📬 Läsarfråga
Vad är Group Policy?

I ett inlägg om Active Directory nämnde jag GPO — Group Policy — som en av AD:s kraftfullaste funktioner. Flera läsare hörde av sig och undrade: "Kan du förklara Group Policy mer på djupet? Vad kan man egentligen styra med det?"

Självklart! Det är ett ämne som förtjänar ett eget inlägg. Har du ett eget önskemål? Hör gärna av dig via kontaktsidan så kanske ditt ämne blir nästa inlägg.

Du sätter dig vid jobbdatorn och märker att du inte kan ändra bakgrundsbilden. USB-minnet du stoppar in känns igen men du kan inte kopiera filer till det. Webbläsaren öppnar alltid företagets intranät som startsida. Är det magi? Nej — det är Group Policy.

Group Policy (förkortat GPO, från engelskans Group Policy Object) är ett kraftfullt regelsystem inbyggt i Active Directory. Med GPO kan IT-avdelningen styra hur datorer och användare beter sig i hela nätverket — från en enda central plats, utan att någonsin behöva röra en enskild dator.

Vad är Group Policy — på riktigt?
Den enkla förklaringen

Tänk dig att du är chef för ett kontorshus med 300 rum. Du vill att alla rum ska ha samma regler: dörren låser sig automatiskt efter 5 minuter, ingen får ta in egen möbel och alla tavlor på väggarna ska vara företagets logga. Att gå runt och berätta detta för varje rum för sig skulle ta evigheter.

Med Group Policy gör du det en gång — centralt — och reglerna gäller omedelbart i alla rum. Byter du reglerna i efterhand uppdateras alla rum automatiskt.

💡 Enkelt förklarat: GPO är IT-avdelningens fjärrkontroll för hela företagets datorer och användare.
Grundläggande begrepp i Group Policy
Fyra saker du bör känna till
01 — Group Policy Object (GPO)

Ett GPO är ett "paket" av inställningar som IT skapar och sedan kopplar till en del av Active Directory — t.ex. en hel domän, en avdelning eller en specifik grupp datorer. Ett företag kan ha dussintals olika GPO:er för olika ändamål.

02 — Datorpolicyer vs. Användarpolicyer

GPO:er kan styra datorer (hur maskinen beter sig, oavsett vem som loggar in) eller användare (hur upplevelsen ser ut för en specifik person, oavsett vilken dator de sitter vid). Exempelvis: brandväggsregler är en datorpolicy, medan skrivbordsbakgrunden är en användarpolicy.

03 — Arv (Inheritance)

GPO:er ärvs nedåt i hierarkin. En policy satt på domännivå gäller alla. En policy satt på avdelningsnivå gäller bara den avdelningen. IT kan också blockera arv för specifika avdelningar eller tvinga igenom en policy som inte kan åsidosättas.

04 — Uppdateringsintervall

Policies uppdateras automatiskt i bakgrunden — normalt var 90:e minut på vanliga datorer. IT kan också tvinga fram en omedelbar uppdatering med kommandot gpupdate /force. Du märker det sällan, men dina regler hålls ständigt aktuella.

"Med Group Policy skriver IT-avdelningen reglerna en gång — och alla 500 datorer lyder, varje dag, utan undantag."
Vad kan man faktiskt styra med GPO?
Exempel från verkligheten

Det korta svaret är: nästan allt. Det långa svaret är att det finns tusentals enskilda inställningar att konfigurera. Här är några vanliga och välkända exempel:

🔒 Säkerhet

Tvinga fram lösenordskrav (längd, komplexitet, giltighetstid). Låsa skärmen automatiskt efter inaktivitet. Blockera inloggning utanför arbetstid. Kräva flerfaktorsautentisering för specifika system.

💾 Enheter och hårdvara

Blockera USB-minnen och externa lagringsmedier. Inaktivera kameran eller mikrofonen på datorer i känsliga miljöer. Styra vilka skrivare som visas för vilka användare.

🖥️ Skrivbordsmiljö

Sätta en gemensam bakgrundsbild på alla datorer. Styra vilka program som syns i Startmenyn. Förhindra användare från att ändra systeminställningar. Dölja Kontrollpanelen.

🌐 Nätverk och webbläsare

Sätta en bestämd startsida i webbläsaren. Blockera åtkomst till specifika webbplatser. Konfigurera VPN- och proxyin­ställningar automatiskt för alla användare.

⚙️ Programinstallation

Automatiskt installera program på nya datorer när de ansluter till domänen. Ta bort program som inte längre är tillåtna. Styra vilka användare som får installera programvara överhuvudtaget.

💡 En enda GPO kan innehålla hundratals inställningar. Företag bygger ofta upp en bibliotek av GPO:er — en för säkerhet, en för skrivbord, en per avdelning och så vidare.
Hur fungerar det i praktiken?
Från skapande till tillämpning — steg för steg

1. IT-administratören öppnar verktyget Group Policy Management Console (GPMC) på en domänkontrollant.

2. Ett nytt GPO skapas och kopplas till rätt plats i Active Directory — t.ex. avdelningen "Ekonomi".

3. IT konfigurerar önskade inställningar inuti GPO:t — till exempel "Skärm låses efter 10 minuters inaktivitet".

4. Nästa gång en dator i avdelningen "Ekonomi" startar om, eller när uppdateringsintervallet slår till, hämtar datorn de nya reglerna automatiskt från domänkontrollanten.

5. Reglerna tillämpas i bakgrunden. Användaren märker ingenting — förutom att skärmen plötsligt börjar låsa sig.

💡 IT kan när som helst ändra ett GPO centralt. Ändringen slår igenom på alla berörda datorer utan att en enda maskin behöver röras fysiskt.
Varför är GPO så viktigt för säkerheten?
Konsekvent, automatisk och ogenomtränglig

Den stora styrkan med Group Policy ur ett säkerhetsperspektiv är att reglerna är obligatoriska och automatiska. En anställd kan inte "glömma" att aktivera skärmlåsning — det händer ändå. En nyanställd behöver inte vänta på att IT ska hinna konfigurera datorn manuellt — GPO:t gör det direkt.

Det minskar också risken för det som kallas konfigurationsglidning — att datorer med tiden driftar iväg från säkerhetsstandarden för att någon råkade ändra en inställning. Med GPO återställs alla inställningar automatiskt vid nästa uppdatering.

GPO används också ofta i kombination med ramverk som CIS Benchmarks eller Microsoft Security Baseline — färdiga paket av rekommenderade säkerhetsinställningar som IT kan importera direkt.

⚠️ GPO är kraftfullt, men fel konfiguration kan låsa ute användare eller bryta funktioner. Testa alltid nya policies i en testmiljö eller på en liten pilotgrupp innan du rullar ut dem i hela organisationen.
GPO och molnet — vad händer när man jobbar hemifrån?
Intune och molnbaserad styrning

Klassiska GPO:er kräver att datorn är ansluten till företagsnätverket — antingen på plats eller via VPN. Det fungerar bra i en traditionell kontorsmiljö, men är begränsande för distansarbetare.

I takt med att fler arbetar hemifrån och företag flyttar till molnet har Microsoft lanserat Microsoft Intune — ett molnbaserat system för att styra enheter och policyer via internet, utan VPN. Intune fungerar ihop med Azure AD (Entra ID) och erbjuder liknande funktioner som GPO, men för moderna, molnanslutna miljöer.

Många företag kör idag en hybrid-modell: klassiska GPO:er för datorer på kontoret, Intune för distansarbetare och privatägda enheter.

💡 Enkelt sagt: GPO styr datorer på kontoret. Intune styr datorer var som helst i världen. Tillsammans täcker de hela den moderna arbetsplatsen.

// Sammanfattning — Group Policy (GPO)

  • GPO är ett regelsystem i Active Directory som styr datorer och användare centralt
  • IT skapar regler en gång — alla berörda datorer följer dem automatiskt
  • Man kan styra säkerhet, hårdvara, skrivbordsmiljö, nätverk och programinstallation
  • Policies uppdateras automatiskt var 90:e minut i bakgrunden
  • GPO eliminerar manuell konfiguration och förhindrar konfigurationsglidning
  • Intune är molnalternativet för distansarbetare och moderna arbetsplatser

Group Policy är en av IT-världens mest underskattade superkrafter. Det är tekniken som gör det möjligt för en enda IT-administratör att hantera hundratals datorer — och som ser till att ditt jobb är säkert, konsekvent och välordnat, dag efter dag, utan att du ens tänker på det.

Har du märkt av Group Policy på din jobbdator? En blockerad USB-port, en låsande skärm eller en bakgrundsbild du inte kan byta — nu vet du vem som ligger bakom.