INFORMATICS

The Best

Kolejność przetwarzania zasad grupy GPO

Ratio: 4 / 5

Inicio activadoInicio activadoInicio activadoInicio activadoInicio desactivado

Obiekty zasad grupy GPO użytkownika lub komputera mają różne priorytety wykonywania.

Ustawienia stosowane później mogą zastąpić ustawienia nadane wcześniej.

Zasady grupy przetwarzane są w następującej kolejności:

1. Lokalne zasady grupy zlokalizowane na komputerze dotyczące komputera i użytkownika

2. Lokacja jest to następna przetwarzana zasada odnosi się ona do lokacji do której należy komputer. Przetwarzanie jest ustawione przez administratora. Obiekt o najniższej wartości Kolejności łącza (Link Order) jest przetwarzany jako ostatni dlatego jest bardziej uprzywilejowany i ma pierwszeństwo przed pozostałymi.

3. Domena i jej zasady są przetwarzane w następnej kolejności konfigurowane są na domenie w konsoli zarządzania na karcie Połączone Obiekty Zasad Grupy (Linked Group Policy Objects). Podobnie jak poprzedni parametr jego pierwszeństwo zależy od Kolejności Łączy (Link Order) najniższa wartość przetwarzana jest na końcu czyli ma pierwszeństwo przed pozostałymi.

4. Jednostki organizacyjne przetwarzane są w zależności od położenia w hierarchii. W pierwszej kolejności przetwarzane są obiekty znajdujące się najwyżej w drzewie a następnie obiekty podrzędne, na końcu obiekty zasad grupy połączone z jednostką organizacyjną czyli użytkownicy i komputery. Jeżeli z jednostką podłączone jest kilka obiektów przetwarzanie jest realizowane wg. Kolejności Łączy (Link Order) czyli najniższa wartość przetwarzana jest na końcu.

 

Podsumowując zasady grupy przetwarzane są w kolejności od Lokalnych do Domenowych z uwzględnieniem Link Order w przypadku gdy więcej obiektów jest w jednej jednostce organizacyjnej jeżeli przy przetwarzaniu wystąpi konflikt czyli wcześniejsze ustawienie dotyczy tego samego ustawienia, ustawienia są zastępowane zasadami nowszymi czyli później przetwarzanymi. Gdy nie występują konflikty ustawienia są kumulowane.

 

Wyjątki:

Od powyższych reguł istnieją następujące wyjątki Wymuszenie (Enforced), Wyłączone (Disabled), Zablokuj dziedziczenie (Block Inheritance).

Wyjątki te można ustawiać podczas konfiguracji zasad grupy.

 

GPO Loopback

Inicio desactivadoInicio desactivadoInicio desactivadoInicio desactivadoInicio desactivado

GPO Loopback - Sprzężenie zwrotne w zasadach grupy umożliwia odmienne przetwarzanie polis grupy i pobierane jest z komputera z którego następuje logowanie.

Jest to ustawienie komputera - włączenie go powoduje że zasady zadane dla komputera stosują się do zalogowanego użytkownika oraz zmienia wykaz oraz kolejność stosowania zasad GPO dla zalogowanych użytkowników.

Administratorzy używają przetwarzania sprzężenia zwrotnego w laboratoriach, środowiskach terminalowych, pracowniach dla zapewnienia spójności interfejsu użytkownika na wszystkich komputerach niezależnie od obiektów zasad grupy związanych z użytkownikiem.

Ustawienie pętli sprzężenia zwrotnego znajduje się w kluczu Computer Configuration -> Administrative Templates -> System -> Group Policy

Po włączeniu przetwarzania sprzężenia zwrotnego wybieramy żądany tryb z dwu istniejących:

Merge - Scalenie

Replace - Zamiana

Przed rozpoczęciem przetwarzania polityki firmy, silnik Zasad grupy sprawdza czy sprzężenie jest włączone

Następnie sprawdza ustawiony tryb sprzężenia zwrotnego

Ostatni etap to wykonywanie zadanych zasad GPO

MERGE

Przetwarzanie sprzężenia zwrotnego - w trybie scalania jako pierwsze przetwarzane są polisy użytkownika z dodatkowym etapem.

Wynik działania MERGE jest taki że użytkownik otrzymuje wszystkie ustawienia użytkownika z GPO i wszystkie ustawienai GPO stosowane dla komputera. Ponieważ ustawienia GPO dla komputera stosują się ostatnie nie konfliktują z ustawieniami GPO użytkownika.

Przykład

USER GPO 1 2  
KOMPUTER GPO A   C
WYNIK A 2 C

REPLACE

Przetwarzanie tej reguły jest odmienne od poprzedniej. W tym przypadku ustawienia nadane komputerowi przekrywają reguły przypisane użytkownikowi.

Zasady grupy przetwarzane są jakby obiekt użytkownik znajdował sie w OU komputera

Przykład

USER GPO 1 2  
KOMPUTER GPO A   C
WYNIK A   C

Jak widać z tabeli ustawienai 1 i 2 nie mają zastosowania ponieważ ustawienia związane z GPO użytkownika są pomijane

 

Dziedziczenie zasad grupy

Inicio desactivadoInicio desactivadoInicio desactivadoInicio desactivadoInicio desactivado

Dziedziczenie zasad grupy - Group Policy Inheritance

Zasady grupy mogą być stosowane dla użytkowników i komputerów podłączonych do domeny.

GPO dziedziczone są domyślnie z kontenerów nadrzędnych w przypadku gdy dla jednego lub więcej jednostek obiektów ustawiona jest większa ilość zasad, zasady są kolejkowane. Domyślnie końcowa wartość ustawienia zasad jest najważniejsza w GPO.

W GPO ważna jest kolejność przetwarzania i najważniejszy priorytet mają polisy przetworzone na końcu

Opcje GPO Group Policy Object

  • Kolejność linków (Link Order) - kolejność uzależniona jest z wartością linka pierwszeństwa domyślnie jest ustawione dla obiektów zasad grupy połączonych z danym pojemniku. Link GPO z wartością niższą np rzędu 1 ma najwyższy priorytet w kontenerze.
  • Zablokuj dziedziczenie (Block Inheritance) - opcja odpowiedzialna za zapobieganie dziedziczenia z GPO na jednostkę organizacyjną lub domenę od jakiegokolwiek z jego nadrzędnych kontenerów. Należy pamiętać, że link Wymuszony w GPO zawsze będzie dziedziczony.
  • Wymuszenie (Enforcement) - (poprzednio znany jako "Nie zastępuj") Określa że dany element w ​​GPO powinien mieć pierwszeństwo w stosunku do wszelkich obiektów zasad grupy, które są związane z kontenerami podrzędnymi. Wymuszanie łącza obiektu zasad grupy działa na obiekty podrzędne i zostaje przetwarzana aż do końca kolejki przetwarzania w GPO.
  • Stan łącza (Link Status) - sprawdza, czy w danym połączeniu z GPO przetwarzane są polisy z którymi jest połączony.

Search