Ce trebuie sa stim despre Group Policy.
M-am gandit sa scriu acest post pentru ca de multe ori cand pun intrebari legate de GPO la interviuri primesc tot felul de raspunsuri (gresite bineinteles) sau cateodata cand primesc raspunsul correct, e dat la nimereala. Mai rau e ca atunci cand incep sa le explic ce si cum functioneaza GP sunt contrazis J
Nu le stiu eu pe toate (nici macar despre GPO) dar pot sa va explic cateva lucruri fundamentale care trebuie retinute despre GPO.
1. GPO-urile sunt stocate in SYSVOL (replicat pe fiecare DC). In AD exista doar un link catre GPO. Toate setarile se afla in adm-ul din SYSVOL.
2. GPO-urile nu sunt impinse de catre domain controller. Clientul citeste si aplica GPO-urile stocate in AD (aici revenim la problema cu Adminul local pe statii – daca e admin pe statie gaseste el ceva sa fenteze GPO-ul).
3. Ordinea de aplicare este urmatoarea:
- Local Policy
- Site Policy
- Domain Policy
- OUs Policy (in functie de ierarhia de OU-uri din AD, GPO-ul de pe ultimul OU din ierarhie si aplica ultimul – probabil OU-ul in care se afla userul sau computer accountul). Exista ceva metode de a influenta putin ordinea dar vorbim mai tarziu.
In caz de conflict de setari intre GPO-uri se aplica setarile din ultimul GPO aplicat (adica suprascrie ce s-a aplicat inainte)
4. GPO-urile nu se aplica pe grupuri.
5. La nivel de OU se poate seta optiunea Block Policy Inheritance. E utila atunci cand vrem sa blocam aplicarea GPO-urilor legate la nivelele de mai sus (OU, domeniu, site).
6. La nivel de GPO putem seta No Override (e acelasi lucru cu Enforced in toolurile mai noi). Mai exact setarile din GPO-ul cu aceasta optiune, nu vor fi suprascrise de setarile din GPO-urile de la nivelele de mai jos. Tehnic mi se pare ca GPO-ul cu No Override se aplica ultimul.
7. Cand cele doua optiuni de mai sus intra in conflict are prioritate No Override.
Si ar mai fi multe, dar imi mai pastrez material pentru interviuri. Gen Loopback processing J