pokud si chcete přečíst další části v této sérii článků, přejděte na:
- Top 10 důvodů, proč se Zásady skupiny nepoužijí (Část 1)
- Top 10 důvodů, proč se Zásady skupiny nepoužijí (Část 2)
Úvod
v našich prvních dvou splátkách tohoto tématu jsme se podívali na 7 důvodů, proč Zásady skupiny nemusí ve vašem prostředí správně fungovat. Při pohledu zpět na ty 7 Důvody odhalily některé klíčové faktory týkající se skupinové politiky. Za prvé, Zásady skupiny se opírají o správné ověření pomocí DNS k řadičům domény, použití protokolu Kerberos pro autentizační protokol, rozsah správy a použití správného typu objektu pro každé nastavení v GPO. Poté jsme se podívali na prioritu GPO (LSDOU) a filtrování zabezpečení. V této splátce se podíváme na filtry no override, block dědičnost a WMI.
vynucené (no override) je nastaven na GPO
ve výchozím nastavení každý GPO, který je nakonfigurován nemá žádné filtrování zabezpečení, vynucené (No override), block dědičnost, atd. Může se však stát, že někdo nastaví jednu z těchto funkcí. Podívali jsme se na filtrování zabezpečení, ale nyní se díváme na vynucené (bez přepsání). Vynucené (no override) je nastavení, které je uloženo na GPO, spolu se všemi nastaveními v GPO, takže jakýkoli GPO s vyšší prioritou „nevyhraje“, pokud existuje konfliktní nastavení.
je důležité pochopit, že dědičnost GPO pracuje s LSDOU (Local, site, domain, OU). Jakmile nastavíte žádné přepsání na GPO, tento koncept priority je negován. Vynucené (no override) nastaví GPO v otázce nesmí být přepsán žádným jiným GPO (ve výchozím nastavení, samozřejmě).
dobrým příkladem je nastavení výchozí zásady domény pro vynucené (žádné přepsání), takže nastavení zásad hesla v ní obsažené není trumfováno GPO v doméně pro uživatele domény nebo na OU pro místní uživatele SAM v počítačích umístěných v OU. Můžete vidět, že toto je nastaveno na výchozí doménové politice na obrázku 1.
Obrázek 1:
vynucené (žádné přepsání) je nastaveno pro výchozí zásady domény.
při nastavení vynucené je třeba zvážit několik věcí (bez přepsání). Nejprve bude GPO nastaven na nejvyšší prioritu z místa, kde je GPO propojen prostřednictvím struktury reklamy. Za druhé, pokud je vyšší priorita GPO (například na úrovni OU v našem příkladu) nastavena také na vynucené (no override), nebude mít vyšší prioritu než GPO propojený vyšší ve struktuře reklamy. Je to tak, že správce OU nemůže nastavit GPO tak, aby měl vyšší prioritu než správce domény.
dědičnost bloků je nastavena na uzlu služby Active Directory
další funkcí, i když není doporučeno používat pravidelně, je schopnost blokovat dědičnost standardního zpracování zásad skupiny prostřednictvím služby Active Directory. Jak již bylo mnohokrát zmíněno v této sadě článků, priorita LSDOU je dodržována pro aplikaci zásad skupiny a řešení konfliktů.
funkce dědičnosti bloků je funkce, která je nastavena buď na uzlu domény, nebo na organizační jednotce. Přestože weby mohou mít propojený GPO, jediným GPO, který má slabší prioritu než GPO propojený s webem, jsou místní a místní GPO nemohou být touto funkcí blokovány.
funkce blokuje všechny slabší prioritní GPO spojené s úrovní, ve které je nastaveno nastavení dědičnosti bloků. Pokud je dědičnost bloku nastavena na druhou úroveň OU, všechny GPO nastavené na doméně a nejvyšší úroveň ou by byly blokovány, aniž by to ovlivnilo uživatele a počítače umístěné ve druhé úrovni ou. Pouze GPO spojené s druhou úrovní OU by měly nějaký účinek. Samozřejmě, pokud by existovalo více úrovní ou pod druhou úrovní, tyto GPO by byly také účinné, jen ne ty, které mají slabší přednost. Můžete vidět, jak to ovlivňuje GPO při pohledu na obrázek 2 a 3. Obrázek 2 nemá sadu blokové dědičnosti, zatímco obrázek 3 má nastavení stanovené na druhé úrovni OU.
Obrázek 2:
standardní priorita GPO a dědičnost na druhé úrovni OU.
obrázek 3:
dědičnost bloku je nastavena na druhé úrovni OU.
filtr WMI je nesprávný
filtry WMI jsou účinným způsobem, jak určit, které objekty (uživatelé nebo počítače) obdrží nastavení v GPO. Filtr WMI je samostatný soubor, který je propojen s jedním nebo více GPO. Když je vyhodnoceno nastavení zásad skupiny z každého GPO, filtr WMI určí, zda se dotazy obsažené ve filtru WMI vrátí jako pozitivní nebo negativní. Pokud je kladný, splňující kritéria ve filtru WMI, budou použita nastavení v GPO, ke kterému je filtr WMI propojen.
samozřejmě můžete vidět, kde v tomto procesu může být mnoho oblastí, že filtr WMI způsobí selhání GPO. Za prvé, pokud je soubor filtru WMI změněn nebo odstraněn, ale odkaz filtru WMI zůstane neporušený, filtr WMI nebude splněn, takže nastavení v GPO se nepoužije. Dále, pokud má filtr WMI nějaké syntaktické chyby, což způsobí selhání dotazu, nastavení v GPO se také nezdaří. Nakonec, pokud je dotaz navržen špatně nebo je logika úspěchu dotazu WMI nesprávná, nastavení GPO se nepoužije.
filtry WMI používejte pouze tam, kde neexistují žádné jiné možnosti, protože filtry WMI mají mnoho oblastí, kde mohou negovat všechna nastavení v GPO z použití, plus filtry WMI jsou velmi pomalé na vyhodnocení a použití. Dokonce i v cílení na úrovni položek (ILT) umístěném v předvolbách zásad skupiny používejte filtry WMI střídmě, protože v rámci ILT mohou mít také problémy.
shrnutí
v této sérii článků jsme se podívali na deset různých způsobů, jak by politika skupiny mohla selhat nebo alespoň vypadat, jako by selhala. Ve skutečnosti samotná skupinová politika zřídka selže. To, co obvykle selže, je konfigurace GPO, odkazy, struktura zásad skupiny atd. které jsou nesprávné, což způsobuje, že GPO a nastavení se nevztahují na požadované cíle. Vždy navrhuji, aby návrat k základům a základům skupinové politiky pomohl zjistit, kde jsou hlavní problémy zakořeněny. Také jsem zjistil, že základní, základní konfigurace způsobují většinu problémů s politikou skupiny. Zpravidla se ujistěte, že používáte strukturu OU k nasazení nastavení zásad skupiny, takže všechny objekty v OU obdrží nastavení. Při pokusu o změnu výchozích oprávnění, aplikace a priority zásad skupiny se zde problémy skutečně začnou hromadit. Pouze ve velmi vzácných situacích se doporučuje používat funkce, jako je filtrování zabezpečení, dědění bloků, vynucování a filtry WMI. Vyhýbání se těmto možnostem a funkcím vám pomůže udržet prostředí zásad skupiny jednodušší, stabilní a snadnější řešení problémů, když se vyskytnou skutečné problémy.
pokud si chcete přečíst další části v této sérii článků, přejděte na:
- Top 10 důvodů, proč se Zásady skupiny nepoužijí (Část 1)
- Top 10 důvodů, proč se Zásady skupiny nepoužijí (Část 2)
nahlásit tento inzerát