לדלג לתוכן

מדיניות קבוצתית - Group Policy מוסברת

תארו לעצמכם ארגון עם אלפי עובדים, כל אחד עם מחשב ווינדוס משלו. איך מוודאים שלכולם יש אותה מדיניות סיסמאות, שאף אחד לא יכול להתקין תוכנה בלי אישור, ושרקע שולחן העבודה תואם למותג החברה? התשובה, ברוב הארגונים שרצים על ווינדוס, היא מדיניות קבוצתית - Group Policy.

מה זו בעצם מדיניות קבוצתית

Group Policy הוא מנגנון שמאפשר להגדיר הגדרות למחשבים ומשתמשים ממקום מרכזי אחד, ולאכוף אותן אוטומטית על כל מכשיר שמצטרף לדומיין הארגוני. במקום שמנהל מערכות יעבור פיזית מחשב למחשב ויגדיר כל דבר ידנית, הוא מגדיר פעם אחת, וההגדרה מתפשטת אוטומטית לכל המחשבים הרלוונטיים.

זה נבנה מעל Active Directory, ומסתמך על המבנה ההיררכי שלו - יחידות ארגוניות, קבוצות, ומשתמשים - כדי לקבוע בדיוק למי ההגדרה חלה.

GPO - יחידת הבנייה הבסיסית

כל הגדרה או קבוצת הגדרות מרוכזת באובייקט שנקרא GPO, ראשי תיבות של Group Policy Object. GPO אחד יכול להכיל עשרות הגדרות שונות - החל מדרישת אורך מינימלי לסיסמה, ועד חסימת גישה ל-Control Panel, קביעת אפליקציות שמותקנות אוטומטית, או הגדרת גדלי מכסת דיסק.

כשGPO מוגדר, הוא מקושר ליחידה ארגונית מסוימת ב-Active Directory - למשל לתיקייה שמכילה את כל המחשבים של מחלקת הכספים, כך שההגדרות בו יחולו רק על המחשבים או המשתמשים שנמצאים באותה יחידה, ולא על כל הארגון.

שני סוגי הגדרות - Computer ו-User

כל GPO מחולק לשני חלקים עיקריים:

  • Computer Configuration - הגדרות שחלות על המכשיר עצמו, ללא תלות במי שמתחבר אליו. למשל הגדרות אבטחת רשת, שירותים שרצים אוטומטית, או מדיניות עדכונים.
  • User Configuration - הגדרות שחלות על משתמש ספציפי, ללא תלות באיזה מחשב הוא מתחבר. למשל רקע שולחן עבודה, קיצורי דרך, או תפריטים חסומים.

ההפרדה הזו חשובה מאוד, כי היא מאפשרת לקבוע בדיוק מה תלוי במכשיר ומה תלוי במשתמש - עובד שמתחבר ממחשבים שונים באותו יום עדיין יקבל את אותן הגדרות משתמש, בלי קשר למחשב הפיזי שבו הוא נמצא.

סדר עדיפויות - כשכמה מדיניות מתנגשות

מכיוון שאפשר להגדיר GPO ברמות שונות - ברמת הדומיין כולו, ברמת אתר פיזי, וברמת יחידה ארגונית ספציפית - יכולים להיווצר מקרים שבהם כמה GPO מנוגדים חלים על אותו משתמש או מחשב בו זמנית. Windows פותר את זה לפי סדר עדיפויות קבוע, כשככלל, ההגדרה שהכי "קרובה" ליעד - כלומר מוגדרת ביחידה הארגונית הספציפית ביותר - גוברת על הגדרות כלליות יותר. מנהל מערכות יכול גם לחסום דריסה מפורשת, כדי לוודא שהגדרה קריטית אף פעם לא תישלל בטעות ברמה נמוכה יותר.

הכלי הראשי - gpmc

Group Policy Management Console, בקיצור gpmc, הוא הממשק הגרפי שדרכו מנהלי מערכות יוצרים ועורכים GPO, מקשרים אותם ליחידות ארגוניות, ובודקים איזה GPO חל בסופו של דבר על משתמש או מחשב מסוים. הכלי gpresult- שרץ על מחשב יעד יכול להראות בדיוק אילו GPO השפיעו עליו, שימושי מאוד כשמנסים להבין למה הגדרה מסוימת לא נכנסה לתוקף כמצופה.

לסיכום

Group Policy הוא הכלי המרכזי שהופך ניהול אלפי מחשבי ווינדוס בארגון מעבודה בלתי אפשרית לתהליך מסודר וניתן לחיזוי. הוא נשען על מבנה Active Directory, ומאפשר לאכוף מדיניות אחידה ברמת אבטחה, תפעול ומראה, בלי צורך לגעת פיזית באף מחשב.

רוצים להעמיק עוד בניהול מערכות ווינדוס ובAD? יש לנו קורס ווינדוס בסיסי מלא בחינם שבונה את הידע הזה שלב אחרי שלב.

יש לכם שאלה על Group Policy או ניהול דומיין? בואו לדבר בדיסקורד.

הצטרפו לקהילה בדיסקורד