Group Policy (polityka grup) to wbudowany mechanizm centralnego zarządzania ustawieniami komputerów i użytkowników w domenie Windows Server. Jeśli zarządzasz choćby kilkoma stacjami roboczymi w firmie, Group Policy pozwala Ci z jednego miejsca egzekwować politykę haseł, blokować dostęp do Panelu sterowania, mapować dyski sieciowe czy wdrażać oprogramowanie — bez dotykania każdego komputera osobno.
W skrócie — 3 kroki do pierwszej zasady
Otwórz Group Policy Management Console (
gpmc.msc) na kontrolerze domeny (Windows Server 2025/2022/2019).Kliknij prawym na wybraną jednostkę organizacyjną (OU) → Utwórz obiekt GPO w tej domenie i umieść łącze tutaj….
Wybierz szablony administracyjne, skonfiguruj ustawienie, zapisz — polityka zostanie zastosowana przy następnym logowaniu użytkownika lub uruchomieniu komputera (wymuś
gpupdate /forcedla natychmiastowego efektu).
- Group Policy działa wyłącznie w środowisku Active Directory Domain Services (AD DS); wymaga co najmniej Windows Server 2016 (zalecane: Windows Server 2025).
- Obiekty GPO są przechowywane w SYSVOL na każdym kontrolerze domeny i replikowane przez DFSR.
- Kolejność przetwarzania: Local → Site → Domain → OU („ostatni wygrywa”, chyba że włączono Enforced).
- Nowości Windows Server 2025: domyślne szyfrowanie LDAP, Kerberos bez RC4, blokada NTLM w SMB, ulepszone szablony LAPS.
- KluczeSoft nie jest powiązany z Microsoft — to niezależny sklep z legalnymi licencjami Windows Server.
Czym jest Group Policy — definicja i działanie
Group Policy to funkcja rodziny systemów Windows NT, która dostarcza scentralizowanego zarządzania i konfiguracji systemów operacyjnych, aplikacji oraz ustawień użytkowników w środowisku Active Directory. Mechanizm istnieje od Windows 2000 Server i jest rozwijany w każdej kolejnej wersji — Windows Server 2025 wprowadza kilkadziesiąt nowych ustawień bezpieczeństwa i wydajności.
Sercem systemu jest obiekt GPO (Group Policy Object) — wirtualny kontener przechowujący zestaw reguł, uprawnień i zakresów stosowania (SOM). Każdy GPO składa się z dwóch części:
| Komponent | Lokalizacja | Zawartość |
|---|---|---|
| Group Policy Container (GPC) | Partycja domeny w Active Directory | Metadane: GUID, wersja, ścieżka do GPT |
| Group Policy Template (GPT) | Folder SYSVOL\domena\Policies\{GUID} | Pliki registry.pol, skrypty, pliki ADMX/ADML |
GPO są replikowane między wszystkimi kontrolerami domeny za pośrednictwem DFSR (Distributed File System Replication), co zapewnia spójność zasad w całej organizacji.
Jak działa przetwarzanie GPO
Gdy komputer startuje lub użytkownik się loguje, usługa Group Policy klienta wykonuje następujące czynności:
- Odpytuje Active Directory, by ustalić, jakie GPO dotyczą danego obiektu (komputera lub użytkownika).
- Pobiera pliki GPO z folderu SYSVOL najbliższego kontrolera domeny.
- Aplikuje ustawienia w kolejności: Local Group Policy → Site → Domain → Organizational Unit (OU).
- W przypadku konfliktu ustawień obowiązuje reguła „ostatni zastosowany wygrywa” (Last Writer Wins), chyba że administrator ustawił opcję Enforced (niepodważalność) lub zablokował dziedziczenie.
Domyślnie polityki są odświeżane w tle co 90 minut (± 30 minut losowego offsetu), a na kontrolerach domeny co 5 minut. Część ustawień (np. instalacja oprogramowania, skrypty startowe) wymaga restartu lub ponownego logowania.
Wymagania wstępne — co potrzebujesz, zanim zaczniesz
Zanim utworzysz pierwszą politykę grupową, upewnij się, że środowisko spełnia poniższe warunki:
- Kontroler domeny z Active Directory Domain Services — minimum Windows Server 2016; Microsoft zaleca Windows Server 2025 (nowe funkcje bezpieczeństwa, TLS 1.3 dla LDAP, domyślne Credential Guard).
- Domain functional level na poziomie co najmniej Windows Server 2016 (dla nowych lasów AD od Windows Server 2025 wymagany minimum 2016).
- Uprawnienia Domain Admin lub delegowane uprawnienia do tworzenia i edycji GPO w danej jednostce organizacyjnej.
- Komputery klienckie przyłączone do domeny — Windows 10/11 Pro/Enterprise (wersje Home nie obsługują Group Policy domenowych; działa tylko Local Group Policy).
- Narzędzie Group Policy Management Console (GPMC) — dostępne domyślnie na kontrolerze domeny lub do instalacji przez RSAT (Remote Server Administration Tools) na stacji administracyjnej z Windows 11.
Tworzenie pierwszej polityki — instrukcja krok po kroku
Krok 1: Otwórz konsolę zarządzania GPO
Na kontrolerze domeny (lub stacji z RSAT) uruchom:
Win + R → gpmc.msc → Enter
Zobaczysz strukturę: las → domena → jednostki organizacyjne (OU). Każdy poziom może mieć przypięte GPO (widoczne jako „Linked Group Policy Objects”).
Krok 2: Utwórz i podlinkuj nowy GPO
- Rozwiń domenę, znajdź odpowiednią jednostkę organizacyjną (np.
OU=Sprzedaz). - Kliknij prawym na OU → Utwórz obiekt GPO w tej domenie i umieść łącze tutaj…
- Nadaj nazwę, np.
Polityka-hasel-Sprzedaz→ OK. - Nowy GPO pojawi się pod OU. Kliknij go prawym → Edytuj.
Krok 3: Skonfiguruj ustawienia w Edytorze GPO
W edytorze widzisz dwie główne gałęzie:
- Konfiguracja komputera — stosowana przy starcie systemu (niezależnie od zalogowanego użytkownika).
- Konfiguracja użytkownika — stosowana przy logowaniu (zależna od użytkownika).
Przykład — wymuszenie polityki haseł (Password Policy):
Konfiguracja komputera → Zasady → Ustawienia systemu Windows → Ustawienia zabezpieczeń
→ Zasady kont → Zasady haseł
Skonfiguruj np.:
| Ustawienie | Wartość |
|---|---|
| Minimalna długość hasła | 12 znaków |
| Hasło musi spełniać wymagania co do złożoności | Włączone |
| Maksymalny okres ważności hasła | 90 dni |
| Wymuszaj historię haseł | 10 haseł pamiętanych |
Przykład — blokada dostępu do Panelu sterowania:
Konfiguracja użytkownika → Zasady → Szablony administracyjne → Panel sterowania
→ Zabroń dostępu do Panelu sterowania i ustawień komputera → Włączone
Po każdej zmianie zamknij edytor — ustawienia zapisują się automatycznie.
Krok 4: Wymuś zastosowanie polityki
Na docelowym komputerze klienckim wykonaj w wierszu polecenia (jako administrator):
gpupdate /force
Lub dla pełnego restartu polityk (wymuszenie ponownego przetworzenia wszystkich GPO, również tych, które się nie zmieniły):
gpupdate /force /boot
Aby sprawdzić, jakie polityki zostały zastosowane:
gpresult /r /scope:computer
gpresult /r /scope:user
Krok 5: Weryfikacja i modelowanie
GPMC dostarcza dwóch potężnych narzędzi diagnostycznych:
- Group Policy Modeling — symulacja: „co by się stało, gdyby użytkownik X zalogował się na komputer Y?” (nie wymaga dostępu do rzeczywistego komputera).
- Group Policy Results — podgląd faktycznie zastosowanych polityk na konkretnym komputerze/użytkowniku (wymaga uprawnień administratora na zdalnej maszynie).
GPO: dziedziczenie, wymuszanie i filtrowanie — jak nie zepsuć domeny
Zrozumienie trzech mechanizmów kontroli jest kluczowe, żeby uniknąć chaosu:
Dziedziczenie (Inheritance)
Ustawienia GPO podlinkowanego do domeny są domyślnie dziedziczone przez wszystkie jednostki organizacyjne w dół drzewa. Możesz je zablokować na poziomie OU — kliknij prawym na OU → Blokuj dziedziczenie. Uwaga: zablokowanie dotyczy wszystkich nadrzędnych GPO, nie tylko jednego.
Wymuszanie (Enforced)
Jeśli chcesz, żeby dana polityka „przebijała” blokady dziedziczenia ustawione niżej, użyj opcji Wymuszaj (prawy klik na GPO → Wymuszaj). Typowy przypadek: dział IT narzuca politykę haseł dla całej domeny, a administrator oddziału nie może jej przypadkowo zablokować.
Filtrowanie (Security Filtering i WMI Filtering)
Domyślnie GPO stosuje się do wszystkich uwierzytelnionych użytkowników (Authenticated Users) w zakresie OU. Możesz ograniczyć zasięg:
- Security Filtering — na dole okna GPMC (zakładka Zakres) usuń
Authenticated Usersi dodaj konkretne grupy zabezpieczeń (np.Dzial_IT). - WMI Filtering — jeszcze bardziej precyzyjne: zastosuj GPO tylko do komputerów z określonym systemem, ilością RAM, modelem itp. (np.
SELECT * FROM Win32_OperatingSystem WHERE Version LIKE "10.0.2%"= tylko Windows 11 24H2).
Group Policy vs Group Policy Preferences — dwie różne rzeczy
Często mylone przez początkujących administratorów:
| Cecha | Group Policy (zasady) | Group Policy Preferences (preferencje) |
|---|---|---|
| Wymuszenie | Obowiązkowe — użytkownik nie może zmienić | Opcjonalne — użytkownik może nadpisać |
| Interfejs | Węzeł Zasady w edytorze | Węzeł Preferencje w edytorze |
| Zapisywanie | Klucze rejestru w HKLM\Software\Policies | Klucze rejestru w standardowych gałęziach |
| Działanie po usunięciu GPO | Ustawienie wraca do domyślnego | Ustawienie pozostaje („tatuaż” w rejestrze) |
| Przykład | Blokada Panelu sterowania | Mapowanie dysku sieciowego (X: → \\server\share) |
| Filtrowanie na poziomie elementu | Nie (tylko Security/WMI) | Tak — szczegółowe item-level targeting |
| Wymagane CSE | Wbudowane w Windows | Wbudowane od Windows 7/Server 2008 R2 |
Praktyczna zasada: używasz Policy (zasady) dla bezpieczeństwa i wymuszeń, używasz Preferences (preferencji) dla wygody użytkownika — np. automatyczne tworzenie skrótu na pulpicie, dodawanie drukarek sieciowych, mapowanie dysków.
Lokalne zasady grupy (Local Group Policy) — dla komputerów bez domeny
Jeśli nie masz domeny Active Directory, nadal możesz używać ograniczonej wersji Group Policy — gpedit.msc (Local Group Policy Editor). Ustawienia dotyczą tylko tego jednego komputera i wszystkich jego użytkowników.
Od Windows Vista można tworzyć Multiple Local Group Policy Objects (MLGPO) — osobne zestawy reguł dla konkretnych użytkowników lokalnych lub grup (nie działa na Windows Home). To rozwiązanie awaryjne dla małych biur bez serwera — przy 10+ komputerach zdecydowanie lepiej wdrożyć domenę z pełną polityką grupową.
Nowości Group Policy w Windows Server 2025
Microsoft stale rozbudowuje pulę ustawień. W Windows Server 2025 pojawiły się m.in.:
- LDAP signing domyślnie wymagany we wszystkich nowych wdrożeniach AD — zwiększa bezpieczeństwo komunikacji między klientami a kontrolerami.
- TLS 1.3 dla LDAPS — szybsze i bezpieczniejsze połączenia, wyeliminowanie przestarzałych algorytmów.
- Kerberos bez RC4 — KDC nie wydaje już Ticket Granting Tickets szyfrowanych RC4-HMAC; wymusza AES.
- Blokada NTLM w SMB — można całkowicie wyłączyć uwierzytelnianie NTLM dla połączeń wychodzących SMB.
- LAPS z passphrase — zamiast losowego ciągu znaków można generować czytelne hasła typu
EatYummyCaramelCandy. - Nowe szablony audytu SMB — wykrywanie, czy klient lub serwer nie obsługuje szyfrowania i podpisywania SMB, z poziomu polityk grupowych.
- Credential Guard domyślnie włączony — ochrona przed kradzieżą poświadczeń z LSASS.
Typowe problemy i ich rozwiązania
„GPO nie działa — nic się nie zmienia na kliencie”
Najpierw sprawdź podstawy: wykonaj gpresult /r na docelowym komputerze. Jeśli GPO nie widać na liście, może to oznaczać, że:
- Komputer nie znajduje się w odpowiedniej jednostce organizacyjnej (przenieś go w ADUC).
- Filtrowanie zabezpieczeń wyklucza komputer/użytkownika (sprawdź zakładkę Zakres w GPMC).
- Włączono blokadę dziedziczenia na poziomie OU (sprawdź, czy polecenie Blokuj dziedziczenie nie jest zaznaczone).
„Konflikt ustawień — nie wiem, które GPO wygrywa”
Użyj Group Policy Modeling w GPMC — zasymuluj scenariusz dla konkretnego użytkownika i komputera. Kreator pokaże wynikowy zestaw polityk (RSoP) z informacją, które GPO było decydujące dla każdego ustawienia.
„Polityka haseł nie działa pomimo poprawnego GPO”
Polityka haseł w domenie jest wyjątkiem — może być zdefiniowana wyłącznie na poziomie domeny (Default Domain Policy). Ustawienie jej na niższym poziomie OU nie zadziała. To specyfika mechanizmu Password Settings Object w AD DS.
„GPO nie replikuje się między kontrolerami domeny”
Sprawdź replikację SYSVOL: dfsrdiag backlog /smember:DC1 /rfmember:DC2 /rgname:"Domain System Volume". Jeśli backlog jest duży, sprawdź łączność sieciową i stan usługi DFSR. Pomocne jest też sprawdzenie dziennika zdarzeń: Event Viewer → Dzienniki aplikacji i usług → DFS Replication.
„Edycja szablonów ADMX nic nie daje”
Nowe szablony administracyjne (.admx/.adml) trzeba skopiować do Central Store w SYSVOL: \\domena\SYSVOL\domena\Policies\PolicyDefinitions. Bez tego edytor GPO na różnych stacjach będzie widział różny zestaw ustawień. Windows Server 2025 dostarcza własne wersje plików ADMX — zawsze używaj najnowszych z serwera.
Częste pytania
Czym różni się Group Policy od Local Group Policy?
Group Policy działa w domenie Active Directory i dotyczy wielu komputerów i użytkowników, zarządzanych centralnie z serwera. Local Group Policy (gpedit.msc) dotyczy tylko jednego komputera i wszystkich jego lokalnych użytkowników — to narzędzie ograniczone, przydatne w małych środowiskach bez serwera.
Czy do korzystania z Group Policy potrzebuję Windows Server?
Tak, do pełnej polityki grupowej domenowej potrzebujesz kontrolera domeny z Windows Server (minimum 2016, zalecane 2025). Komputery klienckie muszą działać na Windows 10/11 Pro, Enterprise lub Education. Wersje Home obsługują wyłącznie Local Group Policy i nie mogą być przyłączone do domeny.
Jak szybko wymusić odświeżenie polityki na wielu komputerach jednocześnie?
Użyj polecenia Invoke-GPUpdate w PowerShell, wskazując jednostkę organizacyjną: Invoke-GPUpdate -Computer "OU=Sprzedaz,DC=firma,DC=local" -Force -RandomDelayInMinutes 5. To spowoduje zdalne wykonanie gpupdate /force na wszystkich komputerach w OU z losowym opóźnieniem, aby nie przeciążać sieci i kontrolera.
Czy mogę cofnąć zmiany wprowadzone przez GPO po jego usunięciu?
W przypadku Policy (zasad) tak — ustawienia znikają, a system wraca do wartości domyślnych. W przypadku Preferences (preferencji) nie — ustawienia pozostają w rejestrze nawet po usunięciu GPO (tzw. efekt „tatuażu”). Aby je usunąć automatycznie, skonfiguruj preferencję z akcją Delete przed odlinkowaniem GPO.
Jak sprawdzić, które ustawienia GPO zostały faktycznie zastosowane?
Uruchom gpresult /h raport.html — wygeneruje szczegółowy raport HTML z pełnym RSoP (Resultant Set of Policy). Możesz też w GPMC użyć kreatora Group Policy Results, który pokaże wszystkie zastosowane GPO, wygrywające ustawienia i ewentualne błędy przetwarzania.
Czy Group Policy działa, gdy komputer jest offline (poza siecią firmową)?
Tak — raz zastosowane ustawienia pozostają aktywne lokalnie. Komputer nie otrzyma jednak nowych ani zmodyfikowanych GPO, dopóki nie połączy się z domeną (fizycznie lub przez VPN). Dla użytkowników zdalnych warto rozważyć Always On VPN lub DirectAccess — obie technologie można skonfigurować przez Group Policy.
Jak wykonać kopię zapasową GPO przed wprowadzeniem zmian?
W GPMC kliknij prawym na GPO i wybierz Wykonaj kopię zapasową — zapisz do folderu sieciowego. Alternatywnie użyj PowerShell: Backup-GPO -Guid "12345678-..." -Path "\\server\backup\GPO". Przywrócisz przez prawy klik na Obiekty zasad grupy → Zarządzaj kopiami zapasowymi. Microsoft oferuje też narzędzie AGPM (Advanced Group Policy Management) z kontrolą wersji i przepływem zatwierdzania zmian — dostępne w pakiecie MDOP.
Potrzebujesz licencji Windows Server, aby uruchomić kontroler domeny i zacząć wdrażać Group Policy w swojej firmie? W KluczeSoft znajdziesz legalne klucze w atrakcyjnych cenach: sprawdź ofertę licencji Windows Server 2025 Standard i Datacenter już od 299 zł. Wszystkie licencje pochodzą z legalnego obrotu w UE i są w pełni zgodne z wyrokiem Trybunału Sprawiedliwości UE (sprawa C-128/11, UsedSoft).