GPO & gpupתאריך (/force?) command
מה זה GPO בכללי ולמה משתמשים בו?
GPO – group policy object
זהו אובייקט שהמטרה שלו היא להכיל מדיוניות (Policy) מסוימת על מספר של אובייקטים (מחשבים משתמשים קבוצות ועוד) בדומיין.
הכוונה היא שבתוך הGPO מגדירים כל מני הגדרות כמו מינימום מספר התווים שסיסמא צריכה להיות או התמונה שתופיע בשולחן העבודה שלכם. ואת הGPO משייכים לOU שהיא בעצם תיקיה בדומיין, בתוך התיקייה כנראה יהיו אובייקטים (אפשר גם לשייך GPO לדומיין כולו).
נוכל ליצור תיקיות (OU – organization unit) ולשייך אובייקטים לתיקיות אלה דרך ממשק
Active directory users and computers.
מה קורה כאשר מחילים GPO חדש על מספר עמדות, מספר משתשים או גם וגם? שאלה מעולה.
הGPO יוחל עליהם כעבור זמן שמוגדר להם מראש (זמן זה משתנה לפי מה שהאדמין מגדיר בGPO).
אפשר גם לעשות reboot לאותה עמדה שרוצים שתתעדכן או logoff לפעמים יספיק, תלוי בהגדרות שעל הGPO.
אבל במידה ונרצה שהכל ימשיך לעבוד כרגיל אבל הכל זאת העמדה או המשתמש ימשוך את ההגדרות שהוחלו עליו בGPO נשתמש בפקודה הפשוטה: GPUPתאריך.
קצת על GPUPתאריך
במידה ואתם מכירים כבר את הפקודה (כנראה שיצא לכם להכיר) אתם יודעים שלפעמים לא יעבוד לכם GPUPתאריך רגיל אז תצטרכו להשתמש בנשק הסודי (!!!) GPUPתאריך /Force. כנראה שגם אתם לא תנסו בכלל להשתמש בGPUPתאריך רגיל וישר תוציאו את התותחים הכבדים…
מה ההבדל בעצם בין שתי הפקודות? ולמה חשוב להבין את זה כאשר מתעסקים עם מספר גדול של מחשבים?
GPUpתאריך רגיל מעדכן את הפוליסות החדשות שהוחלו ואת הפוליסות ששונו מהפעם האחרונה שהמחשב עבר GPUpתאריך.
GPUpתאריך /force מעדכן כל פוליסה קיימת! לא משנה אם היא חדשה ישנה, אם שינו אותה או לא.
מה שאומר שרוב הפעמים לא נצטרך להשתמש ב GPUpתאריך /force. לרוב אפילו נעדיף שלא על מנת לא להעמיס על הDomain Controller.
דבר זה הופך להיות מסוכן כאשר מריצים סקריפט שעובר על כל העמדות ברשת ושולח להם בו זמנים GPUpתאריך /force. מצב זה יכול להיות מאוד בעייתי.
עוד שני פרמטרים שכדאי לדעת וכנראה לא להשתמש.
Logoff/ – ישנן כל מני פוליסות שחייבות בlogoff. במצב זה ה GPUpתאריך ייזום logoff בעצמו.
Boot/ – כמו הפרמטר Logoff/ רק עם Reboot.
עובדת בונוס – ישנן כמה רמות של החלה בGPO. אפשר להחיל GPO בכל מני רמות:
- הרמה הכי נמוכה היא ברמת העמדה. מה שאומר שנשנה איזשהי הגדרה ברמת העמדה. זו ההגדרה הכי חלשה כל החלה אחרת של GPO תדרוס את הגדרה זו.
- הרמה שנייה היא ברמת הSITE, כאשר נגדיר GPO ברמת הSITE הוא ידרוס את הGPO ברמת העמדה.
- הרמה שלישית ואחת לפני אחרונה היא ברמת הDOMAIN כאשר נחיל GPO ברמת הDOMAIN הוא ידרוס את שני הרמות מתחת.
- הרמה הרביעית והכי גבוהה היא רמת הOU. כאשר נחיל GPO על OU ספציפי הוא ידרוס את כל השאר.
כמובן שאפשר לשנות הגדרות ברמת המחשב (הרמה הנמוכה ביותר) לרגע מסוים עד שאותו מחשב ימשוך את הגדרות הGPO.
הגדרות הGPO ידרסו אחת את השנייה רק אם אותה ההגדרה תוגדר בשתי רמות החלה או יותר. דוגמא – אם הגדרתי מה תהיה התמונה בשולחן עבודה שלי בGPO במשויך לOU לא אוכל לשנות אותו בשום רמה אחרת.
