gruppepolitik er en hierarkisk infrastruktur, der gør det muligt for en netværksadministrator med ansvar for Microsofts Active Directory at implementere specifikke konfigurationer for brugere og computere. Gruppepolitik er primært et sikkerhedsværktøj og kan bruges til at anvende sikkerhedsindstillinger på brugere og computere. Gruppepolitik giver administratorer mulighed for at definere sikkerhedspolitikker for brugere og computere. Disse politikker, der samlet kaldes gruppepolitiske objekter (Gpo ‘ er), er baseret på en samling af individuelle gruppepolitiske indstillinger. Gruppepolitiske objekter administreres fra en central grænseflade kaldet Group Policy Management Console. Gruppepolitik kan også styres med kommandolinjegrænsefladeværktøjer som gpresult og gpupdate.
Gruppepolitikhierarkiet
Gruppepolitikobjekter anvendes på en hierarkisk måde, og ofte kombineres flere Gruppepolitikobjekter sammen for at danne den effektive politik. Lokale gruppepolitiske objekter anvendes først efterfulgt af stedniveau, domæneniveau og gruppepolitiske objekter på organisationsniveau.
udvidelse af Gruppepolitik
den oprindelige samling af gruppepolitiske indstillinger vedrører udelukkende operativsystemet. En administrator kan f.eks. bruge disse indstillinger for gruppepolitik til at håndhæve en minimum adgangskodelængde, skjule kontrolpanelet for brugere eller tvinge installationen af sikkerhedsrettelser. Gruppepolitikken er dog designet til at kunne udvides ved hjælp af administrative skabeloner. Disse administrative skabeloner gør det muligt at konfigurere forskellige applikationer gennem gruppepolitiske indstillinger. Et af de mest kendte eksempler på dette er samlingen af administrative skabeloner til Microsoft Office.
Administrative skabeloner består af to komponenter. En adm-fil er en ADML-fil, der indeholder alle de gruppepolitiske indstillinger, der er knyttet til skabelonen. En tilsvarende ADML-fil fungerer som en sprogfil, der gør det muligt at vise indstillingerne for gruppepolitik på administratorens valgte sprog.
lokal vs. centraliseret Gruppepolitik
gruppepolitiske objekter kan anvendes lokalt på en computer via sit eget operativsystem, eller gruppepolitiske objekter kan anvendes via Active Directory. Lokale gruppepolitikker gør det muligt at anvende sikkerhedsindstillinger på enten enkeltstående computere eller computere, der administreres af en domænecontroller, men disse politikindstillinger kan ikke administreres centralt. Omvendt kan Active Directory-baserede gruppepolitiske objekter styres centralt, men de implementeres kun, hvis en bruger logger ind fra en computer, der er tilsluttet domænet.
mange organisationer bruger en kombination af lokale og Active Directory gruppepolitiske objekter. De lokale politikindstillinger giver sikkerhed, når brugeren ikke er logget ind på et domæne, mens Active Directory Group Policy objects gælder, når brugeren er logget ind.