Een hoofdstuk getiteld “Introduction to Group Policies” in de Microsoft Network Integration Manual loopt het risico een gevorderde beheerder te vervelen, omdat definities van termen en de opsomming van de mogelijkheden van groepsbeleid hem geen nieuwe inzichten verschaffen, maar hem gewoon vervelen. Een nieuwkomer daarentegen zal overweldigd worden door een vele pagina’s tellende inleiding in de theorie. Alleen de praktische omgang met groepsbeleid zal hem de ogen openen voor waar groepsbeleid goed voor is en waarom het geschikt is om het beheer van een netwerk onder Windows Server enorm te vereenvoudigen.
Deel 2 – Gebruik van Windows XP groepsbeleid
Deel 3 – Uw eigen sjabloonbestanden maken voor ontbrekende group policies
Deel 4 – Microsoft Office in het netwerk
| Deze serie artikelen is een uittreksel uit “Integrationshandbuch Microsoft-Netzwerk” van Ulrich Schlüter. Publicatiedatum: oktober 2004 door Galileo Computing. (ISBN 3-89842-525-8) en werd vooraf exclusief aan WinTotal ter beschikking gesteld. |
Inhoudsopgave
Hoe het onderwerp “groepsbeleid” te benaderen
Sla dit hoofdstuk over om zo snel mogelijk in de praktische oefeningen met groepsbeleid te komen die de volgende hoofdstukken bevatten. Vooral de beginner moet niet eens proberen de uitleg van dit inleidende hoofdstuk grondig door te nemen. Lees dit inleidende hoofdstuk later een tweede keer intensiever, als u via de praktische oefeningen groepsbeleid hebt leren toepassen. De grijze theorie van dit inleidende hoofdstuk is dan veel gemakkelijker te begrijpen met praktische achtergrondkennis. Zodra u door de praktische oefeningen een basisbegrip hebt gekregen van de toepassing van groepsbeleid, is dit inleidende hoofdstuk van belang om de gedetailleerde kennis over groepsbeleid in een globale mentale context te kunnen plaatsen en de termen die bij het onderwerp horen duidelijk van elkaar te kunnen onderscheiden.
De groepsbeleidinstellingen van een Small Business Server 2003-installatie analyseren en toepassen:
U kunt een gratis evaluatieversie van 180 dagen van Windows Small Business Server 2003 online bestellen bij Microsoft. De installatie van de standaardeditie bestaat uit het plaatsen van vier cd’s en verloopt automatisch met bijna geen tussenkomst van de gebruiker. De aangemaakte Active Directory en diensten zoals DHCP of DNS worden vervolgens grotendeels voorbeeldig voorgeconfigureerd. Aanvullende beveiligings- en distributiegroepen, scripts en groepsbeleid worden aangemaakt.
Om iets te leren over de manier waarop Microsoft experts groepsbeleid op een patroonachtige manier structureren en instellen, moet u de Group Policy Management snap-in starten op een geïnstalleerd SBS 2003 en een rapport maken van alle geïnstalleerde groepsbeleidobjecten door met de rechtermuisknop op de individuele GPO’s te klikken en Rapport maken te selecteren.
 |
|
Rapport aanmaken |
U vindt deze rapporten op de DVD van het boek. Analyseer vervolgens welke machtigingen zijn toegekend en welk beleid vooraf is ingesteld en hoe. Het lijkt zinvol om na te denken over welke van deze instellingen ook in een niet-SBS 2003 omgeving moeten worden overgenomen.
Wat is groepsbeleid?
Groepsbeleid is een verzameling gebruikers- en computerconfiguratie-instellingen die worden gekoppeld aan computers, sites, domeinen of organisatorische eenheden (OU’s) om het gedrag van de gebruikersdesktop te regelen en ook om zaken als beveiligingsinstellingen, aan- en afmeldingsscripts, scripts voor het opstarten en afsluiten van een computer of om bijvoorbeeld mapomleidingen in te stellen. Groepsbeleid kan worden gebruikt om het gedrag van het besturingssysteem te bepalen en de mogelijkheden ervan te beperken. Er zijn echter ook groepsbeleidslijnen waarmee het gedrag en de opties van toepassingen zoals Microsoft Office vanaf een centrale plaats kunnen worden geregeld.
Wat zijn Group Policy Objets (GPO’s)?
Microsoft definieert een groepsbeleidsobject als een set instellingen voor groepsbeleid. U maakt nieuwe Group Policy Objects met behulp van de Group Policy Management Consoles. GPO’s worden opgeslagen op domeinniveau (niet op het niveau van het Active Directory forest) in Group Policy Containers (GPC’s ). GPO’s hebben invloed op computers (of groepen computers) of gebruikers (of groepen gebruikers) op locaties, in afzonderlijke domeinen of in organisatorische eenheden. Dit betekent bijvoorbeeld dat u een organisatorische eenheid (OU) kunt maken met de naam Laptops, een nieuw groepsbeleidsobject voor deze OU kunt maken en in deze GPO specifiek al die beleidsregels kunt definiëren die alleen van invloed zijn op laptops, maar niet op andere computers die een permanente verbinding met het netwerk hebben. De beleidsinstellingen in deze GPO zijn van invloed op alle computerobjecten die worden verplaatst naar de organisatorische eenheid Laptops.
Daarnaast kunnen ook GPO’s worden gemaakt voor standalone computers, d.w.z. computers die niet of niet permanent verbonden zijn met een Active Directory-domein, zoals laptops of tablet-pc’s. Hier spreekt men van lokale group policy objects.
Op een site, domein of organisatie-eenheid kunnen meerdere GPO’s worden toegepast. Meerdere GPOs kunnen bovendien worden aangemaakt in een collectieve container van de Active Directory, bijvoorbeeld met de naam cross-organisational group policy objects. Vervolgens kan elk van deze GPO’s worden toegewezen aan verschillende andere containers (bijvoorbeeld organisatie-eenheden) via de functie Group Policy Link.
Wat zijn Group Policy Linking?
Een voorbeeld demonstreert de methode Group Policy Linking: U maakt organisatorische eenheden aan voor de afzonderlijke afdelingen van het bedrijf met de afdelingsnamen Administratie, Verkoop, Inkoop, Productie, Ontwikkeling. In deze afdelings-OU’s maakt u de gebruikersobjecten aan.
Bepaalde groepsregels zijn afdelingsspecifiek, andere groepsregels gelden voor alle medewerkers in de organisatie. Het beleid dat voor alle medewerkers moet gelden, legt u eenmalig vast in een GPO die daartoe in het organisatieonderdeel Cross-organisational Group Policy Objects wordt gemaakt. Vervolgens koppelt u deze GPO aan alle afdelings-OU’s. Als u later een organisatieoverschrijdend beleid moet toevoegen of herdefiniëren, doet u deze wijziging handig op een centrale plaats, en niet voor elke afdeling afzonderlijk. Het aantal benodigde GPO’s blijft zo beheersbaar en het aantal mogelijke foutbronnen wordt geminimaliseerd.
Wat zijn Group Policy Containers (GPC’s)?
De Group Policy Container (GPC) is een Active Directory object dat GPO eigenschappen opslaat en subcontainers bevat voor groepsbeleid informatie over computers en gebruikers. De GPC bevat versie-informatie om ervoor te zorgen dat de informatie in de GPC wordt gesynchroniseerd met de Group Policy Templates (GPT). Daarnaast bevat de GPC statusinformatie of de onderliggende GPO momenteel is in- of uitgeschakeld. De term GPC is verwarrend, en het onderscheid met de term GPT moeilijk hanteerbaar. Daarom komt de term GPC slechts zelden voor, en hoeft u de betekenis ervan niet voortdurend bij de hand te hebben.
Het is echter belangrijk op te merken dat een groepsbeleidsobject tijdelijk volledig kan worden gedeactiveerd. Als u bijvoorbeeld vermoedt dat een onverklaarbaar gedrag in de interactie van verschillende GPO’s wordt veroorzaakt door de instellingen van een bepaalde GPO, kunt u deze GPO tijdelijk deactiveren om het vermoeden te verifiëren. Als een nieuwe GPO met andere richtlijnen pas op een later tijdstip van kracht moet worden, maakt u deze GPO aan met alle instellingen in gedeactiveerde status en activeert u de nieuwe GPO pas wanneer dat nodig is.
Uiterlijk op dit punt wordt een nieuwkomer in het onderwerp groepsbeleid duizelig, en wordt het verder lezen en begrijpen van termen en afkortingen een test van het geduld. Ik herinner me nog mijn eigen verwarring en de frustratie die ontstond toen ik dit complexe onderwerp voor het eerst bestudeerde. Hiervan bewust heb ik aan het begin van dit hoofdstuk al gewaarschuwd voor de eentonigheid van deze theoretische materie. Daarom nogmaals de geruststellende hint: U hoeft deze theoretische basiskennis niet meteen te begrijpen. Zodra we in de volgende hoofdstukken hebben gespeeld met het groepsbeleid van Windows XP en Office 2003 en uiterlijk wanneer we onze eigen sjabloonbestanden voor ontbrekende groepsbeleidsregels maken, zal de grijze theorie worden gevuld met praktijk en zal er beheerdersvreugde ontstaan. Tot die tijd is het devies: hou je hoofd koel en zet door. Uw discipline zal later beloond worden, mijn woord erop.
Wat zijn Group Policy Templates (GPT)?
De Group Policy Template (GPT) is een mapstructuur in de map %systemroot%\SYSVOL\Policies van domeincontrollers. Deze mapstructuur wordt aangemaakt op het moment dat een nieuw Group Policy Object (GPO) wordt aangemaakt door de beheerder met behulp van een Group Policy Management Console. Hierin wordt, in de vorm van verschillende configuratiebestanden, het groepsbeleid opgeslagen, maar ook bijvoorbeeld aan- en afmeldingsscripts en scripts voor het opstarten of afsluiten van een computer, indien deze scripts via een groepsbeleid zijn gedefinieerd.
 |
|
Mappenstructuur |
U kunt deze mappenstructuur alleen volledig zien in Windows Verkenner als u de optie Beveiligde systeembestanden verbergen hebt uitgeschakeld en de opties Inhoud van systeemmappen weergeven en Alle bestanden en mappen weergeven hebt geactiveerd. Als beheerder moet u in het algemeen deze standaardinstellingen van Windows Verkenner voor alle mappen overnemen, zowel bij het werken op de server als bij het werken op een client. In de verdere uitleg van dit boek wordt ervan uitgegaan dat u deze standaardinstellingen in Windows Verkenner heeft gemaakt en dus voortaan alle bestanden en mappen ziet, dus ook die met het kenmerk Verborgen of het kenmerk Systeem. Evenzo moet de optie Extensies voor bekende bestandstypen verbergen in ieder geval voor beheerders en helpdeskmedewerkers worden uitgeschakeld. Deze medewerkers moeten niet alleen op de hoogte zijn van de betekenis van bestandsnaamextensies, zij moeten de extensies ook kunnen manipuleren indien nodig.
Wanneer een groepsbeleidsobject wordt gemaakt, wordt de bijbehorende GPT-mapstructuur op de domeincontroller aangemaakt. Als er meerdere domeincontrollers zijn, wordt deze nieuwe mappenstructuur vervolgens gerepliceerd naar de andere domeincontrollers. De mapnaam van de GPT is een 36-cijferige combinatie van cijfer- en letterkolommen, gescheiden door koppeltekens, en komt overeen met de GUID (Globally Unique Identifier) van de aangemaakte GPO.
In de hoofdmap van een GPT-mapstructuur bevinden zich het bestand gpt.ini en de submappen Adm, Machine en User. Deze hoofdmappen bevatten submappen waarvan de exacte structuur afhangt van het beleid dat u definieert. Het bestand gpt.ini bevat de volgende variabelen en hun toewijzingen:
displayName=New Group Policy Object: Deze variabele neemt niet de naam van de GPO, maar heeft de standaardnaam “New Group Policy Object”.
version=Versienummer: Een nieuw aangemaakte GPO krijgt het versienummer 0. Bij elke beleidswijziging in de GPO wordt deze waarde verhoogd. Als er meerdere domeincontrollers zijn, bepaalt Active Directory op welke domeincontroller de meest actuele versie van een GPO staat door de versieniveaus te vergelijken en repliceert deze vervolgens naar de overige domeincontrollers.
Disabled=0 of 1. Deze regel komt alleen voor in lokale GPO’s en bepaalt of de GPO momenteel is uitgeschakeld. Voor alle andere GPO’s wordt de in- of uitgeschakelde status opgeslagen in de GPC, die zich in de Active Directory store bevindt.
De belangrijkste mappen en hun betekenis staan hieronder.
\Adm
Deze map bevat de groepsbeleidssjabloonbestanden die zijn toegevoegd in de groepsbeleid editor. De sjabloonbestanden voor groepsbeleid staan in de map %Systemroot%\inf of moeten hierheen gekopieerd worden. Ze hebben de bestandsnaamextensie adm. Een geïnstalleerde Windows 2000 Server of Windows 2000 Professional heeft andere sjabloonbestanden dan een Windows XP Professional of Windows Server 2003.
De Microsoft Office 2003 sjabloonbestanden worden niet meegeleverd met de Microsoft Office 2003 CD. Ze worden tijdens de installatie van de Office 2003 Resource Kit gekopieerd naar de map %systemroot%\inf van een computer en moeten vervolgens handmatig worden gekopieerd naar de map %systemroot%\inf van de domeincontroller. U kunt zelf adm-sjabloonbestanden maken voor specifieke doeleinden en toepassingen, deze kopiëren naar de map %systemroot%\inf en ze vervolgens toevoegen in een GPO. Details over het omgaan met adm-bestanden vindt u in latere hoofdstukken.
\machine
Deze map bevat het bestand Registry.pol. Het bestand Registry. pol bevat alleen de instellingen van de beleidsregels die zijn in- of uitgeschakeld in de categorie Computers, maar het heeft geen verwijzing naar beleidsregels die nog niet geconfigureerd zijn. Wanneer een computer wordt opgestart en verbinding maakt met zijn domein, wordt het bestand Registry .pol geëvalueerd en toegevoegd aan het gedeelte HKEY_LOCAL_MACHINE van het registerbestand van de computer. De indeling van het bestand Registry .pol is niet compatibel met het bestand met dezelfde naam dat onder Windows 95, 98 of NT 4.0 wordt gebruikt.
\machine
Deze map bevat de publicatiebestanden (AAS-bestanden) die door Windows Installer worden gebruikt om MSI-pakketten voor computers te installeren.
\Machine documenten en instellingen
Deze map bevat alle bestanden die op het bureaublad van elke gebruiker moeten staan, ongeacht welke gebruiker zich aanmeldt.
\Computer Computer.
Deze map bevat het GptTmpl.ini bestand van de beveiligingseditor.
\Machine\Scripts\Sluiten
Scripts en bijbehorende bestanden die worden uitgevoerd wanneer een computer wordt afgesloten.
\opstarten
Scripts en bijbehorende bestanden die worden uitgevoerd wanneer een computer wordt opgestart.
\gebruiker
Deze map bevat het bestand Registry .pol. Het bestand Registry. pol bevat alleen de instellingen van de beleidsregels die zijn in- of uitgeschakeld in de categorie Gebruiker, maar het heeft geen verwijzing naar beleidsregels die nog niet geconfigureerd zijn. Wanneer een gebruiker zich aanmeldt, wordt het bestand Registry .pol geëvalueerd en toegevoegd aan het gedeelte HKEY_CURRENT_USER van de registerdatabase van de computer. De indeling van het bestand Registry.pol is niet compatibel met het bestand met dezelfde naam dat onder Windows 95, 98 of NT 4.0 wordt gebruikt.
\gebruiker
Deze map bevat de publicatiebestanden (AAS-bestanden) die door Windows Installer worden gebruikt om MSI-pakketten voor gebruikers te installeren.
\GebruikersDocumenten en Instellingen
Alle bestanden die zijn ingesteld als onderdeel van het bureaublad van een gebruiker.
\Gebruiker: Microsoft.
De rechten die een gebruiker heeft bij het opnieuw installeren van een computer met behulp van Remote Installation Service.
\gebruiker: inloggen
De scripts en bijbehorende bestanden voor een toegewezen inlogscript.
\gebruiker-scripts-uitloggen
De scripts en bijbehorende bestanden voor een toegewezen uitlogscript.
De beheertools voor groepsbeleid
Groepsbeleid kan ook worden gebruikt om het gedrag en de gebruikersinterface te bepalen van een individuele computer die niet met een netwerk is verbonden. Onder Windows XP start u het menu-item Lokaal beveiligingsbeleid via Start – Instellingen – Configuratiescherm – Administratieve hulpmiddelen. Een snellere manier is het commando gpedit.msc via Start – Uitvoeren.
 |
|
Administratieve hulpmiddelen |
Met deze snap-in kunt u bijvoorbeeld een laptop zodanig beveiligen dat de gebruiker later alleen nog een paar instellingen op de laptop kan wijzigen en alleen nog duidelijk omschreven toepassingen kan starten. Met deze beperkingen beperkt u de ondersteuningsinspanning voor standalone computers tot een minimum.
Het typische werkterrein voor netwerkbeheerders is echter niet het lokale groepsbeleid, maar het beleid dat netwerkbreed in de Active Directory wordt geïmplementeerd en betrekking heeft op hele domeinen, afzonderlijke locaties of afzonderlijke organisatieonderdelen. Dit groepsbeleid wordt beheerd via de Active Directory Users and Computers, Active Directory Sites and Services, Group Policies snap-ins of via de GPMC.MSI management tool.
Met de Active Directory Users and Computers snap-in maakt u Group Policy Objects (GPOs) voor een domein of een organisatie-eenheid. Hiervoor klikt u met de rechtermuisknop op het domeinobject of een organisatie-eenheidobject, selecteert u Eigenschappen, opent u het tabblad Groepsbeleid en klikt u op de knop Nieuw.
 |
|
Administratieve hulpmiddelen |
Selecteer vervolgens een naam voor het nieuwe Groepsbeleidobject en klik op Bewerken. Dit start de groepsbeleid editor en u kunt nu individueel beleid definiëren.
Gebruik de Active Directory Sites and Services snap-in om GPOs te maken voor individuele sites. De procedure is vergelijkbaar met de procedure in de Active Directory Users and Computers snap-in. U klikt met de rechtermuisknop op het locatiepictogram, selecteert Eigenschappen, opent het tabblad Groepsbeleid en klikt op de knop Nieuw om een nieuw groepsbeleidsobject te maken voor de geselecteerde locatie en er een naam aan toe te kennen. Vervolgens gebruikt u de knop Bewerken om het individuele beleid van de GPO in te stellen.
 |
|
Beheertools |
Groepsbeleidobjecten voor sites hebben alleen zin als een domein zich over meerdere locaties (sites) uitstrekt en als er groepsbeleid is waarvan de instellingen per site moeten verschillen. Een typisch voorbeeld hiervan is het beleid voor mapomleiding, waarmee u onder andere de map Mijn documenten kunt omleiden naar een servershare voor elke gebruiker. Voor werknemers op locatie X zal het zinvol zijn om de map Mijn documenten om te leiden naar een server op locatie X. Voor medewerkers op locatie Y daarentegen moet de map Mijn documenten worden omgeleid naar een server op locatie Y.
Via Start – Beheer kunt u ook de snap-in Groepsbeleid starten om met de groepsbeleid-editor alle groepsbeleid in alle aangemaakte groepsbeleidobjecten te definiëren.
Zoals u in bovenstaande illustraties kunt zien, krijgt u, wanneer u op mijn testserver op het tabblad Groepsbeleid klikt, de melding “U hebt de snap-in voor Groepsbeleidbeheer geïnstalleerd. Daarom wordt dit tabblad niet meer gebruikt. Klik op Openen om Groepsbeleidbeheer te openen”. De genoemde knoppen Nieuw en Bewerken voor het maken van een nieuw groepsbeleid en voor het bewerken van bestaand groepsbeleid verschijnen niet meer omdat ook het hulpprogramma voor groepsbeleidbeheer GPMC.MSI, dat gratis beschikbaar is op www.microsoft.com, is geïnstalleerd.
GPMC.MSI staat voor een nieuwe snap-in Group Policy Management Console. In de Duitse versie heet het Group Policy Management Console. Deze beheertool werd door Microsoft pas na de release van Microsoft Windows Server 2003 ontwikkeld en kan gratis worden gedownload in gelokaliseerde taalversies. Het kan niet alleen worden gebruikt onder Windows Server 2003, maar ook voor netwerken onder Windows 2000 Active Directory, maar moet dan wel worden geïnstalleerd op een Windows XP-client.
 |
|
Beheersinstrumenten |
Met de nieuwe beheertool voor groepsbeleid GPMC.MSI is het nu mogelijk om alle administratieve taken met betrekking tot groepsbeleid, die voorheen via verschillende snap-ins moesten worden uitgevoerd, via een centrale tool te beheren. Het bevat ook veel extra functies, zoals de resultatenreeks voor groepsbeleid, het opslaan, herstellen en importeren van volledige groepsbeleidobjecten, inclusief alle daarin gedefinieerde beleidsregels, en het beheer van WMI-filters. De installatie van bijkomende tools om het resultaat van verschillende groepsbeleidslijnen op een gebruikersobject of een computerobject te analyseren en om fouten te vinden in de interactie van vele groepsbeleidslijnen is niet langer nodig. De prijs die met name nieuwkomers betalen is een tool die zeer complex lijkt, althans op het eerste gezicht, met een overvloed aan weergaven, commando’s en opties waarvan de betekenis en effecten overweldigend kunnen lijken.
Voor nieuwkomers daarom de volgende tip: werk eerst zonder de nieuwe GPMC.MSI tool om een makkelijkere start te krijgen in het gebruik van groepsbeleid. Installeer de nieuwe GPMC-tool in een aparte testomgeving, bijvoorbeeld in een extra virtuele omgeving die u op uw computer installeert met software zoals Microsoft Virtual PC of VMware. Je moet je bewust zijn van de beperkte mogelijkheden zonder GPMC.MSI geïnstalleerd, alleen al om twee redenen:
- Je moet later misschien ondersteuning bieden op een netwerk van een derde partij waarvan de server de nieuwe GPMC-console niet heeft geïnstalleerd omdat het bijvoorbeeld een Windows 2000-server is.
- Kennisbankartikelen, witboeken van Microsoft en artikelen van derden gaan er meestal niet van uit dat de nieuwe GPMC.MSI-tool is geïnstalleerd. Om deze artikelen te begrijpen, moet u met Group Policy kunnen omgaan op de traditionele manier, d.w.z. zonder dat GPMC is geïnstalleerd.
Groepsbeleid toepassen
Voordat een groepsbeleid kan worden gedefinieerd, moet eerst een groepsbeleidsobject (GPO) worden gemaakt. Er wordt besloten of de GPO wordt gemaakt voor een volledig domein, voor een locatie (site) of voor een organisatorische eenheid (OU). De GPO wordt gemaakt in een Group Policy Management Console. In de Group Policy Object Editor heeft elke GPO twee categorieën, Computerconfiguratie en Gebruikersconfiguratie. Binnen de categorie Computerconfiguratie definieert u beleidsregels die van kracht worden ongeacht welke gebruiker later wordt aangemeld. In de categorie Gebruikersconfiguratie daarentegen definieert u beleidsregels die altijd van toepassing moeten zijn op bepaalde gebruikers, ongeacht op welke computer deze gebruikers zich aanmelden.
Als een GPO alleen geconfigureerd beleid voor gebruikers bevat, moet de computerconfiguratie worden uitgeschakeld. Dit versnelt de verwerking van de GPO omdat de computerconfiguratie niet langer wordt gescand op gemaakte instellingen. Omgekeerd moet in een GPO die alleen geconfigureerd beleid voor computers bevat, de gebruikersconfiguratie worden uitgeschakeld.
Als de nieuwe GPMC.MSI-tool niet is geïnstalleerd, start u de Active Directory Users and Computers snap-in, klikt u met de rechtermuisknop op de eigenschappen van de container die de GPO bevat en selecteert u het tabblad Groepsbeleid. Alle GPO’s die tot nu toe voor de container zijn gemaakt, staan daar vermeld. U selecteert de betreffende GPO en opent de eigenschappen van de GPO.
 |
|
Eigenschappen van het object |
In de eigenschappen van de GPO vindt u de optie Computerconfiguratie-instellingen uitschakelen en de optie Gebruikersgedefinieerde configuratie-instellingen uitschakelen.
Als u de nieuwe tool GPMC.MSI al hebt geïnstalleerd, vindt u de uit te schakelen opties op het tabblad Details in de categorie Groepsbeleidobjecten.
 |
|
Details van het object |
Geef op het tabblad Beveiligingsinstellingen (als GPMC.MSI is geïnstalleerd, selecteer dan het tabblad Delegatie en klik vervolgens op de knop Geavanceerd om de machtigingen te bekijken en te wijzigen) aan welke computeraccounts of gebruikersaccounts gemachtigd zijn om de GPO te wijzigen, te lezen en toe te passen.
Belangrijke opmerking: een Group Policy Administrator moet in staat zijn een GPO in te stellen en het beleid in te stellen en heeft daarvoor lees- en wijzigingsrechten nodig. Hij of zij zou normaal gesproken echter niet door de GPO moeten worden beïnvloed, aangezien het beleid de rechten van de betrokken gebruikers vaak sterk beperkt. Door het beveiligingsrecht Overnemen groepsbeleid voor beheerders uit te schakelen, voorkomt u dat de werkomgeving van de beheerder door de GPO wordt beïnvloed.
Voor de beveiligingsgroepen Domain Admins en Organisational Admins zijn de rechten in een nieuw aangemaakte GPO al naar behoren ingesteld: Leden van deze beveiligingsgroepen mogen het beleid van deze GPO wijzigen, maar worden er zelf niet door beïnvloed; de machtiging “Groepsbeleid overnemen” is standaard uitgeschakeld.
 |
|
Beveiliging |
Volgorde van overerving
Als meerdere containers in elkaar genest zijn, heeft een groepsbeleid van een container niet alleen invloed op de computerobjecten of gebruikersobjecten van deze container, maar ook, via overerving, op objecten in subcontainers van een lager niveau. Als u bijvoorbeeld een organisatorische eenheid Locatie Berlijn hebt gemaakt met de suborganisatorische eenheden Verkoop Berlijn, Productie Berlijn en Administratie Berlijn, en u hebt groepsbeleid gedefinieerd voor de organisatorische eenheid Locatie Berlijn, dan heeft dit beleid invloed op alle objecten in alle OU’s op een lager niveau.
Als u een nieuwe GPO maakt voor de sub-OU Administratie Berlijn en daar een groepsbeleid anders instelt dan in het groepsbeleid op hoger niveau, wint de instelling in het groepsbeleid op lager niveau. Policies in beide OU’s die elkaar niet tegenspreken worden cumulatief overgenomen, d.w.z. ze tellen op tot een union set in wiskundige zin.
Deactiveren van Policy Inheritance
Met behulp van het selectievakje Policy Inheritance deactiveren kunt u voorkomen dat het beleid van een hogere OU van kracht wordt voor een lagere OU naast het beleid dat voor deze OU is ingesteld. U vindt deze optie op het tabblad Algemeen. Overerving kan niet worden uitgeschakeld voor locatiebeleid omdat locatiebeleid bovenaan de beleidshiërarchie staat. De eerste stap is controleren of er een locatiebeleid bestaat. Als dat zo is, wordt het geërfd, tenzij er een domeinbeleid is dat afwijkt of een beleid van een organisatie-eenheid dat afwijkt.
De optie “Geen voorrang” heft de deactivering van overerving op.
Naast de optie Inherentie van beleid uitschakelen is er de optie Geen voorrang die precies het tegenovergestelde doet. Als u een groepsbeleid hebt geactiveerd voor de locatie OU Berlijn en daar de optie Geen voorrang activeert, wordt het groepsbeleid altijd van kracht, zelfs als hetzelfde groepsbeleid op precies de tegenovergestelde manier is gedefinieerd in een OU op een lager niveau, zoals Verkoop Berlijn, in ons voorbeeld ingesteld op gedeactiveerd. Als de optie No precedence is geactiveerd in de bovenliggende container, worden de beleidsinstellingen van deze container toegepast op objecten in lagere containers, zelfs als de optie Deactivate policy inheritance is geactiveerd in de lagere containers.
De “Niet geconfigureerd”, “Ingeschakeld” en “Uitgeschakeld” instellingen
Als een beleid is ingesteld op Ingeschakeld, wordt het toegepast op alle objecten in de container. Als een beleid echter in de status Niet geconfigureerd staat, betekent dit niet dat het beleid niet zal worden toegepast in het eindresultaat. Als er een bovenliggende container is waarin precies dit beleid is geactiveerd, heeft deze instelling door overerving ook invloed op de objecten in onderliggende containers. De instelling Niet correct geconfigureerd betekent dat de instellingen van het beleid op hoger niveau worden overgenomen als er beleid op hoger niveau is. Dus als deze instelling is geconfigureerd in een hoger gelegen beleid en niet in het huidige beleid, wordt de instelling Niet geconfigureerd overschreven met de bovenliggende instelling.
Om dit te voorkomen is er een Uitgeschakelde instelling. Dit betekent dat dit beleid niet wordt toegepast, en dat een hogere beleidsinstelling het ook niet kan overschrijven. Hierop bestaat echter ook een uitzondering: Als de instelling No Override is geactiveerd in de eigenschappen van een beleid op een hoger niveau, kan deze beleidsinstelling niet worden overschreven op een lager niveau.
DNS-server met SRV-records is een verplichte vereiste
Een foutloos geconfigureerde DNS is een noodzakelijke voorwaarde voor de goede werking van groepsbeleid. Via de SRV-records van de DNS-server vindt de client zijn toewijzing in de Active Directory: aan welke OU (Organisation Unit) is de computer en de gebruiker toegewezen, welke policies zijn daar opgeslagen, enz. Als gevolg van een verkeerd geconfigureerde DNS-service, het ontbreken van de DNS-serververmelding voor de clients of een onjuiste DNS-vermelding, ontstaan extreem lange aanmeldtijden, wordt het groepsbeleid niet overgenomen, zijn er problemen met de naamresolutie of wordt de replicatie tussen de domeincontrollers niet uitgevoerd.
De Windows Server 2000/2003 waarop de DNS-service is geïnstalleerd, voldoet aan alle vereisten voor het Active Directory groepsbeleid. Als BIND nog moet worden gebruikt in een omgeving waarin DNS voorheen werd geleverd via Unix of Linux BIND, moet BIND worden bijgewerkt zodat de DNS SRV-records ondersteunt en een Dynamic DNS (D-DNS) is. In dit geval is het raadzaam een Windows Server 2000/2003 in te voeren als DNS-server voor de Windows-cliënten en de Unix BIND in te voeren als forwarder in de Windows DNS-service. Op de Windows-clients moet de DNS-server die de SRV-records bewaart als eerste DNS worden ingevoerd in de TCP/IP-eigenschappen.
Groepsbeleid werkt op gebruikersobjecten of computerobjecten, niet op beveiligingsgroepen.
Het woord groepsbeleid is enigszins misleidend. Groepsbeleid heeft alleen invloed op de gebruikersobjecten of computerobjecten die zich in de bijbehorende container bevinden, niet op beveiligingsgroepen. Als u bijvoorbeeld een organisatorische eenheid genaamd Laptops aanmaakt, een groepsbeleidsobject voor deze OU maakt en in deze GPO speciaal beleid voor laptops configureert, moet u vervolgens alle laptops of alle laptopgebruikers naar deze OU verplaatsen om het beleid van kracht te laten worden. Als u daarentegen alleen een beveiligingsgroep Laptops maakt in de OU Laptops die de laptopobjecten als leden bevat, en de laptopobjecten blijven in een andere OU die geen subonderdeel is van de OU Laptops, wordt het beleid niet van kracht.
Niettemin is het mogelijk om beveiligingsgroepen te gebruiken om te bepalen op welke gebruikersgroepen of computergroepen een reeks beleidsregels van invloed moet zijn via machtigingen voor groepsbeleid. Om dit te demonstreren, laten we het voorbeeld met de laptops aanpassen: u hebt een organisatorische eenheid gemaakt met de naam Clients. Deze OU omvat alle computers behalve servers, dus zowel werkstations als laptops of tablets. Voor deze OU maakt u een GPO waarin alleen specifieke beleidsregels voor laptops en tablet-pc’s worden geconfigureerd. Deze GPO moet alleen van invloed zijn op alle laptops en tablet-pc’s in de OU Clients, maar niet op clients die altijd online zijn. Om dit te bereiken, stelt u een beveiligingsgroep Laptops en tablet-pc’s in en neemt u alle laptops en tablet-pc’s op als leden in deze beveiligingsgroep. Wijzig vervolgens de machtigingen van de GPO zodanig dat deze GPO alleen kan worden gelezen en overgenomen door de beveiligingsgroep voor laptops en tablet-pc’s, maar niet door de andere clients.
In de verdere uitleg over het onderwerp groepsbeleid laten we zien hoe u met behulp van slechts twee GPO’s kunt regelen wat eenvoudige gebruikers en zogenaamde power users mogen doen. In de eerste GPO worden hiervoor beleidsinstellingen voor de standaardgebruiker gemaakt, die zeer restrictief zijn. De tweede GPO kan alleen worden gelezen en overgenomen door de beveiligingsgroep Poweruser. Tot de Poweruser-beveiligingsgroep behoren programmeurs, helpdeskmedewerkers en andere medewerkers die meer vrijheid nodig hebben op hun computers. In deze tweede GPO worden sommige beleidsregels die in de eerste GPO de rechten van de standaardgebruiker sterk beperkten, nu weer opgeheven door de beleidsregels de status uitgeschakeld te geven. Met een eenvoudig en gemakkelijk te begrijpen model, bestaande uit twee GPO’s, is het dus mogelijk te bepalen welke medewerkers rigide, onveranderlijke richtlijnen krijgen in hun werkomgeving en welke medewerkers deze rigide richtlijnen weer versoepeld krijgen, zodat zij niet gehinderd worden in hun dagelijkse werk.
Het geconfigureerde beleid wordt ook opgeslagen in de registratiedatabase.
Waar en hoe wordt eigenlijk opgeslagen welk groepsbeleid voor de computer of de ingelogde gebruiker is geconfigureerd? De Group Policy Template (GPT) is een mapstructuur in de map %systemroot%\SYSVOL\Policies van domeincontrollers. Maar vooral de instellingen die in een groepsbeleid onder “Administratieve sjablonen” worden gemaakt, worden ook weggeschreven naar het register van de computer- en gebruikersobjecten waarop ze van toepassing zijn. Het geconfigureerde beleid moet ook van kracht worden als de client offline is, en moet onder andere daarom lokaal worden opgeslagen en niet alleen in de Active Directory.
In de registerdatabase zijn hiervoor de volgende takken:
HKEY_LOCAL_MACHINE\SoftwarePolicies HKEY_LOCAL_MACHINESoftware van Microsoft Windows, huidige versie van de software. HKEY_CURRENT_USER: Software. HKEY_CURRENT_USER Software-Microsoft-WindowsCurrentVersion-Policies
Update zonder vertraging forceren
Als u de instelling van een beleid wijzigt, wordt het effect op de betrokken client of onder de betrokken gebruikers-ID pas na enige vertraging van kracht. Wijzigingen die van invloed zijn op de computer worden vaak pas van kracht nadat de client opnieuw is opgestart. Wijzigingen die van invloed zijn op een gebruiker worden uiterlijk na een nieuwe aanmelding van kracht.
Er zijn echter commandoregelopdrachten die kunnen worden gebruikt om alle groepsbeleid onmiddellijk opnieuw toe te passen. Onder Windows 2000 wordt het commando secedit gebruikt, waarbij de parameters machine_policy en user_policy kunnen worden gebruikt om expliciet aan te geven of alleen de policies van de categorie computerconfiguratie of de categorie gebruikersconfiguratie opnieuw moeten worden toegepast:
secedit /refreshpolicy user_policy /enforce secedit /refreshpolicy machine_policy /enforce
Onder Windows XP vervangt gpupdate het vroegere hulpmiddel secedit:
gpupdate /target:user /force /wait:0 gpupdate /target:computer /force /wait:0
De tool gpupdate kan echter ook worden gebruikt onder Windows 2000 Professional. Het moet worden geïnstalleerd in de map %systemroot%\System32. Zie de online hulp voor het hulpprogramma gpupdate voor meer informatie over de betekenis van de verschillende parameters. De parameter /force zorgt ervoor dat alle instellingen opnieuw worden toegepast, zelfs als de beleidsteller nog niet is verhoogd.
Er is ook een beleid dat kan worden gebruikt om de standaardvertraging waarna groepsbeleid opnieuw wordt toegepast, in te stellen op een lagere waarde. Deze procedure wordt aanbevolen tijdens de testfase.
Back-up maken, kopiëren en importeren van beleidsinstellingen
Stel dat u een groepsbeleid hebt gemaakt in uw testdomein en alle instellingen wilt overbrengen naar een productieomgeving. Hoe zou dit met de minste moeite moeten gebeuren?
Stel dat u een andere organisatorische eenheid wilt opzetten en voor deze nieuwe OU identiek of bijna identiek groepsbeleid wilt gebruiken omdat dit al is ingesteld voor een andere OU.
In het najaar van 2003 heeft Microsoft de Group Policy Management Console GPMC vrijgegeven om gratis te downloaden. Met deze snap-in kunt u een groepsbeleidsobject met alle daarin geconfigureerde beleidsregels kopiëren of importeren. De online help biedt meer gedetailleerde informatie:
Met kopiëren kunt u instellingen van een groepsbeleidsobject rechtstreeks overbrengen naar een nieuw groepsbeleidsobject. Tijdens het kopieerproces wordt een nieuw groepsbeleidsobject aangemaakt en voorzien van een nieuwe GUID (Globally Unique Identifier). Op deze manier kunnen instellingen worden overgedragen naar een nieuw groepsbeleidobject in hetzelfde domein, in een ander domein in hetzelfde forest, of in een domein in een ander forest. Aangezien de kopieerbewerking een bestaand groepsbeleidsobject in Active Directory als bron gebruikt, moet er een vertrouwensrelatie bestaan tussen het bron- en doeldomein.
Kopieerbewerkingen zijn geschikt voor het overbrengen van groepsbeleid tussen productieomgevingen of tussen een testdomein (of test forest) en een productiedomein (of productie forest). Voorwaarde is een vertrouwensrelatie tussen het bron- en doeldomein. Gedetailleerde instructies zijn te vinden in de online help van GPMC op .
Het kopiëren is vergelijkbaar met een back-up gevolgd door een import, waarbij de tussenstap via het bestandssysteem wordt weggelaten en het nieuwe groepsbeleidobject wordt aangemaakt als onderdeel van het kopieerproces. Voor informatie over het back-uppen van group policy objecten, zie de GPMC online help onder de zoekterm Back Up.
Het importproces vereist, in tegenstelling tot het kopieerproces, geen vertrouwen tussen domeinen. Informatie over het importproces is te vinden in de online help onder de zoekterm Import.
De procedures voor het back-uppen, kopiëren of importeren van GPO’s en aanverwante taken kunnen ook worden uitgevoerd met behulp van de voorbeeldscripts die deel uitmaken van de leveringsomvang van de GPMC voor groepsbeleidbeheer.
Een systeemhuis dat voor veel klanten projecten met Windows 2000/2003 Active Directory uitvoert, kan dus gerust het groepsbeleid van een schoon geconfigureerde testomgeving blijven gebruiken door het in de testomgeving aangemaakte groepsbeleid als sjabloon op te slaan, te importeren in de vers opgezette Active Directory bij de klant en vervolgens slechts aan te passen.
Koppeling groepsbeleid toevoegen
Wilt u echter een identieke group policy zonder aanpassingen gebruiken voor meerdere organisatieonderdelen, dan kan dat ook anders, namelijk via een koppeling. U maakt het groepsbeleid aan in een neutraal organisatieonderdeel en configureert het. Vervolgens maakt u koppelingen naar deze centrale group policy in andere organisatieonderdelen. Deze methode heeft als voordeel dat u later, indien nodig, op slechts één plaats wijzigingen in een groepsbeleid kunt aanbrengen en dat deze wijzigingen onmiddellijk van kracht worden voor alle organisatieonderdelen die gekoppeld zijn aan het centraal onderhouden groepsbeleid.
U opent de eigenschappen van de organisatie-eenheid en daar het tabblad Groepsbeleid. Deze keer klikt u echter niet op de knop Nieuw, maar op de knop Toevoegen. Deze knop zou duidelijker gelabeld zijn met Verbinden. Selecteer het tabblad Alle. Alle groepsbeleid van het domein dat tot nu toe is aangemaakt wordt opgesomd.
Waarvoor kunt u de optie groepsbeleid aan meerdere organisatieonderdelen koppelen gebruiken?
Als u bijvoorbeeld meerdere locaties heeft en op alle locaties servers staan, kunt u een centraal organisatieonderdeel instellen met de naam Groepsbeleid van de organisatie. Daar kunt u bijvoorbeeld een groepsbeleid Domeincontroller genereren, waarin alle beveiligingsbeleidsregels worden gedefinieerd die belangrijk zijn voor domeincontrollers. Vervolgens moet u voor elke site een OU aanmaken en binnen deze OU’s weer sub-OU’s voor domeincontrollers, aangesloten servers, clientcomputers, gebruikers, gebruikersgroepen en externe contacten. In de Domain Controllers sub-OUs die in elke site OU bestaan, maakt u vervolgens een groepsbeleid door een koppeling te maken naar het centrale Domain Controllers-beleid in de centrale organisatie-eenheid Group Policies van de organisatie.
Ga op dezelfde manier te werk voor andere servertypes zoals member servers, Exchange-servers en SQL-servers. Op de Microsoft Web Server vindt u de “Windows Server Security Operations Guide” met hoofdstuk 4, “Servers beveiligen op basis van hun rol”. Dit artikel beschrijft hoe u verschillende soorten servers kunt beveiligen met behulp van groepsbeleid.
U kunt natuurlijk groepsbeleid koppelen voor beleid dat voor alle gebruikers in de hele organisatie moet gelden. Hiervoor maakt u een groepsbeleid aan zoals Standaard Gebruiker Organisatiebreed en misschien nog een groepsbeleid zoals Krachtige Gebruiker Organisatiebreed in de centrale organisatie-eenheid Groepsbeleid van de organisatie. Het tweede groepsbeleid is dan voor power users (SW-ontwikkelaars, helpdeskmedewerkers, enz.) waarbij de omgeving niet zo beperkt is als voor standaardgebruikers. Vervolgens koppelt u deze centrale groepsbeleidslijnen aan de organisatie-eenheden die gebruikers worden genoemd en die zij als sub-OU’s onder de verschillende site-OU’s hebben aangemaakt.
U moet echter eigenlijk alleen beleidsregels definiëren in deze centrale groepsbeleidsregels die vervolgens ook van toepassing zijn op alle gebruikers in de gehele organisatie. Het beleid voor mapomleiding, waarbij telkens een server moet worden opgegeven waarop de basisdirectory van de gebruiker zich bevindt, is misschien minder geschikt voor een centraal groepsbeleid. De basisdirectories (user home directories) van een grote organisatie met meerdere locaties bevinden zich immers op meerdere bestandsservers. Maar ook hier is er een truc om de toewijzing aan meerdere servers te beheren. Zie voor meer details het hoofdstuk “Op server opgeslagen gebruikersprofielen, basismappen en mapomleiding”.
Een groepsbeleid of de koppeling ervan verwijderen
Als u een organisatie-eenheid verwijdert zonder eerst het groepsbeleid te verwijderen dat voor die organisatie-eenheid is gemaakt, blijft dat groepsbeleid bestaan in de Active Directory en in de map %SYSTEMROOT%\SYSVOLCompany.local\Policies van de domeincontrollers. Om dit te testen maakt u een nieuwe test OU aan en maakt u een test groepsbeleid voor deze OU. Let op de unieke naam van het groepsbeleid, die wordt weergegeven via de knop Eigenschappen. Verwijder nu de test OU en controleer of de directory onder %SYSTEMROOT%\SYSVOL\Company.localPolicies die is aangemaakt bij het aanmaken van het groepsbeleid automatisch is verwijderd door het verwijderen van de OU. Deze bestaat nog steeds.
Open nu de eigenschappen van een andere OU en daar het tabblad Groepsbeleid. Klik deze keer niet op de knop Nieuw, maar op de knop Toevoegen. Selecteer het tabblad Alle. Alle groepsbeleid van het domein wordt weergegeven, inclusief het testgroepsbeleid dat was gemaakt voor de reeds verwijderde test OU.
Als u met de muis een groepsbeleidobject hebt geselecteerd en op de knop Verwijderen klikt, verschijnt een prompt:
Link verwijderen uit lijst zorgt ervoor dat andere containers (locaties, domeinen, OU’s) het beleid nog steeds kunnen gebruiken. Alleen de koppeling met het huidige object wordt verwijderd.
Koppeling uit lijst verwijderen en het groepsbeleidobject onherroepelijk verwijderen betekent dat het groepsbeleid zelf wordt verwijderd en na dit proces volledig wordt opgeheven. Het is niet mogelijk dit beleid op een later tijdstip op een andere container toe te passen.
Voordat u echter een groepsbeleidobject onherroepelijk verwijdert, moet u de volgende instelling controleren: Selecteer het gewenste beleid en klik op de knop Eigenschappen. Selecteer op het tabblad Koppelingen het domein dat moet worden doorzocht op koppelingen in het veld Domein. Klik op Zoeken. Deze procedure zoekt naar alle containers waaraan dit beleid is gekoppeld. Zo kunt u controleren of dit beleid nog invloed heeft op een andere container in een ander domein.
De beschreven procedure heeft betrekking op een server zonder een aanvullend geïnstalleerde Group Policy Management Console GPMC. Als deze tool wel is geïnstalleerd, is de procedure vergelijkbaar. U moet ook de procedure kennen zonder geïnstalleerde GPMC, omdat u morgen misschien al een server moet beheren waarop GPMC ontbreekt.
Het standaard domeinbeleid herstellen met de Command Line Tool
Voor een nieuw aangemaakt domein worden de twee groepsbeleidobjecten Default Domain Policy en Default Domain Controllers Policy automatisch aangemaakt. Indien mogelijk, dient u wijzigingen in de beleidsinstellingen in deze twee standaard groepsbeleidobjecten te vermijden of deze tenminste exact te documenteren. Het is beter om zelf nieuwe groepsbeleidobjecten aan te maken en daar de gewenste instellingen te maken. Als er toch wijzigingen zijn aangebracht in het standaardbeleid en de oorspronkelijke toestand moet worden hersteld, is er in Windows Server 2003 de opdrachtregelopdracht dcgpofix. De bijbehorende tool dcgpofix.exe bevindt zich in de map %systemroot%system32. In de online help wordt uitgelegd hoe het gereedschap moet worden gebruikt, welke parameters erbij horen en welke beperkingen er zijn.
Door de parameter /ignoreschema op te geven, kunt u dcgpofix.exe laten werken met verschillende versies van Active Directory. Het is echter mogelijk dat standaard beleidsobjecten niet in hun oorspronkelijke staat worden hersteld. Om compatibiliteit te garanderen, moet u de versie van dcgpofix.exe gebruiken die is geïnstalleerd met het huidige besturingssysteem. In het volgende voorbeeld ziet u hoe u de opdracht dcgpofix gebruikt om het standaard domeinbeleidsobject te herstellen:
dcgpofix /target: domain
Zie voor meer informatie de kennisbankartikelen
- Gebruikersrechten in het standaard groepsbeleid van een domein opnieuw instellen
- Gebruikersrechten terugzetten in het standaard groepsbeleidobject van de domeincontroller
Groepsbeleid contra reg bestanden
Veel groepsbeleid wordt gebruikt om waarden in de registerdatabase van de client of server te wijzigen. De vraag rijst of dezelfde doelen niet ook via reg-bestanden kunnen worden bereikt, misschien zelfs met minder moeite. Naast het commando Regedit zijn er vele hulpmiddelen op de markt waarmee men in Windows XP of Microsoft Office instellingen kan aanbrengen en de bijbehorende registervermeldingen rechtstreeks naar een regbestand kan exporteren, bijvoorbeeld de Registry System Wizard of RegShot. Dit registerbestand kan dan worden geïmporteerd via een aanmeldingsscript of een opstartscript.
Hoewel Microsoft sinds de invoering van Active Directory met Windows 2000 Server herhaaldelijk de nadruk heeft gelegd op het instrument van groepsbeleid als centraal beheerinstrument voor het controleren van cliënten, zijn er tot dusverre, afgezien van Microsoft, geen mij bekende derde leveranciers die sjabloonbestanden voor groepsbeleid (adm-bestanden) aanbieden, zodat hun producten ook vanaf een centrale locatie via de groepsbeleid-editor kunnen worden gecontroleerd. Noch voor SAP, Sage KHK, AutoCAD, CorelDraw, noch voor toonaangevende antivirusproducten bestaan dergelijke adm-bestanden. En zelfs het commerciële product Navision, dat Microsoft nu distribueert, bevat geen groepsbeleid-sjabloonbestanden voor centrale besturing van de clients.
Toch zijn er nu niet alleen hulpmiddelen om reg-bestanden om te zetten in adm-bestanden(Registry System Wizard, reg2adm, ptfe-PolicyTemplate File Editor) en artikelen die in detail beschrijven hoe je zelf adm-bestanden kunt maken. Er zijn ook vele andere redenen om met groepsbeleid om te gaan, omdat met groepsbeleid veel meer bereikt kan worden dan met het manipuleren van de registerdatabase:
- Groepsbeleid kan ook worden gebruikt om waarden in het HKEY_LOCAL_MACHINE gebied van het register te manipuleren. De eenvoudige gebruiker heeft hiertoe echter meestal geen rechten.
- Toepassingen kunnen worden geïnstalleerd via groepsbeleid.
- Groepsbeleid kan worden gebruikt om opstart- en afsluit-scripts te activeren, maar ook afmeld-scripts, wat veel meer mogelijkheden biedt dan alleen een afmeld-script.
- Groepsbeleid kan worden gebruikt om complexe Active Directory-structuren, bestaande uit meerdere sites of zelfs meerdere domeinen, centraal te beheren.
- Met groepsbeleid kan het gedrag van individuele klantgroepen of gebruikersgroepen afzonderlijk worden gecontroleerd. U kunt bijvoorbeeld een organisatorische eenheid creëren waarin alle laptops en tablet-pc’s zijn ondergebracht en voor deze OU een speciaal groepsbeleid instellen om de specifieke kenmerken af te handelen van clients die regelmatig offline zijn.
Dit zijn slechts enkele van de voordelen die groepsbeleid heeft boven registermanipulatie met behulp van registers. Het belangrijkste voordeel van groepsbeleid is dat de beheerder centraal kan bepalen hoe een client eruit ziet, welke toepassingen en functies worden in- of uitgeschakeld, en wat de gebruiker mag gebruiken en wijzigen. Deze instellingen kunnen te allen tijde worden gewijzigd via groepsbeleid, zonder dat de gebruiker tot de groep van lokale beheerders of hoofdgebruikers hoeft te behoren. De via groepsbeleid gecontroleerde instellingen in de registerdatabase worden afgedwongen met de machtiging van de SYSTEM-groep binnen het besturingssysteem.
Met centraal beheerd groepsbeleid kan de administratieve inspanning van een netwerk drastisch worden verminderd, evenals het aantal mogelijke bronnen van fouten en veiligheidsbedreigingen. Hoe dan ook, u kunt niet om groepsbeleid heen. Want morgen moet u misschien een netwerk beheren waarin groepsbeleid intensief wordt gebruikt.
Problemen oplossen wanneer een beleid niet werkt
In principe kunnen er van omgeving tot omgeving vele redenen zijn als u een groepsbeleid hebt geactiveerd en dit groepsbeleid niet het gewenste resultaat laat zien op de betreffende client of onder de betreffende identifier. Als een groepsbeleid helemaal niet werkt, is dat meestal te wijten aan een verkeerd geconfigureerde DNS. Controleer dan de DNS-configuratie van de DNS-servers en de DNS-vermeldingen in de client. Controleer het gebeurtenissenlogboek op de server.
Controleer vervolgens of de betreffende clientcomputer of gebruikers-ID zich in de juiste OU bevindt waarop het beleid wordt toegepast.
Controleer of de machtigingen voor Groepsbeleid correct zijn ingesteld, zodat de computer of gebruiker het GPO kan lezen en toepassen. Het is belangrijk op te merken dat beleid niet kan worden toegepast op een beveiligingsgroep, maar alleen op de objecten die zich bevinden in de container waarop het beleid van toepassing is.
Controleer de volgorde waarin meerdere beleidsregels worden toegepast om te zien of er sprake is van geërfd beleid van bovenliggende containers. Een hulpmiddel uit de Windows Server Resource Kit genaamd GPRESULT toont ook het resultaat onder Windows 2000 Professional wanneer meerdere groepsbeleidsregels van invloed zijn op een object. Deze tool is reeds geïntegreerd in de nieuwe beheertool GPMC.MSI.
Op een Windows XP-client kunt u het opdrachtregelcommando gpresult gebruiken om het resultaat van alle actieve groepsbeleidsregels weer te geven. Het commando gpresult /? geeft alle parameters weer, het commando gpresult > c:\gpresult.txt leidt het resultaat om naar een tekstbestand dat gemakkelijker te evalueren is. Met de parameters /u (voor gebruiker) en /s (voor systeem) kunt u zelfs achterhalen wat er gebeurt als een bepaalde gebruiker inlogt op een andere computer: gpresult /u:username /s:computername
Hulpmiddelen, artikelen en bronnen over groepsbeleid
De eerste bron van verdere informatie over het onderwerp groepsbeleid is de boek-dvd, die wordt verrijkt met verdere artikelen, zelfs als dit hoofdstuk al op de printer staat. Op de boek-dvd vindt u een aparte map Group Policies met tools, white papers, knowhow-artikelen en links naar websites met verdere bronnen. Als tweede stap kunt u op het internetportaal van de uitgever op de updatepagina van dit boek kijken of er nieuwe bijdragen zijn over het onderwerp groepsbeleid.
| Deze reeks artikelen is een uittreksel uit het “Integratiehandboek Microsoft Network” van Ulrich Schlüter. Publicatiedatum: oktober 2004 door Galileo Computing. (ISBN 3-89842-525-8) en werd vooraf exclusief aan WinTotal ter beschikking gesteld. |
Ulrich Schlüter