यह सक्रिय निर्देशिका समूह नीति मूल बातें के बारे में एक Canonical प्रश्न है

समूह नीति क्या है? यह कैसे काम करता है और मुझे इसका उपयोग क्यों करना चाहिए?

_{नोट: यह नए प्रशासक का प्रश्न और उत्तर है जो इस बात से परिचित नहीं हो सकता है कि यह कैसे कार्य करता है और यह कितना शक्तिशाली है।}

समूह नीति क्या है?

समूह नीति एक उपकरण है जो प्रशासकों के लिए उपलब्ध है जो Windows 2000 या बाद में सक्रिय निर्देशिका डोमेन चला रहे हैं । यह क्लाइंट कंप्यूटर और सर्वर पर सेटिंग्स में केंद्रीकृत प्रबंधन के लिए अनुमति देता है और साथ ही साथ सॉफ्टवेयर को वितरित करने के लिए एक अल्पविकसित तरीका प्रदान करता है।

सेटिंग्स को समूह नीति ऑब्जेक्ट (GPOs) नामक ऑब्जेक्ट में समूहीकृत किया जाता है। GPO एक सक्रिय निर्देशिका संगठनात्मक इकाई (OU) से जुड़ा हुआ है और इसे उपयोगकर्ताओं और कंप्यूटरों पर लागू किया जा सकता है। GPO को सीधे समूहों पर लागू नहीं किया जा सकता है, हालाँकि आप समूह सदस्यता के आधार पर सुरक्षा फ़िल्टरिंग या आइटम-स्तरीय लक्ष्यीकरण का उपयोग नीति एप्लिकेशन को फ़िल्टर करने के लिए कर सकते हैं ।

यह अच्छा है, यह क्या कर सकता है?

कुछ भी।

गंभीरता से, आप अपने डोमेन में उपयोगकर्ताओं या कंप्यूटरों के लिए कुछ भी कर सकते हैं। फ़ोल्डर पुनर्निर्देशन, पासवर्ड जटिलता, बिजली सेटिंग्स, ड्राइव मैपिंग, ड्राइव एन्क्रिप्शन, विंडोज अपडेट , आदि जैसी चीजों के लिए सैकड़ों पूर्व-निर्धारित सेटिंग्स हैं । कुछ भी जो आप एक पूर्व-निर्धारित सेटिंग के माध्यम से कॉन्फ़िगर नहीं कर सकते हैं जिसे आप स्क्रिप्टिंग के माध्यम से नियंत्रित कर सकते हैं। बैच और VBScript स्क्रिप्ट सभी समर्थित क्लाइंट पर समर्थित हैं और PowerShell स्क्रिप्ट विंडोज 7 होस्ट पर चलाई जा सकती हैं।

व्यावसायिक टिप: आप वास्तव में विंडोज एक्सपी और विंडोज विस्टा होस्ट्स पर पॉवरशेल स्टार्टअप स्क्रिप्ट चला सकते हैं और साथ ही जब तक उनके पास पॉवरशेल 2.0 स्थापित नहीं हो जाता है। आप एक बैच फ़ाइल बना सकते हैं जो इस सिंटैक्स के साथ स्क्रिप्ट को कॉल करती है:

powershell Set-ExecutionPolicy RemoteSigned
powershell \\\\server\share\script.ps1
powershell Set-ExecutionPolicy Restricted

पहली पंक्ति उस होस्ट पर दूरस्थ शेयरों से अहस्ताक्षरित स्क्रिप्ट को चलाने की अनुमति देती है और दूसरी पंक्ति स्क्रिप्ट को बैच फ़ाइल से कॉल करती है। तीसरी पंक्ति सेट नीति को अधिकतम सुरक्षा के लिए प्रतिबंधित (डिफ़ॉल्ट) पर वापस सेट करती है।

समूह नीति ऑब्जेक्ट कैसे लागू होते हैं?

GPO को एक पूर्वानुमेय क्रम में लागू किया जाता है। स्थानीय नीतियों को पहले लागू किया जाता है। स्थानीय मशीन पर gpedit.msc के माध्यम से नीतियां निर्धारित की गई हैं। साइट नीतियों को दूसरे स्थान पर लागू किया जाता है। डोमेन नीतियों को तीसरे और OU नीतियों को चौथे स्थान पर लागू किया जाता है। यदि किसी ऑब्जेक्ट को कई OUs के अंदर घोंसला बनाया जाता है, तो GPO को पहले रूट के निकटतम OUs में लागू किया जाता है।

ध्यान रखें कि यदि कोई संघर्ष है, तो अंतिम GPO ने "जीत" लागू किया। इसका अर्थ है, उदाहरण के लिए, OU से जुड़ी पॉलिसी जो कि एक कंप्यूटर में रहती है, जीत जाएगी यदि उस GPO में एक सेटिंग और एक OU पैरेंट में लिंक के बीच कोई टकराव हो।

लॉगऑन और स्टार्टअप लिपियों को शांत लगता है, वे कैसे काम करते हैं?

एक लॉगऑन या स्टार्टअप स्क्रिप्ट किसी भी नेटवर्क शेयर पर तब तक रह सकती है जब तक कि समूह Domain Usersऔर Domain Computersसमूह उस हिस्से तक पहुंच को पढ़ चुके हों, जिस पर वे हैं। परंपरागत रूप से, वे अंदर रहते हैं \\domain.tld\sysvol, लेकिन यह एक आवश्यकता नहीं है।

कंप्यूटर शुरू होने पर स्टार्टअप स्क्रिप्ट चलाए जाते हैं। उन्हें स्थानीय मशीन पर सिस्टम खाते के रूप में चलाया जाता है। इसका मतलब है कि वे नेटवर्क संसाधनों को कंप्यूटर के खाते के रूप में एक्सेस करते हैं। उदाहरण के लिए, यदि आप चाहते थे कि स्टार्टअप स्क्रिप्ट में एक नेटवर्क संसाधन तक पहुंच हो, जिसके पास UNC हो \\server01\share1और कंप्यूटर का नाम हो, तो WORKSTATION01आपको यह सुनिश्चित करना होगा कि WORKSTATION01$उस हिस्से तक उसकी पहुंच हो। चूंकि यह स्क्रिप्ट सिस्टम के रूप में चलाई जाती है, इसलिए यह इंस्टॉलेशन सॉफ़्टवेयर, रजिस्ट्री के विशेषाधिकार प्राप्त वर्गों को संशोधित करने और स्थानीय मशीन पर अधिकांश फ़ाइलों को संशोधित करने जैसे सामान कर सकती है।

लॉगऑन स्क्रिप्ट को स्थानीय रूप से लॉग ऑन उपयोगकर्ता के सुरक्षा संदर्भ में चलाया जाता है। उम्मीद है कि आपके उपयोगकर्ता प्रशासक नहीं हैं, इसलिए इसका मतलब है कि आप सॉफ़्टवेयर स्थापित करने या संरक्षित रजिस्ट्री सेटिंग्स को संशोधित करने के लिए इनका उपयोग नहीं कर पाएंगे।

लॉगऑन और स्टार्टअप स्क्रिप्ट विंडोज 2003 और पहले के डोमेन की आधारशिला थे, लेकिन विंडोज सर्वर के बाद के रिलीज में उनकी उपयोगिता कम हो गई है। समूह नीति प्राथमिकताएं प्रशासकों को ड्राइव और प्रिंटर मैपिंग, शॉर्टकट, फाइलें, रजिस्ट्री प्रविष्टियों, स्थानीय समूह सदस्यता और कई अन्य चीजों को संभालने का एक बेहतर तरीका प्रदान करती हैं जो केवल एक स्टार्टअप या लॉगऑन स्क्रिप्ट में किया जा सकता है। यदि आप सोच रहे हैं कि आपको एक सरल कार्य के लिए स्क्रिप्ट का उपयोग करने की आवश्यकता हो सकती है, तो इसके बजाय शायद एक समूह नीति या वरीयता है। आजकल विंडोज 7 (या बाद में) क्लाइंट वाले डोमेन में, केवल जटिल कार्यों के लिए स्टार्टअप या लॉगऑन स्क्रिप्ट की आवश्यकता होती है।

मुझे एक शांत GPO मिला, लेकिन यह उपयोगकर्ताओं पर लागू होता है, मैं चाहता हूं कि यह कंप्यूटरों पर लागू हो!

हाँ मुझे पता है। मैं वहाँ गया था। यह विशेष रूप से अकादमिक लैब या अन्य साझा कंप्यूटर परिदृश्यों में प्रचलित है, जहां आप प्रिंटर या इसी तरह के संसाधनों के लिए उपयोगकर्ता की कुछ नीतियां कंप्यूटर पर आधारित होना चाहते हैं, न कि उपयोगकर्ता। लगता है क्या, तुम भाग्य में हो! आप समूह नीति लूपबैक मोड के लिए GPO सेटिंग सक्षम करना चाहते हैं ।

आपका स्वागत है।

आपने कहा कि मैं इसका उपयोग सॉफ़्टवेयर स्थापित करने के लिए कर सकता हूँ, है ना?

हां, आप कर सकते हैं। हालांकि कुछ कैविएट हैं। सॉफ्टवेयर एमएसआई प्रारूप में होना चाहिए , और इसके लिए कोई भी संशोधन एमएसटी फ़ाइल में होना चाहिए । आप ORCA या किसी अन्य MSI संपादक जैसे सॉफ़्टवेयर के साथ MST बना सकते हैं । यदि आप एक परिवर्तन नहीं करते हैं, तो आपका अंतिम परिणाम चलने के समान होगाmsiexec /i <path to software> /q

सॉफ्टवेयर भी केवल स्टार्टअप पर स्थापित है, इसलिए यह सॉफ्टवेयर वितरित करने का बहुत तेज़ तरीका नहीं है, लेकिन यह मुफ़्त है। कम बजट वाले लैब वातावरण में, मैंने एक निर्धारित कार्य (GPO के माध्यम से) किया है जो हर लैब कंप्यूटर को आधी रात को एक यादृच्छिक 30 मिनट की ऑफसेट के साथ रीबूट करेगा। यह सुनिश्चित करेगा कि सॉफ्टवेयर उन प्रयोगशालाओं में अधिकतम एक दिन में आउट ऑफ डेट हो। फिर भी, SCCM , LANDesk , अल्टारिस , या कुछ और जैसे सॉफ्टवेयर जो ऑन-डिमांड आधार पर "पुश" सॉफ़्टवेयर को बेहतर कर सकते हैं।

इसे कितनी बार लगाया जाता है?

ग्राहक 30 मिनट के रैंडमाइजेशन के साथ हर 90 मिनट में अपनी ग्रुप पॉलिसी ऑब्जेक्ट्स को रिफ्रेश करते हैं। इसका मतलब है कि, डिफ़ॉल्ट रूप से, 120 मिनट तक प्रतीक्षा की जा सकती है। इसके अलावा, कुछ सेटिंग्स, जैसे ड्राइव मैपिंग, फ़ोल्डर पुनर्निर्देशन और फ़ाइल प्राथमिकताएं, केवल स्टार्टअप या लॉगऑन पर लागू होती हैं। समूह नीति दीर्घकालिक नियोजित प्रबंधन के लिए है, न कि त्वरित त्वरित-फिक्स स्थितियों के लिए।

डोमेन कंट्रोलर हर पांच मिनट में अपनी पॉलिसी को रिफ्रेश करते हैं।

समूह नीति वरीयताओं पर एक त्वरित टिप्पणी: यदि आप इन सेटिंग्स का उपयोग करना चाहते हैं, लेकिन Windows XP SP2 या Windows XP SP3 कार्यस्थान हैं, तो उन्हें पहले Windows XP (KB943729) के लिए समूह नीति वरीयता क्लाइंट साइड एक्सटेंशन स्थापित करने की आवश्यकता होगी ।

कंप्यूटर कंटेनर बनाम कंप्यूटर OU

सक्रिय निर्देशिका (AD) Computers containerमें डोमेन रूट के तहत एक डिफ़ॉल्ट है , जिसे अक्सर सक्रिय निर्देशिका संगठनात्मक इकाई (OU) के लिए गलत किया जाता है। यह वास्तव में एक है , और नहीं है । चूंकि यह वास्तव में एक OU नहीं है, इसलिए समूह नीतियां इस कंटेनर में मौजूद वस्तुओं पर लागू नहीं होती हैं। इस नियम के अपवाद समूह नीतियों पर लागू होते हैं । ये केवल नीतियों में वस्तुओं पर लागू हो जाएगा ।ContainerOUdomain levelComputers container

डिफ़ॉल्ट रूप से, कंप्यूटर ऑब्जेक्ट डोमेन में शामिल हो गए, जो पूर्व-मंचित नहीं हैं, पर जाएं Computers container।

इसलिए यदि आप सोच रहे हैं कि आपकी नीति क्यों लागू नहीं हो रही है, तो यह सुनिश्चित करने के लिए जांच करें कि प्रश्न में ऑब्जेक्ट सही है, AD में सही स्थान पर है।

जीपीओ को समर्थन

आप समूह नीति प्रबंधन कंसोल (GPMC) का उपयोग करके GPO का बैकअप ले सकते हैं।

1. समूह नीति प्रबंधन खोलें और Group Policy Objectsसमूह नीति ऑब्जेक्ट (GPO) वाले फ़ॉरेस्ट में डबल-क्लिक करें जिसे आप बैकअप लेना चाहते हैं।
2. किसी एकल GPO का बैकअप लेने के लिए, GPO पर राइट-क्लिक करें, और उसके बाद बैक अप क्लिक करें। डोमेन में सभी GPO का बैकअप लेने के लिए, राइट-क्लिक करें Group Policy Objectsऔर क्लिक करें Back Up All।
3. बैकअप समूह नीति ऑब्जेक्ट संवाद बॉक्स में, स्थान बॉक्स में, उस स्थान पर पथ दर्ज करें जिस पर आप GPO बैकअप (ओं) को संग्रहीत करना चाहते हैं, या ब्राउज़ पर क्लिक करें, उस फ़ोल्डर का पता लगाएं जिसमें आप GPO बैकअप संग्रहीत करना चाहते हैं ( s), और फिर ठीक पर क्लिक करें।
4. विवरण बॉक्स में, GPO (s) के लिए एक विवरण टाइप करें जिसे आप बैकअप लेना चाहते हैं और फिर क्लिक करें Backup। यदि आप कई GPO का बैकअप ले रहे हैं, तो विवरण उन सभी GPO पर लागू होगा, जिनका आप बैकअप लेते हैं।
5. ऑपरेशन पूरा होने के बाद, ठीक पर क्लिक करें।

समूह नीतियों का समर्थन करने के बारे में महान बात यह है कि इसमें अंतर्निहित संस्करण नियंत्रण है। मतलब, आप इस प्रक्रिया का कई बार उपयोग कर सकते हैं और यह नीतियों के बीच होने वाले परिवर्तनों पर नज़र रखेगा। फिर आप किसी नीति के विशिष्ट संस्करण को पुनर्स्थापित कर सकते हैं।

आप PowerShell स्क्रिप्ट को चलाने के लिए एक निर्धारित कार्य भी सेट कर सकते हैं जो बैकअप को स्वचालित करने के लिए Backup-GPO कमांड का उपयोग करता है ।

आप अभी भी बैकअप (एक पारंपरिक बैकअप विधि का उपयोग करके) उस फ़ोल्डर का बैकअप लेना चाहेंगे जिसे आप जीपीओ को बैकअप दे रहे हैं।

यहाँ एक साधारण पॉवर्सशेल स्क्रिप्ट की तलाश में है जिसे आप अपने GPO के बैकअप के लिए शेड्यूल्ड टास्क में जोड़ सकते हैं? MDOP पैक से AGPM नहीं है?

हेयर यू गो।

पहले एक सप्ताह के दिन के लिए एक घूर्णन दैनिक बैकअप करता है। आपको प्रत्येक फ़ोल्डर के लिए समय से पहले फ़ोल्डर पथ बनाने की आवश्यकता होगी (रविवार / सोमवार / आदि।) जब से मुझे पता चला है कि जब भी ये होते हैं तो प्रत्येक बार टेस्ट-आइटम और नए-आइटम के साथ सौदा करने के बाद मैंने नए-आइटम का उपयोग नहीं किया। दिन के बाद वास्तव में स्थिर फ़ोल्डर्स 1. आपको उस सर्वर पर उपलब्ध AD Powershell Modules की आवश्यकता होगी जिसे आप इसे चलाते हैं।

# GPOBackupScriptDayOfWeek.PS1
# This script Backup all GPOs and save it to a folder based on the day of the week
# It runs as an automated task on SERVER and we keep a one week rotation on disk


Import-Module grouppolicy 
$date = get-date
$dayofweek = $date.DayofWeek
#Remove current backup from the folder (to alleviate space issues down the road since it won't overwrite each time)
Remove-Item \\SERVER\GPO_Backup\$dayofweek\* -Recurse -Force
#Backup current GPOs to the folder
Backup-Gpo -All -Path \\SERVER\GPO_Backup\$dayofweek

यहाँ एक ही बात है, लेकिन इस बार यह एक मासिक के लिए है। फिर, जनवरी, फरवरी, आदि के रूप में समय से पहले फ़ोल्डर्स बनाएं।

# GPOBackupScript.PS1
# This script Backup all GPOs and save it to a folder each month on the first of the month
# It runs as an automated task on SERVER and we keep a one year rotation

Import-Module grouppolicy 
$month = get-date -Format MMMM
#Remove current backup from the folder (to alleviate space issues down the road since it won't overwrite each time)
Remove-Item \\SERVER\GPO_Backup\$month\* -Recurse -Force
#Backup current GPOs to the folder
Backup-Gpo -All -Path \\SERVER\GPO_Backup\$month