hvis du ønsker å lese de andre delene i denne artikkelen serien kan du gå til:
- Topp 10 Grunner Til At Gruppepolicy Ikke Gjelder (Del 1)
- Topp 10 Grunner Til At Gruppepolicy Ikke Gjelder (Del 2)
Innledning
i våre to første avdrag av dette emnet så vi på 7 grunner Til At Gruppepolicy kanskje ikke fungerer som den skal i ditt miljø. Ser tilbake på disse 7 grunner eksponert noen viktige faktorer Om Gruppepolitikk. Gruppepolicy er avhengig av riktig godkjenning VIA DNS til domenekontrollere, Ved Hjelp Av Kerberos for godkjenningsprotokollen, omfanget av behandling og bruk av riktig objekttype for hver innstilling i ET GPO. Deretter så vi PÅ GPO precedence (LSDOU) og sikkerhetsfiltrering. I denne avdrag, vil vi se på ingen overstyring, blokkere arv, OG WMI filtre.
Håndhevet (Ingen overstyring) Er Angitt på GPO
som standard har alle GPO som er konfigurert, ingen sikkerhetsfiltrering, Håndhevet (Ingen overstyring), blokkarv osv. Det kan imidlertid være en tid at noen setter opp en av disse funksjonene. Vi så på sikkerhetsfiltrering, men nå ser vi På Håndhevet (Ingen overstyring). Håndhevet (Ingen overstyring) er en innstilling som er pålagt ET GPO, sammen med alle innstillingene i GPO, slik at ET GPO med høyere prioritet ikke «vinner» hvis det er en motstridende innstilling.
Det er viktig å forstå AT gpo-arv fungerer MED LSDOU (Lokal, nettsted, domene, OU). Når du har satt Ingen overstyring på EN GPO, blir dette konseptet av forrang negert. Håndhevet (Ingen overstyring) setter GPO i spørsmålet til ikke å bli overstyrt av noen annen GPO (som standard, selvfølgelig).
et godt eksempel her er å angi Standard Domenepolicy For Håndhevet (Ingen overstyring), slik At Passordpolicyinnstillingene i Den ikke trumfes av ET GPO på domenet for domenebrukere eller PÅ EN OU for lokale SAM-brukere i datamaskiner som ligger i OU. Du kan se dette er angitt På Standard Domenepolicy I Figur 1.
Figur 1:
Håndhevet (Ingen overstyring) er angitt For Standard Domenepolicy.
Det er noen ting du bør vurdere når du angir Håndhevet (Ingen overstyring). FØRST settes GPO til høyeste prioritet fra stedet DER GPO er koblet ned gjennom ANNONSESTRUKTUREN. For det andre, hvis ET GPO med høyere PRIORITET (For eksempel PÅ OU-nivå i eksemplet vårt) også er Satt Til Håndhevet (Ingen overstyring), vil DET ikke ha høyere prioritet enn GPO-koblede høyere i ANNONSESTRUKTUREN. Dette er så en ou admin kan ikke sette EN GPO å ha høyere prioritet enn et domene admin.
Blokk Arv Er Satt På Active Directory-Noden
En annen funksjon, men ikke foreslått å bruke regelmessig, er muligheten til å blokkere arv av standard Gruppepolicy behandling ned Gjennom Active Directory. SOM det har blitt nevnt mange ganger i dette settet av artikler, er lsdou-prioriteten overholdt For Gruppepolitikkapplikasjon og konfliktløsning.
Funksjonen Blokker Arv er en Som er angitt på domenenoden eller en organisasjonsenhet. Selv om områder kan ha en koblet GPO, bare GPO som har svakere forrang enn området koblet GPO er lokale og lokale Gpo kan ikke blokkeres med denne funksjonen.
funksjonen gjør er å blokkere alle svakere Prioriterte Gpoer som er knyttet til Nivået Der Innstillingen Blokkarv er etablert. Så, Hvis Blokkarven er satt PÅ et ANDRE NIVÅ OU, vil alle Gpoer satt på domenet og toppnivået OU bli blokkert, og påvirker ikke brukerne og datamaskinene som ligger I andre NIVÅ OU. Bare Gpoene knyttet til andre nivå OU ville ha noen effekt. Selvfølgelig, hvis det var flere Nivåer Av OUs under andre nivå en, ville disse Gpoene også være effektive, bare ikke de som har svakere forrang. Du kan se hvordan Dette påvirker Gpo-Er ved Å se På Figur 2 og 3. Figur 2 har ingen Blokk Arv sett, Mens Figur 3 har innstillingen etablert på andre nivå OU.
Figur 2:
Standard GPO forrang OG arv PÅ andre nivå OU.
Figur 3:
Blokk Arv er satt PÅ andre nivå OU.
WMI-filteret er feil
WMI-filtre er en effektiv måte å kontrollere hvilke objekter (brukere eller datamaskiner) som mottar innstillingene i ET GPO. WMI-filteret er en frittstående fil som er koblet til ett eller flere Gpoer. Når Gruppepolicyinnstillingene fra HVERT GPO evalueres, vil wmi-filteret avgjøre om spørringene som er inkludert I wmi-filteret, kommer tilbake som positive eller negative. Hvis positiv, oppfyller kriteriene I wmi-filteret, blir innstillingene i GPO SOM wmi-filteret er koblet til, brukt.
selvfølgelig kan Du se hvor det kan være mange områder i denne prosessen AT WMI-filteret vil få GPO til å mislykkes. Først, HVIS WMI-filterfilen endres eller slettes, men WMI-filterlinken forblir intakt, vil WMI-filteret ikke bli oppfylt, og dermed vil innstillingene i GPO ikke gjelde. Deretter, HVIS WMI-filteret har noen syntaktiske feil, slik at spørringen mislykkes, vil innstillingene i GPO også ikke gjelde. TIL slutt, hvis spørringen er utformet feil, eller logikken for suksess FOR wmi-spørringen er feil, GPO-innstillingene gjelder ikke.
bruk BARE wmi-filtre der det ikke finnes andre alternativer, DA WMI-filtre har mange områder der DE kan negere alle innstillingene i GPO fra å bruke, pluss WMI-filtre er svært sakte å evaluere og bruke. Selv I OBJEKTNIVÅMÅLRETTING (ELT) i Gruppepolicyinnstillinger, bruk WMI-filtre sparsomt, som i ELT kan de også ha problemer.
Sammendrag
i denne artikkelserien så vi på ti forskjellige måter At Gruppepolicy kan mislykkes, eller i det minste se ut som om Den mislykkes. I Virkeligheten mislykkes Gruppepolitikken sjelden. Det som vanligvis mislykkes, er konfigurasjonen av GPO, koblinger, Gruppepolicystruktur, etc. som er feil, forårsaker GPO og innstillingene ikke gjelder for de ønskede målene. Jeg foreslår alltid at å gå tilbake til det grunnleggende Og grunnleggende I Gruppepolitikken vil bidra til å spore hvor kjerneproblemene er forankret. Jeg finner også at kjerne, grunnleggende konfigurasjoner forårsaker de fleste problemer med Gruppepolicy. Som en tommelfingerregel må du kontrollere AT DU bruker OU-strukturen til å distribuere Gruppepolicyinnstillinger, slik at alle objekter i OU mottar innstillingene. Når Du prøver å endre standardtillatelser, program og forrang For Gruppepolicy, er det her problemene virkelig begynner å hope seg opp. Det anbefales, bare i svært sjeldne situasjoner, at du bruker funksjoner som sikkerhetsfiltrering, Blokk Arv, Håndhevelse og wmi-filtre. Å holde seg borte fra disse alternativene og funksjonene vil hjelpe Deg med Å holde Gruppepolicymiljøet enklere, stabilt og enklere å feilsøke når det oppstår virkelige problemer.
hvis du vil lese de andre delene i denne artikkelserien, vennligst gå til:
- Topp 10 Grunner Til At Gruppepolicy Ikke Gjelder (Del 1)
- Topp 10 Grunner Til At Gruppepolicy Ikke Gjelder (Del 2)
rapporter denne annonsen