Groepsbeleid. Het is een dienst waar bijna elke Windows-beheerder bekend mee is. Maar wat is Groepsbeleid? Groepsbeleid is een gangbare manier om configuratie-instellingen toe te passen, software te installeren, scripts uit te voeren en meer op duizenden door Active Directory (AD) toegetreden computers.
Breid de functionaliteit van Groepsbeleid uit en vereenvoudig het beheer van fijnmazige wachtwoordbeleidsregels. Richt elke GPO-niveau, groep, gebruiker of computer met woordenboek- en wachtwoordzin-instellingen met Specops Password Policy. Probeer het gratis!
Groepsbeleid bestaat uit veel verschillende diensten en workflows. De meeste beheerders weten waarschijnlijk niet eens hoe het onder de motorkap werkt! In dit artikel streven we ernaar dat te veranderen.
Als je geïnteresseerd bent om te weten wat Groepsbeleid is en hoe het werkt, blijf dan tuned, want we gaan geen enkele steen onberoerd laten!
Wat zijn Groepsbeleidsobjecten (GPO’s)
GPO’s vormen de kern van Groepsbeleid. GPO’s zijn individuele beleidsregels die veel verschillende instellingen bevatten om uit te voeren op een op het domein aangesloten computer.
In Windows 10/2019 Server zijn er meer dan vijfduizend instellingen die alle relevante aspecten van Windows bestrijken. Bovendien kunt u zelfs meer instellingen importeren voor specifieke toepassingen: Office, Microsoft Edge, Google Chrome, LAPS-E zijn er slechts een paar. U kunt ook uw eigen instellingen maken.
Beschouw een GPO eenvoudig als een enkel beleid; het is een manifest dat instructies bevat om taken uit te voeren zoals het instellen van een aanmeldingsscript, het wijzigen van het bureaublad van een gebruiker, het installeren van software en duizenden andere taken.
Active Directory slaat GPO’s op in de Active Directory-database die worden gerepliceerd tussen domeincontrollers (DC’s).
GPO’s hebben twee “categorieën” van instellingen; één voor een computer en één voor een gebruiker. Deze “categorieën” definiëren hoe de instellingen binnen de GPO van toepassing zullen zijn op de computer. Als u bijvoorbeeld de achtergrond van een gebruiker wilt wijzigen, zouden dat gebruikersinstellingen zijn. Als u systeembrede software wilt installeren, zou dat een computerinstelling zijn.
Zodra u een GPO maakt, richt u die GPO vervolgens op een reeks computers of gebruikers binnen een OU. De computer zoekt dan periodiek naar nieuwe GPO’s en past die instellingen toe (meer hierover later).
Wat zijn Group Policy Templates
Als een GPO het belangrijkste onderdeel is van het Group Policy, is het Group Policy Template (GPT) het volgende belangrijke concept. De GPT gaat hand in hand met de GPO.
Active Directory slaat GPO’s op in SYSVOL, wat een bestandsshare is op DC’s om bestanden te distribueren. GPT’s bestaan uit registerinstellingen, beveiligingsbestanden, toepassingen, scripts en installatieprogramma’s, snelkoppelingen, XML-bestanden, grafische bestanden, enzovoort, afhankelijk van het soort instellingen dat u definieert in de overeenkomstige GPO.
Het beheren van het groepsbeleid met de GPMC
Het groepsbeleid wordt beheerd via de Group Policy Management Console (GPMC). Deze console is geïnstalleerd op alle domeincontrollers en als onderdeel van de Remote Server Administration Toolkit (RSAT). De GPMC maakt verbinding met de domeincontroller die de rol van Primary Domain Controller Emulator (PDCe) heeft om wijzigingen aan te brengen in het groepsbeleid.
In de GPMC kunt u Groepsbeleidsobjecten (GPO’s) maken en toewijzen aan Active Directory-organisatie-eenheden (OUs), Active Directory-sites en meer.
Hoe groepsbeleidsreplicatie werkt
Zoals eerder vermeld, maken GPO’s en GPT’s deel uit van AD. Als zodanig maken ze deel uit van het typische replicatieproces van Active Directory.
A specific workflow kicks off when you create/update a new GPO and target it to an Active Directory OU.
- Zodra een GPO wordt gewijzigd via de GPMC, maakt de GPMC verbinding met de PDCe DC.
- De GPMC maakt of wijzigt vervolgens de GPO binnen de Active Directory-databases en maakt/bijwerkt de GPT in SYSVOL.
- Zodra gewijzigd, neemt AD-replicatie het over en repliceert zowel de GPO als GPT naar de rest van de DC’s volgens het replicatieschema van AD. Replicatie duurt meestal tot 5 minuten als uw “lokale” DC en de PDCe zich in dezelfde site bevinden, of langer als ze zich in verschillende sites bevinden.
DC’s repliceren ook de GPT’s in SYSVOL zodra deze zijn gemaakt met de GPMC, maar ze doen dit via een apart replicatiemechanisme genaamd DFS-R. Het replicatieschema voor SYSVOL is hetzelfde als het replicatieschema voor de AD-database. Beide componenten van een GP zouden ongeveer tegelijkertijd op uw lokale DC moeten aankomen.
Hoe GPO’s worden toegepast
Dus de GPMC heeft de GPO/GPT gemaakt en ze zijn gerepliceerd naar alle DC’s in uw AD-omgeving. En nu? Nu moeten de client(s) de beleidsregel ophalen. Op dit punt is het aan de client om de DC te controleren op nieuwe/gewijzigde beleidsregels.
Klanten houden zich aan hun gedefinieerde groepsbeleid vernieuwingsinterval. Dit is het interval waarin ze routinematig controleren op veranderingen bij hun DC. Standaard is het vernieuwingsinterval ingesteld op 90 minuten, plus een willekeurige offset tussen 0 en 30 minuten.
Als een DC wordt getarget met een beleid, is het standaard vernieuwingsinterval slechts vijf minuten.
Zodra het vernieuwingsinterval is verstreken, controleert de Group Policy Client-service op de client bij de DC op nieuwe of gewijzigde beleidsregels. Indien gevonden, worden deze beleidsregels gedownload en worden de instructies op de clientcomputer uitgevoerd.
De Group Policy Client-service kan nieuwe instellingen niet onmiddellijk toepassen. Sommige instellingen kunnen niet onmiddellijk worden toegepast, zoals bij de volgende aanmelding, doorgestuurde mappen, na de volgende herstart, enz.
Er zijn GPs die van toepassing zijn, zelfs als er geen wijzigingen zijn sinds de laatste keer dat ze zijn toegepast. Een goed voorbeeld hiervan zijn beveiligingsinstellingen, die opnieuw worden toegepast bij het opstarten van de computer en elke 16 uur als de computer in de tussentijd niet opnieuw is opgestart. Dit is belangrijk: als iemand wijzigingen heeft aangebracht in een specifieke beveiligingsconfiguratie, worden deze hersteld bij de volgende vernieuwing (denk aan geopende firewallpoorten in Windows Firewall of leden toegevoegd aan/verwijderd uit Beperkte Groepen op de lokale computer).
Andere instellingen kunnen geconfigureerd worden om opnieuw toegepast te worden, zelfs als de GP niet is gewijzigd. U kunt het gedrag van de GP-client voor een bepaald type instelling controleren via het register, of, zoals u misschien al geraden heeft, via GP.
Voldoe aan nalevingsvereisten, blokkeer meer dan 3 miljard gecompromitteerde wachtwoorden, en help gebruikers sterkere wachtwoorden te creëren in Active Directory met dynamische feedback voor eindgebruikers. Neem vandaag nog contact met ons op over Specops Password Policy!
Conclusie
Als u zich ooit hebt afgevraagd, “Wat is Group Policy?”, hoop ik dat deze handleiding die vraag heeft kunnen beantwoorden. Group Policy is een systeem dat al lange tijd bestaat en nog steeds wordt gebruikt door duizenden organisaties. Het is een onmisbaar hulpmiddel voor velen die wijzigingen moeten doorvoeren in hun Windows-computeromgeving.
Als u een wijziging moet aanbrengen op één, tien of 1.000 domeingejoinde computers, zorg er dan voor dat u weet wat Group Policy is.