Mengapa Kebijakan Grup tidak diterapkan ke komputer atau OU?

Dalam artikel ulasan ini, saya akan mencoba untuk menganalisis alasan khas mengapa kebijakan grup mungkin tidak diterapkan ke unit organisasi (OU) atau ke komputer / pengguna tertentu. Saya pikir artikel ini akan berguna bagi para pemula dan profesional Kebijakan Grup AD untuk memahami cara kerjanya dan arsitektur GPO. Pertama-tama, dalam artikel saya akan berbicara tentang masalah yang mungkin terjadi dalam menerapkan GPO terkait dengan pengaturan kebijakan itu sendiri di tingkat domain, dan bukan tentang masalah menggunakan GPO pada klien. Hampir semua pengaturan yang dijelaskan dalam artikel dilakukan di konsol Editor Domain Kebijakan Grup - Konsol Manajemen Kebijakan Grup (GPMC.msc).

Konten:

  • Ruang lingkup GPO
  • Filter Keamanan GPO
  • Filter GMI WMI
  • Status Kebijakan Grup
  • Delegasi GPO
  • Warisan Kebijakan Grup
  • Lingkup dan Penegakan Kebijakan Kelompok (LSDOU)
  • Tautan GPO Diaktifkan
  • Kunci Kebijakan Grup
  • Diagnosis GPO pihak klien

Ruang lingkup GPO

Jika beberapa pengaturan kebijakan tidak diterapkan pada klien, periksa lingkup Kebijakan Grup. Jika Anda mengatur parameter di bagian Konfigurasi komputer (Konfigurasi komputer), maka kebijakan grup Anda harus dikaitkan dengan OU dengan komputer. Oleh karena itu, jika merujuk pada parameter yang dapat dikonfigurasi Konfigurasi pengguna (Konfigurasi pengguna).

Juga verifikasi bahwa objek yang Anda coba terapkan kebijakan berada dalam OU yang benar dengan komputer atau pengguna. Anda dapat menggunakan pencarian berdasarkan domain. OU di mana objek berada terletak pada tab Objek di konsol ADUC.

Artinya, target harus ditempatkan di OU di mana kebijakan itu diberikan (atau dalam wadah bersarang).

Filter Keamanan GPO

Periksa nilai filter keamanan kebijakan (Penyaringan keamanan) Secara default, semua GPO baru di domain memiliki izin untuk "Pengguna yang Diotentikasi". Grup ini mencakup semua pengguna dan komputer domain. Ini berarti bahwa kebijakan ini akan diterapkan untuk semua pengguna dan PC yang termasuk dalam ruang lingkupnya..

Jika Anda memutuskan untuk mengubah filter keamanan ini sehingga kebijakan hanya diterapkan pada anggota grup keamanan domain tertentu (atau pengguna / komputer tertentu) dengan menghapus grup Pengguna yang Diotentikasi, pastikan bahwa objek target (pengguna atau komputer) ditambahkan ke grup AD ini. Periksa juga bahwa untuk grup yang Anda tambahkan ke Pemfilteran Keamanan di GPO -> Delegation -> tab Advanced, daftar izin berisi hak Baca dan Terapkan kebijakan grup dengan otoritas Terapkan.

Jika Anda menggunakan filter keamanan kebijakan non-standar, periksa bahwa tidak ada larangan eksplisit untuk menggunakan GPO untuk grup target (Tolak).

Filter GMI WMI

Dalam kebijakan grup, Anda dapat menggunakan filter WMI khusus. Ini memungkinkan Anda untuk menerapkan kebijakan ke komputer berdasarkan beberapa permintaan WMI. Misalnya, kita dapat membuat filter WMI GPO untuk menerapkan kebijakan hanya untuk komputer dengan versi Windows tertentu, ke PC pada subnet IP tertentu, hanya untuk laptop, dll..

Saat menggunakan filter Kebijakan Grup WMI, Anda perlu memeriksa kebenaran permintaan WMI, yang hanya memilih sistem yang Anda butuhkan dan komputer target Anda tidak dikecualikan. Anda dapat menguji filter WMI di komputer melalui PowerShell

gwmi -Query 'select * from Win32_OperatingSystem di mana Versi seperti "10.%" dan ProductType = "1"'

Jika permintaan mengembalikan data apa pun, maka filter WMI akan diterapkan ke komputer ini.

Status Kebijakan Grup

Periksa status Kebijakan Grup dengan membuka tab GPMC.msc di properti tab kebijakan Detail. Perhatikan nilai di lapangan Status GPO.

Seperti yang Anda lihat, 4 opsi tersedia:

  • Semua pengaturan dinonaktifkan - semua pengaturan kebijakan dinonaktifkan (tidak berlaku);
  • Pengaturan konfigurasi komputer dinonaktifkan - pengaturan dari pengaturan GPO komputer tidak diterapkan;
  • Pengaturan konfigurasi pengguna dinonaktifkan - pengaturan kebijakan khusus tidak diterapkan;
  • Diaktifkan - semua pengaturan kebijakan berlaku untuk target AD (nilai default).

Delegasi GPO

Di tab kebijakan Delegasi Izin yang dikonfigurasi untuk kebijakan grup ini terdaftar. Di sini Anda dapat melihat kelompok mana yang diberi hak untuk mengubah pengaturan GPO, serta untuk mengaktifkan atau menonaktifkan aplikasi kebijakan. Anda dapat memberikan hak manajemen GPO dari konsol ini atau dengan menggunakan wisaya delegasi di ADUC. Selain itu, keberadaan string akses untuk Pengontrol Domain Perusahaan menentukan kemampuan untuk mereplikasi kebijakan ini antara pengontrol domain Direktori Aktif (ini harus diingat jika ada masalah dengan replikasi kebijakan antara DC). Perhatikan bahwa hak-hak pada tab Delegasi sesuai dengan hak-hak NTFS yang ditetapkan ke direktori kebijakan di folder SYSVOL

Warisan Kebijakan Grup

Warisan adalah salah satu konsep dasar kebijakan kelompok. Kebijakan tingkat atas berlaku secara default untuk semua objek bersarang di hierarki domain. Namun, administrator dapat memblokir aplikasi dari semua kebijakan yang diwarisi ke OU tertentu. Untuk melakukan ini, di konsol GPMC, klik RMB pada OU dan pilih item menu Blokir warisan.

Unit organisasi dengan warisan kebijakan yang dinonaktifkan muncul di konsol dengan tanda seru berwarna biru.

Jika kebijakan ini tidak diterapkan pada klien, periksa apakah itu di OU dengan warisan dinonaktifkan.

Perlu diingat bahwa kebijakan domain untuk properti tersebut adalah "Dipaksa”, Terapkan bahkan pada OU dengan warisan yang dinonaktifkan (kebijakan bawaan yang berlaku untuk wadah tersedia di tab Warisan Kebijakan Grup).

Lingkup dan Penegakan Kebijakan Kelompok (LSDOU)

Untuk mengingat fitur penerapan kebijakan grup dalam domain, Anda perlu mengingat singkatannya Lsdou. Singkatan ini memungkinkan Anda mengingat urutan penerapan GPO:

  1. Kebijakan komputer lokal (Lokal) dikonfigurasi melalui gpedit.msc (jika tidak dikonfigurasi dengan benar, Anda dapat mengatur ulang mereka);
  2. Kebijakan grup tingkat situs (Situs);
  3. Kebijakan Grup tingkat domain (Domain);
  4. Kebijakan Grup Unit OrganisasiUnit organisasi).

Politisi terkini memiliki prioritas tertinggi. Yaitu jika Anda mengaktifkan parameter Windows tertentu di tingkat kebijakan domain, tetapi pada target OU, parameter ini dinonaktifkan oleh kebijakan lain - ini berarti bahwa parameter yang diinginkan akan dinonaktifkan pada klien (kebijakan terdekat ke objek dalam hierarki AD akan menang).

Saat menggunakan parameter Terpaksa GPO menang, kebijakan lebih tinggi dalam hierarki domain (misalnya, ketika Dipaksa diaktifkan pada Kebijakan Domain Default, itu menang melawan semua GPO lainnya).

Selain itu, administrator dapat mengubah urutan kebijakan pemrosesan (Urutan Tautan) di GPMC. Untuk melakukan ini, pilih OU dan pergi ke tab Objek Kebijakan Grup Linked. Daftar ini berisi daftar GPO yang berlaku untuk OU ini dengan prioritas. Kebijakan diproses dalam urutan terbalik (bottom-up). Itu berarti politik dengan Tautan Pesanan 1 akan dieksekusi terakhir. Anda dapat mengubah prioritas GPO dengan menggunakan panah di kolom kiri dengan memindahkannya lebih tinggi atau lebih rendah dalam daftar.

Tautan GPO Diaktifkan

Untuk setiap GPO yang terikat pada wadah organisasi AD, Anda dapat mengaktifkan atau menonaktifkan komunikasi (menerapkan kebijakan). Untuk melakukan ini, aktifkan atau nonaktifkan opsi Komunikasi diaktifkan (Tautan diaktifkan) di menu kebijakan. Jika koneksi untuk suatu kebijakan dinonaktifkan, ikonnya menjadi pucat. Ketika koneksi terputus, kebijakan berhenti berlaku untuk klien, tetapi referensi ke GPO tidak dihapus dari hierarki. Anda dapat mengaktifkan tautan ini kapan saja..

Kunci Kebijakan Grup

Saat diaktifkan Mode Penguncian Kebijakan Grup (Mode pemrosesan loopback) Anda dapat menerapkan pengaturan yang ada di bagian GPO ke komputer dengan pengaturan oleh pengguna. Misalnya, jika Anda menerapkan kebijakan ke OU dengan komputer di mana pengaturan di bagian Konfigurasi Pengguna dikonfigurasi, kebijakan ini tidak akan diterapkan kepada pengguna tanpa menggunakan penutupan. Mode Pemrosesan Loopback diaktifkan di bawah Konfigurasi Komputer -> Template Administratif -> Sistem -> Kebijakan Grup -> Konfigurasikan mode Pemrosesan Loopback Kebijakan Grup pengguna.

Kebijakan ini memiliki dua kemungkinan makna:

  • Mode gabung - Gabung GPO berdasarkan lokasi pengguna, dan kemudian GPO terikat ke komputer. Jika terjadi konflik antara kebijakan OU pengguna dan OU komputer, kebijakan di komputer akan memiliki prioritas yang lebih tinggi. Dalam mode ini, kebijakan berjalan dua kali, ini harus diingat ketika menggunakan; skrip masuk.
  • Mode ganti (penggantian) - hanya kebijakan yang ditetapkan untuk OU yang berisi komputer yang digunakan pengguna untuk login..

Diagnosis GPO pihak klien

Anda dapat mendiagnosis penegakan kebijakan grup sisi klien menggunakan utilitas gpresult, rsop.msc, dan Windows event log. Saat menggunakan Peraga Peristiwa, Anda perlu menggunakan filter menurut sumber GroupPolicy (Microsoft-Windows-GroupPolicy), serta dalam Log Aplikasi dan Layanan -> Microsoft -> Windows -> Kebijakan Grup -> Operasional.

Anda juga dapat membaca artikel yang menjelaskan prinsip-prinsip diagnosis saat menerapkan kebijakan terlalu lama pada klien.

Sebagai kesimpulan, saya ingin mengatakan bahwa Anda harus menjaga struktur kebijakan grup sesederhana mungkin dan tidak membuat kebijakan yang tidak perlu. Gunakan skema penamaan kebijakan tunggal, nama GPO harus memberikan pemahaman yang jelas tentang mengapa diperlukan.