Utrzymywanie Group Policy Object (GPO) może się z czasem skomplikować, mogą wystąpić trudne do rozwiązania problemy, gdy masz wiele konfiguracji GPO w całej domenie (lub domenach).
Wdrożenie polityki grupy jest w rzeczywistości bardzo proste, w tym wpisie pokażę 15 praktyk, które pomogą we właściwym wdrożeniu GPO.
Najlepiej jest zaplanować i przetestować wszelkie zmiany w polityce grupy. Jedna niewielka zmiana może prowadzić do poważnych problemów i wpływać na krytyczne usługi biznesowe.
Nie modyfikuj domyślnych zasad domeny
Ten obiekt zasad grupy powinien być używany tylko do ustawień zasad kont, zasad haseł, zasad blokowania konta i zasad Kerberos. Wszelkie inne ustawienia należy umieścić w osobnym obiekcie zasad grupy. Domyślna polityka domeny jest ustawiana na poziomie domeny, więc wszyscy użytkownicy i komputery otrzymują tę politykę.
Nie modyfikuj domyślnych zasad kontrolera domeny
Niniejsze GPO powinno zawierać wyłącznie zasady przypisania praw użytkownika i zasady audytu. Warto pozostałe konfiguracje kontrolerów domeny przenieść do osobnych GPO.
Dobra struktura OU ułatwi życie
Dobra struktura OU ułatwia stosowanie i rozwiązywanie problemów z zasadami grupy. Warto oddzielić użytkowników i komputery na oddzielne OU, a następnie tworzymy OU drugiego rzędu dla każdego działu lub funkcji biznesowej.
Umieszczenie użytkowników i komputerów w oddzielnych jednostkach organizacyjnych ułatwia stosowanie zasad komputera do wszystkich komputerów, a zasad użytkownika tylko do użytkowników.
Nie ustawiaj obiektów zasad grupy na poziomie domeny
Jedynym obiektem zasad grupy, który należy ustawić na poziomie domeny, jest Default Domain Policy. Wszystko ustawione na poziomie domeny zostanie zastosowane do wszystkich obiektów użytkowników i komputerów. Może to prowadzić do zastosowania wszelkiego rodzaju ustawień do niechcianych obiektów. Lepiej zastosować zasady na bardziej szczegółowym poziomie.
Zastosuj GPO na poziomie root OU
Zastosowanie obiektów zasad grupy na poziomie jednostki organizacyjnej umożliwi podrzędnym jednostkom organizacyjnym dziedziczenie tych zasad. W ten sposób nie musisz łączyć polityki z każdą jednostką organizacyjną. Jeśli masz użytkowników lub komputery, których nie chcesz dziedziczyć, możesz umieścić je w ich własnej jednostce organizacyjnej i zastosować politykę bezpośrednio do tej jednostki organizacyjnej.
Ustawienia systemu Windows 10 zawierają zasadę, która włącza wygaszacz ekranu po 30 minutach. Ta zasada jest stosowana w jednostce organizacyjnej Winadpro Computers, więc podrzędne jednostki organizacyjne odziedziczą tę politykę. Mam laboratorium szkoleniowe (Training Lab), do którego nie chcę stosować tej zasady, więc utworzyłem i połączyłem katalog GPO z jednostką organizacyjną Training Lab, która wyłącza wygaszacz ekranu. Ten bezpośrednio połączony obiekt zasad grupy będzie miał pierwszeństwo i zostanie zastosowany w stosunku do odziedziczonych zasad.
Unikaj korzystania z blokowania dziedziczenia zasad i egzekwowania zasad
Jeśli masz dobrą strukturę jednostki organizacyjnej, najprawdopodobniej możesz uniknąć blokowania dziedziczenia zasad i wymuszania zasad. O wiele łatwiej jest mi zarządzać i rozwiązywać problemy z zasadami grupy, wiedząc, że żadna z nich nie jest ustawiona w domenie.
Nie wyłączaj obiektów zasad grupy (GPO)
Jeśli GPO jest powiązane z OU i nie chcesz, aby tak było, usuń go zamiast wyłączyć. Usuwanie linku z OU nie usunie GPO, usunie tylko link prowadzący do OU. Wyłączenie GPO powstrzyma go przed wykonywaniem zapisanej w jego wnętrzu konfiguracji.
Użyj opisowych nazw GPO
Możliwość szybkiej identyfikacji działania obiektu zasad grupy na podstawie nazwy znacznie ułatwi administrowanie zasadami grupy. Nadawanie obiektom zasad grupy ogólnej nazwy, takiej jak ustawienia laptopa, jest zbyt ogólne i wprowadza w błąd w przyszłości. Dobrymi przykładami są ustawienia przeglądarki, ustawienia zasilania, zasady MS Office, wyłączony wygaszacz ekranu etc. Wszystkie są opisowe, a jedno spojrzenie na nazwę daje wyobrażenie o tym, do czego służy ta polityka.
Przyspiesz przetwarzanie GPO, wyłączając niewykorzystane konfiguracje komputera i użytkowników
Dla przykładu mamy obiekt GPO o nazwie Browser Settings, który ma skonfigurowane tylko ustawienia komputera i żadnych ustawień użytkownika, więc wyłączyłem konfigurację użytkownika dla tego obiektu zasad grupy. Przyspieszy to przetwarzanie zasad grupy.
Użyj loopback w określonych przypadkach…
Loopback, w skrócie, przyjmuje ustawienia użytkownika i ogranicza te ustawienia do komputera, do którego stosuje się GPO. Niepoprawne użycie GPO w przyszłości może spowodować problemy w działaniu. Powszechne stosowanie przetwarzania pętli znajduje się na serwerach terminalowych i serwerach Citrix. Użytkownicy logując się na serwerze potrzebują określonych ustawień użytkownika zastosowanych po zalogowaniu się tylko do tych serwerów. Musisz utworzyć GPO, włączyć przetwarzanie pętli i zastosować go do OU, który ma w sobie serwery.
Wdrożenie zarządzania zmianą dla polityki grupy
GPO może wymknąć się spod kontroli, jeśli pozwolisz wszystkim administratorom wprowadzać zmiany, ponieważ uważają je za konieczne.
Nie twierdzę, że wszystkie zmiany polityki grupy powinny przejść formalny proces zarządzania zmianami, warto przygotować takie wdrożenie, przedyskutować ewentualne problemy i koniecznie je udokumentować.
Jedna mała zmiana GPO może wywołać potężne problemy na zależnych GPO. Zdarza się, więc najlepiej omawiać i udokumentować zmiany w GPO.
Użyj „małych” GPO, aby uprościć administrację
Łatwo wpaść w pułapkę upychania wszystkiego w jednym obiekcie zasad grupy.
Małe obiekty zasad grupy ułatwiają rozwiązywanie problemów, zarządzanie, projektowanie i wdrażanie.
Oto kilka sposobów podziału obiektów zasad grupy na mniejsze zasady:
- Ustawienia wyszukiwarki
- Ustawienia bezpieczeństwa
- Ustawienia zasilania
- Ustawienia Microsoft Office
- Ustawienia sieci
- Mapowania napędów
- Bitlocker
- Applocker
- Firewall
Najlepsze praktyki dotyczące wydajności GPO
Oto kilka ustawień, które mogą powodować wydłużenie czasu uruchamiania i logowania.
- Skrypty logowania pobierające duże pliki,
- Skrypty startowe pobierające duże pliki,
- Mapowanie dysków sieciowych, które pracują na serwerach w innych lokalizacjach,
- Wdrażanie paczek sterowników drukarek zamiast preferencji zasad grupy,
- Nadużywanie filtrowania zasad grupy według członkostwa w grupie AD,
- Używanie nadmiernych filtrów WMI,
- Wiele obiektów zasad grupy połączonych z użytkownikiem lub komputerem za pomocą wolnego łącza.
Wiesz, jak korzystać z polecenia RSOP i GPResult Windows?
Te dwa polecenia doskonale nadają się do rozwiązywania problemów i weryfikacji GPO, oba polecenia są wbudowane w system Windows. Podczas rozwiązywania problemów potrzebujesz sposobu na weryfikację GPO i sprawdzenie dokładnie, jakie zasady są stosowane.
Backup GPO
Jeśli nie tworzysz kopii zapasowej usługi Active Directory ani nie wykonujesz kopii zapasowej stanu systemu, musisz rozpocząć tworzenie kopii zapasowych obiektów zasad grupy. Może być konieczne odzyskanie usuniętego obiektu zasad grupy lub przywrócenie ustawień z istniejących obiektów zasad grupy.
Podsumowanie
W tym wpisie starałem się przedstawić najważniejsze elementy, które pomagają w codziennej pracy z GPO. Warto zapoznać się również z wcześniejszymi wpisami, 16 praktyk konfiguracji serwera dhcp, 25 najlepszych praktyk w zakresie bezpieczeństwa Active Directory, Konwencje nazewnictwa użytkowników Active Directory. Mam nadzieję, że taki zestaw pomoże w codziennej pracy z rozwiązaniami firmy Microsoft i/lub właściwym zapłanowaniem wdrożenia w/w rozwiązań w organizacji.
Dziękuję Ci, za poświęcony czas na przeczytanie tego artykułu. Jeśli był on dla Ciebie przydatny, to gorąco zachęcam Cię do zapisania się na mój newsletter, jeżeli jeszcze Cię tam nie ma. Proszę Cię także o “polubienie” mojego bloga na Facebooku oraz kanału na YouTube – pomoże mi to dotrzeć do nowych odbiorców. Raz w tygodniu (niedziela punkt 17.00) otrzymasz powiadomienia o nowych artykułach / projektach zanim staną się publiczne. Możesz również pozostawić całkowicie anonimowy pomysł na wpis/nagranie.
Link do formularza tutaj: https://beitadmin.pl/pomysly
Pozostaw również komentarz lub napisz do mnie wiadomość odpisuję na każdą, jeżeli Masz jakieś pytania:).
