Вступ
Зі збільшенням парку комп'ютерів на підприємстві все більш гостро постає питання про вартість його управління та утримання. Ручна настройка комп'ютерів забирає чимало часу у персоналу і змушує, зі збільшенням кількості комп'ютерів, збільшувати штат обслуговуючого їх персоналу. До того ж при великій кількості машин стежити за дотриманням прийнятих на підприємстві стандартів настройки стає все важче. Групові політики (Group Policy) є комплексним інструментом централізованого управління комп'ютерами з ОС Windows 2000 і вище в домені Active Directory. До комп'ютерів під управлінням ОС Windows NT4 / 9x групові політики не застосовуються: вони управляються системними політиками (System Policy), які в даній статті розглядатися не будуть.
Об'єкти групових політик
Всі настройки, які ви створите в рамках групових політик, будуть зберігатися в об'єктах групової політики (Group Policy Object, GPO). Об'єкти групових політик бувають двох типів: локальний об'єкт групової політики і об'єкти групових політик Active Directory. Локальний об'єкт групової політики є на комп'ютерах під управлінням Windows 2000 і вище. Він може бути тільки один, і це єдиний GPO, який може бути на комп'ютері, що не входить в домен.
Створення об'єкта групової політики
Для того щоб створити політику (тобто фактично створити новий об'єкт групової політики), відкриваємо Active Directory Users & Computers і вибираємо, де створити новий об'єкт. Створювати і прив'язувати об'єкт групової політики можна тільки до об'єкта сайту, домену або OU.
Мал. 1. Створення об'єкта групової політики.
Щоб створити GPO і зв'язати його, наприклад, з OU testers клацаємо правою кнопкою миші на цьому OU і в контекстному меню вибираємо properties. У вікні властивостей відкриваємо вкладку Group Policy і натискаємо New.
Мал. 2. Створення об'єкта групової політики.
Даємо назву об'єкту GP, після чого об'єкт створений, і можна приступати до конфігурації політики. Двічі клацаємо на створеному об'єкті або натискаємо кнопку Edit, відкриється вікно редактора GPO, де ви можете налаштувати конкретні параметри об'єкта.
Мал. 3. Опис налаштувань у вкладці Extended.
Більшість основних налаштувань інтуїтивно зрозумілі (до того ж мають опис, якщо відкрити вкладку Extended), і ми не будемо детально зупинятися на кожній. Як видно з рис. 3, GPO складається з двох розділів: Computer Configuration і User Configuration. Налаштування першого розділу застосовуються під час завантаження Windows до комп'ютерів, які у цьому контейнері і нижче (якщо не скасовано спадкування), і не залежать від того, який користувач увійшов в систему. Налаштування другого розділу застосовуються під час входу користувача в систему.
Порядок застосування об'єктів групової політики
Коли комп'ютер запускається, відбуваються такі дії:
1. Читається реєстр і визначається, до якого сайту належить комп'ютер. Робиться запит серверу DNS з метою отримання IP адрес контролерів домену, розташованих в цьому сайті.
2. Отримавши адреси, комп'ютер з'єднується з контролером домену.
3. Клієнт запитує список об'єктів GP у контролера домену та застосовує їх. Останній надсилає список об'єктів GP в тому порядку, в якому вони повинні застосовуватися.
4. Коли користувач входить в систему, комп'ютер знову запитує список об'єктів GP, які необхідно застосувати до користувача, витягує і застосовує їх.
Групові політики застосовуються при завантаженні OC і при вході користувача в систему. Потім вони застосовуються кожні 90 хвилин, з варіацією в 30 хвилин для виключення перевантаження контролера домену в разі одночасного запиту великої кількості клієнтів. Для контролерів домену інтервал оновлення складає 5 хвилин. Змінити цю поведінку можна в розділі Computer Configuration \ Administrative Templates \ System \ Group Policy. Об'єкт групової політики може діяти тільки на об'єкти «комп'ютер» і «користувач». Політика діє тільки на об'єкти, що знаходяться в об'єкті каталогу (сайт, домен, підрозділ), з яким пов'язаний GPO і нижче по «дереву» (якщо не заборонено успадкування). Наприклад: Об'єкт GPO створений в OU testers (як ми зробили вище).
Мал. 4. Спадкування налаштувань.
Всі налаштування, зроблені в цьому GPO, будуть діяти тільки на користувачів і комп'ютери, що знаходяться в OU testers і OU InTesters. Розглянемо порядок застосування політик на прикладі. Користувач test, розташований в OU testers, входить на комп'ютер comp, що знаходиться в OU compOU (див. Рис. 5).
Мал. 5. Порядок застосування політик.
В домені існують чотири GPO:
1. SitePolicy, пов'язаний з контейнером сайту;
2. Default Domain Policy, пов'язаний з контейнером домену;
3. Policy1, пов'язаний з OU testers;
4. Policy2, пов'язаний з OU compOU.
При завантаженні Windows на робочої станції comp, параметри, певні в розділах Computer Configuration, застосовуються в такому порядку:
1. Параметри локального GPO;
2. Параметри GPO SitePolicy;
3. Параметри GPO Default Domain Policy;
4. Параметри GPO Policy2.
При вході користувача test на комп'ютер comp - параметри, визначені в розділах User Configuration:
1. Параметри локального GPO;
2. Параметри GPO SitePolicy;
3. Параметри GPO Default Domain Policy;
4. Параметри GPO Policy1.
Тобто GPO застосовуються в такому порядку: локальні політики, політики рівня сайту, політики рівня домену, політики рівня OU.
Групові політики застосовуються до клієнтів з ОС Windows XP асинхронно, а з ОС Windows 2000 - синхронно, тобто призначений для користувача екран входу з'являється тільки після застосування всіх політик комп'ютера, а політики користувача застосовуються до того, як з'явився робочий стіл. Асинхронне застосування політик означає, що призначений для користувача екран входу з'являється раніше, ніж встигають застосуватися всі політики комп'ютера, а робочий стіл - раніше, ніж застосуються всі призначені для користувача політики, що призводить до прискорення завантаження і входу користувача.
Описане вище поведінка змінюється в двох випадках. Перший - комп'ютер клієнта виявив повільне з'єднання з мережею. За замовчуванням в цьому випадку застосовуються тільки параметри налаштування захисту і адміністративні шаблони. Повільним вважається підключення з пропускною спроможністю менш 500 Кб / сек. Змінити це значення можна в Computer Configuration \ Administrative Templates \ System \ Group Policy \ Group Policy slow link detection. Також в розділі Computer Configuration \ Administrative Templates \ System \ Group Policy можна налаштувати деякі інші параметри політик так, щоб і вони оброблялися по повільному з'єднанню. Другий спосіб зміни порядку застосування політик - опція User Group policy loopback processing. Ця опція змінює порядок застосування політик за замовчуванням, при якому призначені для користувача політики застосовуються після комп'ютерних і перезаписують останні. Ви можете встановити опцію loopback, щоб політики комп'ютера застосовувалися після призначених для користувача політик і перезаписували всі призначені для користувача політики, що суперечать політикам комп'ютера. У параметра loopback є 2 режиму:
1. Merge (з'єднати) - спочатку застосовується комп'ютерна політика, потім для користувача і знову комп'ютерна. При цьому комп'ютерна політика замінює суперечать їй параметри користувальницької політики своїми.
2. Replace (замінити) - призначена для користувача політика не обробляється.
Проілюструвати застосування параметра User Group policy loopback processing можна, наприклад, на загальнодоступному комп'ютері, на якому необхідно мати одні й ті ж обмежені настройки, незалежно від того, який користувач ним користується.
Пріоритетність, успадкування та вирішення конфліктів
Як ви вже помітили, на всіх рівнях об'єкти групової політики містять однакові параметри налаштування, і один і той же параметр може бути визначений на декількох рівнях по-різному. В такому випадку чинним ширина поля буде використовуватися останнім (про порядок застосування об'єктів групової політики говорилося вище). Це правило поширюється на всі параметри, крім визначених як not configured. Для цих параметрів Windows не робить ніяких дій. Але є один виняток: всі параметри налаштування облікових записів і паролів можуть бути визначені тільки на рівні домену, на інших рівнях ці настройки будуть проігноровані.
Мал. 6. Active Directory Users and Computers.
Якщо на одному рівні розташовані кілька GPO, то вони застосовуються «знизу вгору». Змінюючи положення об'єкта політик в списку (кнопками Up і Down), можна вибрати необхідний порядок застосування.
Мал. 7. Порядок застосування політик.
Іноді потрібно, щоб певна OU не отримувала параметри політик від GPO, пов'язаних з вищестоящими контейнерами. В цьому випадку потрібно заборонити спадкування політик, поставивши прапорець Block Policy inheritance (Блокувати спадкування політик). Блокуються всі успадковані параметри політик, і немає способу блокувати окремі параметри. Параметри настройки рівня домену, що визначають політику паролів і політику облікових записів, не можуть бути заблоковані.
Мал. 9. Блокування спадкування політик.
У разі якщо потрібно, щоб певні настройки в даному GPO також не буде перезаписано, слід вибрати потрібний GPO, натиснути кнопку Options і вибрати No Override. Ця опція наказує застосовувати параметри GPO там, де заблоковано спадкування політик. No Override встановлюється в тому місці, де GPO зв'язується з об'єктом каталогу, а не в самому GPO. Якщо GPO пов'язаний з декількома контейнерами в домені, то для інших зв'язків цей параметр не буде налаштований автоматично. У разі якщо параметр No Override налаштований для декількох зв'язків на одному рівні, пріоритетними (і діючими) будуть параметри GPO, що знаходиться у верхній частині списку. Якщо ж параметри No Override сконфігуровані для декількох GPO, що знаходяться на різних рівнях, що діють будуть параметри GPO, що знаходиться вище в ієрархії каталогу. Тобто, якщо параметри No override сконфігуровані для зв'язку GPO з об'єктом домену і для зв'язку з GPO об'єктом OU, діючими будуть параметри, певні на рівні домену. Галочка Disabled скасовує дію цього GPO на даний контейнер.
Мал. 10. Опції No Override і Disabled.
Як вже було сказано вище, політики діють тільки на користувачів і комп'ютери. Часто виникає питання: «як зробити так, щоб певна політика діяла на всіх користувачів, які входять у певну групу безпеки?». Для цього GPO прив'язується до об'єкта домену (або будь-якого контейнера, що знаходиться вище контейнерів або OU, в яких знаходяться всі об'єкти користувачів з потрібної групи) і налаштовуються параметри доступу. Натискаємо Properties, на вкладці Security видаляємо групу Authenticated Users і додаємо до цієї групи з правами Read і Apply Group Policy.
Визначення установок, що діють на комп'ютер користувача
Для визначення кінцевої конфігурації і виявлення проблем вам буде потрібно знати, які налаштування політик діють на даного користувача або комп'ютер в даний момент. Для цього існує інструмент Resultant Set of Policy (результуючий набір політик, RSoP). RSoP може працювати як в режимі реєстрації, так і в режимі планування. Для того щоб викликати RSoP, слід натиснути правою кнопкою на об'єкті «користувач» або «комп'ютер» і вибрати All Tasks.
Мал. 11. Виклик інструменту Resultant Set of Policy.
Після запуску (в режимі реєстрації, logging) вас попросять вибрати, для якого комп'ютера і користувача визначити результуючий набір, і з'явиться вікно результуючих налаштувань із зазначенням, з якого GPO який параметр применился.
Мал. 12. Resultant Set of Policy.
Інші інструменти управління груповими політиками
GPResult - це інструмент командного рядка, який би частину функціоналу RSoP. GPResult є за замовчуванням на всіх комп'ютерах з Windows XP і Windows Server 2003.
GPUpdate примусово запускає застосування групових політик - як локальних, так і заснованих на Active Directory. У Windows XP / 2003 прийшла на зміну параметру / refreshpolicy в інструменті secedit для Windows 2000.
Опис синтаксису команд є при запуску їх з ключем / ?.
замість висновку
Дана стаття не має на меті пояснити всі аспекти роботи з груповими політиками, вона не орієнтована на досвідчених системних адміністраторів. Все вищевикладене, на мою думку, лише має якось допомогти зрозуміти основні принципи роботи з політиками тим, хто ніколи не працював з ними, або тільки починає освоювати.
Автор висловлює подяку lynx за підтримку і розуміння, а також всім тим, хто допомагав в написанні цієї статті. Окреме спасибі kibkalo і dg за допомогу та цінні поради.
джерело: ru-board.com
Часто виникає питання: «як зробити так, щоб певна політика діяла на всіх користувачів, які входять у певну групу безпеки?