Wdrażanie zasad grupy

W środowisku korporacyjnym obiekty zasad grupy mogą być wdrażane na różnych poziomach struktury Active Directory – lokacji, domeny lub jednostki organizacyjnej. Kontenerem najniższego poziomu, do którego możesz przypisać ustawienia zawarte w obiekcie zasad grupy jest jednostka organizacyjna (OU).

Wdrażanie obiektów zasad grupy w środowisku Active Directory przedsiębiorstwa odbywa się w dwóch etapach. Pierwszy krok polega na utworzeniu nowego obiektu GPO w drzewie Obiekty zasad grupy, a następnie zmodyfikowaniu ustawień zasad zgodnie z przyjętą polityką. Taki obiekt pozostaje nieaktywny do momentu, aż nie powiążesz go z lokacją, domeną lub jednostką organizacyjną, dla których zasady określone w obiekcie mają być stosowane.

W trakcie wdrażania pierwszego kontrolera w domenie tworzone są dwie domyślne zasady grupy – Default Domain Policy, która obejmuje ustawienia zasad dla domeny oraz Default Domain Controllers Policy, używana do sterowania zabezpieczeniami kontrolerów domeny. Polisa Default Domain Controllers Policy jest powiązana wyłącznie z kontenerem Domain Controllers.

Nie zaleca się modyfikowania domyślnych polityk. Zamiast tego utwórz nowe obiekty zasad grupy, a następnie powiąż je w strukturze Active Directory, w taki sposób, aby nadpisać domyślne ustawienia.

Filtrowanie zasad

Ustawienia określone w obiekcie zasad grupy mogą być stosowane dla wybranych grup, użytkowników lub komputerów. Mechanizmy filtrowania zabezpieczeń oraz filtrowania WMI umożliwiają wskazanie, które podmioty zabezpieczeń w kontenerze, z którym połączony jest dany obiekt zasad grupy, będą stosowały ten obiekt.

Filtrowanie WMI

Filtry WMI to obok filtrów zabezpieczeń drugi mechanizm, który umożliwia określenie kryteriów, jakie muszą zostać spełnione, aby można było zastosować obiekt zasad grupy dla komputera.

Usługa WMI (Windows Management Instrumentation) umożliwia pobranie szczegółów konfiguracji komputera. Dane te możesz wykorzystać do stworzenia reguł filtrowania komputerów, dla których ma być stosowany obiekt zasad grupy w połączonym kontenerze. W praktycznym ujęciu, dzięki filtrom WMI możesz wymusić stosowanie zasad dla wybranej grupy komputerów, np. z określoną wersją systemu Windows lub wyposażonych w więcej niż 4 GB pamięci RAM.

Zapytanie select * from Win32_OperatingSystem where Version like "6.1%" and ProductType = "1" zwraca listę komputerów, na których zainstalowano system Windows 7. Wartość 6.1 odpowiada numerowi wersji tego systemu, podczas gdy filtr ProductType = „1” ogranicza liczbę wyników wyłącznie do klienckich wersji Windows. Dla porządku dodajmy, że wartość pola ProductType dla systemów Windows Server będących kontrolerami domeny wynosi 2, a dla serwerów będących jedynie członkami domeny wynosi 3.

Struktura Active Directory

Wdrażanie ustawień zabezpieczeń w przedsiębiorstwie warto zaplanować w połączeniu z projektowaniem usług katalogowych. Płaska struktura Active Directory, w której konta użytkowników i komputerów przechowywane są odpowiednio w kontenerach CN=Users oraz CN=Computers umożliwia wdrażanie obiektów zasad grupy na poziomie lokacji lub domeny.

Z tego względu kluczowym wydaje się właściwe zaprojektowanie jednostek organizacyjnych, tak aby odzwierciedlały strukturę funkcjonalną lub biznesową danego przedsiębiorstwa. Wdrażanie obiektów zasad grupy na poziomie jednostek organizacyjnych pozwala w istotnym stopniu ograniczyć konieczność dodatkowego filtrowania zabezpieczeń na poziomie grup, użytkowników lub komputerów.