Windows 10, Group Policy

GPO

Policyer i Windows er funksjonalitet som lar deg endre aspekter ved systemkonfigurasjonen. I praksis er det et svært glorifisert og komplekst system for å flippe registerinnstillinger.

Et policyobjekt, vanligvis galt GPO (Group Policy Object), representeres som en fil i et binærformat med etternavnet .POL, og er en liste over registerinnstillinger som skal flippes. Microsoft har et Excel-dokument som dokumenterer hvilke GPOer som flipper hvilke registerbits.

GPOene kan komme fra forskjellige kilder, og systemet har masse glorifisering for å velge hvilken policy som skal gjelde, inkludert gjeldende brukers gruppemedlemskap, arv, filtrering og ordinær mengde Microsoft-kompleksitet. Vanligvis brukes GPOer i forbindelse med AD; GPOene legges på et magisk share på en domenekontroller (=\sysvol=), og hvilke GPOer som skal gjelde for hvilke maskiner (og brukere) ligger i LDAP. Maskinene velger hvilke GPOer de skal laste ned og slå på.

En GPO kan også være lokal, og kalles gjerne Local Computer Policy. Disse ligger i %systemroot%\system32\grouppolicy.

En Windows-installasjon blar gjennom GPOer og setter innstillingene periodisk, vanligvis hvert 90. minutt pluss/minus et tilfeldig intervall på 30 minutter. De kan også settes umiddelbart med kommandoen gpupdate (ev. gpupdate /force).

Endre GPOer

GPOer redigeres vanligvis kun på domenekontrollere (eller på klienter som har installert Remote Server Administration Tools for Windows 7), med verktøyet gpmc.msc. Dette verktøyet kan ikke redigere lokale GPOer, det hadde blitt altfor lett. Faktisk virker det ikke i det hele tatt uten en DC.

Lokaler GPOer kan redigeres med verktøyet gpedit.msc. I god Microsoft-stil har dette verkøyet tilgang til langt, langt færre innstillinger enn gpmc.msc, uvisst av hvilken årsak. Dog kan det importere såkalte ADM-filer, som er et tekstfilformat som beskriver registerinnstillinger gpedit.msc kan endre.

Merk at lokale GPOer overskrives av domene-GPOer, som påføres i rekkefølgen Site -> Domain > OU. For tiebreaking kan man spesifisere påført rekkefølge i GPMC. I utgangspunktet arves GPO-linker, men dette kan også blokkeres i GPMC. Og som en siste dasj kompleksitet kan man blokkere blokkeringer med "Enforce".

For å velge hvilke enheter en GPO skal linkes til, spesifiser først grovt hvem som skal få lov under Links, og filtrer deretter på grupper e.l. under Security Filtering. Førstnevnte steg OR-er, og sistnevnte steg AND-er. Videre kan man gjøre WMI-filtrering hvis man ønsker. Tenk deg nøye om hvis du bruker filtrering, for strukturen kan fort bli komplisert.

Se aktive GPOer

På en Windows-maskin kan du kjøre gpresult /V for å se aktive GPOer og deres innstillinger i kommandolinjen. Eventuelt kan du gjøre gpresult /H result.html og åpne filen i nettleser for en penere oversikt.

Et nyere og hippere verktøy for å gjøre det samme er Resulting Set Of Policy, som du finner ved å kjøre mmc.exe før Fil > Legg til eller fjern snapin-modul > Resulterende policysett.

Hvordan Windows påfører GPO-innstilinger

Windows bruker synkron og asynkron prosessering for å påføre GPO-instillinger. Synkron prosessering skjer når noen skrur på maskinen eller logger på, og krever at brukeren venter mens GPOene påføres. Dette skjer bare hvis GPOen omfatter oppstarts-/påloggingsskript, Folder Redirection og noen andre spesialtilfeller. Asynkron prosessering skjer til alle andre tider og foregår i bakgrunnen når en bruker er innlogget. Samtidig som asynkron prosessering skjer sjekkes det etter endringer som krever synkron prosessering, og det lages en kø for dette. Neste gang en bruker logger ut e.l. vil man så synkronprosessere relevante GPOer. Dette er årsaken til at man noen ganger må støvle maskinen én eller flere ganger for å påføre et sett GPOer.

Det er to steg for å hente informasjon om nye GPOer fra DCen. Først endrer DCen på GPT-filene i SYSVOL. Deretter, hver 90. minutt + opptil 30 minutter offset sjekker klienter om det har kommet nye GPO-objekter og påfører disse. En GPO defineres som ny hvis versjonnummeret er bumpet. Eventuelt kan man hente inn siste GPOer til maskinen man er på nå med gpupdate /force.

Når en GPO skal kalles den relevante CSEen som faktisk utfører de ønskede endringene.

Begreper

Site: En site er hele AD-miljøet på toppnivå.

Domain: Et domain er AD-miljøet tilknyttet et bestemt domene. Vi har bare ett domene, ad.samfundet.no.

Organizational Unit: En OU er en gruppering av datamaskiner, brukere og OUer.

Group Policy Object: En pakke Windows-instillinger.

Group Policy Container: Et metadataobjekt som beskriver GPOen eksistens. GPCen er toppnivåobjektet som AD forholder seg til, uavhengig av GPOens innhold.

Group Policy Template: Selve innholdet til GPOen. GPTer ligger som filer i \\ad.samfundet.no\sysvol\ad.samfundet.no\Policies

SYSVOL: En nettverksshare som inneholder de faktiske GPT-filene.

Windows Management Instrumentation: WMI-filtrering brukes for å påføre GPOer på enheter med bestemte karakteristikker, f.eks. operativsystemversjon.

Client Side Extensions: En CSE er en fil, gjerne en .dll, som kan tolke og prosessere GPOer. Det er disse som faktisk gjør endringer på maskinen din.

Folder Redirection: Mapping fra lokal filbane til nettverksplassering.

Domain Controller: DCen er tjeneren som kjører hele AD-toget. Hos oss er dette voff.

Administrative Template: ADMX-filer er XML-filer som brukes for å redigere GPO-objektene.

Nyttige lenker

En fin innføring i GPOer: Del 1, Del 2, Del 3.

Lenker: Start