Politica de Grup
Politica de grup este o caracteristică a familiei de Sisteme de Operare Microsoft Windows NT care controleaza mediul de lucru de conturi de utilizator și a conturilor de calculator. Politica de grup prevede gestionarea centralizată și configurarea sistemelor de operare, aplicații, și setările utilizatorilor într-un mediu Active Directory.
Politica de grup controleaza in parte ceea ce utilizatorii pot și nu pot face pe un sistem informatic, de exemplu: să pună în aplicare o politică de complexitate pentru parolă care împiedică utilizatorii să aleagă o parolă prea simpla, pentru a permite sau a împiedica utilizatorii neidentificati sa se conecteze de la computerele de la distanță la o partajare de rețea, pentru a bloca accesul la Task Manager pentru Windows sau pentru a restricționa accesul la anumite foldere. Un set de astfel de configurații se numește Obiectul Politică de Grup (GPO).
Ca parte a tehnologiilor Microsoft IntelliMirror, Group Policy vizează reducerea costurilor de susținere a utilizatorilor. Tehnologia IntelliMirror se referă la gestionarea de mașini deconectate sau de utilizatori roaming si include serviciile de roaming profile de utilizator, redirecționare dosar, și fișiere offline.
Executoriu
Pentru a realiza obiectivul de conducere centrală a unui grup de computere, mașinile ar trebui să primească și să aplice GPO. Un PG aflat pe o singură mașină se aplică numai la acel computer. Pentru a aplica un GPO la un grup de calculatoare, Politica de grup se bazează pe Active Directory (sau produse ale terților, cum ar fi ZENworks Desktop Management) pentru distribuție. Active Directory poate distribui GPO la computere care fac parte dintr-un domeniu Windows.
În mod implicit, Microsoft Windows isi reîmprospătează setările sale de politica la fiecare 90 de minute. Pe controlerele de domeniu , Microsoft Windows face acest lucru la fiecare cinci minute. În timpul reîmprospătarii, se descoperă, se preiau și aplică toate GPO care se aplică în mașină și autentificate de utilizator. Unele setări, cum ar fi mapările, instalarea automata de software, script-uri, scripturi de pornire sau de logare sunt aplicate numai în timpul pornirii sau conectarii utilizatorului. Începând cu Windows XP, un refresh al politicii de grup poate fi inițiată de manual de utilizator folosind comanda gpupdate de de la un prompter de comandă.
Obiectele politicii de grup sunt procesate în următoarea ordine (de sus în jos):
Locale – Orice setări din politica computerului local. Înainte de Windows Vista, a fost doar politica grupului local stocat pe calculator. Windows Vista și versiunile ulterioare de Windows permite politicile individuale de grup pe conturile de utilizator.
Site-ul – orice politici de grup asociate cu Active Directory site-ul în care calculatorul are reședința. (Un site Active Directory este o grupare logică de calculatoare care are menirea de a facilita gestionarea de computere bazate pe proximitatea lor fizică). Dacă mai multe politici sunt legate de un site, acestea sunt procesate în ordinea stabilită de către administrator.
Domeniu – Orice politica de grup asociata cu domeniu Windows , în care calculatorul are reședința. Dacă mai multe politici sunt legate de un domeniu, acestea sunt procesate în ordinea stabilită de către administrator.
Unitatea organizațională ((OU)- Politica de grup atribuita unei unitati organizaționale Active Directory în care computerul sau utilizatorul sunt plasate. (OU sunt unități logice care ajuta la organizarea și gestionarea unui grup de utilizatori, computere sau alte obiecte Active Directory.) Dacă mai multe politici sunt legate de un OU, acestea sunt procesate în ordinea stabilită de către administrator.
Succesorale
O setare de politică în interiorul unei structuri ierarhice este de obicei transmisa de la parinte la copii, precum și de la copii la nepoți, și așa mai departe. Acest lucru este numit moștenire. Acesta poate fi blocat sau executat pentru a controla ce politici sunt aplicate la fiecare nivel. Dacă un administrator de nivel superior (Enterprise Administrator) creează o politică care are moștenire blocarea de un administrator de nivel inferior (de administrator de domeniu), această politică va fi prelucrata în continuare.
În cazul în care se seteaza o politică de grup preferențiala și există, de asemenea si un echivalent de politică de grup predefinita, atunci valoarea politicii de grup setate va avea prioritate.
Filtrare
Filtrarea WMI este procesul de personalizare a domeniului de aplicare al PG prin alegerea unui Instrument de Management al Windowsului (WMI). Aceste filtre permit administratorilor să aplice numai pentru PG, de exemplu, calculatoare de anumite modele specificate,memoria RAM instalata software-ul existent, disponibil prin intermediul interogări WMI.
Politica de Grup Locala
Politica de Grup Locala (LGP) este o versiune mai de bază a politicii de grup utilizate de Active Directory. Înainte de Windows Vista, LGP putea impune un GPO pentru un singur computer local, dar nu a putut face politicile pentru utilizatori individuali sau grupuri. Windows Vista permite setarea de politică de grup local pentru utilizatorii individuali. LGP poate fi aplicat la un calculator pe un domeniu, și poate fi utilizat pe Windows XP Home Edition.
Consola de Management al Politicii de Grup
Inițial, politicile de grup puteau fi modificate cu ajutorul instrumentului Group Policy Edit, care a fost integrat cu Active Directory Users and Computers Microsoft Management Console (MMC), dar mai târziu a fost împărțit într-un MMC separat numit Group Policy Management Console (GPMC). GPMC este acum o componentă de utilizare în Windows Server 2008 și Windows Server 2008 R2 și este furnizat pentru descărcare, ca parte a Tools Remote Server Administration pentru Windows Vista și Windows 7 .
Politica avansata de Management al Grupului
Microsoft a lansat, de asemenea, un instrument pentru a face modificări în politica de grup, numite Advanced Policy Management Group (sau AGPM). Acest lucru este valabil pentru orice organizație care detine si instrumentul Microsoft Desktop Optimization Pack (sau MDOP). Acest instrument avansat permite administratorilor de a avea un control in / out asupra procesului de modificare al obiectelor politica de grup, pentru a urmări modificările la obiecte de politică de grup, precum și punerea în aplicare a fluxurilor de lucru de aprobare pentru modificările la obiectele de politică de grup.
Pentru a utiliza acest program trebuie să licențiați toți clienții dvs. Windows Active Directory pentru MDOP.
AGPM se compune din două părți – server si client. Serverul este un serviciu Windows care stochează obiectele politicii de grup într-o arhivă ce se află pe același computer sau o partajare de rețea. Clientul este un snap-in pentru Management Group Policy Console, și se conectează la serverul AGPM. Configurarea clientului se realizează prin politica de grup.
Securitate
Setările de politică de grup sunt puse în aplicare în mod voluntar de către aplicațiile vizate. În multe cazuri, aceasta pur și simplu constă în a dezactiva interfața cu utilizatorul pentru o anumită funcție, fără a dezactiva la un nivel inferior mijloacele de acces la aceasta.
Alternativ, un utilizator răuvoitor poate modifica sau poate interfera cu aplicația în așa fel încât să nu poată citi cu succes setările politicii de grup, rezulta astfel, implicit un potential ridicat al nivelului de securitate.
Windows 8 Optimizări
Windows 8 a introdus o nouă caracteristică, denumită Actualizarea Politicii de Grup. Această caracteristică permite unui administrator sa forteze o actualizare a politica de grup pe toate computerele cu conturi într-o unitate organizațională speciala. Această actualizare creează o activitate programată pe computer și se va desfășura prin comanda gpupdate în termen de 10 minutepentru a nu încărca controlerul de domeniu.