om du vill läsa de andra delarna i den här artikelserien, gå till:
- topp 10 Skäl till att grupppolicy inte tillämpas (Del 1)
- topp 10 Skäl till att grupppolicy inte tillämpas (del 2)
Inledning
i våra två första delbetalningar av detta ämne tittade vi på 7 Skäl till varför grupppolicy kanske inte fungerar korrekt i din miljö. Ser tillbaka på dessa 7 skäl avslöjade några viktiga faktorer om grupppolicy. För det första bygger Grupprincip på korrekt autentisering via DNS till domänkontrollanterna, med Kerberos för autentiseringsprotokollet, hanteringsomfånget och med rätt objekttyp för varje inställning i ett grupprincipobjekt. Sedan tittade vi på GPO precedence (LSDOU) och säkerhetsfiltrering. I den här delen kommer vi att titta på no override, block arv och WMI-filter.
Enforced (No override) är inställd på GPO
som standard har varje GPO som är konfigurerad ingen säkerhetsfiltrering, Enforced (No override), block arv etc. Det kan dock finnas en tid då någon ställer in en av dessa funktioner. Vi tittade på säkerhetsfiltrering, men nu tittar vi på Enforced (No override). Enforced (No override) är en inställning som åläggs en GPO, tillsammans med alla inställningar i GPO, så att alla GPO med högre prioritet inte ”vinner” om det finns en motstridig inställning.
det är viktigt att förstå att GPO-arv fungerar med LSDOU (lokal, webbplats, domän, OU). När du inte ställer in någon åsidosättning på en GPO, negeras detta begrepp av företräde. Enforced (No override) ställer in GPO i fråga för att inte åsidosättas av någon annan GPO (som standard, förstås).
ett bra exempel här är att ställa in Standarddomänpolicyn för Enforced (No override), så att Lösenordspolicyinställningarna i den inte trumpas av en GPO på domänen för domänanvändare eller vid en OU för lokala SAM-användare i datorer som finns i OU. Du kan se att detta är inställt på Standarddomänprincipen i Figur 1.
Figur 1:
Enforced (ingen åsidosättning) är inställd för Standarddomänprincipen.
det finns några saker att tänka på när du ställer in Enforced (No override). Först kommer GPO att ställas in på högsta prioritet från den plats där GPO är länkad ner genom ANNONSSTRUKTUREN. För det andra, om en GPO med högre prioritet (till exempel på en OU-nivå i vårt exempel) också är inställd på verkställd (ingen åsidosättning), kommer den inte att ha högre prioritet än GPO som är länkad högre i ANNONSSTRUKTUREN. Det här är så att en OU-administratör inte kan ställa in en GPO för att ha högre prioritet än en domänadministratör.
Block arv är inställd på Active Directory Node
en annan funktion, även om det inte föreslås att använda regelbundet, är möjligheten att blockera arvet av standard Grupprincip bearbetning ner genom Active Directory. Som har nämnts många gånger i denna uppsättning artiklar följs lsdou-prioriteten för Grupppolicyapplikation och konfliktlösning.
funktionen blockera arv är en som är inställd på antingen domännoden eller en organisationsenhet. Även om webbplatser kan ha en länkad GPO, är den enda GPO som har svagare företräde än den webbplatslänkade GPO lokala och lokala GPO kan inte blockeras med den här funktionen.
vad funktionen gör är att blockera alla svagare Preferensgrupperingar som är associerade med den nivå där Blockarvsinställningen är etablerad. Så om Blockarvet är inställt på en andra nivå OU, skulle alla GPO: er som är inställda på domänen och den översta nivån ou blockeras, vilket inte påverkar användare och datorer som finns i den andra nivån OU. Endast GPO: erna kopplade till den andra nivån OU skulle ha någon effekt. Naturligtvis, om det fanns fler nivåer av OUs under den andra nivån, skulle dessa GPO också vara effektiva, bara inte de som har svagare företräde. Du kan se hur detta påverkar GPO genom att titta på Figur 2 och 3. Figur 2 har ingen Blockarvsuppsättning, medan Figur 3 har inställningen fastställd på den andra nivån OU.
Figur 2:
Standard GPO företräde och arv på den andra nivån OU.
Figur 3:
Block arv är inställd på den andra nivån OU.
WMI-filter är felaktigt
WMI-filter är ett kraftfullt sätt att styra vilka objekt (användare eller datorer) som får inställningarna i en GPO. WMI-filtret är en fristående fil som är länkad till en eller flera GPO. När Grupprincipinställningarna från varje grupprincipobjekt utvärderas kommer WMI-filtret att avgöra om frågorna som ingår i WMI-filtret kommer tillbaka som positiva eller negativa. Om det är positivt, uppfyller kriterierna i WMI-filtret, kommer inställningarna i GPO som WMI-filtret är länkat till att tillämpas.
Naturligtvis kan du se var det kan finnas många områden i denna process som WMI-filtret gör att GPO verkar misslyckas. Först, om WMI-filterfilen ändras eller raderas, men WMI-filterlänken förblir intakt, kommer WMI-filtret inte att uppfyllas, så inställningarna i GPO kommer inte att gälla. Därefter, om WMI-filtret har några syntaktiska fel, vilket orsakar att frågan misslyckas, kommer inställningarna i GPO också att misslyckas. Slutligen, om frågan är utformad fel, eller logiken för framgången för WMI-frågan är felaktig, kommer GPO-inställningarna inte att gälla.
använd endast WMI-filter där det inte finns några andra alternativ, eftersom WMI-filter har många områden där de kan negera alla inställningar i GPO från att tillämpa, plus WMI-filter är mycket långsamma att utvärdera och tillämpa. Även i Objektnivåinriktning (ILT) som finns i grupppolicyinställningar, använd WMI-filter sparsamt, eftersom de också kan ha problem inom ILT.
sammanfattning
i denna artikelserie tittade vi på tio olika sätt som grupppolicy kan misslyckas, eller åtminstone ser ut som om den misslyckas. I själva verket misslyckas grupppolitiken sällan. Det som vanligtvis misslyckas är konfigurationen av GPO, länkar, Grupppolicystruktur etc. vilket gör att GPO och inställningarna inte gäller de önskade målen. Jag föreslår alltid att gå tillbaka till grunderna och grunderna i grupppolitiken kommer att hjälpa till att spåra var kärnfrågorna är rotade. Jag tycker också att kärn -, grundläggande konfigurationer orsakar majoriteten av problem med grupppolicy. Som en tumregel, se till att du använder OU-strukturen för att distribuera grupprincipinställningar, så att alla objekt i OU får inställningarna. När du försöker ändra standardbehörigheter, program och företräde för grupprincip är det här problem som verkligen börjar staplas upp. Det föreslås, endast i mycket sällsynta situationer, att du använder funktioner som säkerhetsfiltrering, blockera arv, verkställighet och WMI-filter. Att hålla sig borta från dessa alternativ och funktioner hjälper dig att hålla din Grupppolicymiljö enklare, stabil och lättare att felsöka när verkliga problem uppstår.
om du vill läsa de andra delarna i den här artikelserien, gå till:
- topp 10 Skäl till att grupppolicy inte tillämpas (Del 1)
- topp 10 Skäl till att grupppolicy inte tillämpas (del 2)
rapportera denna annons