ha szeretné elolvasni a cikksorozat többi részét, kérjük, látogasson el ide::
- Top 10 ok, amiért a Csoportházirend nem alkalmazható (1. rész)
- Top 10 ok, amiért a Csoportházirend nem alkalmazható (rész 2)
Bevezetés
a témakör első két részében 7 okot vizsgáltunk meg, hogy miért nem működik megfelelően a Csoportházirend az Ön környezetében. Visszatekintve ezekre 7 okok néhány kulcsfontosságú tényezőt tártak fel a Csoportpolitikáról. Először is, a csoportházirend a tartományvezérlők DNS-en keresztüli megfelelő hitelesítésére támaszkodik, Kerberos használatával a hitelesítési protokollhoz, a kezelés hatóköréhez, valamint a csoportházirend minden beállításához a megfelelő objektumtípus használatával. Ezután megvizsgáltuk a GPO precedenciát (LSDOU) és a biztonsági szűrést. Ebben a részletben megvizsgáljuk a No override, a block inheritance és a WMI szűrőket.
a kényszerített (nincs felülbírálás) beállítás a
csoportházirend-objektumon van beállítva alapértelmezés szerint minden konfigurált csoportházirend-objektum nem rendelkezik biztonsági szűréssel, kényszerített (nincs felülbírálás), blokk örökléssel stb. Előfordulhat azonban, hogy valaki beállítja az egyik ilyen funkciót. Megnéztük a biztonsági szűrést, de most a kényszerített (nincs felülbírálás). A kényszerített (nincs felülbírálás) egy olyan beállítás, amelyet a csoportházirend-objektumra vetnek ki, a csoportházirend-objektum összes beállításával együtt, így a magasabb prioritású csoportházirend-objektum nem “nyer”, ha ütköző beállítás van.
fontos megérteni, hogy a GPO öröklés az LSDOU-val (helyi, webhely, domain, OU) működik. Miután beállította nincs felülbírálás egy csoportházirend-objektumon, ez az elsőbbségi koncepció érvényét veszti. Kényszerített (nincs felülbírálás) beállítja, hogy a kérdéses csoportházirend-objektum ne legyen felülírva más csoportházirend-objektum által (természetesen alapértelmezés szerint).
jó példa erre az Alapértelmezett tartományházirend beállítása a kényszerített (nincs felülbírálás) beállításhoz, hogy a benne található jelszóházirend-beállításokat ne rontsa el egy csoportházirend a tartományban a Tartományfelhasználók számára, vagy egy OU a helyi SAM-felhasználók számára az OU-ban található számítógépeken. Láthatja, hogy ez az 1. ábrán látható alapértelmezett Tartományházirenden van beállítva.
1. ábra:
kényszerített (nincs felülbírálás) van beállítva az alapértelmezett Tartományházirendhez.
néhány szempontot figyelembe kell venni a kényszer beállításakor (nincs felülbírálás). Először is, a csoportházirend-objektum a legmagasabb prioritásra lesz állítva attól a helytől, ahol a csoportházirend-objektum a HIRDETÉSSTRUKTÚRÁN keresztül le van kapcsolva. Másodszor, ha egy magasabb prioritású csoportházirend-objektum (például a példánkban egy szervezeti egység szintjén) szintén kényszerített (nincs felülbírálás) értékre van állítva, akkor nem lesz nagyobb elsőbbsége, mint a HIRDETÉSSTRUKTÚRÁBAN magasabbra kapcsolt csoportházirend-objektumnak. Ez tehát egy ou admin nem állíthat be egy GPO-t, hogy magasabb elsőbbséget élvezzen, mint egy domain admin.
a blokk öröklődés az Active Directory csomóponton van beállítva
egy másik funkció, bár nem javasolt rendszeresen használni, az a képesség, hogy blokkolja a szabványos Csoportházirend-feldolgozás öröklését az Active Directory-n keresztül. Mint már sokszor említettük ebben a cikksorozatban, az LSDOU elsőbbségét betartják a Csoportházirend alkalmazása és a konfliktuskezelés során.
a blokk öröklési funkció az egyik, hogy be van állítva a domain csomópont vagy szervezeti egység. Annak ellenére, hogy a webhelyeknek lehetnek kapcsolt csoportházirend-objektumai, az egyetlen olyan csoportházirend-objektum, amelynek elsőbbsége gyengébb, mint a webhelyhez kapcsolt csoportházirend-OBJEKTUMÉ, a helyi csoportházirend-objektum nem blokkolható ezzel a funkcióval.
a funkció blokkolja az összes gyengébb elsőbbségi GPO-t, amely a blokk öröklési beállításának szintjéhez kapcsolódik. Tehát, ha a blokk öröklődés egy második szintű OU-ra van beállítva, akkor a tartományban és a legfelső szintű OU-ban beállított összes GPO blokkolva lesz, ami nem érinti a második szintű OU-ban található felhasználókat és számítógépeket. Csak a második szintű szervezeti egységhez kapcsolódó GPO-knak lenne hatása. Természetesen, ha több ou-szint lenne a második szint alatt, akkor ezek a GPO-k is hatékonyak lennének, csak nem azok, amelyek gyengébb elsőbbséget élveznek. A 2.és 3. ábrán láthatja, hogy ez hogyan befolyásolja a GPO-kat. A 2. ábrán nincs blokk öröklődési készlet, míg a 3. ábrán az OU második szintjén van beállítva.
2. ábra:
Standard GPO elsőbbség és öröklés a második szinten OU.
3. ábra:
blokk öröklődés van beállítva a második szinten OU.
a WMI-szűrő helytelen
a WMI-szűrők hatékony módja annak, hogy ellenőrizzék, mely objektumok (felhasználók vagy számítógépek) kapják meg a beállításokat egy csoportházirend-objektumon. A WMI szűrő egy önálló fájl, amely egy vagy több csoportházirend-objektumhoz kapcsolódik. Az egyes csoportházirend-objektumok Csoportházirend-beállításainak kiértékelésekor a WMI-szűrő meghatározza, hogy a WMI-szűrőben szereplő lekérdezések pozitívnak vagy negatívnak minősülnek-e. Ha pozitív, megfelel a WMI-szűrő kritériumainak, akkor a rendszer a csoportházirend-objektum azon beállításait alkalmazza, amelyekhez a WMI-szűrő kapcsolódik.
természetesen láthatja, hogy ebben a folyamatban hol lehet sok olyan terület, ahol a WMI szűrő miatt a csoportházirend-objektum hibásnak tűnik. Először is, ha a WMI-szűrőfájl módosul vagy törlődik, de a WMI-szűrő hivatkozás sértetlen marad, a WMI-szűrő nem teljesül, így a csoportházirend-objektum beállításai nem érvényesek. Ezután, ha a WMI-szűrőnek bármilyen szintaktikai hibája van, ami a lekérdezés meghiúsulását okozza, akkor a csoportházirend-objektum beállításai sem fognak érvényesülni. Végül, ha a lekérdezést rosszul tervezték meg, vagy a WMI-lekérdezés sikerének logikája helytelen, a csoportházirend-objektum beállításai nem érvényesek.
csak olyan WMI-szűrőket használjon, ahol nincs más lehetőség, mivel a WMI-szűrőknek számos olyan területe van, ahol elutasíthatják a csoportházirend-objektum összes beállításának alkalmazását, ráadásul a WMI-szűrők kiértékelése és alkalmazása nagyon lassú. Még a Csoportházirend-beállításokban található Elemszintű célzás (ILT) esetén is takarékosan használja a WMI szűrőket, mivel az ILT-n belül is lehetnek problémák.
Összegzés
ebben a cikksorozatban tíz különböző módot vizsgáltunk meg, hogy a Csoportházirend kudarcot vallhat, vagy legalábbis úgy néz ki, mintha kudarcot vallana. A valóságban maga a csoportpolitika ritkán kudarcot vall. Általában nem sikerül a csoportházirend-objektum konfigurálása, a hivatkozások, a Csoportházirend-struktúra stb. amelyek helytelenek, így a csoportházirend-objektum és a beállítások nem vonatkoznak a kívánt célokra. Mindig azt javaslom, hogy a csoportpolitika alapjaihoz való visszatérés segít megtalálni, ahol az alapvető kérdések gyökereznek. Is, úgy találom, hogy az alapvető, alapvető konfigurációk okozzák a legtöbb problémát a csoportházirendben. Alapszabályként győződjön meg arról, hogy az OU struktúráját használja a csoportházirend-beállítások telepítéséhez, úgy, hogy az OU összes objektuma megkapja a beállításokat. Amikor megpróbálja megváltoztatni a Csoportházirend alapértelmezett engedélyeit, alkalmazását és elsőbbségét, akkor a problémák valóban felhalmozódnak. Csak nagyon ritka esetekben javasolt olyan funkciók használata, mint a biztonsági szűrés, az öröklődés blokkolása, a végrehajtás és a WMI-szűrők. Az ilyen lehetőségektől és funkcióktól való távolmaradás segít abban, hogy a Csoportházirend-környezet egyszerűbb, stabilabb és könnyebben elhárítható legyen, ha valódi problémák merülnek fel.
ha szeretné elolvasni a cikksorozat többi részét, kérjük, látogasson el ide::
- Top 10 ok, amiért a Csoportházirend nem alkalmazható (1. rész)
- Top 10 ok, amiért a Csoportházirend nem alkalmazható (rész 2)
hirdetés jelentése