6 (GPO) - Windows Server Active directory GPO

# 5 (GPO) - Windows Server Active directory GPO [TOC] ## GPO xaqida > GPO (Group Policy Object) — bu Windows Server operatsion tizimida foydalaniladigan boshqaruv vositasi bo‘lib, foydalanuvchilar va kompyuterlar uchun siyosatlarni belgilash va boshqarish imkonini beradi. GPO yordamida administratorlar bir vaqtning o‘zida ko‘plab foydalanuvchilar va kompyuterlarga qo‘llanadigan sozlamalarni o‘rnatishlari, xavfsizlikni ta'minlashlari va tizim boshqaruvini amalga oshirishlari mumkin. ### GPOning Asosiy Xususiyatlari: - Siyosatlarni Boshqarish: Foydalanuvchilarga va kompyuterlarga oid turli xil parametrlarni belgilash (masalan, parol siyosati, ekran vaqti, dasturiy ta'minotlarni o‘rnatish). - Tizim Boshqaruvi: GPO orqali tarmoqdagi kompyuterlarga kirish huquqlarini va xavfsizlik devorlarini boshqarish mumkin. - Markazlashtirilgan Boshqaruv: Bir joyda (Active Directory) yaratilgan GPOlar bir nechta foydalanuvchilar va kompyuterlarga osonlik bilan ta'sir ko‘rsatishi mumkin. - Turli Tizimlarda Qo‘llanilishi: GPOlar kompyuter va foydalanuvchi konteksida farqlanadi. Bu esa administratorlarga har bir holat uchun maxsus siyosatlarni belgilash imkonini beradi. ### GPO qanday ishlaydi - GPO ning tarkibi GPO ikkita asosiy bo'limdan iborat: 1. Computer Configuration: Bu bo'limda tizim (kompyuter)ni boshqarish uchun kerakli siyosatlar o'rnatiladi. Masalan, parol siyosati, xavfsizlikni boshqarish, kompyuterni avtomatik yangilash. 2. User Configuration: Bu bo'limda foydalanuvchi xususiyatlariga ta'sir qiladigan siyosatlar o'rnatiladi. Masalan, desktop sozlamalari, boshlash menyusi, tarmoq resurslariga kirish huquqlari. ### Meros olish - GPO ning meros olish va bloklanishi GPO lar Active Directory ob'ektlariga meros qilib o'tadi. Masalan, agar siz domen uchun bir GPO yaratgan bo'lsangiz, bu GPO avtomatik ravishda barcha OU larda va tarmoqqa bog'langan foydalanuvchilarga ta'sir qiladi. * Block Inheritance: Ba'zi hollarda, siz GPO ning meros olishini bloklashingiz mumkin. Masalan, agar ma'lum bir OU yoki foydalanuvchi guruhining o'ziga xos siyosati kerak bo'lsa, meros olishni bloklashingiz mumkin. * Enforced GPO: Agar siz GPO ni "enforced" deb belgilasangiz, bu GPO ning barcha meroslar ustidan qo'llanilishini ta'minlaydi, ya'ni boshqa siyosatlar uni o'zgartira olmaydi. ### GPO ni bajarish (Processing) jarayoni GPO ning ishlash jarayoni quyidagi bosqichlarni o'z ichiga oladi: * 1-bosqich: GPO larni olish Kompyuter yoki foydalanuvchi tarmoqga ulanganida, Windows GPO larni olish uchun domenni tekshiradi. GPO lar domenning GPMC orqali belgilangan barcha siyosatlarini o'z ichiga oladi. * 2-bosqich: Kompyuter va foydalanuvchi siyosatlarini ajratish GPO ni olishdan so'ng, tizim kompyuterga tegishli bo'lgan siyosatlarni (Computer Configuration) va foydalanuvchiga tegishli bo'lgan siyosatlarni (User Configuration) alohida ajratib oladi. Har bir bo'lim alohida qayta ishlanadi. * 3-bosqich: GPO larni qo'llash Kompyuterni qayta ishga tushirish yoki foydalanuvchi tizimga kirganda, GPO larni amalga oshirish jarayoni boshlanadi. GPO larni qo'llashda, tizim o'zgartirishlar haqida foydalanuvchini xabardor qiladi (masalan, xususiy ishga tushirishlar yoki parol siyosatlari). * 4-bosqich: Siyosatlarni yangilash (gpupdate) GPO lar ma'lum vaqtlarda (odatda har 90 daqiqada) avtomatik tarzda yangilanadi, ammo administratorlar gpupdate buyrug'ini ishlatib, yangilanishlarni majburan amalga oshirishlari mumkin. ## GPO ni monitoring qilish va tahlil qilish * gpresult va Resultant Set of Policy (RSoP) vositalari yordamida siz GPO ning o'zgarishlarini va ularning foydalanuvchi yoki kompyuterga ta'sirini tekshirishingiz mumkin. * Event Viewer yordamida GPO ning ishlashini kuzatib borish va xatoliklarni aniqlash mumkin. * Group Policy Modeling: Bu vosita yordamida administratorlar GPO ning ta'sirini oldindan ko'rib chiqishlari mumkin. ### GPO ning ishlashini misol bilan tushuntirish Misol uchun, sizning tarmog'ingizda "HR" nomli bir Organizational Unit (OU) mavjud. Siz bu OU dagi barcha kompyuterlar uchun "parol siyosatini" belgilamoqchisiz: GPO yaratish: GPO yaratib, unda Password Policy (parol siyosati)ni o'rnatasiz (masalan, minimal uzunlik 8 ta belgidan kam bo'lmasligi, murakkablikni talab qilish). Linklash: Yaratilgan GPO ni "HR" OU ga linklaysiz. GPO ta'siri: Bu siyosat "HR" OU ga tegishli bo'lgan barcha kompyuterlarga ta'sir qiladi. Foydalanuvchilar yangi parollarni yaratishda belgilangan siyosatga amal qilishlari kerak bo'ladi. Monitoring va tahlil: Agar sizda tarmoqda xatolik yuzaga kelsa (masalan, foydalanuvchi parol siyosatiga amal qilmasa), siz gpresult yoki Resultant Set of Policy (RSoP) yordamida GPO ning to'g'ri ishlashini tekshirishingiz mumkin. ### GPO ierarxiyasi Group Policy Object (GPO) hierarxiyasi — bu Windows tizimida Group Policy (GP) qo'llash tartibini belgilovchi, tashkilotdagi turli darajadagi ob'ektlar bo'ylab ierarxik tuzilma. GPO turli darajalarda qo'llanilishi mumkin va har bir daraja o'ziga xos tarzda ularni ta'sir qilishini belgilaydi. GPO ierarxiyasi quyidagi darajalarga bo'linadi: Local, Site, Domain, va Organizational Unit (OU). 1. Local Group Policy Local GPO — bu kompyuterning o'zida mavjud bo'lib, faqatgina shu kompyuterga ta'sir qiladi. Local GPO asosan individual kompyuterlarda qo'llaniladi. Buning yordamida tizim administratorlari o'z kompyuterlarida oddiy va tezkor sozlamalarni o'rnatishi mumkin. Tarkibi: Har bir Windows tizimi, shu jumladan Windows Server va Windows Desktop versiyalarida, o'z Local Group Policy ga ega. Bu GPO tizimning o'zida saqlanadi va u faqatgina o'sha kompyuterda ishlaydi. Qayerda joylashgan: Local GPO uchun sozlamalar Local Group Policy Editor orqali boshqariladi va registrda saqlanadi. Masalan: Agar bir kompyuterni tarmoqdan ajratib, lokal administratorlik huquqlari bilan ishlatish kerak bo'lsa, Local GPO orqali tizimga ma'lum cheklovlar qo'yish mumkin. 2. Site Group Policy Site GPO — bu GPO Active Directory site darajasida qo'llaniladi. Active Directory Site — bu tarmoqdagi kompyuterlar va serverlar guruhini belgilaydi, masalan, geografik joylashuvga asoslangan yoki tarmoqdagi subnetlar. Site GPO faqatgina o'sha site (tarmoq joylashuvi) ichida mavjud bo'lgan barcha kompyuterlarga ta'sir qiladi. Qayerda joylashgan: Site darajasidagi GPO Active Directory da aniqlanadi va tizimdagi barcha kompyuterlar va foydalanuvchilarni o'z ichiga oladi, agar ular o'sha site ga kirsa. Masalan: Agar bir tarmoqning ikki joylashuvi bo'lsa (masalan, ofislar shaharda va mintaqada), Site GPO orqali har bir joydagi kompyuterlar uchun maxsus konfiguratsiyalar yaratish mumkin. 3. Domain Group Policy Domain GPO — bu Active Directory domain darajasida qo'llaniladi va domainga tegishli barcha kompyuterlar va foydalanuvchilarga ta'sir qiladi. Domain GPO, asosan, tarmoqdagi barcha foydalanuvchilar va kompyuterlar uchun markaziy siyosatlarni belgilashda ishlatiladi. Bu siyosatlar barcha domain resurslari bo'ylab qo'llaniladi. Qayerda joylashgan: Domain GPO Active Directory domain kontrollerida saqlanadi, va bu GPO, domain ichidagi barcha kompyuterlar va foydalanuvchilar uchun umumiy siyosatlarni belgilaydi. Masalan: Agar bir kompaniyada barcha foydalanuvchilarga internetni cheklash siyosati kerak bo'lsa, Domain GPO yordamida bu siyosat barcha kompyuterlar va foydalanuvchilarga qo'llanadi. 4. Organizational Unit (OU) Group Policy OU GPO — bu GPO Active Directory Organizational Unit (OU) darajasida qo'llaniladi. Organizational Unit (OU) — bu Active Directory'dagi ob'ektlarni tartibga solish uchun ishlatiladigan struktura. OU yordamida foydalanuvchilar, kompyuterlar va guruhlarni tartibga solish va boshqarish mumkin. OU GPO faqatgina o'sha OU ichidagi ob'ektlarga ta'sir qiladi. OU yordamida maxsus tarmoq guruhlarini tashkil qilish va ularga alohida siyosatlar o'rnatish mumkin. Qayerda joylashgan: OU GPO Active Directory da mavjud bo'lib, uning parametrlarini Group Policy Management Console (GPMC) orqali boshqarish mumkin. Masalan: Agar kompaniya ichida HR (Inson resurslari) va IT bo'limlarini alohida ajratish kerak bo'lsa, har bir OU uchun alohida GPO sozlamalarini o'rnatish mumkin. GPO Ierarxiyasidagi Ustunlik Tartibi: GPO'lar hierarxik tartibda qo'llanadi, ya'ni bir nechta GPO'lar bir-birini ustun qo'yadi: Local GPO (eng past daraja) Site GPO Domain GPO Organizational Unit (OU) GPO (eng yuqori daraja, eng aniq va kichik doiradagi ta'sir) Agar bir nechta GPO bir vaqtning o'zida amal qilsa, "Last Writer Wins" printsipi qo'llaniladi. Ya'ni, keyinroq qo'llangan GPO oldingi GPO'ni bekor qiladi yoki o'zgartiradi. Xulosa: Local GPO faqat kompyuterga ta'sir qiladi. Site GPO tarmoqdagi bir nechta joylashuvlar uchun ishlatiladi. Domain GPO barcha domain resurslari bo'ylab ta'sir qiladi. OU GPO esa faqatgina aniq bir Organizational Unit (OU) ichidagi ob'ektlar uchun amal qiladi. ### bardak tushunchalar Albatta! **Групповая политика (GPO)** ning **mavjud obyektlar bilan bog'lanishi** (ya'ni, GPO larni Active Directory (AD)dagi obyektlarga qanday ta'sir qilishini tushuntirish) Windows Server muhitida juda muhim tushuncha hisoblanadi. Keling, buni o'zbek tilida batafsil tushuntirib beraman. ##### **GPO va uning Active Directory obyektlari bilan bog'lanishi** GPO (Group Policy Object) — bu Windows Serverda tarmoqdagi kompyuterlar va foydalanuvchilarni markazlashtirilgan tarzda boshqarishga imkon beruvchi siyosatlarni o'z ichiga olgan ob'ekt. GPO larni faqat ma'lum bir **Active Directory (AD)** ob'ektlariga ta'sir etish uchun bog'lash kerak. Bu obyektlar quyidagilar bo'lishi mumkin: - **Domen** (Domain) - **Organizatsion Birlik (OU)** — ma'lum bir bo'lim yoki guruhdagi foydalanuvchilar va kompyuterlar - **Sahifalar (Sites)** — fiziologik jihatdan tarmoqdagi joylashuvlar ###### **GPO ni bog'lash jarayoni** 1. **GPO yaratish**: GPO ni **Group Policy Management Console (GPMC)** yordamida yaratamiz. 2. **GPO tahrirlash**: GPO ni yaratganingizdan so'ng, siz uning ichidagi siyosatlarni (masalan, xavfsizlik, parol siyosati, ishga tushirish skriptlari) tahrir qilishingiz mumkin. 3. **GPO ni obyektlarga bog'lash (linking)**: GPO ni Active Directory ob'ektlariga (domen, OU, site) bog'lash kerak. Bu bog'lanish orqali GPO faqat ma'lum bir ob'ektlarga yoki guruhlarga ta'sir qiladi. ###### **1. GPO ni domen (Domain) ga bog'lash** Agar siz **domen** darajasida GPO yaratgan bo'lsangiz, bu siyosat **butun domen**ga ta'sir qiladi. Ya'ni, domenga kirgan barcha kompyuterlar va foydalanuvchilar uchun bu GPO amalda bo'ladi. Bu eng keng tarqalgan va oddiy holat bo'lib, ko'pincha domenning barcha foydalanuvchilari va kompyuterlari uchun yagona siyosatni o'rnatish uchun ishlatiladi. **Misol**: Agar siz kompaniya bo'ylab parol siyosatini o'rnatmoqchi bo'lsangiz (masalan, parol uzunligi 8 belgidan kam bo'lmasligi, katta va kichik harflar bo'lishi kerak), buni domen darajasida GPO orqali amalga oshirasiz. ###### **2. GPO ni OU (Organizatsion Birlik) ga bog'lash** GPO ni faqat ma'lum bir **OU** (Organizatsion Birlik) ga bog'lab, faqat o'sha OU dagi foydalanuvchilar va kompyuterlarga ta'sir qilishingiz mumkin. **OU** ni tashkilotdagi bo'lim yoki guruhlar sifatida tasavvur qilish mumkin. Masalan, agar sizda **HR** (kadrlar) bo'limi mavjud bo'lsa, siz GPO ni faqat **HR** OU ga bog'lashingiz mumkin. **Misol**: Agar siz **HR bo'limi** uchun alohida parol siyosatini o'rnatmoqchi bo'lsangiz, buni faqat shu bo'limga tegishli OU ga bog'lashingiz kerak. ###### **3. GPO ni Site ga bog'lash** GPO ni **Site** darajasida ham bog'lash mumkin. Bunda siyosat ma'lum bir **fizik joylashuv**dagi kompyuterlar va foydalanuvchilar uchun qo'llaniladi. Bu asosan tarmoqda turli joylashuvlarda bo'lib ishlayotgan kompyuterlar uchun qo'llaniladi. **Misol**: Agar siz kompaniyangizning Toshkentdagi ofisida ishlovchi kompyuterlarga alohida siyosat qo'llamoqchi bo'lsangiz, bu siyosatni Toshkentdagi **Site** ga bog'lashingiz mumkin. ###### **4. Miras va blokirovka (Inheritance and Block Inheritance)** GPO larni bog'lagan vaqtida, ular o'zaro **miras (inheritance)** tamoyiliga amal qiladi. Ya'ni, yuqoridagi darajada bog'langan GPO lar pastdagi darajaga meros bo'lib o'tadi. Masalan, agar siz domen darajasida GPO ni belgilagan bo'lsangiz, bu GPO barcha OU va kompyuterlarga meros bo'lib o'tadi. Biroq, ba'zi hollarda siz GPO ning **meros olishini bloklash (block inheritance)**ni xohlagan bo'lishingiz mumkin. Bu, masalan, agar biror OU ga boshqa siyosatlar ta'sir etmasligi kerak bo'lsa, kerak bo'ladi. **Misol**: Agar siz domen darajasida umumiy xavfsizlik siyosatini belgilagan bo'lsangiz, lekin ma'lum bir OU ga bu siyosatni ta'sir qilmasligini istasangiz, o'sha OU da **Block Inheritance** funksiyasini faollashtirishingiz mumkin. ###### **5. GPO ni xavfsizlik filtri orqali boshqarish (Security Filtering)** Ba'zan siz **GPO**ni faqat ma'lum bir foydalanuvchilar yoki guruhlar uchun qo'llashni istaysiz. Bu uchun **Security Filtering** funktsiyasidan foydalaniladi. Bu orqali, siz faqat ma'lum bir guruh yoki foydalanuvchiga GPO ni qo'llaysiz. **Misol**: Agar siz "HR Staff" guruhiga maxsus siyosatlarni qo'llashni istasangiz, **Security Filtering** orqali faqat shu guruhga ta'sir qilishingiz mumkin. ###### **6. GPO ni "Enforced" holatiga keltirish** Agar siz GPO ning o'zgartirilishini oldini olishni istasangiz, uni **"Enforced"** holatiga keltirishingiz mumkin. Bu holat GPO ning boshqa darajadagi siyosatlar tomonidan o'zgartirilishiga yo'l qo'ymaydi. **Misol**: Agar siz kompaniya xavfsizligi siyosatini belgilab, uni barcha darajalarda o'zgartirilmasligi uchun **Enforced** deb belgilagan bo'lsangiz, bu siyosat har qanday holatda ham qo'llaniladi. ###### **7. GPO ni yangilash va qo'lda yangilash (gpupdate)** GPO ni bog'laganingizdan va tahrirlaganingizdan so'ng, u avtomatik tarzda tarmoqdagi foydalanuvchilarga va kompyuterlarga ta'sir qiladi. Ammo ba'zi hollarda siz yangilanishni tezda amalga oshirishni istasangiz, **gpupdate** komandasini ishlatishingiz mumkin. --- ##### **Xulosa** **GPO va Active Directory obyektlarining bog'lanishi** — bu Windows Server muhitida tarmoqdagi kompyuterlar va foydalanuvchilarni markazlashtirilgan tarzda boshqarishning asosi hisoblanadi. GPO ni **domain**, **OU**, yoki **site** kabi turli darajalarda bog'lash orqali siz o'zingizning tarmoq siyosatlaringizni samarali tarzda boshqarishingiz mumkin. GPO larni bog'lash, meros olish, bloklash, xavfsizlik filtrlari va boshqa funksiyalar yordamida siz tarmoqni yanada xavfsiz va tartibli qilishingiz mumkin. ### User and computer configuration