Dziedziczenie zasad grupy

W środowisku IT przedsiębiorstwa może istnieć wiele obiektów zasad grupy wdrażanych na tym samym lub różnych poziomach struktury Active Directory. Ustawienia wdrożone w wyższych kontenerach są domyślnie dziedziczone przez kontenery podrzędne i łączone z zasadami stosowanymi na niższym poziomie.

Obiekty GPO są przetwarzane w następującej kolejności. W pierwszym kroku stosowany jest lokalny obiekt zasad grupy (LGPO, Local Group Policy Object), a następnie obiekty zasad połączone z lokacjami, dalej domenami i na końcu z jednostkami organizacyjnymi.

Zasady stosowane później mają wyższy priorytet niż te, przetwarzane wcześniej. Oznacza to, że w przypadku konfliktu zastosowane zostaną zasady wprowadzone w obiektach połączonych na poziomie jednostki organizacyjnej, nadpisując wybrane wartości zasad, określone w obiektach przypisanych w domenie lub lokacji.

Sterowanie stosowaniem zasad

Administratorzy przedsiębiorstwa i administratorzy domen mogą w szerokim zakresie sterować wdrażaniem ustawień zabezpieczeń w lokacjach, domenach i jednostkach organizacyjnych wymuszając lub zmieniając kolejność połączeń, blokując dziedziczenie zasad oraz wyłączając obiekty zasad grupy.

Dodatkowo, w jednym kontenerze Active Directory (lokacja, domena, jednostka organizacyjna) może być połączonych wiele obiektów zasad. Są one stosowane zgodnie z kolejnością wpisów w kolumnie Kolejność łączy (Link Order). Jest ona widoczna na karcie Powiązane obiekty zasad grupy. Zwróć uwagę, że łącze z przypisaną wartością 1 ma najwyższy priorytet w stosunku do pozostałych obiektów zasad w tym samym kontenerze. Kolejność stosowania obiektów zasad w kontenerze Active Directory może być dowolnie modyfikowana na liście za pomocą przycisków w dół lub w górę.

Karta Dziedziczenie zasad grupy wyświetla pełną ścieżkę dziedziczenia zasad grupy z określeniem pierwszeństwa wykonania oraz lokalizacją pliku GPO w strukturze Active Directory.

Opcja blokowania dziedziczenia zasad na poziomie podrzędnym może być przydatna np. w sytuacji, w której chcesz zastosować pojedynczy zestaw zasad w całej domenie, z wyjątkiem wybranej jednostki organizacyjnej. W tym celu podłącz obiekt zasad na poziomie domeny, a następnie zablokuj dziedziczenie zasad w jednostce organizacyjnej.

Możesz określić, które zasady wdrażane na wyższym poziomie struktury Active Directory mają mieć wyższy priorytet niż jakikolwiek inny obiekt na poziomie podrzędnym. W przypadku konfliktu, wprowadzone zostaną te zasady, dla których wymuszono stosowanie obiektu zasad grupy.

Jednocześnie, łącze do obiektu zasad grupy możesz wyłączyć, aby czasowo zablokować stosowanie określonych w nim zasad, bez konieczności usuwania połączenia do kontenera Active Directory. Pamiętaj, że w wyniku tej operacji, obiekt GPO nie jest usuwany, a zasady w nim zawarte mogą być dalej przetwarzane, jeśli istnieją połączenia do tego obiektu w innych kontenerach.

Replikacja obiektów zasad grupy

Obiekt zasad grupy jest przechowywany częściowo w usłudze Active Directory oraz folderze Sysvol na kontrolerze domeny. Replikacja zasad w kontenerze Group Policy Containter (GPC) jest częścią zwykłego procesu replikacji usług Active Directory. Synchronizacja folderu Sysvol odbywa się z wykorzystaniem mechanizmu File Replication Service (FRS) w systemie Windows Server 2003 oraz Distributed File System Replication (DFS-R) w domenie na poziomie funkcjonalnym Windows Server 2008 lub nowszym.

Aby zapobiec konfliktowi replikacji, zaleca się wybór pojedynczego kontrolera domeny, na którym będą wprowadzane zmiany w obiektach zasad grupy oraz ich powiązania w strukturze katalogu. Podejście to pozwoli uniknąć sytuacji, w której dwóch administratorów edytuje ten sam obiekt na różnych kontrolerach domeny, a w wyniku synchronizacji z opóźnieniem, zatwierdzony obiekt zasad grupy zostanie zastąpiony nowszym. Wynika to z faktu, że usługi replikacji Active Directory oraz replikacji plików używają modelu wielu wzorców, w którym obiekty i ich właściwości mogą powstawać na dowolnym kontrolerze i stają się autorytatywne po ich replikacji.

Jednocześnie Windows Server ma wbudowane zabezpieczenie, które ogranicza ryzyko wystąpienia tej sytuacji. W każdej domenie konsola zarządzania zasadami używa tego samego kontrolera do wykonywania operacji w zasadach grupy w tej domenie oraz tego samego kontrolera dla operacji na lokacjach w danym lesie.

Wynikowy zestaw zasad

Każdy obiekt zasad grupy przed jego wdrożeniem w środowisku produkcyjnym wymaga przetestowania. Podejście to pozwala dowiedzieć się, jaki wpływ na konfigurację komputera i użytkownika będą miały wprowadzone ustawienia zabezpieczeń. W tym celu możesz posłużyć się przystawką Wynikowy zestaw zasad (RSoP, Resultant Set of Policy), w ramach której udostępniane są dwa narzędzia: Kreator modelowania zasad grupy oraz Kreator wyników zasad grupy.

Kreator wyników pozwala sprawdzić ustawienia zasad dla wybranego użytkownika lub komputera. Funkcja ta używana jest do wykrywania błędów w konfiguracji zasad. Umożliwia wykrycie, które obiekty zasad zostały prawidłowo przetworzone lub odrzucone, a jeśli tak to z jakiego powodu (puste zasady, brak dostępu itd.). Narzędzie to dostarcza informacji na temat członkostwa w grupie zabezpieczeń oraz filtrów usługi WMI, które zostały użyte w trakcie stosowania zasad grupy. Odpowiednikiem tego narzędzia dla wiersza poleceń jest gpresult, które może zostać wykonane na stacji końcowej użytkownika.

Kreator modelowania wykorzystywany jest w trakcie planowania i testowania obiektów zasad grupy. Możesz określić kontroler domeny, użytkowników, członkostwo w grupie zabezpieczeń, lokacji oraz filtrów WMI, aby zasymulować wynikowy zestaw zasad dla określonej konfiguracji.