Fig.1 Hiërarchie van Group Policy en Active Directory

Group policy objecten kunnen worden toegepast op site, domein en organisational units. De volgorde van toepassing van deze policies volgt de Active Directory standaarden. Eerst sites, dan domeinen en dan organisational unit. Een group policy kan aan meerdere AD containers gekoppeld worden, of meerdere containers aan één OU.

Fig. 2 Creëeren van een Organisational Unit

Allereerst maken we een Organisational Unit, waar later alle computers en/of gebruikers in komen waar we een policy op willen toepassen.
Als we deze organisational unit hebben gemaakt moeten we hier de eigenschappen opvragen om zo bij het tabblad Group Policy te komen.

Fig.3 OU Group Policy Properties

In het Group Policy tabblad kunnen we New kiezen om een policy te creëren. We hoeven in eerste instantie alleen een naam op te geven. Ook kunnen we Add kiezen om een reeds gemaakte policy op deze OU toe te passen. Er kunnen meerdere policies per OU worden toegepast. Indien er een discontinuïteit wordt gevonden, geldt de bovenste policy.
Indien we edit kiezen kunnen we de policy aanpassen. De properties geven ons de datum van creatie, modificatie datum, revisies, unieke naam (domein DNS naam) en de mogelijkheid tot het uitzetten van de User of Computer instellingen binnen deze policy. Tevens is er de mogelijkheid de beveiliging aan te passen om zo andere beheerders toegang te geven tot het wijzigen van de policy.
Maar er kan nog meer met deze beveiliging. Zo kunnen alle gebruikers in een OU een policy toegewezen krijgen, maar zou men eigenlijk op één groep deze policy niet willen toepassen. Nu kunnen deze gebruikers in een apparte OU gezet worden, maar een makkelijkere methode is om via de security een deny recht te geven op Apply Group Policy. Nu wordt de betreffende policy niet toegepast op deze groep, gebruiker of computer.

Fig.4 Beveiliging op een Policy

Via options kunnen we de policy uitzetten voor deze container. Dit houdt in dat alleen binnen deze OU en de OU’s binnen de OU de policy uitgezet wordt. Indien de policy ook op andere OU’s staat zal deze binnen die andere OU’s wel gelden. Indien men een policy tijdelijk geheel wil uitschakelen kan dit via de security of dmv de eigenschappen van de policy.
Ook kan men ervoor zorgen dat de instellingen in de policy niet worden overschreven door een andere policy. Dit kan via de No Overide optie. Indien meerdere policies een no overide optie hebben binnen dezelfde OU of AD container zal de hoogste policy als enige worden toegepast.

Fig.5 Group policy instellen

Indien we voor edit kiezen kunnen we de group policy instellen. We zien twee containers, Computer configuration en User configuration. Bepaalde zaken kunnen dus of op computer of op user basis ingesteld worden.
Onder deze hoofd containers zien we een x aantal subcontainers. Omdat er dermate veel opties zijn zal ik deze hier niet bespreken. Onderaan dit document staat een link met alle opties die ingesteld zouden kunnen worden.
Via Software Settings kunnen MSI bestanden aan gebruikers of computers gekoppeld worden, hetgeen een software distributie methode mogelijk maakt. Zie het document MSI pakketten met Veritas WinstallLE voor meer informatie hierover.
Verder kunnen de beveiliging van computers regelen. Het instellen van een registry key kan veel werk besparen. Ook kunnen instellingen op bepaalde bestanden of folders gewijzigd worden vanuit het domein. Het voordeel van deze instellingen is dat deze altijd de lokale instellingen van een computer overschrijven tenzij dit expliciet is aangegeven bij een client.
De meeste instellingen kennen 3 waardes, enabled disabled of not defined. Indien not defined wordt ingesteld zal de default waarde binnen de client gelden tenzij de een lagere policy deze waarde weer overschrijft.


Fig.6 Extra templates invoegen

Indien men een programma zoals bijvoorbeeld Office wil instellen kan men ook gebruik maken van Group Policies. Het invoegen van een template is voldoende. Een template heeft de sleutels die mogelijkerwijs ingesteld kunnen worden. Templates kunnen alleen via Administrative Templates ingevoerd worden. Indien men met de rechtermuis knop op Administrative Templates klikt, kan Add Remove Templates gekozen worden. Daarna komt een overzicht van de huidige templates binnen de policy en kunnen deze eventueel verwijderd worden. Indien men Add kiest kan een extra template geïmporteerd worden.


Fig.7 Templates importeren

Fig.8 DC kiezen

Bij grote omgevingen kan het zijn dat twee beheerders een policy aan het editten zijn en dat er een corrupte policy ontstaat. Binnen Windows 2000 wordt de Group Policy console standaard op de Operations Manager (PDC emulator) gezet. Het is mogelijk deze instelling te wijzigen. Dit kan handig zijn wanneer een beheerder via een dial-up of langzame link verbonden is met het domein.

Fig.9 DC kiezen (deel 2)

Beheerders kunnen deze instelling ook weer in een group policy vastleggen. Dit kan bij: User Configuration\Administrative Templates\System\Group Policy

Uiteraard zijn er voor group policies ook tools meegeleverd.

GpolMig.exe (Windows 2000 support tools)
Een tool om policies die gemaakt zijn met NTPOLEDIT te migreren naar Windows 2000 group policies.

*De volgende tools worden met de Windows 2000 Resourcekit geleverd

GPResult.exe
Een tool om te zien welke policies er op een werkstation zijn doorgevoerd. Evenals instellingen die nog worden doorgevoerd.

GPOTool.exe
Een tool om command line opties in te stellen, zoals creeren en verwijderen van Group Policies evenals het controleren van replicatie van de Group Policies in de GPO/SYSVOL volumes.

Floplock.exe
Een tool om floppydrives te locken behalve voor Administrators en Power Users. (Dit kan tevens met een Group Policy instelling )

Runapp.exe
Dit tooltje kan een applicatie starten en indien de applicatie wordt afgesloten wederom herstarten. Handig in Kiosk omgevingen.

Fig.10 GPResult

Fig.11 GPOTool

Meer info:
http://www.microsoft.com/windows2000/techinfo/howitworks/management/grouppolicyintro.asp

http://msdn.microsoft.com/library/en-us/gp/gpref.asp