Для авторов
Архив рассылки
Русский
English
   Путь: Panvasoft / Блог / Групповые политики Active Directory
[Новости] [Linux] [Windows XP] [Windows Vista] [Windows Server] [Windows 7] [Администрирование] [Сеть и интернет] [Безопасность] [Tricks & Tips] [Мультимедиа] [Железо] [Книги] [Проечее] 17:54:59, Пятница, 29 Марта 2024 

|

Введение

С увеличением парка компьютеров на предприятии все более остро встаёт вопрос о стоимости его управления и содержания. Ручная настройка компьютеров отнимает немало времени у персонала и заставляет, с увеличением количества компьютеров, увеличивать штат обслуживающего их персонала. К тому же при большом количестве машин следить за соблюдением принятых на предприятии стандартов настройки становится всё труднее. Групповые политики (Group Policy) являются комплексным инструментом централизованного управления компьютерами с ОС Windows 2000 и выше в домене Active Directory. К компьютерам под управлением ОС Windows NT4/9x групповые политики не применяются: они управляются системными политиками (System Policy), которые в данной статье рассматриваться не будут.


Объекты групповых политик

Все настройки, которые вы создадите в рамках групповых политик, будут храниться в объектах групповой политики (Group Policy Object, GPO). Объекты групповых политик бывают двух типов: локальный объект групповой политики и объекты групповых политик Active Directory. Локальный объект групповой политики есть на компьютерах под управлением Windows 2000 и выше. Он может быть только один, и это единственный GPO, который может быть на компьютере, не входящем в домен.

Объект групповой политики — это общее название набора файлов, директорий и записей в базе Active Directory (если это не локальный объект), которые хранят ваши настройки и определяют, какие ещё параметры вы можете изменить с помощью групповых политик. Создавая политику, вы фактически создаёте и изменяете объект групповой политики. Локальный объект групповой политики хранится в %SystemRoot%\System32\GroupPolicy. GPO Active Directory хранятся на контроллере домена и могут быть связаны с сайтом, доменом или OU (Organizational Unit, подразделение или организационная единица). Привязка объекта определяет его область действия. По умолчанию в домене создается два объекта групповой политики: Default Domain Policy и Default Domain Controller Policy. В первом определяется политика по умолчанию для паролей и учетных записей в домене. Второй связывается с OU Domain Controllers и повышает настройки безопасности для контроллеров домена.

Создание объекта групповой политики

Для того чтобы создать политику (то есть фактически создать новый объект групповой политики), открываем Active Directory Users & Computers и выбираем, где создать новый объект. Создавать и привязывать объект групповой политики можно только к объекту сайта, домена или OU.

Групповые политики Active Directory
Рис. 1. Создание объекта групповой политики.


Чтобы создать GPO и связать его, например, с OU testers щёлкаем правой кнопкой мыши на этом OU и в контекстном меню выбираем properties. В открывшемся окне свойств открываем вкладку Group Policy и нажимаем New.

Групповые политики Active Directory
Рис. 2. Создание объекта групповой политики.


Даём название объекту GP, после чего объект создан, и можно приступать к конфигурированию политики. Дважды щёлкаем на созданном объекте или нажимаем кнопку Edit, откроется окно редактора GPO, где вы можете настроить конкретные параметры объекта.

Групповые политики Active Directory
Рис. 3. Описание настроек во вкладке Extended. (нажмите, чтобы увеличить)


Большинство основных настроек интуитивно понятны (к тому же имеют описание, если открыть вкладку Extended), и мы не будем подробно останавливаться на каждой. Как видно из рис. 3, GPO состоит из двух разделов: Computer Configuration и User Configuration. Настройки первого раздела применяются во время загрузки Windows к компьютерам, находящимся в этом контейнере и ниже (если не отменено наследование), и не зависят от того, какой пользователь вошел в систему. Настройки второго раздела применяются во время входа пользователя в систему.

Порядок применения объектов групповой политики

Когда компьютер запускается, происходят следующие действия:

1. Читается реестр и определяется, к какому сайту принадлежит компьютер. Делается запрос серверу DNS с целью получения IP адресов контроллеров домена, расположенных в этом сайте.
2. Получив адреса, компьютер соединяется с контроллером домена.
3. Клиент запрашивает список объектов GP у контроллера домена и применяет их. Последний присылает список объектов GP в том порядке, в котором они должны применяться.
4. Когда пользователь входит в систему, компьютер снова запрашивает список объектов GP, которые необходимо применить к пользователю, извлекает и применяет их.

Групповые политики применяются при загрузке OC и при входе пользователя в систему. Затем они применяются каждые 90 минут, с вариацией в 30 минут для исключения перегрузки контроллера домена в случае одновременного запроса большого количества клиентов. Для контроллеров домена интервал обновления составляет 5 минут. Изменить это поведение можно в разделе Computer Configuration\Administrative Templates\System\Group Policy. Объект групповой политики может действовать только на объекты «компьютер» и «пользователь». Политика действует только на объекты, находящиеся в объекте каталога (сайт, домен, подразделение), с которым связан GPO и ниже по «дереву» (если не запрещено наследование). Например: Объект GPO создан в OU testers (как мы сделали выше).

Групповые политики Active Directory
Рис. 4. Наследование настроек.


Все настройки, сделанные в этом GPO, будут действовать только на пользователей и компьютеры, находящиеся в OU testers и OU InTesters. Рассмотрим порядок применения политик на примере. Пользователь test, расположенный в OU testers, входит на компьютер comp, находящийся в OU compOU (см. рис. 5).

Групповые политики Active Directory
Рис. 5. Порядок применения политик.


В домене существуют четыре GPO:

1. SitePolicy, связанный с контейнером сайта;
2. Default Domain Policy, связанный с контейнером домена;
3. Policy1, связанный с OU testers;
4. Policy2, связанный с OU compOU.

При загрузке Windows на рабочей станции comp, параметры, определённые в разделах Computer Configuration, применяются в таком порядке:

1. Параметры локального GPO;
2. Параметры GPO SitePolicy;
3. Параметры GPO Default Domain Policy;
4. Параметры GPO Policy2.

При входе пользователя test на компьютер comp — параметры, определенные в разделах User Configuration:

1. Параметры локального GPO;
2. Параметры GPO SitePolicy;
3. Параметры GPO Default Domain Policy;
4. Параметры GPO Policy1.

То есть GPO применяются в таком порядке: локальные политики, политики уровня сайта, политики уровня домена, политики уровня OU.

Групповые политики применяются к клиентам с ОС Windows XP асинхронно, а с ОС Windows 2000 — синхронно, то есть пользовательский экран входа появляется только после применения всех политик компьютера, а политики пользователя применяются до того, как появился рабочий стол. Асинхронное применение политик означает, что пользовательский экран входа появляется раньше, чем успевают примениться все политики компьютера, а рабочий стол — раньше, чем применятся все пользовательские политики, что приводит к ускорению загрузки и входа пользователя.
Описанное выше поведение изменяется в двух случаях. Первый — компьютер клиента обнаружил медленное сетевое подключение. По умолчанию в этом случае применяются только параметры настройки защиты и административные шаблоны. Медленным считается подключение с пропускной способностью менее 500 Кб/сек. Изменить это значение можно в Computer Configuration\Administrative Templates\System\Group Policy\Group Policy slow link detection. Также в разделе Computer Configuration\Administrative Templates\System\Group Policy можно настроить некоторые другие параметры политик так, чтобы и они обрабатывались по медленному соединению. Второй способ изменения порядка применения политик — опция User Group policy loopback processing. Эта опция изменяет порядок применения политик по умолчанию, при котором пользовательские политики применяются после компьютерных и перезаписывают последние. Вы можете установить опцию loopback, чтобы политики компьютера применялись после пользовательских политик и перезаписывали все пользовательские политики, противоречащие политикам компьютера. У параметра loopback есть 2 режима:

1. Merge (соединить) — сначала применяется компьютерная политика, затем пользовательская и снова компьютерная. При этом компьютерная политика заменяет противоречащие ей параметры пользовательской политики своими.
2. Replace (заменить) — пользовательская политика не обрабатывается.

Проиллюстрировать применение параметра User Group policy loopback processing можно, например, на общедоступном компьютере, на котором необходимо иметь одни и те же ограниченные настройки, независимо от того, какой пользователь им пользуется.

Приоритетность, наследование и разрешение конфликтов

Как вы уже заметили, на всех уровнях объекты групповой политики содержат одинаковые параметры настройки, и один и тот же параметр может быть определён на нескольких уровнях по-разному. В таком случае действующим значением будет применившееся последним (о порядке применения объектов групповой политики говорилось выше). Это правило распространяется на все параметры, кроме определённых как not configured. Для этих параметров Windows не предпринимает никаких действий. Но есть одно исключение: все параметры настройки учётных записей и паролей могут быть определены только на уровне домена, на остальных уровнях эти настройки будут проигнорированы.

Групповые политики Active Directory
Рис. 6. Active Directory Users and Computers.


Если на одном уровне расположены несколько GPO, то они применяются «снизу вверх». Изменяя положение объекта политик в списке (кнопками Up и Down), можно выбрать необходимый порядок применения.

Групповые политики Active Directory
Рис. 7. Порядок применения политик.


Иногда нужно, чтобы определённая OU не получала параметры политик от GPO, связанных с вышестоящими контейнерами. В этом случае нужно запретить наследование политик, поставив флажок Block Policy inheritance (Блокировать наследование политик). Блокируются все наследуемые параметры политик, и нет способа блокировать отдельные параметры. Параметры настройки уровня домена, определяющие политику паролей и политику учетных записей, не могут быть заблокированы.

Групповые политики Active Directory
Рис. 9. Блокирование наследования политик.


В случае если требуется, чтобы определённые настройки в данном GPO не перезаписывались, следует выбрать нужный GPO, нажать кнопку Options и выбрать No Override. Эта опция предписывает применять параметры GPO там, где заблокировано наследование политик. No Override устанавливается в том месте, где GPO связывается с объектом каталога, а не в самом GPO. Если GPO связан с несколькими контейнерами в домене, то для остальных связей этот параметр не будет сконфигурирован автоматически. В случае если параметр No Override сконфигурирован для нескольких связей на одном уровне, приоритетными (и действующими) будут параметры GPO, находящегося вверху списка. Если же параметры No Override сконфигурированы для нескольких GPO, находящихся на разных уровнях, действующими будут параметры GPO, находящегося выше в иерархии каталога. То есть, если параметры No override сконфигурированы для связи GPO с объектом домена и для связи с GPO объектом OU, действующими будут параметры, определённые на уровне домена. Галочка Disabled отменяет действие этого GPO на данный контейнер.

Групповые политики Active Directory
Рис. 10. Опции No Override и Disabled.


Как уже было сказано выше, политики действуют только на пользователей и компьютеры. Часто возникает вопрос: «как сделать так, чтобы определенная политика действовала на всех пользователей, входящих в определенную группу безопасности?». Для этого GPO привязывается к объекту домена (или любому контейнеру, находящемуся выше контейнеров или OU, в которых находятся все объекты пользователей из нужной группы) и настраиваются параметры доступа. Нажимаем Properties, на вкладке Security удаляем группу Authenticated Users и добавляем требуемую группу с правами Read и Apply Group Policy.

Определение настроек, действующих на компьютер пользователя

Для определения конечной конфигурации и выявления проблем вам потребуется знать, какие настройки политик действуют на данного пользователя или компьютер в данный момент. Для этого существует инструмент Resultant Set of Policy (результирующий набор политик, RSoP). RSoP может работать как в режиме регистрации, так и в режиме планирования. Для того чтобы вызвать RSoP, следует нажать правой кнопкой на объекте «пользователь» или «компьютер» и выбрать All Tasks.

Групповые политики Active Directory
Рис. 11. Вызов инструмента Resultant Set of Policy.


После запуска (в режиме регистрации, logging) вас попросят выбрать, для какого компьютера и пользователя определить результирующий набор, и появится окно результирующих настроек с указанием, из какого GPO какой параметр применился.

Групповые политики Active Directory
Рис. 12. Resultant Set of Policy. (нажмите, чтобы увеличить)


Другие инструменты управления групповыми политиками

GPResult — это инструмент командной строки, обеспечивающий часть функционала RSoP. GPResult есть по умолчанию на всех компьютерах с Windows XP и Windows Server 2003.

GPUpdate принудительно запускает применение групповых политик — как локальных, так и основанных на Active Directory. В Windows XP/2003 пришла на смену параметру /refreshpolicy в инструменте secedit для Windows 2000.

Описание синтаксиса команд доступно при запуске их с ключём /?.

Вместо заключения

Данная статья не преследует цели объяснить все аспекты работы с групповыми политиками, она не ориентирована на опытных системных администраторов. Все вышеизложенное, по моему мнению, лишь должно как-то помочь понять основные принципы работы с политиками тем, кто никогда не работал с ними, либо только начинает осваивать.

Автор выражает благодарность lynx за поддержку и понимание, а также всем тем, кто помогал в написании этой статьи. Отдельное спасибо kibkalo и dg за помощь и ценные советы.


Категория: Windows Server
Источник: ru-board.com Опубликовал: Feeder, Дата: 6.2.2007, Просмотров сегодня: 1, Просмотров всего: 29778, Рейтинг: 1.63 (Проголосовало: 8) Теги:

Расскажи друзьям:


Еще статьи на угад:
Возьмемся за дело с помощью Dfs
Windows Home Server: Просто нажмите «Дальше»
Знакомство с Windows Server 2008
Делегирование полномочий в службе каталогов Active Directory
Установка IIS 7.0
В Windows Server 2008 Core добавлена новая роль
Инфраструктура PKI и службы сертификатов в Windows Server 2003

Ваши комментарии:
SergCydaY, tuob[at]mzmk.fun в 14.2.2024 19:47:20
<a href=http://zmkshop.ru/stati/kholodnye-angary-iz-metallokonstruktsiy/>что строить из металлоконструкции выгодно и почему</a>
DevinFrask, kayannkesselring98[at]mail.ru в 10.2.2023 21:21:07
https://www.vingle.net/posts/5136611
Veronazes, verona_top45[at]op.pl в 7.2.2023 13:45:44
<a href=https://vipgirls.life/?u=3upp605&o=pebkzz9&t=xxx1><img src="https://p7.tabor.ru/photos/2022-05-07/26693838/114504361_800x600.jpg"></a>

<b>>>><a href=https://vipgirls.life/?u=3upp605&o=pebkzz9&t=xxx1>VIP GIRLS HERE</a><<<</b>

<a href=https://vipgirls.life/?u=3upp605&o=pebkzz9&t=xxx1><img src="https://korzik.net/uploads/posts/2010-10/1288009305_nv.jpg"></a>

<b>>>><a href=https://vipgirls.life/?u=3upp605&o=pebkzz9&t=xxx1>TOP LADIES HERE</a><<<</b>

<a href=https://vipgirls.life/?u=3upp605&o=pebkzz9&t=xxx1><img src="https://www.deafkontakt.ru/photos/7476818wm.jpg"></a>

<b>>>><a href=https://vipgirls.life/?u=3upp605&o=pebkzz9&t=xxx1>SEXY BITCHES HERE</a><<<</b>

Tags:
Girls and moms having sex
Ewp girls
Spice girls greatest
Girls with umbrella
Girls big natural tits
Sexy fantasy girls
Anime girls with red hair
Everyday with monster girls
Sexy jeans for girls
Stellenberg girls choir
A scene for 3 girls
Girls and boys in love kids
Feet and girls
Hot shemale girls on girls
This is girls on fire
Hd lovely girls
Jackets for girls for winter
T girls generation
Girls with red and black hair
Russian girls brunette
Tokyo tattoo girls ps vita
DevinFrask, kayannkesselring98[at]mail.ru в 18.1.2023 04:19:33
http://russellthesheep.com/__media__/js/netsoltrademark.php?d=uncensoredhentaixxx.com%2Fcategory%2Fgenshin-impact-kamisato-ayato-hentai%2F
http://picciani.com/__media__/js/netsoltrademark.php?d=uncensoredhentaixxx.com%2Fcategory%2Fgenshin-impact-nahida-hentai%2F
http://belongfcu.net/__media__/js/netsoltrademark.php?d=uncensoredhentaixxx.com%2Fcategory%2Fgenshin-impact-yun-jin-hentai%2F
http://tpkjy.com/__media__/js/netsoltrademark.php?d=uncensoredhentaixxx.com%2Fcategory%2Fnaruto-hentai%2F
http://dddworks.com/__media__/js/netsoltrademark.php?d=uncensoredhentaixxx.com%2Fcategory%2Fgenshin-impact-yae-miko-hentai%2F
Edwinbluff, ant[at]pod-gaz.com в 15.6.2022 21:28:34
Подбробная информация и <a href=https://volga.news/589610/article/komu-doverit-unichtozhenie-klopov.html>честный обзор службы от клопов</a> . Компания работает по Москве и МО
Добавить свое мнение о данной программе:
Имя
Email
Сообщение:
Введите символы:
вверх страницы

  Подпишитесь на лист рассылки и стань одним из 16434, кто узнает о новых программах по почте!!

 Введтите ваш e-mail:

Подписаться
Отписаться



© 1999 - 2024 Panva Web Studio
(0.02350 секунд) Написать письмо вебмастеру