Joan zuzenean edukira

4.6. GPO kudeaketa eta arazketa

Zer ikusiko duzu atal honetan

  • GPOen bizi-zikloa nola kudeatu (backup, restore, import/export, delegazioa eta bertsio-kudeaketa).
  • GPO bat zergatik ez den aplikatzen edo espero ez bezala aplikatzen den nola diagnostikatu (LSDOU, herentzia, Enforced/Block, iragazketa, WMI, loopback, erreplikazioa).
  • GPMC (Modeling/Results), gpresult/rsop.msc eta Gertaeren Ikuslea erabiliz RSoPa (Resultant Set of Policy) nola lortu.

Zertarako balio du

  • GPO gorabeheren konponketa azkartzeko (laborategian eta produkzioan).
  • Egiaztapen checklist estandar bat aplikatzeko.
  • Konfigurazio akatsak eta diagnostiko-denborak murrizteko.

Tresna nagusiak

  • GPMC (Group Policy Management Console): Backup/Restore/Import, Modeling (Planifikazioa), Results (Emaitzak).
  • Bezeroa: gpupdate, gpresult /r eta gpresult /h, rsop.msc (Resultant Set of Policy).
  • Gertaeren ikuslea: Applications and Services Logs → Microsoft → Windows → GroupPolicy/Operational.
  • AD/Erreplikazioa: dcdiag, repadmin /replsummary eta SYSVOLean DFS-R egoera.

GPO kudeaketa (GPMC)

  • Babeskopia: GPMC → Group Policy Objects → eskuin-klika → Back Up. Gomendatua aldaketa esanguratsuen ondoren.
  • Leheneratu/Inportatu: GPO bat leheneratu edo konfigurazioa inportatu GPO berri/dauden batera.
  • Delegazioa: GPMC → GPO → Delegation, Edit/Read/Link baimenak emateko.
  • Iruzkinak eta bertsioak: helburua eta aldaketak dokumentatu; data duten backup karpetak erabili.

Diagnostiko azkarra (checklist)

  1. Bezeroan eguneratu: gpupdate /force (edo /target:computer|user).
  2. Emaitza eraginkorra: gpresult /r edo gpresult /h c:\temp\gpo.html eta rsop.msc.
  3. Gertaerak berrikusi: GroupPolicy/Operational, CSE (bezero hedapen) erroreak identifikatzeko.
  4. Lotura eta ordena baieztatu: GPMC → OU/Domeinua → Linked GPOs (ordena eta Enforced egoera).
  5. Herentzia/blokeoak: “Block Inheritance” eta “Enforced” egoerak egiaztatu.
  6. Segurtasun-iragazketa: “Read” + “Apply group policy” baimenak behar dira objektuarentzat edo bere taldearentzat.
  7. WMI iragazkiak: kontsulta betetzen den egiaztatu (GPMC → WMI Filters → Query).
  8. Esparru zuzena: Ekipoko ala Erabiltzaileko konfigurazioa da? Non aplikatzen da? Loopback aktibo dago?
  9. Erreplikazioa: dcdiag eta repadmin /replsummary; SYSVOL DFS-R osasuna egiaztatu.

Arazoen konponketa (kausaren arabera)

  • Herentzia/Ordena (LSDOU): azken GPOak nagusitzen da; egiaztatu OUko ordena.
  • Enforced eta Block Inheritance: “Enforced” nagusitzen da; “Block Inheritance” goiko GPOak blokeatzen ditu.
  • Segurtasun-iragazketa: gehitu taldea/objektua Security Filteringean edo egokitu Delegation baimenak.
  • WMI kontsulta ez dator bat: kontsulta sinplifikatu, wmic/PowerShellez probatu eta SO/propietateak egiaztatu.
  • Loopback (User settings on Computer): gaitu Ekipoko → Politikak → Administratiboa → Sistema → Group Policy.
  • CSE hedapen zehatzek huts egiten dute (Drive Maps, Printers, AppLocker...): haien gertaerak eta mendekotasunak berrikusi (zerbitzuak, UNC bideak, baimenak, AppIDSvc).
  • Erreplikazioa: DC arteko atzerapenek “politika zaharrak” eragin ditzakete; itxaron edo behartu erreplikazioa.

Agindu erabilgarriak (PowerShell)

# Politiken emaitzen HTML txostena
gpresult /h C:\temp\gpo.html

# AD erreplikazioaren laburpena
repadmin /replsummary

# GPO baten babeskopia izenaren arabera
Backup-GPO -Name "GPO-Base-Ekipoak" -Path "C:\\Backups\\GPO"

Egiaztapena

  • Aldaketen ondoren: gpupdate /force eta berrikuspena gpresult/rsop.msc erabiliz.
  • Balidatu hainbat bezero/erabiltzaileretan (eta azpi-OU ezberdinetan) esparru arazoak baztertzeko.
  • GroupPolicy/Operational-en errore faltarik ez dagoela baieztatu; badaude, ID/geroztikoa irakurri eta dagokion CSEren arabera jokatu.

Praktika onak

  • GPO gutxiago eta argiagoak; helburua, esparrua eta mendekotasunak dokumentatu.
  • Taldeak erabili Security Filteringerako; saihestu GPOak domeinuan lotzea beharrezkoa ez bada.
  • Staging OUan probatu produkziora joan aurretik. Egin Backup aldaketa handien aurretik.
  • Central Store ADMX/ADML eguneratuta mantendu, kontsolen arteko ezberdintasunak ekiditeko.

Esteka erabilgarriak

  • Segurtasun-politiken konfigurazioaren erreferentzia https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/how-to-configure-security-policy-settings
  • AppLocker dokumentazioa https://learn.microsoft.com/en-us/windows/security/application-security/application-control/applocker/applocker-overview

AWS praktika erlazionatua

Diagnostiko teknikak aplikatu EC2 instantzietan, domeinura batuz eta ohiko egoerak erreproduzituz, gida honen bidez: 9. GPO troubleshooting EC2n