גלה מהו מדיניות קבוצתית וכיצד היא פועלת (בפרטים)

מדיניות קבוצתית. זהו שירות שכמעט כל מנהל מערכת Windows מכיר. אך מהי מדיניות קבוצתית? מדיניות קבוצתית היא דרך נפוצה להחיל הגדרות תצורה, להתקין תוכנות, להריץ סקריפטים ועוד על אלפי מחשבים המחוברים לתחום של Active Directory (AD).

הרחב את פונקציונליות מדיניות הקבוצתית ופשט את ניהול מדיניות הסיסמאות המדויקת. יעד כל רמת GPO, קבוצה, משתמש או מחשב עם הגדרות מילון וביטוי סיסמה עם מדיניות סיסמאות של Specops. נסה זאת בחינם!

מדיניות קבוצתית מורכבת ממגוון שירותים ותהליכים שונים. רוב המנהלים כנראה אפילו לא יודעים איך זה עובד מתחת למכסה! במאמר זה, אנו מכוונים לשנות זאת.

אם אתה מעוניין לדעת מהי מדיניות קבוצתית וללמוד איך זה עובד, הישאר איתנו כי אנו הולכים לחשוף כל אבן!

מהם אובייקטי מדיניות קבוצתית (GPOs)

GPOs הם ליבת מדיניות הקבוצתית. GPOs הם מדיניות יחידה שמכילה הגדרות שונות רבות לביצוע על מחשב המחובר לתחום.

ב- Windows 10/2019 Server יש יותר מחמישה אלפי הגדרות המכסות את כל הנושאים הרלוונטיים של Windows. בנוסף, תוכל לייבא עוד הגדרות עבור יישומים מסוימים: Office, Microsoft Edge, Google Chrome, LAPS-E ועוד. תוכל גם ליצור הגדרות משלך.

חשוב לחשוב על GPO כתצורה יחידה; זהו קובץ שמכיל הוראות לביצוע משימות כמו קביעת תסריט התחברות, שינוי שולחן העבודה של משתמש, התקנת תוכנה ואלפי משימות נוספות.

Active Directory אוחסן GPO במסד הנתונים של Active Directory המשותף בין שרתי התחום (DCs).

GPO כולל שני "קטגוריות" של הגדרות: אחת למחשב ואחת למשתמש. ה"קטגוריות" הללו מגדירות איך ההגדרות בתוך ה-GPO יחולו על המחשב. לדוגמה, אם ברצונך לשנות את הרקע של משתמש, זה יהיה הגדרות משתמש. אם ברצונך להתקין תוכנה ברחבי המערכת, זה יהיה הגדרות מחשב.

לאחר יצירת GPO, אתה מכוון את ה-GPO לקבוצה של מחשבים או משתמשים בתוך OU. המחשב מחפש באופן תקופתי GPOs חדשים ומבצע את ההגדרות שלהם (יותר על כך מאוחר יותר).

מהו תבניות מדיניות קבוצתיות

אם GPO היא הרכיב העיקרי של מדיניות קבוצתית, תבנית מדיניות קבוצתית (GPT) היא המושג החשוב הבא שלו. ה-GPT הולך יד ביד עם ה-GPO.

הָאַקטִיבִּי דִיֶרֶקטּוֹרִי מְאַחֵסֶן GPOs בְּ, אשר היא שיתוף קבצים על הַבַּר קודם (DCs) לְהַפְצָת קבצים. הַ־GPOs כוֹרְכִים בְּהָגָדָה הגדרות לְרִשׁוּיֵי הַרשָׁות, קבצי אֻזְן, יישויות, סקריפטִים וְקוֹמָפִּילֵצִיוֹת, קיצורים, קבצי XML, קבצי גרפִּיקָה, וְעוֹד, בְּהתאם לַהֲגדָרוֹת הַמְתאַימוֹת בְּ־GPO תואם.

ניהול מדיניות קבוצה בעזרת הַ־GPMC

מדיניות קבוצה מנוהלת דרך הַ־מֶַרכֵּז ניהוּל המדיניות קבוצה (GPMC). פַּאנֵל זֶה מותקֵן עַל כָּל שׁוּלַחַי רֵשׁוּת וּכְחֶלֶק מתקִינוּת הַ־אַרְגוּן מַדיניוּת השֵׁרָתִים מרחוק (RSAT). הַ־GPMC מתחבר אל שׁוּלַחַי רֵשׁוּת המחזיק את תפקִיד מְאַמֶּר מֶרכַּז־הַ־PDCe כדי לְבַצֵע שִׁינוּיִים בְּמדיניות קבוצה.

שַׁיִרָה:כֵּיצָד לְהַתקִין וּלְיַבֵּא אֶת מוֹדוּל הַ־Active Directory

בְּתוֹך הַ־GPMC נִיתַן לִיצוֹר וּלְהַקְצוֹת אוֹבְיָקְטים שֶׁל מַדיניות קבוצה (GPOs) לְיחִידוּת אִרגוּן בְּהקשָׁר לְהָאַקטִיבִּי דִיֶרֶקטּוֹרִי, אתרים בְּהָגדָרות וְעוֹד.

איך פריסת מדיניות הקבוצה עובדת

כפי שצוין למעלה, GPOs ו-GPTs הם חלק מ-AD. כך, הם חלק מתהליך השקפות ה-Active Directory הרגיל.

A specific workflow kicks off when you create/update a new GPO and target it to an Active Directory OU.

1. ברגע ש-GPO משתנה דרך ה-GPMC, ה-GPMC מתחבר ל-DC של ה-PDCe.
2. ה-GPMC יוצרת או משנה את ה-GPO בתוך מסדי הנתונים של ה-Active Directory ויוצרת/מעדכנת את ה-GPT ב-SYSVOL.
3. ברגע שהשינויים בוצעו, השקפות ה-AD מתחילות ושוקלות גם את ה-GPO וגם את ה-GPT לשאר ה-DCs לפי לוח הזמנים של השקפות ה-AD. השקפות כללית לוקחת עד 5 דקות אם ה-DC ה"מקומי" שלך וה-PDCE נמצאים באותו אתר, או יותר אם הם נמצאים באתרים שונים.

DCs גם שוקלות את ה-GPTs ב-SYSVOL לאחר שנוצרו עם ה-GPMC, אך הן עושות זאת דרך מנגנון של שקפות נפרד בשם DFS-R. לוח הזמנים לשקפות ב-SYSVOL הוא אותו כמו לשקפות במסד הנתונים של ה-AD. שני הרכיבים של GP אמורים להגיע בערך באותו זמן ל-DC המקומי שלך.

איך מתבצעות ה-GPOs

אז, ה-GPMC יצרה את ה-GPO/GPT והם נשקפו לכל ה-DCs בסביבת ה-AD שלך. וכעת? כעת זה נפל ללקוח(ות) לבדוק את ה-DC למדיניות חדשה/משתנה.

הלקוחות נמצאים בהתאם לקביעותיהם של זמן רענון מדיניות הקבוצה. זהו הזמן בו הם בדרך כלל בודקים באופן קבוע עבור שינויים עם שרת הדי-סי. לפי ברירת המחדל, זמן הרענון מוגדר ל-90 דקות, פלוס הזזה אקראית בין 0 ל-30 דקות.

אם קיימת מדיניות ממוקדת לשרת הדי-סי, זמן הרענון המוגדר כברירת מחדל הוא רק חמישיות דקות.

ברגע שעובר זמן הרענון, שירות לקוח מדיניות הקבוצה בלקוח יבדוק עם שרת הדי-סי לאחרונה עבור מדיניות חדשה או משתנה. אם מצוי, הוא יוריד את המדיניות הללו ויתחיל לבצע את ההוראות במחשב הלקוח.

שירות לקוח מדיניות הקבוצה לא יכול להחיל מיידית הגדרות חדשות. חלק מההגדרות לא יכולות להיחלף מיידית כגון בהתחברות הבאה, תיקיות מופנות, אחרי האיחוד הבא, וכו '.

קיימים מדיניות ממוקדת גם כאשר אין שינויים מאז הפעם האחרונה שהוחלו. דוגמה טובה הן הגדרות האבטחה, שנחדשות בהפעלת המחשב ובכל 16 שעות אם המחשב לא הופעל מחדש בינתיים. זה חשוב: אם מישהו ביצע שינויים בהגדרת האבטחה מסוימת, הם ייחדשו ברענון הבא (חשוב לחשוב על פתחי האש בגירסת החומת האש של Windows, או חברים שנוספו לתיקיות מוגבלות / נמחקו מ קבוצות מוגבלות במחשב המקומי).

ניתן להגדיר הגדרות אחרות להחול מחדש אף אם ה-GP לא השתנה. ניתן לשלוט בהתנהגות של לקוח ה-GP עבור סוג מסוים של הגדרה דרך הרישום, או, כפי שניחשת, דרך GP.

אכיפת דרישות תאימות, חסימת למעלה מ-3 מיליארד סיסמאות שנפרצו, ועזרה למשתמשים ליצור סיסמאות חזקות יותר ב-Active Directory עם משוב סופי דינמי מהמשתמש. צרו איתנו קשר היום לגבי מדיניות סיסמאות של Specops!

מסקנה

אם פעם שאלת את עצמך, "מהי מדיניות קבוצתית?", אני מקווה שמדריך זה הצליח לענות על שאלה זו. מדיניות קבוצתית היא מערכת שקיימת כבר זמן רב ועדיין בשימוש היום על ידי אלפי ארגונים. היא עמוד תווך לרבים שצריכים להחיל שינויים על סביבת המחשבים שלהם ב-Windows.

אם אתה צריך לבצע שינוי על מחשב אחד, עשרה או 1,000 מחשבים המחוברים לדומיין, הקפד לדעת מהי מדיניות קבוצתית.