Guruh siyosati - Group Policy

Mahalliy xavfsizlik siyosati muharriri Windows 7

Guruh siyosati Microsoft-ning o'ziga xos xususiyati Windows NT oilasi operatsion tizimlar (shu jumladan Windows 7, Windows 8.1, Windows 10 va Windows Server 2003+) foydalanuvchi akkauntlari va kompyuter qayd yozuvlari ish muhitini boshqaradi. Guruh siyosati operatsion tizimlar, dasturlar va foydalanuvchilar sozlamalarini markazlashtirilgan boshqarish va sozlashni ta'minlaydi Faol katalog atrof-muhit. Guruh siyosati konfiguratsiyalari to'plami a deb nomlanadi Guruh siyosati ob'ekti (GPO). Guruh siyosatining bir versiyasi Mahalliy guruh siyosati (LGPO yoki LocalGPO) yakka tartibdagi kompyuterlarda Active Directory katalogisiz Group Policy Ob'ektlarini boshqarish imkoniyatini beradi.[1][2]

Active Directory serverlari guruh siyosatini ularning ro'yxatiga yozib tarqatadi LDAP sinf ob'ektlari ostidagi katalog groupPolicyContainer. Ular fayllar serverining yo'llariga (atributga) tegishli gPCFileSysPath) guruh siyosatining haqiqiy ob'ektlarini, odatda SMB baham ko'ring domen.com\SYSVOL Active Directory serveri tomonidan birgalikda. Agar guruh siyosati ro'yxatga olish sozlamalariga ega bo'lsa, tegishli fayl ulushi faylga ega bo'ladi register.pol mijoz tomonidan qo'llanilishi kerak bo'lgan ro'yxatga olish kitobi sozlamalari bilan.[3]

Siyosat muharriri (gpedit.msc) Windows 10 ning uy versiyalarida taqdim etilmaydi.

Ishlash

Guruh siyosati, qisman foydalanuvchilarning kompyuter tizimida nima qila olishi va nima qila olmasligini nazorat qiladi. Masalan, foydalanuvchilarga haddan tashqari oddiy parolni tanlashiga to'sqinlik qiladigan parol murakkabligi siyosatini amalga oshirish uchun Guruh siyosatidan foydalanish mumkin. Boshqa misollarga quyidagilar kiradi: noma'lum foydalanuvchilarga uzoq kompyuterlardan ulanishga ruxsat berish yoki ularni oldini olish tarmoq ulushi yoki ba'zi papkalarga kirishni bloklash / cheklash uchun. Bunday konfiguratsiyalar to'plami Group Policy Object (GPO) deb nomlanadi.

Microsoft-ning bir qismi sifatida IntelliMirror texnologiyalar, Guruh siyosati foydalanuvchilarni qo'llab-quvvatlash xarajatlarini kamaytirishga qaratilgan. IntelliMirror texnologiyalari uzilgan mashinalar yoki roumingdagi foydalanuvchilarni boshqarish bilan bog'liq va shu jumladan roumingdagi foydalanuvchi profillari, papkani qayta yo'naltirish va oflayn fayllar.

Majburiy ijro

Kompyuterlar guruhini markaziy boshqarish maqsadini amalga oshirish uchun mashinalar GPO qabul qilishi va majburlashi kerak. Bitta mashinada joylashgan GPO faqat o'sha kompyuterga tegishli. GPO-ni kompyuterlar guruhiga tatbiq etish uchun Group Policy asoslanadi Faol katalog (yoki shunga o'xshash uchinchi tomon mahsulotlarida ZENworks Desktop Management ) tarqatish uchun. Active Directory GPO-larni a-ga tegishli kompyuterlarga tarqatishi mumkin Windows domeni.

Odatiy bo'lib, Microsoft Windows har 90 daqiqada siyosat parametrlarini tasodifiy 30 daqiqalik ofset bilan yangilaydi. Yoqilgan domen tekshirgichlari, Microsoft Windows buni har besh daqiqada qiladi. Yangilash paytida u kompyuterga va tizimga kirgan foydalanuvchilarga tegishli bo'lgan barcha GPO-larni topadi, oladi va qo'llaydi. Ba'zi sozlamalar - masalan, dasturiy ta'minotni avtomatlashtirilgan o'rnatish, disk xaritalari, ishga tushirish skriptlari yoki tizimga kirish skriptlari kabi - faqat ishga tushirish yoki foydalanuvchi tizimga kirish paytida qo'llaniladi. Beri Windows XP, foydalanuvchilari guruh siyosatini yangilashni qo'lda boshlashlari mumkin gpupdate buyruq dan buyruq satri.[4]

Guruh siyosati ob'ektlari quyidagi tartibda qayta ishlanadi (yuqoridan pastgacha):[5]

  1. Mahalliy - Kompyuterning mahalliy siyosatidagi har qanday sozlamalar. Windows Vista-ga qadar bitta kompyuterda bitta mahalliy guruh siyosati saqlangan edi. Windows Vista va undan keyingi Windows versiyalari foydalanuvchi hisoblari bo'yicha individual guruh siyosatiga ruxsat beradi.[6]
  2. Sayt - bilan bog'liq har qanday guruh siyosati Faol katalog sayt unda kompyuter joylashgan. (Active Directory sayti - bu kompyuterlarning jismoniy yaqinligiga qarab boshqaruvini engillashtirish uchun mo'ljallangan kompyuterlarning mantiqiy guruhlanishi.) Agar bir nechta siyosat saytga bog'langan bo'lsa, ular administrator tomonidan belgilangan tartibda qayta ishlanadi.
  3. Domen - bilan bog'liq har qanday guruh siyosati Windows domeni unda kompyuter joylashgan. Agar bir nechta qoidalar domenga bog'langan bo'lsa, ular ma'mur tomonidan belgilangan tartibda qayta ishlanadi.
  4. Tashkiliy bo'lim - ga tayinlangan guruh qoidalari Active Directory tashkiliy birligi (OU) unda kompyuter yoki foydalanuvchi joylashtirilgan. (OUlar - bu foydalanuvchilar guruhini, kompyuterlarni yoki boshqa Active Directory ob'ektlarini tashkil qilish va boshqarishda yordam beradigan mantiqiy birliklar.) Agar bir nechta siyosat OU bilan bog'langan bo'lsa, ular ma'mur tomonidan belgilangan tartibda qayta ishlanadi.

Natijada ma'lum bir kompyuterga yoki foydalanuvchiga tatbiq etilgan Guruh siyosati sozlamalari "Resultant Policy Set" (RSoP) deb nomlanadi. RSoP ma'lumotlari kompyuterlar va ham foydalanuvchi uchun ko'rsatilishi mumkin gpresult buyruq.[7]tarmoqda biz u bilan ishlashimiz mumkin gpedit.msc buyrug'i

Meros olish

Ierarxik tuzilma ichidagi siyosat odatda ota-onadan bolalarga, bolalardan nevaralarga va boshqalarga beriladi. Bu muddat meros olish. Uni bloklash yoki har bir sathda qanday siyosat qo'llanilishini nazorat qilish uchun majburlash mumkin. Agar yuqori darajadagi ma'mur (korxona ma'muri) quyi darajadagi ma'mur (domen ma'muri) tomonidan bloklangan merosga ega siyosat tuzsa, bu siyosat hali ham qayta ishlanadi.

Agar guruh siyosati parametrlarini sozlash va unga tenglashtirilgan guruh siyosati sozlamalari mavjud bo'lsa, unda guruh siyosati sozlamalari qiymati birinchi o'ringa chiqadi.

Filtrlash

WMI filtrlash a ni tanlab, GPO doirasini sozlash jarayoni Windows boshqaruv asboblari Qo'llash uchun (WMI) filtri. Ushbu filtrlar ma'murlarga GPO-ni faqat masalan, ma'lum modeldagi kompyuterlar, operativ xotira, o'rnatilgan dasturiy ta'minot yoki WMI so'rovlari orqali mavjud bo'lgan barcha narsalarga qo'llashi mumkin.

Mahalliy guruh siyosati

Mahalliy guruh siyosati (LGP yoki LocalGPO) mustaqil va domenga tegishli bo'lmagan kompyuterlar uchun guruh siyosatining hech bo'lmaganda shu vaqtdan beri mavjud bo'lgan eng oddiy versiyasidir Windows XP Home Edition,[qachon? ] va domen kompyuterlariga qo'llanilishi mumkin.[iqtibos kerak ] Windows Vista-dan oldin LGP bitta mahalliy kompyuter uchun guruh siyosati ob'ektini amalga oshirishi mumkin edi, lekin alohida foydalanuvchilar yoki guruhlar uchun siyosat tuzolmadi. Windows Vista-dan boshlab LGP individual foydalanuvchilar va guruhlar uchun mahalliy guruh siyosatini boshqarishga imkon beradi,[1] shuningdek, "GPO paketlari" orqali siyosatni zaxira qilish, import qilish va mustaqil mashinalar o'rtasida eksport qilishga imkon beradi - bu siyosatni maqsadli mashinaga import qilish uchun zarur bo'lgan fayllarni o'z ichiga olgan guruh siyosati konteynerlari.[2]

Guruh siyosati parametrlari

Guruh siyosatining afzalliklari - bu administrator tomonidan majburiy bo'lmagan, lekin foydalanuvchi yoki kompyuter uchun majburiy bo'lmagan qoidalarni belgilash usuli, ilgari PolicyMaker nomi bilan tanilgan guruh siyosati sozlamalari kengaytmalari to'plami mavjud. Microsoft PolicyMaker-ni sotib oldi va keyin ularni birlashtirdi Windows Server 2008. Microsoft shundan beri foydalanuvchilarga PolicyMaker elementlarini Group Policy Preferences-ga ko'chirishga imkon beruvchi ko'chirish vositasini chiqardi.[8]

Group Policy Preferences bir qator yangi konfiguratsiya elementlarini qo'shadi. Ushbu elementlar, shuningdek, ushbu sozlamalar elementlarining qo'llanilishini granulyat nazorat qilish uchun ishlatilishi mumkin bo'lgan bir qator qo'shimcha maqsadli variantlarga ega.

Guruh siyosati parametrlari Windows XP, Windows Server 2003 va Windows Vista-ning x86 va x64 versiyalari bilan mos keladi. Mijoz tomoni kengaytmalari (shuningdek, CSE sifatida tanilgan).[9][10][11][12][13][14]

Mijozlar uchun kengaytmalar endi kiritilgan Windows Server 2008, Windows 7 va Windows Server 2008 R2.

Guruh siyosatini boshqarish konsol

Dastlab, Guruh siyosati Active Directory foydalanuvchilari va kompyuterlari bilan birlashtirilgan guruh siyosatini tahrirlash vositasi yordamida o'zgartirilgan Microsoft boshqaruv konsoli (MMC) snap-in, lekin keyinchalik u alohida MMC snap-in-ga bo'linib, guruh siyosatini boshqarish konsol (GPMC) deb nomlandi. GPMC endi foydalanuvchi komponentidir Windows Server 2008 va Windows Server 2008 R2 va qismi sifatida yuklab olish sifatida taqdim etiladi Masofaviy server ma'muriyati vositalari uchun Windows Vista va Windows 7.[15][16][17][18]

Murakkab guruh siyosatini boshqarish

Microsoft shuningdek, Kengaytirilgan guruh siyosati boshqaruvi deb nomlangan guruh siyosatiga o'zgartirishlar kiritish vositasini chiqardi[19] (aka AGPM). Ushbu vosita litsenziyani bergan har qanday tashkilot uchun mavjud Microsoft ish stolini optimallashtirish to'plami (MDOP kabi). Ushbu ilg'or vosita ma'murlarga guruh siyosati ob'ektlarini o'zgartirish uchun kirish / chiqish jarayonini o'tkazish, guruh siyosati ob'ektlariga kiritilgan o'zgarishlarni kuzatib borish va guruh siyosati ob'ektlariga o'zgartirishlar kiritish uchun tasdiqlash ish oqimlarini amalga oshirish imkonini beradi.

AGPM ikki qismdan tashkil topgan - server va mijoz. Server - bu guruh siyosati ob'ektlarini o'sha kompyuterda yoki tarmoq ulushida joylashgan arxivda saqlaydigan Windows xizmati, mijoz esa guruh siyosatini boshqarish konsoliga qo'shilgan va AGPM serveriga ulanadi. Mijozning konfiguratsiyasi Group Policy orqali amalga oshiriladi.

Xavfsizlik

Guruh siyosati sozlamalari maqsadli dasturlar tomonidan ixtiyoriy ravishda amalga oshiriladi. Ko'pgina hollarda, bu faqat foydalanuvchi interfeysini unga kirishning ma'lum funktsiyalari uchun o'chirib qo'yishdan iborat.[20]

Shu bilan bir qatorda, yomon muomalada bo'lgan foydalanuvchi dasturni o'zgartirishi yoki unga aralashishi mumkin, shunda u o'zining Guruh siyosati sozlamalarini muvaffaqiyatli o'qiy olmaydi, shu bilan xavfsizlikning past darajadagi defoltlarini bajaradi yoki hatto o'zboshimchalik qiymatlarini qaytaradi.[21]

Windows 8 yaxshilanishlari

Windows 8 guruh siyosatini yangilash deb nomlangan yangi xususiyatni taqdim etdi. Bu xususiyat ma'murga ma'lum bir Tashkilot bo'linmasidagi hisob qaydnomalari bo'lgan barcha kompyuterlarda guruh siyosatini yangilashga majbur qilish imkonini beradi. Bu kompyuterda rejalashtirilgan vazifani yaratadi gpupdate domen tekshirgichini haddan tashqari yuklamaslik uchun tasodifiy ofset bilan sozlangan 10 minut ichida buyruq.

Guruh siyosati infratuzilmasi holati joriy etildi, u har qanday guruh siyosati ob'ektlari domen tekshirgichlari orasida to'g'ri takrorlanmaganligi to'g'risida xabar berishi mumkin.[22]

Guruh siyosati natijalari hisoboti, shuningdek, guruh siyosatini yangilash paytida alohida komponentlarning bajarilishini takrorlaydigan yangi xususiyatga ega.[23]

Shuningdek qarang

Adabiyotlar

  1. ^ a b MChJ), Tara Meyer (Aquent.) "Bir nechta mahalliy guruh siyosatini boshqarish bo'yicha bosqichma-bosqich qo'llanma". go.microsoft.com.
  2. ^ a b Sigman, Jeff. "SCM v2 Beta: LocalGPO toshlari!". Microsoft. Olingan 2018-11-24.
  3. ^ "[MS-GPOD]: Guruh siyosati protokollariga umumiy nuqtai". Microsoft. Bo'lim 1.1.5 Guruh siyosati ma'lumotlarini saqlash. Olingan 2020-02-22.
  4. ^ Gpupdate
  5. ^ "Guruh siyosatini qayta ishlash va ustuvorligi". Microsoft korporatsiyasi. 2012 yil 22 aprel.
  6. ^ "Guruh siyosati - ma'lum bir foydalanuvchiga yoki guruhga murojaat qiling - Windows 7 yordam forumlari". www.sevenforums.com.
  7. ^ Archiveddocs. "Gpresult". technet.microsoft.com.
  8. ^ "Guruh siyosatining afzal migratsiya vositasi (GPPMIG)".
  9. ^ "Windows XP (KB943729) uchun guruh siyosatining mijoz tomoni kengaytmalari". Microsoft yuklash markazi.
  10. ^ "Windows XP x64 Edition (KB943729) uchun guruh siyosatining mijoz tomonidagi kengaytmalari". Microsoft yuklash markazi.
  11. ^ "Windows Vista (KB943729) uchun guruh siyosatining mijoz tomonidagi kengaytmalari". Microsoft yuklash markazi.
  12. ^ "Windows Vista x64 Edition (KB943729) uchun guruh siyosati afzalligi mijoz tomoni kengaytmalari". Microsoft yuklash markazi.
  13. ^ "Windows Server 2003 (KB943729) uchun guruh siyosatining mijoz tomoni kengaytmalari". Microsoft yuklash markazi.
  14. ^ "Windows Server 2003 x64 Edition (KB943729) uchun guruh siyosati afzalligi mijoz tomoni kengaytmalari". Microsoft yuklash markazi.
  15. ^ Microsoft Group Policy Team (2009-12-23). "GPMC-ni Server 2008, 2008 R2 va Windows 7-ga qanday o'rnatish (RSAT orqali)".
  16. ^ Windows Vista uchun Microsoft masofaviy serverni boshqarish vositalari
  17. ^ X64 asosidagi tizimlar uchun Windows Vista uchun Microsoft masofaviy server ma'muriyati vositalari
  18. ^ Windows 7 uchun masofaviy serverni boshqarish vositalari
  19. ^ "Windows - Microsoft Windows 10 Home & Pro OS, noutbuklar, kompyuterlar, planshetlar va boshqa narsalar uchun rasmiy sayt". www.microsoft.com.
  20. ^ Raymond Chen, "Shell siyosati xavfsizlik bilan bir xil emas"
  21. ^ Mark Russinovich, "Cheklangan foydalanuvchi sifatida guruh siyosatini chetlab o'tish
  22. ^ "Yangilandi: Windows 8-dagi Guruh siyosati bilan qanday yangiliklar". 2011 yil 17 oktyabr.
  23. ^ "Windows 8 guruh siyosati ishlashi bilan bog'liq muammolarni bartaraf etish xususiyati". 2012 yil 23-yanvar.

Qo'shimcha o'qish

  1. "Yangi boshlanuvchilar uchun guruh siyosati". Windows 7 texnik kutubxonasi. Microsoft. 2011 yil 27 aprel. Olingan 22 aprel 2012.
  2. "Guruh siyosatini boshqarish konsoli". Dev markazi - ish stoli. Microsoft. 2012 yil 3-fevral. Olingan 22 aprel 2012.
  3. "Bir nechta mahalliy guruh siyosatini boshqarish bo'yicha bosqichma-bosqich qo'llanma". Windows Vista texnik kutubxonasi. Microsoft. Olingan 22 aprel 2012.
  4. "Guruh siyosatini qayta ishlash va ustuvorligi". Windows Server 2003 mahsulotiga yordam. Microsoft. 2005 yil 21 yanvar. Olingan 22 aprel 2012.

Tashqi havolalar