Ryhmäkäytäntö on hierarkkinen infrastruktuuri, jonka avulla Microsoftin Active Directorysta vastaava verkon ylläpitäjä voi toteuttaa tiettyjä konfiguraatioita käyttäjille ja tietokoneille. Ryhmäkäytäntö on ensisijaisesti tietoturvatyökalu, ja sitä voidaan käyttää tietoturva-asetusten soveltamiseen käyttäjille ja tietokoneille. Ryhmäkäytännön avulla järjestelmänvalvojat voivat määritellä käyttäjien ja tietokoneiden suojauskäytännöt. Nämä käytännöt, joita kutsutaan yhteisesti Ryhmäkäytäntöobjekteiksi, perustuvat yksittäisten Ryhmäkäytäntöasetusten kokoelmaan. Ryhmäkäytäntöobjekteja hallinnoidaan keskitetystä käyttöliittymästä, jota kutsutaan ryhmäkäytäntöjen Hallintakonsoliksi. Ryhmäkäytäntöä voidaan hallita myös komentoriviliitäntätyökaluilla, kuten gpresult ja gpupdate.
Ryhmäkäytäntöhierarkiaa
ryhmäkäytäntöobjekteja sovelletaan hierarkkisesti, ja usein useita ryhmäkäytäntöobjekteja yhdistetään keskenään tehokkaan käytännön muodostamiseksi. Ensin sovelletaan paikallisia ryhmäkäytäntöobjekteja, sitten site level -, domain level-ja organizational unit level-ryhmäkäytäntöobjekteja.
ryhmäkäytäntöjen laajennettavuus
Ryhmäkäytäntöasetusten alkuperäinen kokoelma koskee yksinomaan Windows-käyttöjärjestelmää. Järjestelmänvalvoja saattaa esimerkiksi käyttää näitä natiivi-ryhmäkäytäntöasetuksia salasanan vähimmäispituuden määrittämiseen, Windowsin Ohjauspaneelin piilottamiseen käyttäjiltä tai suojauskorjausten asentamiseen. Ryhmäkäytäntö on kuitenkin suunniteltu laajennettavaksi käyttämällä hallinnollisia malleja. Nämä Hallintamallit mahdollistavat erilaisten sovellusten määrittämisen Ryhmäkäytäntöasetusten avulla. Yksi tunnetuimmista esimerkeistä on Microsoft Officen hallintamallien kerääminen.
hallinnolliset taulukot koostuvat kahdesta osasta. ADMX-tiedosto on XML-tiedosto, joka sisältää kaikki malliin liittyvät ryhmäkäytäntöasetukset. Vastaava ADML-tiedosto toimii kielitiedostona, jonka avulla ryhmäkäytäntöasetukset voidaan näyttää järjestelmänvalvojan valitsemalla kielellä.
paikallinen vs. keskitetty Ryhmäkäytäntö
ryhmäkäytäntöobjekteja voidaan soveltaa paikallisesti Windows-tietokoneeseen sen oman käyttöjärjestelmän kautta, tai ryhmäkäytäntöobjekteja voidaan soveltaa Active Directoryn kautta. Paikalliset ryhmäkäytännöt mahdollistavat suojausasetusten soveltamisen joko erillisiin tietokoneisiin tai toimialueen ohjaimen hallinnoimiin tietokoneisiin, mutta näitä käytäntöasetuksia ei voida hallita keskitetysti. Vastaavasti Active Directory-pohjaisia ryhmäkäytäntöobjekteja voidaan hallita keskitetysti, mutta ne toteutetaan vain, jos käyttäjä on kirjautumassa sisään toimialueeseen liitetystä tietokoneesta.
monet organisaatiot käyttävät paikallisten ja Active Directory-ryhmäkäytäntöobjektien yhdistelmää. Paikalliset käytäntöasetukset tarjoavat turvallisuuden silloin, kun käyttäjä ei ole kirjautunut verkkotunnukseen, kun taas Active Directory-Ryhmäkäytäntöobjektit ovat käytössä, kun käyttäjä on kirjautunut sisään.