zasady grupy to hierarchiczna infrastruktura, która umożliwia administratorowi sieci odpowiedzialnemu za Active Directory firmy Microsoft wdrażanie określonych konfiguracji dla użytkowników i komputerów. Zasady grupy to przede wszystkim narzędzie zabezpieczające i może być używane do stosowania ustawień zabezpieczeń dla użytkowników i komputerów. Zasady grupy umożliwiają administratorom definiowanie zasad bezpieczeństwa dla użytkowników i komputerów. Zasady te, określane zbiorczo jako obiekty zasad grupy (GPO), opierają się na zbiorze indywidualnych ustawień zasad grupy. Obiekty zasad grupy są administrowane z centralnego interfejsu zwanego konsolą zarządzania zasadami grupy. Zasadami grupy można również zarządzać za pomocą narzędzi interfejsu wiersza poleceń, takich jak gpresult i gpupdate.
hierarchia zasad grupy
obiekty zasad grupy są stosowane w sposób hierarchiczny i często wiele obiektów zasad grupy jest łączonych w celu utworzenia skutecznej Zasady. Najpierw stosowane są lokalne obiekty zasad grupy, a następnie obiekty zasad grupy na poziomie witryny, domeny i jednostki organizacyjnej.
rozszerzalność zasad grupy
natywny zbiór ustawień zasad grupy dotyczy wyłącznie systemu operacyjnego Windows. Administrator może na przykład użyć tych natywnych ustawień zasad grupy, aby wymusić minimalną długość hasła, ukryć Panel sterowania systemu Windows przed użytkownikami lub wymusić instalację poprawek zabezpieczeń. Zasady grupy zostały jednak zaprojektowane tak, aby można je było rozszerzać za pomocą szablonów administracyjnych. Te Szablony administracyjne umożliwiają konfigurację różnych aplikacji za pomocą ustawień zasad grupy. Jednym z najbardziej znanych przykładów jest zbiór szablonów administracyjnych dla pakietu Microsoft Office.
Szablony administracyjne składają się z dwóch komponentów. Plik ADMX to plik XML zawierający wszystkie ustawienia zasad grupy, które są powiązane z szablonem. Odpowiedni plik ADML działa jako plik językowy, który umożliwia wyświetlanie ustawień zasad grupy w wybranym języku administratora.
Local vs. scentralizowane zasady grupy
obiekty zasad grupy mogą być stosowane lokalnie na komputerze z systemem Windows za pośrednictwem własnego systemu operacyjnego lub obiekty zasad grupy mogą być stosowane za pośrednictwem usługi Active Directory. Zasady grupy lokalnej umożliwiają stosowanie ustawień zabezpieczeń na komputerach autonomicznych lub komputerach zarządzanych przez kontroler domeny, ale tych ustawień zasad nie można centralnie zarządzać. Natomiast obiekty zasad grupy oparte na usłudze Active Directory mogą być centralnie zarządzane, ale są one realizowane tylko wtedy, gdy użytkownik loguje się z komputera dołączonego do domeny.
wiele organizacji używa kombinacji obiektów zasad grupy local I Active Directory. Lokalne ustawienia zasad zapewniają bezpieczeństwo, gdy użytkownik nie jest zalogowany do domeny, a obiekty zasad grupy Active Directory są stosowane po zalogowaniu się użytkownika.