menu (Image credit: Michael Reinders)
  • לחץ על ' Manage optional features ' ולחץ על הכפתור ' + Add a feature ' בחלק העליון.
  • גלול למטה וסמן בתיבת סימון ' RSAT: Group Policy Management Tools ' ולחץ על Install.
Selecting the Group Policy Management RSAT toolset (Image credit: Michael Reinders)
  • לאחר שהתהליך הושלם, לחץ Start ופתח ' Windows Administrative Tools '.
  • לחץ פעמיים על ' Group Policy Management '.
Locating Group Policy Management in Administrative Tools (Image credit: Michael Reinders)

כעת אנו רואים את תצוגת ניהול מדיניות הקבוצה. כאן, אנו מוכרים למבנה הכללי של איך מדיניות הקבוצה מוצבת וכיצד ניתן לכוון ישויות לוגיות ספציפיות בארגון שלך.

פרסומת

The Group Policy Management Console (Image credit: Michael Reinders)

בנקודה זו, מקצוענים בטכנולוגיות מידע, בייעוץ של צוותי האבטחה וההתאמה לתקנים יכולים לבצע אחת מהפעולות הבאות:

  • שינוי אובייקטי מדיניות קבוצה קיימים (GPOs)
  • יצירת GPOs חדשים
  • שינוי בסינון של GPOs ספציפיים ברמת קבוצה
  • השתמש ב-סינון WMI כדי ליעד תחשיבים מסוימים
  • השתמש במימוש מדיניות קבוצה ותוצאות כדי לבצע תרחישים של "מה-אם"

לאחר מכן, נתחיל ביצירת GPO חדש.

צור GPO

בוא ניצור הגדרה חדשה שתדגים כיצד לשנות את מחשבי המשתמשים שלך בדרך אחרת.

  • למעשה, אני אקליק ימנית על 'מחשבי Windows בדומיין' ואקליק על 'צור GPO בדומיין זה וקשר אותו כאן…'
Starting a new GPO in Domain Windows Computers (Image credit: Michael Reinders)
  • I will name it ‘Start Menu Cleanup‘ and click OK.
Naming our new GPO (Image credit: Michael Reinders)
  • אז, אקליק ימנית על ה-GPO החדש ואקליק עריכה
Our new GPO – ready to configure settings! (Image credit: Michael Reinders)
  • בוא נעבור אל תצורת מחשב -> מדיניות -> תפריט התחל וסרגל משימות.
We’ve found our settings category for our Domain Windows computers (Image credit: Michael Reinders)
  • כאן, אפעיל פעמיים על הסר ומנע גישה לפקודות כיבוי, איתור מחדש, שינה והיררכה.
Modifying a policy setting (Image credit: Michael Reinders)
  • לאחר קריאת העזרה, אפעיל מופעל ואקליק אישור.
Adjusting settings with our ‘Start Menu Cleanup’ GPO (Image credit: Michael Reinders)

עכשיו, יש לך לקחת בחשבון, הגדרה זו כעת פעילה בסביבה. כל אובייקט מחשב ב-OU ההוא יראה את ההגדרות הללו במהלך הרענון הבא. כברירת מחדל, מחשבי הדומיין והשרתים יעבדו את מדיניות הקבוצה כל 90 דקות עם הזזת אקראית של 30 דקות. אך, בעת בדיקה (ותיקון), פקודת gpresult היא חברתך.

פרסומת

ניתן גם לכפות עדכון של מדיניות הקבוצה במחשב על ידי הרצת הפקודה הבאה gpupdate בטרמינל/שלט האהוב עליך. זה יעבד את כל השינויים במדיניות הקבוצה עבור המחשב והמשתמש המחובר. המתג '/force' מכריח את השינויים ללא בקשה לאישור.

gpupdate /force
Using gpupdate /force to process all related group policies right away (Image credit: Michael Reinders)

טוב, השינויים עברו עיבוד. בוא נלחץ על כפתור התחלה ונעבור לתפריט כיבוי או התנתקות, ו… זה עבד! הפריטים שהגדרנו להסיר כעת מוסתרים.

The Shut Down, Restart, Sleep, and Hibernate commands are now hidden (Image credit: Michael Reinders)

שינוי זה פשוט למדי מונע מהמשתמשים שלך להתחיל מחדש או לכבות את המחשבים שלהם. כמובן, יש הרבה משתנים ומקרים שימוש להגדרות כאלה. זה אידאלי בחלק מהמצבים וכואב באחרים. זהו האיזון שתעבור כמומחה לטכנולוגיה ממוחשבת כדי לקבוע מה עובד הכי טוב עבור הארגון שלך.

קישור GPO

תן לי להראות לך כיצד לקשר GPO קיים למיקום ספציפי במדריך פעולה של Active Directory. בעבר, יצרתי GPO בשם 'נעילת אבטחה של שרתי מדינה'. ההגדרות ב-GPO זה מכילות תקני אבטחה לפי התקן עבור שרתי מדינה על פי ההנחיות של החברה שלנו. אני יכול בקלות לקשר את ההגדרות החדשות הללו לשרתי המדינה בתחום שלי – reinders.local.

  • ראשית, אני לחץ ימינה על שרתי מדינה OU ובחר קישור GPO קיים.
Linking an existing GPO to a container in AD (Image credit: Michael Reinders)
  • לאחר מכן, אבחר נעילת אבטחה של שרתי מדינה מהרשימה ולחץ אישור.
We linked an existing GPO to the Domain Controllers OU (Image credit: Michael Reinders)

עכשיו אתה יכול לראות ש-GPO מקושר לשרתי מדינה. בפעם הבאה ששרתי המדינה שלנו בודקים עדכוני מדיניות קבוצה, הם יעבדו את ההגדרות ב-GPO זה. זה היופי של השליטה המרכזית שיש לך. יצירה ויצירה של קבוצה של הגדרות פעם אחת, ולאחר מכן לפרוס (לקשר) אותו בקלות למיכל בסביבתך. סיימת!

שנה GPO קיים

בואו נבחן את התחום שלי – reinders.local – ונראה מה יש לנו.

כאן זה מעבדה, זה די בסיסי, כמעט פרימיטיבי. במסחרים גדולים יותר, זה לא נדיר לגלות מאות או אלפי GPO בתחום אחד. המורכבות של הירושה של כמה GPO, משתמש ב-WMI להתמקד במערכות הפעלה ספציפיות, מתמודד עם GPO מקומיים, OUs ילדים, ומדיניות מקומית בתערובת – כל זה יכול להיות די מפחיד.

במאמר מוסגר, מספר ה-GPO בתחום שלך יתחיל לקבוע כמה עוצמה בכללי עלות הביצועים כשמחשבים מתחילים וכשמשתמשים מתחברים. זה כנראה הוויכוח הכי גדול היום: האם אתה יוצר חבורה של GPO ומכיל רק הגדרה אחת בכל אחד מהם לקלות הניהול? או שאתה יוצר קומץ של GPO עם שינויי המדיניות שלך כדי לקצר את זמן העיבוד? זה יכול להיות מאמר בפני עצמו!

היקף GPO

I previously installed Windows Server Update Services (WSUS) – there’s my GPO for the setup – ‘WSUS_Config_01’. If I click on it, you’ll see the scope defined.

The settings for our ‘WSUS_Config_01’ GPO (Image credit: Michael Reinders)

המיקום הוא בשורש התחום (reinders.local). זה אומר, כברירת מחדל, שכל אובייקט מחשב ושרת בתחום יראה ויבצע את GPO זה. שוב, יש דרכים לסנן משתמשים, מחשבים, OUs וקבוצות אבטחה ספציפיים. עוד על כך מאוחר יותר.

כאן, בסעיף סנן אבטחה מוצגת הקבוצה משתמשים מאומתים. זה כמעט אומר 'כולם': כל חשבון שאומת לתחום יראה את GPO זה.

סנן WMI

ההגדרה של סינון WMI למטה היא המקום שבו אפשר לפנות ל- SKU ספציפיים. לדוג' , ניתן לפנות להתקנת WSUS ספציפית כדי להשפיע רק על מחשבים עם Windows 10 גרסה 21H2 ו- 22H2.

Using the WMI Filtering capability is straightforward (Image credit: Michael Reinders)

עריכת GPO

אבל תראה כיצד לערוך GPO.

  • ראשית, לחץ ימנית על ה- GPO שברצונך לשנות ולחץ 'ערוך…'
This is the initial screen after choosing to Edit a GPO (Image credit: Michael Reinders)
  • A new window will open showing you the logical layout – Computer Configuration and User Configuration trees.
  • כדי לאתר את ההגדרות של WSUS, יש להרחיב תצורת מחשב -> מדיניות -> תבניות מינהליות -> רכיבי Windows -> עדכוני Windows.
  • כאן, ניתן לראות שישנם שני הגדרות "הפעלה" או מוגדר. נפתח להגדר עדכונים אוטומטיים.
The settings for ‘Configure Automatic Updates’ (Image credit: Michael Reinders)

זו הגדרה שעשויה להיות מורכבת יותר, אך אתה מבין את הרעיון. אלו הגדרות לאיך עדכוני Windows מיושמים בדומיין שלי. די מדויק, איננו? אבל, הנקודה כאן היא שניתן לנהל את כל המחשבים שלך (או תת קבוצה) מרכזית כאן.

כך נראה כיצד GPOs "נעילים" הגדרות במחשבים. האם שמת לב לאפשרות 'להתקין עדכונים עבור מוצרי Microsoft אחרים' שנבדקת בתחתית? אם אני מסמן עדכון של Windows -> אפשרויות מתקדמות בתחנת העבודה הזו, שים לב שההגדרה הראשונה, 'לקבל עדכונים עבור מוצרי Microsoft אחרים כאשר אתה מעדכן את Windows' נשלטת כעת על ידי מדיניות קבוצה. זה מסומן פועל והוא מושחת.

The 1st item is now controlled by Group Policy (Image credit: Michael Reinders)

זה בדיוק מה שהפסקת "כמה הגדרות ננהלות על ידי הארגון שלך" מציינת בחלק העליון. מבחינה טכנית, זה אומר שמספר מדיניות קבוצה הוחלו על מחשב זה ואינך יכול להתאים את ההגדרה.

ניהול ה-GPOs ברירת המחדל

שתי GPOs נוצרות כאשר נוצרת תחום חדש – 'מדיניות תחום ברירת המחדל' ו'מדיניות שלטי התחום ברירת המחדל'. לפחות, אלו יקבעו את מדיניות הסיסמאות של התחום, מדיניות נעילת החשבונות, מדיניות Kerberos, אפשרויות אבטחה בסיסיות ואפשרויות אבטחת רשת אחרות.

למעשה, נחזה מאז עשורים רבים שכמקצוען בטכנולוגיות מידע, לא עליך לשנות את שתי המדיניות הללו – עליך ליצור GPOs חדשים במקום. ישנם מספר סיבות לכך, אך אני מאמין שהסיבה הבסיסית ביותר היא שכאשר אתה מבצע פתרון בתחום שלך, עליך לדעת שהתצורה ברירת המחדל הזו לא שונתה.

זה לעתים קרובות השאלה הראשונה מתוך תמיכה טכנית של מיקרוסופט כשעבדתי איתם במהלך השנים בנושאים ב-Active Directory/Group Policy. הם יודעים את ההגדרות הליבה הללו וצריכים להתחיל שם, בתחתית האוקיינוס, כדי לוודא שהבסיס הבכיר שלהם מדויק.

לכן, זו גם ההמלצה שלי בנוגע לאיך עליכם לנהל את ה-GPO הברירת המחדל – אל תעשו זאת!

להשבית GPO

אם אתם רוצים להשבית GPO ולמנוע מהגדרותיו להחל על מחשבים עתידיים, פשוט קיצוץ על ה-GPO ולחץ על קישור מופעל. זה יסיר את הקישור ויקבע את ה-GPO למצב "נרדמה".

After clicking the ‘Link Enabled’ checkbox, the GPO is now disabled (Image credit: Michael Reinders)

למחוק GPO

אם אתם מבצעים ניקוי ו/או שמירה, אפשר למחוק GPO על ידי קיצוץ עליו ולחיצה על מחיקה. לשליטה ויעילות, אני ממליץ לכם ללכת ל-Group Policy Objects תצוגה בעץ ולמחוק אותו משם.

Deleting a Group Policy Object (Image credit: Michael Reinders)

מסקנה

יישום מדיניות קבוצה הוא פשוט באופן מתפעל… בהתחלה. די קל לפרוס את מבנה Group Policy Objects שלך. אישור, אימות, ומאוחר יותר, שמירה על מדדים מדויקים למה התקנים של אופיס על מחשבים מסוימים מתעדכנים בעצמם ואחרים מפעילים את המשתמש… זה המקום שבו הכיף מתחיל.

בסך הכל, המסר המוסרי של הסיפור הוא פשוט מאוד: בדוק, בדוק, בדוק! ככל שתוכלו לאמת ולקבל תאימות בהתחלה, כך תהיה הסביבה שלכם יעילה ומאוד מאוזנת. קל יותר לשמירה ולאפשר מדיניות חדשה.

אנא השאר תגובה למטה אם יש לך שאלות!

Source:
https://petri.com/create-gpo-link-gpo-edit-gpo/