Wprowadzenie do zasad grupy

Damian Stelmach | 26-10-2017

Zasady Grupy (ang. Group Policy) to zbiór reguł i ustawień określających zakres działania komputera oraz użytkowników danego komputera. Są to ustawienia definiujące do jakich elementów systemu, takich jak na przykład panel sterowania, użytkownik komputera ma dostęp, a do jakich nie. Z jakich aplikacji może korzystać, a z jakich nie może, a także czy może instalować i usuwać urządzenia peryferyjnie i korzystać z dysków przenośnych. Zbiór reguł, które możemy zdefiniować jest ogromny, do dyspozycji mamy grubo ponad 2000 różnego rodzaju ustawień i konfiguracji.

Zasady grupy są nieodłącznym elementem usługi Active Directory i wraz z nią dają największe możliwości. Korzystając z Zasad Grupy za pośrednictwem Active Directory konfigurujemy je na serwerze i decydujemy dla jakich komputerów oraz użytkowników mają zostać wdrożone. Wszystkie ustawienia przechowywane są w tak zwanych Obiektach Zasad Grupy (ang. Group Policy Object).

Istnieją również zasady lokalne, które można skonfigurować na każdym komputerze z systemem Windows, nawet jeśli nie należy do domeny, wówczas jednak nie mamy możliwości ich wdrażania zdalnego, a co więcej ilość opcji konfiguracyjnych jest znacznie mniejsza. Lokalny edytor zasad grupy uruchomić można wybierając START i wprowadzając polecenie gpedit.msc

gpedit msc

Edytor zasad na serwerze, dostępny będzie po wpisaniu polecenia gpmc.msc w oknie uruchamiania programu (klawisz Windows + R). Można go również uruchomić wybierając:

  • dla Windows Server 2012 R2: Menadżer Serwera -> Narzędzia (Tools) -> Edytor Obiektów Zasad Grupy (Group Policy Managment)
  • dla Windows Server 2008 R2: START -> Narzędzia Administracyjne (Administrative Tools) -> Edytor Obiektów Zasad Grupy

Okno zarządzania Zasadami Grupy podzielone jest na dwa główne obszary: obszar po lewej, zawiera domeny oraz jednostki organizacyjne w nich zawarte, obszar po prawej natomiast pozwala na modyfikację zasad oraz ich opcji:

Group policy management

Wszystkie obiekty przygotowane dla naszej domeny, przechowywane są w zbiorczym kontenerze o nazwie Obiekty Zasad Grupy (ang. Group Policy Objects). Zawiera on oprócz zasad przygotowany przez administratora również dwie zasady, które zostały utworzone przez system podczas promowania serwera do roli kontrolera domeny. Te obiekty to: Domyśle Zasady Kontrolerów Domeny (ang. Default Domain Controllers Policy) oraz Domyślne Zasady Domeny (ang. Default Domain Policy):

Group policy objects

Zawierają one wstępnie skonfigurowane zasady (m.in. zasady haseł dla kont użytkowników) obowiązujące wszystkie obiekty w domenie. Można oczywiście je zmodyfikować, tak jak zrobiliśmy to poprzednio.

Aby zasady mogły oddziaływać na daną jednostkę organizacyjną czy też domenę wymagany jest do niej odnośnik (link). Działa to tak, że sama zasada przechowywana jest w zbiorczym kontenerze, a w danej domenie czy jednostce znajduje się tylko link do tej zasady:

Link do zasady

Aby uniknąć takiej sytuacji, w której utworzymy zasadę, skonfigurujemy ją odpowiednio i zapomnimy podlinkować w odpowiednim miejscu, możemy skorzystać z opcji automatycznego linkowania.

Dostępna jest ona z poziomu menu kontekstowego. Wystarczy kliknąć PPM w jednostkę organizacyjną lub domenę, dla której chcemy utworzyć zasadę i wybrać opcję Utwórz Obiekt Zasady w Domenie i Podłącz Link Tutaj (ang. Create a GPO in this domain nad Link it here…).

Create gpo in this domain

Wówczas zostanie utworzony obiekt zasady w zbiorczym kontenerze, a danym miejscu pojawi się link do niego.