發現什麼是群組策略以及其詳細運作方式

教學

組策略。這是幾乎每位Windows管理員都熟悉的服務。但組策略是什麼呢?組策略是一種常見的應用配置設置、安裝軟件、運行腳本等的方式,可以在成千上萬的Active Directory(AD)域加入的計算機上進行。

擴展組策略的功能,簡化細粒度密碼策略的管理。使用Specops Password Policy針對任何GPO級別、組、用戶或計算機進行字典和口令短語設置。免費試用!

組策略包含許多不同的服務和工作流程。大多數管理員可能甚至不知道它在幕後是如何運作的!在本文中,我們旨在改變這種情況。

如果您對組策略是什麼以及它是如何運作感興趣,請繼續關注,因為我們將不遺餘力地介紹一切!

組策略對象(GPOs)是什麼

GPOs是組策略的關鍵。GPOs是包含許多不同設置的個別策略,用於在域加入的計算機上執行。

在Windows 10/2019 Server中,有超过五千个设置,涵盖了Windows的所有相关方面。此外,您甚至可以为特定应用程序导入更多设置:Office、Microsoft Edge、Google Chrome、LAPS-E等仅是其中之一。您还可以创建自己的设置。

将GPO简单地视为单一策略;它是一个包含执行任务指令的清单,如设置登录脚本、更改用户桌面、安装软件以及成千上万的其他任务。

Active Directory将GPO存储在在域控制器(DCs)之间复制的Active Directory数据库中。

GPO有两个“类别”设置;一个用于计算机,一个用于用户。这些“类别”定义了GPO内部设置如何应用于计算机。例如,如果需要更改用户的背景,则是用户设置。如果需要安装系统范围的软件,则是计算机设置。

创建GPO后,您可以将该GPO定位到组织单位(OU)中的一组计算机或用户。然后,计算机定期查找新的GPO并应用这些设置(稍后详细介绍)。

什么是组策略模板

如果GPO是组策略的主要组成部分,则组策略模板(GPT)是下一个重要概念。GPT与GPO紧密相连。

Active Directory 將 GPO 存儲在 SYSVOL中,這是分佈在 DC 上的文件共享,用於分發文件。GPT 包含註冊表設置、安全文件、應用程序、腳本和安裝程序、快捷方式、XML 文件、圖形文件等,具體取決於在相應的 GPO 中定義的設置類型。

使用 GPMC 來管理群組策略

群組策略通過群組策略管理控制台(GPMC)來控制。此控制台安裝在所有域控制器上,並作為遠程服務器管理工具包(RSAT)的一部分。GPMC 連接到擁有主域控制器模擬器(PDCe)角色的域控制器,以對群組策略進行更改。

相關資訊:如何安裝和導入 Active Directory 模塊

在 GPMC 內部,您可以創建並分配群組策略對象(GPO)給 Active Directory 組織單元(OU)、Active Directory 網站等。

群組策略複製的工作原理

如前所述,GPO 和 GPT 是 AD 的一部分。因此,它們是典型的 Active Directory 複寫過程的一部分。

A specific workflow kicks off when you create/update a new GPO and target it to an Active Directory OU.

  1. 一旦通過 GPMC 更改 GPO,GPMC 會連接到 PDCe DC。
  2. 然後,GPMC 在 Active Directory 數據庫內創建或修改 GPO,並在 SYSVOL 中創建/更新 GPT。
  3. 修改後,AD 複寫接管並根據 AD 複寫計劃將 GPO 和 GPT 複寫到其他 DC。如果您的“本地” DC 和 PDCE 在同一站點,則複寫通常需要多達 5 分鐘,如果它們在不同站點,則需要更長的時間。

DC 也會通過稱為 DFS-R 的單獨複寫機制複寫 SYSVOL 中的 GPT,一旦使用 GPMC 創建,但是這樣做。SYSVOL 的複寫計劃與 AD 數據庫的複寫計劃相同。一個 GP 的兩個組件應該在本地 DC 大致同時到達。

如何應用 GPO

因此,GPMC 已經創建了 GPO/GPT,並且已經將它們複寫到了 AD 環境中的所有 DC。現在呢?現在客戶端需要拾取策略。在這一點上,由客戶端檢查 DC 是否有新的/更改的策略。

客戶堅持遵循其定義的 群組策略刷新間隔這是他們定期檢查其DC更改的間隔。默認情況下,刷新間隔設置為90分鐘,再加上0到30分鐘之間的隨機偏移量。

如果一個DC被定向到一個策略,默認刷新間隔僅為五分鐘。

一旦刷新間隔結束,客戶端上的群組策略客戶服務將與DC檢查是否有新的或更改的策略。如果發現,它將下載這些策略並開始在客戶端計算機上執行指令。

群組策略客戶服務可能不會立即應用新設置。一些設置無法立即應用,例如在下次登錄、重定向文件夾、下次重新啟動後等。

即使自上次應用以來沒有更改,也會應用某些GP。一個很好的例子是安全設置,它們在計算機啟動時重新應用,如果計算機在此期間未重新啟動,則每16小時應用一次。這很重要:如果有人對特定安全配置進行了更改,它們將在下次刷新時恢復(想想在Windows防火牆中打開的防火牆端口,或者在本地計算機上添加到/從受限制的群組中刪除的成員)。

其他設定可能會被重新應用,即使 GP 未更改。您可以通過註冊表或通過 GP 控制 GP 客戶端對特定類型的設定的行為。

在 Active Directory 中強制執行符合性要求,阻止超過 30 億個受損密碼,並幫助用戶創建更強大的密碼,並提供動態終端用戶反饋。立即聯繫我們了解 Specops 密碼策略!

結論

如果您曾經問過自己,“什麼是群組策略?”,我希望這個教程能夠回答這個問題。群組策略是一個存在已久且仍被成千上萬組織使用的系統。對於許多需要在其 Windows 電腦環境中應用變更的人來說,它是一個基本工具。

如果您需要對一個、十個或 1,000 個加入域的計算機進行更改,請確保您知道什麼是群組策略。

Source:
https://adamtheautomator.com/what-is-group-policy/