Zásady skupiny jsou hierarchická infrastruktura, která umožňuje správci sítě odpovědnému za službu Microsoft Active Directory implementovat konkrétní konfigurace pro uživatele a počítače. Zásady skupiny jsou primárně bezpečnostním nástrojem a lze je použít k použití nastavení zabezpečení pro uživatele a počítače. Zásady skupiny umožňují správcům definovat zásady zabezpečení pro uživatele a počítače. Tyto zásady, které jsou souhrnně označovány jako objekty zásad skupiny (GPO), jsou založeny na souboru nastavení jednotlivých zásad skupiny. Objekty zásad skupiny jsou spravovány z centrálního rozhraní nazývaného konzola pro správu zásad skupiny. Zásady skupiny lze také spravovat pomocí nástrojů rozhraní příkazového řádku, jako jsou gpresult a gpupdate.
hierarchie zásad skupiny
objekty zásad skupiny jsou aplikovány hierarchickým způsobem a často je více objektů zásad skupiny spojeno dohromady, aby vytvořily efektivní politiku. Nejprve se použijí objekty zásad místní skupiny, následované objekty zásad skupiny na úrovni webu, na úrovni domény a na úrovni organizační jednotky.
rozšiřitelnost zásad skupiny
nativní kolekce nastavení zásad skupiny se týká výhradně operačního systému Windows. Správce může například použít tato nativní nastavení zásad skupiny k vynucení minimální délky hesla, skrytí ovládacího panelu systému Windows před uživateli nebo vynutit instalaci bezpečnostních záplat. Zásady skupiny jsou však navrženy tak, aby byly rozšiřitelné pomocí šablon pro správu. Tyto šablony pro správu umožňují konfigurovat různé aplikace pomocí nastavení zásad skupiny. Jedním z nejznámějších příkladů je sbírka šablon pro správu pro Microsoft Office.
šablony pro správu se skládají ze dvou komponent. Soubor ADMX je soubor XML obsahující všechna nastavení zásad skupiny, která jsou spojena se šablonou. Odpovídající soubor ADML funguje jako jazykový soubor, který umožňuje zobrazení nastavení zásad skupiny ve zvoleném jazyce Správce.
místní vs. centralizované Zásady skupiny
objekty zásad skupiny lze lokálně aplikovat na počítač se systémem Windows prostřednictvím vlastního operačního systému nebo objekty zásad skupiny lze použít prostřednictvím služby Active Directory. Zásady místní skupiny umožňují použití nastavení zabezpečení na samostatných počítačích nebo počítačích spravovaných řadičem domény, ale tato nastavení zásad nelze centrálně spravovat. Naopak objekty zásad skupiny založené na službě Active Directory mohou být centrálně spravovány, ale jsou implementovány pouze v případě, že se uživatel přihlašuje z počítače připojeného k doméně.
mnoho organizací používá kombinaci místních a objektů zásad skupiny Active Directory. Nastavení místních zásad poskytuje zabezpečení, pokud uživatel není přihlášen do domény, zatímco objekty zásad skupiny Active Directory platí, jakmile se uživatel přihlásí.