Giải thích về Đối tượng Chính sách Nhóm (GPO):Chúng là gì và Tại sao Chúng Quan trọng

Bởi

Linda Rosencrance
Amy Kucharik, Mục tiêu công nghệ

Đã xuất bản:ngày 10 tháng 9 năm 2019

Đối tượng chính sách nhóm (GPO) của Microsoft là tập hợp các cài đặt Chính sách nhóm xác định hệ thống sẽ trông như thế nào và nó sẽ hoạt động như thế nào đối với một nhóm người dùng xác định.

Microsoft cung cấp một chương trình snap-in cho phép bạn sử dụng Bảng điều khiển quản lý chính sách nhóm (GPMC). Các lựa chọn dẫn đến một Đối tượng chính sách nhóm. GPO được liên kết với các vùng chứa Active Directory đã chọn, chẳng hạn như trang web, miền hoặc đơn vị tổ chức (OU). GPMC cho phép bạn tạo GPO xác định các chính sách dựa trên sổ đăng ký, tùy chọn bảo mật, tùy chọn cài đặt và bảo trì phần mềm, tùy chọn tập lệnh và tùy chọn chuyển hướng thư mục.

Các loại GPO

Có ba loại GPO:cục bộ, phi cục bộ và khởi động.

Đối tượng chính sách nhóm cục bộ. Đối tượng chính sách nhóm cục bộ đề cập đến tập hợp các cài đặt chính sách nhóm chỉ áp dụng cho máy tính cục bộ và cho những người dùng đăng nhập vào máy tính đó. GPO cục bộ được sử dụng khi cài đặt chính sách cần áp dụng cho một máy tính hoặc người dùng Windows. GPO cục bộ tồn tại theo mặc định trên tất cả các máy tính Windows.
Đối tượng chính sách nhóm không cục bộ. Đối tượng chính sách nhóm không cục bộ được sử dụng khi cài đặt chính sách phải áp dụng cho một hoặc nhiều máy tính hoặc người dùng Windows. GPO không cục bộ áp dụng cho máy tính hoặc người dùng Windows sau khi họ được liên kết với các đối tượng Active Directory, chẳng hạn như trang web, miền hoặc đơn vị tổ chức.
Đối tượng chính sách của nhóm khởi đầu. Được giới thiệu trong Windows Server 2008, GPO khởi đầu là các mẫu dành cho cài đặt Chính sách nhóm. Những đối tượng này cho phép quản trị viên tạo và có một nhóm cài đặt được định cấu hình trước đại diện cho đường cơ sở cho bất kỳ chính sách nào được tạo trong tương lai.

Đối tượng chính sách nhóm và bảo mật dữ liệu

Có một số cài đặt Chính sách nhóm có thể giúp bảo mật mạng của công ty. Ví dụ:thông qua Chính sách nhóm, một tổ chức có thể chạy các tập lệnh, ngăn người dùng truy cập một số tài nguyên nhất định và thực hiện các tác vụ đơn giản, chẳng hạn như buộc một trang chủ cụ thể mở cho mọi người dùng mạng.

Một số biện pháp bảo mật này bao gồm:

Hạn chế quyền truy cập vào Bảng điều khiển -- thông qua Control Panel, một công ty có thể kiểm soát mọi khía cạnh của máy tính. Việc giới hạn người có quyền truy cập vào máy tính cho phép các tổ chức giữ an toàn cho dữ liệu và các tài nguyên khác.
Tắt dấu nhắc lệnh -- Một công ty có thể sử dụng Dấu nhắc lệnh để chạy các lệnh cấp quyền truy cập cấp cao cho người dùng và bỏ qua các hạn chế hệ thống khác. Đó là lý do tại sao nên vô hiệu hóa Dấu nhắc lệnh để đảm bảo an toàn cho tài nguyên hệ thống. Nếu người dùng cố gắng mở cửa sổ lệnh sau khi Dấu nhắc Lệnh bị tắt, hệ thống sẽ hiển thị thông báo cho biết rằng một số cài đặt đang ngăn chặn điều này.
Ngăn cài đặt phần mềm -- nếu người dùng được phép cài đặt phần mềm, họ có thể cài đặt các ứng dụng không mong muốn hoặc phần mềm độc hại có thể xâm phạm hệ thống của công ty. Vì vậy, tốt hơn hết bạn nên ngăn chặn việc cài đặt phần mềm thông qua Chính sách nhóm.

Giải thích về Đối tượng Chính sách Nhóm (GPO):Chúng là gì và Tại sao Chúng Quan trọng

Hình dung trực quan về Đối tượng chính sách nhóm

Lợi ích của đối tượng chính sách nhóm

Ngoài vấn đề bảo mật, việc triển khai GPO còn có một số lợi ích, bao gồm:

Quản lý hiệu quả hơn -- GPO đã có sẵn áp dụng môi trường tiêu chuẩn hóa cho tất cả người dùng và máy tính mới tham gia miền của tổ chức, tiết kiệm thời gian thiết lập.
Dễ quản trị -- quản trị viên hệ thống có thể triển khai phần mềm, bản vá lỗi và các bản cập nhật khác thông qua GPO.
Thực thi chính sách mật khẩu tốt hơn -- GPO xác định độ dài mật khẩu, sử dụng lại quy tắc và thiết lập các yêu cầu khác đối với mật khẩu để giữ an toàn cho mạng của công ty.
Định cấu hình chuyển hướng thư mục -- GPO cho phép các công ty đảm bảo người dùng đang lưu giữ các tệp quan trọng của công ty trên hệ thống lưu trữ tập trung và được giám sát. Ví dụ:một tổ chức có thể chuyển hướng thư mục Tài liệu của người dùng, thường được lưu trữ trên ổ đĩa cục bộ, tới một vị trí mạng.

Hạn chế của GPO

Các hạn chế của Đối tượng chính sách nhóm bao gồm:

Chúng chạy tuần tự -- GPO xử lý các hành động lần lượt. Do đó, nếu phải cấu hình nhiều GPO thì người dùng có thể mất nhiều thời gian để đăng nhập.
Tính linh hoạt bị hạn chế -- GPO chỉ có thể được áp dụng cho người dùng hoặc máy tính. Vì vậy, họ bị hạn chế khi áp dụng cài đặt dựa trên ngữ cảnh.
Trình kích hoạt có giới hạn -- GPO chỉ có thể được áp dụng khi khởi động máy tính, khi người dùng đăng nhập hoặc theo khoảng thời gian đã đặt. GPO không thể phản ứng với những thay đổi trong môi trường, chẳng hạn như ngắt kết nối hoặc kết nối lại mạng.
Khó duy trì -- không có tùy chọn tìm kiếm hoặc bộ lọc tích hợp sẵn để tìm cài đặt cụ thể trong GPO, gây khó khăn cho việc tìm hoặc khắc phục sự cố với cài đặt hiện tại.
Không kiểm soát phiên bản -- những thay đổi được thực hiện đối với cài đặt GPO không được kiểm tra. Vì vậy, nếu thực hiện một thay đổi không chính xác thì không thể biết được thay đổi đó là gì hoặc ai đã thực hiện thay đổi đó.

Trình tự xử lý của GPO

Thứ tự xử lý của Chính sách nhóm ảnh hưởng đến cài đặt nào được áp dụng cho máy tính hoặc người dùng cuối. Thứ tự xử lý này được gọi là LSDOU:địa phương, trang web, tên miền, đơn vị tổ chức. Đầu tiên, chính sách máy tính cục bộ được xử lý, tiếp theo là các chính sách Active Directory từ cấp trang đến miền, sau đó vào OU (GPO trong các đơn vị tổ chức lồng nhau áp dụng từ OU gần gốc nhất trước tiên và tiếp tục từ đó). Nếu có bất kỳ xung đột nào, chính sách được áp dụng lần cuối sẽ có hiệu lực.

Ví dụ về GPO

Sau đây là ví dụ về Đối tượng chính sách nhóm:

GPO có thể chỉ định trang chủ được hiển thị lần đầu tiên khi người dùng khởi chạy Internet Explorer. Khi người dùng đăng nhập vào miền, đối tượng chính sách nhóm đó sẽ được truy xuất và áp dụng cho cấu hình Internet Explorer của người dùng.
Một tổ chức có thể triển khai các kết nối máy in mạng dùng chung cho người dùng từ một OU cụ thể của Active Directory bằng cách sử dụng Chính sách nhóm. Vì vậy, khi người dùng đăng nhập vào Windows, máy in mạng được chỉ định sẽ tự động xuất hiện trong danh sách máy in khả dụng.
Quản trị viên có thể sử dụng chính sách nhóm để điều chỉnh cài đặt, chẳng hạn như tắt màn hình máy tính trong một khoảng thời gian nhất định, chọn chương trình mặc định và ngăn người dùng thay đổi tùy chọn kết nối Internet.

Các phương pháp hay nhất

Một số phương pháp hay nhất dành cho GPO bao gồm:

Tạo cấu trúc đơn vị tổ chức được thiết kế phù hợp trong Active Directory để đơn giản hóa việc áp dụng và khắc phục sự cố Chính sách nhóm.
Đặt tên mô tả cho GPO để giúp quản trị viên nhanh chóng xác định chức năng của từng GPO.
Thêm nhận xét cho mỗi GPO giải thích lý do tại sao nó được tạo, mục đích của nó là gì và cài đặt của nó là gì.
Không đặt GPO ở cấp miền vì chúng sẽ được áp dụng cho tất cả các đối tượng người dùng và máy tính. Điều đó có thể khiến một số cài đặt được áp dụng cho một số đối tượng một cách không cần thiết.
Không sử dụng máy tính gốc hoặc thư mục người dùng trong Active Directory vì chúng không phải là đơn vị tổ chức và không thể liên kết GPO với chúng. Khi một người dùng hoặc đối tượng máy tính mới xuất hiện trong các thư mục này, nó sẽ ngay lập tức được chuyển đến OU thích hợp.
Đừng tắt GPO. Thay vào đó, hãy xóa liên kết khỏi OU thay vì vô hiệu hóa GPO nếu bạn không muốn áp dụng nó. Việc vô hiệu hóa GPO sẽ ngăn không cho GPO được áp dụng hoàn toàn trên miền. Đó có thể là một vấn đề vì nếu Chính sách nhóm cụ thể đó được sử dụng trong một OU khác thì nó sẽ không còn hoạt động ở đó nữa.