Group Policy (zasady grupy) to fundament scentralizowanego zarządzania bezpieczeństwem i konfiguracją w domenie Active Directory. Windows Server 2025 wprowadza kilkanaście nowych ustawień GPO, domyślnie zaostrza protokoły zabezpieczeń (Credential Guard, LDAP signing, SMB signing) i wymaga od administratorów ponownego przemyślenia struktury zasad, aby uniknąć konfliktów i utrzymać zgodność z aktualnymi wymaganiami Microsoft.
W skrócie
- Windows Server 2025 podnosi poziom funkcjonalności domeny/lasu do 10 (DomainLevel 10, ForestLevel 10) — wymagany dla bazy AD 32K stron
- Credential Guard włączony domyślnie; LDAP wymaga podpisywania; SMB signing obowiązkowy dla wszystkich połączeń wychodzących
- Nowe szablony administracyjne: SMB over QUIC, audyt szyfrowania SMB, kontrola dostępu klienta SMB, SAM RPC password change, LAPS passphrase
- Kerberos rezygnuje z RC4 — TGT wystawiane wyłącznie z użyciem AES; rejestr
SupportedEncryptionTypesignorowany- Reguła nr 1: nie edytuj Default Domain Policy i Default Domain Controllers Policy — twórz dedykowane GPO dla każdego obszaru
- Microsoft zaleca model least-privilege dla kont administracyjnych i secure admin hosts bez poczty, przeglądarki i pakietu Office
Czym jest Group Policy i jak działa w Windows Server 2025
Group Policy to mechanizm systemu Windows Server pozwalający administratorom domeny na centralne definiowanie i wymuszanie ustawień systemowych na komputerach i użytkownikach przyłączonych do Active Directory. Każdy obiekt GPO (Group Policy Object) zawiera zestaw reguł podzielonych na dwie gałęzie: Konfiguracja komputera (stosowana przy starcie systemu) oraz Konfiguracja użytkownika (stosowana przy logowaniu).
W Windows Server 2025 przetwarzanie GPO odbywa się w znanej kolejności: Local → Site → Domain → OU (LSDOU). Zasady są aplikowane kumulatywnie — ustawienia z późniejszych poziomów nadpisują wcześniejsze, chyba że zastosowano wymuszenie (Enforced). Nowością w 2025 jest to, że wiele ustawień zabezpieczeń, które wcześniej trzeba było jawnie skonfigurować, jest teraz wymuszanych domyślnie przez system operacyjny — GPO służy głównie do ich selektywnego wyłączania dla starszych klientów.
Co nowego w GPO w Windows Server 2025
| Obszar | Nowe ustawienie / zmiana | Ścieżka GPO |
|---|---|---|
| Credential Guard | Włączony domyślnie (nie wymaga GPO) | Nie dotyczy — natywne |
| LDAP | Podpisywanie (sealing) wymagane domyślnie; TLS 1.3 | Nie dotyczy — natywne |
| Kerberos | RC4 wycofany dla TGT; SupportedEncryptionTypes w rejestrze ignorowany — tylko GPO | Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Network security: Configure encryption types allowed for Kerberos |
| SMB over QUIC | Klient QUIC sterowany GPO | Computer Configuration\Administrative Templates\Network\Lanman Workstation\Enable SMB over QUIC |
| SMB signing | Obowiązkowy domyślnie dla wszystkich połączeń wychodzących | Computer Configuration\Administrative Templates\Network\Lanman Workstation (audyt) |
| SMB encryption audit | 4 nowe ustawienia audytu | Computer Configuration\Administrative Templates\Network\Lanman Server\Audit client does not support encryption (i 3 pokrewne) |
| SAM RPC password change | Blokada starszych metod SAM RPC | Computer Configuration\Administrative Templates\System\Security Account Manager\Configure SAM change password RPC methods policy |
| LAPS | Passphrase (lista słów EFF), image rollback detection, PAA z terminacją procesów | Computer Configuration\Administrative Templates\System\LAPS |
| Domyślne hasła kont komputerów | Blokada ustawiania hasła = nazwa konta | Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Domain controller: Refuse setting default machine account password |
| LAN Manager | GPO Network security: Don't store LAN Manager hash... — usunięte z szablonów, ignorowane | Nie dotyczy — wycofane |
| RRAS VPN | PPTP i L2TP domyślnie wyłączone dla nowych instalacji | Konfiguracja usługi, nie GPO |
Najlepsze praktyki — struktura GPO
1. Nie edytuj wbudowanych GPO domyślnych
Default Domain Policy i Default Domain Controllers Policy powinny zawierać wyłącznie ustawienia, które absolutnie muszą dotyczyć każdego obiektu w domenie — czyli praktycznie tylko politykę haseł, blokady konta i Kerberos. Wszystkie pozostałe ustawienia wynoś do dedykowanych GPO powiązanych z odpowiednimi jednostkami organizacyjnymi (OU). Dzięki temu testowanie zmian i przywracanie ustawień jest bezpieczne i mierzalne.
2. Model najmniejszych uprawnień (least-privilege)
Microsoft w dokumentacji bezpieczeństwa dla Windows Server 2025 jednoznacznie zaleca:
- Nie używaj kont z grup Enterprise Admins, Domain Admins i Administrators do codziennej administracji. Codzienne zadania wykonuj z konta standardowego, a uprawnienia podnoś tylko na żądanie (model Approval Protection — jak w LAPS PAA).
- Konta administracyjne nie powinny mieć dostępu do poczty e-mail, przeglądarki internetowej ani pakietu Office na tym samym hoście — stosuj wydzielone Secure Administrative Hosts (stacje administratorskie bez zbędnego oprogramowania).
- Regularnie przeglądaj członkostwo w uprzywilejowanych grupach — rezygnuj ze stałego członkostwa, używaj tymczasowego dostępu (Just-In-Time).
3. Organizacja jednostek organizacyjnych (OU)
Projektuj strukturę OU tak, aby odzwierciedlała potrzeby administracyjne, a nie strukturę firmy. Zalecany podział:
domena.local
├── Komputery
│ ├── StacjeRobocze
│ │ ├── HR
│ │ ├── IT
│ │ └── Produkcja
│ └── Serwery
│ ├── DC
│ ├── Pliki
│ └── Aplikacje
├── Uzytkownicy
│ ├── Pracownicy
│ └── Administratorzy
└── Grupy
Kluczowa zasada: im głębiej w strukturze OU, tym bardziej szczegółowe GPO. GPO ogólne (polityka haseł, Windows Update) linkuj wysoko; GPO specjalistyczne (konfiguracja SQL Server, uprawnienia folderów) — nisko.
4. Filtrowanie — security filtering i WMI
Security filtering (filtrowanie zabezpieczeń) stosuj do precyzyjnego kierowania GPO do konkretnych grup komputerów lub użytkowników. Domyślnie GPO dotyczy Authenticated Users — usuń tę grupę i dodaj konkretne grupy docelowe.
WMI filtering (filtrowanie WMI) używaj oszczędnie — każdy filtr WMI jest ewaluowany przy każdym przetwarzaniu GPO i wydłuża czas logowania. Przykład uzasadnionego użycia: GPO tylko dla komputerów z Windows Server 2025 (SELECT * FROM Win32_OperatingSystem WHERE Version LIKE "10.0.26100%") przy wdrażaniu nowych ustawień SMB over QUIC.
5. Porządek w szablonach administracyjnych
- Centralny magazyn szablonów (
\\domena\SYSVOL\domena\Policies\PolicyDefinitions) — przechowuj tam pliki.admxi.admldla wszystkich systemów w infrastrukturze. Po aktualizacji do Windows Server 2025 skopiuj szablony zC:\Windows\PolicyDefinitionsna każdy kontroler domeny do magazynu centralnego. - Nie mieszaj wersji szablonów — starsze szablony z Windows 10/Server 2019 w magazynie centralnym powodują, że nowe ustawienia (np. SMB over QUIC, LAPS passphrase) nie są widoczne w edytorze GPMC.
6. Testuj przed wdrożeniem
Każdą zmianę GPO testuj na wydzielonej jednostce OU z komputerami-pilotami. Użyj Group Policy Results Wizard (gpresult /h raport.html) i Group Policy Modeling Wizard w GPMC, aby przewidzieć efekt zmian przed ich wdrożeniem produkcyjnym. Windows Server 2025 nie zmienia tej praktyki, ale zaostrzone domyślne zabezpieczenia (Credential Guard, LDAP signing) mogą złamać starsze aplikacje — testy są jeszcze ważniejsze niż wcześniej.
7. Audyt i monitorowanie
Nowe liczniki wydajności w Windows Server 2025 (DC Locator, LSA Lookups, LDAP client) ułatwiają diagnozowanie problemów z przetwarzaniem GPO. Dodatkowo:
- Włącz Advanced Audit Policy przez GPO (
Computer Configuration\Windows Settings\Security Settings\Advanced Audit Policy Configuration) - Monitoruj zdarzenia Event ID 3074/3075 (LDAP channel binding audit) dodane w Windows Server 2025
- Regularnie uruchamiaj
dcdiag /test:sysvolcheckidcdiag /test:advertisingdla weryfikacji replikacji SYSVOL
Windows Server 2025 — GPO a bezpieczeństwo: co musisz wiedzieć
Poniższa tabela podsumowuje kluczowe domyślne zmiany zabezpieczeń, które w Windows Server 2025 są włączone natywnie i nie wymagają GPO — ale mogą wymagać skonfigurowania GPO dla wyjątków (np. starszych klientów):
| Mechanizm | Stan w Windows Server 2025 | Działanie GPO |
|---|---|---|
| Credential Guard | ✅ Włączony domyślnie | GPO wyłącza (niezalecane) |
| LDAP Sealing | ✅ Wymagany po SASL bind | Brak GPO — wymóg protokołu |
| SMB Signing (outbound) | ✅ Obowiązkowy | GPO tylko do audytu |
| Kerberos RC4 dla TGT | ❌ Wycofany | GPO do konfiguracji dozwolonych typów szyfrowania |
| TLS 1.3 dla LDAP | ✅ Obsługiwany | SCHANNEL — konfiguracja przez rejestr |
| LAPS passphrase | ⚙️ Do skonfigurowania | GPO: PasswordComplexity, PassphraseLength |
Częste pytania
Czy Default Domain Policy powinno się edytować w Windows Server 2025?
Nie. Domyślne zasady domeny (Default Domain Policy) należy zachować wyłącznie dla ustawień, które muszą dotyczyć każdego obiektu — przede wszystkim polityki haseł, blokady konta i konfiguracji Kerberos. Wszystkie pozostałe ustawienia (Windows Update, firewall, mapowanie dysków, przekierowanie folderów) należy przenieść do nowych, dedykowanych GPO powiązanych z odpowiednimi jednostkami OU. Edycja Default Domain Policy pod każdą potrzebę prowadzi do chaosu i utrudnia rozwiązywanie problemów.
Czy Kerberos w Windows Server 2025 nadal używa RC4?
Nie. Centrum dystrybucji Kerberos (KDC) w Windows Server 2025 nie wystawia już biletów TGT z użyciem szyfrowania RC4-HMAC(NT). Wszystkie bilety są wydawane z użyciem AES. Klucz rejestru SupportedEncryptionTypes w ścieżce HKLM\CurrentControlSet\Control\Lsa\Kerberos\Parameters jest ignorowany — konfigurację dopuszczalnych typów szyfrowania przeprowadza się wyłącznie przez GPO: Network security: Configure encryption types allowed for Kerberos.
Jak skonfigurować LAPS w Windows Server 2025?
Windows LAPS jest wbudowany w system. Aby włączyć go przez GPO, przejdź do Computer Configuration\Administrative Templates\System\LAPS. Nowości w 2025: możesz skonfigurować PasswordComplexity na poziomie 5 (czytelne hasła, bez znaków mylących: I, O, Q, l, o, 0, 1), ustawić PassphraseLength (liczba słów z listy EFF), włączyć automatyczne zarządzanie kontami oraz skonfigurować akcje po uwierzytelnieniu (PAA) z terminacją procesów. Pamiętaj o uruchomieniu Update-LapsADSchema dla nowego atrybutu msLAPS-CurrentPasswordVersion.
Czy SMB signing jest obowiązkowy w Windows Server 2025?
Tak — podpisywanie SMB jest teraz domyślnie wymagane dla wszystkich wychodzących połączeń SMB, a nie tylko dla SYSVOL i NETLOGON na kontrolerach domeny. Jeśli w infrastrukturze są urządzenia innych producentów nieobsługujące podpisywania SMB 3.1.1, należy je zidentyfikować przed migracją. Pomocne są nowe ustawienia audytu: Audit client does not support signing i Audit server does not support signing w szablonach administracyjnych Lanman Workstation i Lanman Server.
Jak sprawdzić, które GPO są stosowane na konkretnym komputerze?
Użyj polecenia gpresult /h raport.html (zapisz raport HTML i otwórz w przeglądarce) lub gpresult /r (skrócony widok w konsoli). Do analizy przedwdrożeniowej służy Group Policy Modeling Wizard w konsoli GPMC (gpmc.msc), który symuluje efekt GPO dla wybranego użytkownika i komputera bez faktycznego stosowania zasad.
Czy można migrować GPO ze starszych wersji Windows Server do 2025?
Tak. GPO są przechowywane w SYSVOL i są niezależne od wersji systemu operacyjnego kontrolera domeny. Przed migracją upewnij się, że centralny magazyn szablonów (PolicyDefinitions) zawiera pliki .admx z Windows Server 2025 (skopiuj je z C:\Windows\PolicyDefinitions na nowy kontroler). Starsze ustawienia pozostają kompatybilne — nowe nie będą widoczne w GPMC bez zaktualizowanych szablonów.
Czym różni się WMI filtering od security filtering?
Security filtering działa na poziomie uprawnień NTFS do obiektu GPO — decyduje, które grupy użytkowników/komputerów mają uprawnienie Apply Group Policy. Jest szybki i zalecany jako podstawowa metoda filtrowania. WMI filtering używa zapytań WQL do warunkowego stosowania GPO na podstawie właściwości systemu (np. wersja OS, ilość RAM, model sprzętu). WMI filtering jest ewaluowany przy każdym odświeżaniu zasad i znacząco wydłuża czas przetwarzania — stosuj go tylko wtedy, gdy nie ma alternatywy przez strukturę OU.
Do pełnego wykorzystania możliwości Group Policy potrzebujesz legalnego, aktywowanego serwera Windows. W sklepie KluczeSoft znajdziesz licencje w cenach kilkukrotnie niższych od oficjalnego cennika Microsoft — zgodnie z prawem unijnym (wyrok Trybunału Sprawiedliwości UE w sprawie UsedSoft) obrót używanymi licencjami jest legalny na terenie całej Unii Europejskiej.
→ Windows Server 2025 — legalne licencje od 349 zł
Artykuł opracowano na podstawie oficjalnej dokumentacji Microsoft Learn (stan na maj 2026), materiałów Microsoft Information Security and Risk Management oraz testów w środowiskach laboratoryjnych Windows Server 2025. KluczeSoft jest niezależnym sprzedawcą — nie jesteśmy autoryzowanym partnerem ani podmiotem powiązanym z Microsoft Corporation.