40-47
advertisement
40. Структура узлов групповой политики.(Хз…что такое УЗЛЫ) Групповые политики Active Directory Windows Server 2008 2003 обеспечивают управление пользователями и компьютерами, централизованное конфигурирование параметров настройки и применение их к отдельным группам или ко всем компьютерам клиентов сети. В системах Windows Server 2008 имеется свыше 3000 групповых политик. Далее приведены некоторые области действий групповых политик. Групповые политики конфигурируются в службе каталога Active Directory, а затем применяются к компьютеру и или пользователю. Опции групповых политик: Опция конфигурации. Объяснение Инсталляция программ и управление Используется для установки программного обеспечения на компьютерах и его обслуживания с помощью установки патчей или обновлении. Используется также для деинсталляции пакетов программ. Программное обеспечение может быть назначено и на пользователей, и на компьютеры. Сценарии Используется для выполнения сценариев при запуске и выключении компьютера, а также при входе и выходе из системы. Сценарии могут быть .bat-файлами MS-DOS или файлами Windows Script Host. Перенаправление папки Используется для перенаправления некоторых частей рабочей среды пользователя, таких как My Documents (Мои документы), меню Start (Пуск) или Desktop (Рабочий стол), к сетевому ресурсу, на котором может быть сделана резервная копия. Это перенаправление прозрачно для пользователя. Конфигурация защиты Административные шаблоны Используется для конфигурирования параметров настройки зашиты. Некоторые из этих параметров, такие как политики паролей и учетных записей, должны быть сконфигурированы на уровне домена, остальные - на уровне любого контейнера Используется для создания административных шаблонов установки значений системного реестра. которые ограничивают модификации, выполняемые пользователями на своих компьютерах. Существует два типа групповых политик. Первый тип — это локальная групповая политика на компьютере с системами WS2008,2003 2000 XP/Vista Win7. Локальная групповая политика может быть только одна для систем WS2003,2000 ХР, и это единственная групповая политика, доступная на компьютере, не являющемся членом домена. Для WS2008 Vista W7 может существовать несколько локальных групповых политик, что повышает гибкость их применения. Локальные групповые политики применяются также на всех компьютерах, которые являются членами домена. Многие из локальных политик те же самые, что и групповые политики домена, но из-за того, что локальная групповая политика применяется первой, последующие групповые политики Active Directory часто отменяют многие параметры локальной настройки. Второй тип групповой политики - это доменная групповая политика Active Directory. Ее объекты хранятся в Active Directory, и каждая политика разными способами управляет компьютерами домена. Когда формируется домен Active Directory Windows Server 2008/2003, создаются две групповые политики Active Directory: Default Domain Policy (Заданная по умолчанию политика домена) и Default Domain Controllers Policy (Заданная по умолчанию политика контроллеров домена). Default Domain Policy устанавливает политики учетных записей и паролей и используется для конфигурирования общих для домена параметров настройки. Политика Default Domain Controllers Policy применяется в OU контроллеров домена и используется для настройки параметров с целью усиления защиты контроллеров домена. В дополнение к этим политикам можно создавать столько групповых политик, сколько потребуется, и связывать их с различными контейнерами в структуре Active Directory. Групповые политики могут быть связаны с контейнером сайта, контейнером домена или любым контейнером OU домена. 41. Типы объектов групповых политик Все политики Active Directory имеют две группы параметров настройки. Первая группа параметров применяется к компьютерам, вторая - к учетным записям пользователей. Групповые политики применяются только к компьютерам и пользователям, входящим в состав контейнера. Группы Active Directory используются для определения того, будет ли данная групповая политика применяться к определенному пользователю. Объекты GPO фактически состоят из двух различных объектов. Один из них — это объект контейнера групповой политики GPC, который находится с помощью инструмента Active Directory Users And Computers через контейнер System Policies. Объект GPC содержит следующую информацию: • Информация о версии. Поддерживается как объектом GPC, так и объектом GPT (см. ниже) и используется для проверки синхронизации этих объектов. • Список компонентов. Используется для указания того, параметры настройки какой групповой политики (компьютера, пользователя или обеих) сконфигурированы в этом объекте GPO. • Информация о состояния. Используется для информации того, является ли объект GPO действующим, или заблокированным. Второй объект, который входит в групповую политику, — это шаблон групповой политики GPT(Group Policy Template), содержащий большинство фактических параметров настройки для групповой политики и хранящийся в папке Sysvol на каждом контроллере домена. Этот объект включает папки и информацию о содержимом. Содержание шаблона групповой политики Место расположения Содержание папки Adm Содержит файлы .adm, использующиеся для конфигурирования административных шаблонов Scripts Содержит сценарии, назначенные с помощью групповых политик User Содержит параметры настройки системного реестра, применяемые политиками к данному пользователю. Параметры настройки хранятся в файле Reaistrv.pol. Содержит сценарии приложений для всех приложений, развернутых для пользователей. User Applications Machine GOD Machine Applications Содержит все параметры настройки системного реестра, применяемые политикой к компьютеру. Параметры настройки хранятся в файле Registry.pol. Содержит файл Gpt.ini. в котором находится номер версии GPO. Содержит сценарии приложений для всех приложений, развернутых для компьютеров. Оба GPO-компонента реплицируются на все контроллеры домена в данном домене. Объект каталога GPC реплицируются как часть обычной репликации Active Directory. Объект Sysvol (GPT) реплицируется службой репликации файлов FRS (File Replication Service). 42,43. Настройка параметров объектов групповых политик. Порядок обработки GPO в структуре групповых политик (Site, domain, OU/OU). По умолчанию параметры настройки групповой политики наследуются от контейнеров высокого уровня к контейнерам низкого уровня. Следовательно, групповые политики, назначенные пользователю или компьютеру, применяются при каждом запуске компьютера или при каждом входе пользователя в систему. Групповые политики применяются в следующем порядке: 1. Local group policy. Первой всегда применяется локальная групповая политика. 2. Site-level group policies. Эти групповые политики связаны с объектом сайта в AD. 3. Domain-level group policies. Эти групповые политики связаны с объектом домена в AD. 4. OU-level group policies. Если домен содержит несколько уровней OU, вначале применяются групповые политики более высоких уровней OU, а затем — OU низшего уровня (наивысший приоритет). На любом из уровней Active Directory может применяться более одной групповой политики. В этом случае порядок их применения определяется порядком, в котором объекты GPO перечислены в административном окне снизу вверх. Порядок применения групповых политик важен, если они изменяют одни и те же параметры настройки. Например, если объект GPO уровня домена удаляет команду Run со всех компьютеров, а объект GPO организационной единицы более низкого уровня добавляет команду Run. то команда Run будет доступна на всех компьютерах OU. Такой конфликт возникает, если две политики изменяют один и тот же параметр. Если же объект GPO более высокого уровня сконфигурирован для удаления команды Run. а объект GPO более низкого уровня для удаления значка конфигурации с панели управления, то никакого конфликта между этими параметрами настройки нет, и применятся обе настройки. Большинство параметров настройки объекта GPO включает три опции конфигурации: Enabled. Disabled и Not Configured. Если установлена опция Enabled, то независимо от того, какая групповая политика сконфигурирована, она будет применена. Если установлена опция Disabled, то независимо от того, какая групповая политика сконфигурирована, она будет заблокирована. Если установлено Not Configured, параметры настройки политики не изменятся, и будут поддерживаться установки, унаследованные от более высокого уровня. 44,45. Исключения в порядке обработки GPO по умолчанию. Блокировки наследования групповых политик, опция No Override. По умолчанию все групповые политики для учетных записей компьютеров и пользователей применяются в порядке Local/Site/Domain/Organizational Unit (LSDOU). В пределах контейнера каждый пользователь и компьютер будут затронуты групповой политикой. Однако в некоторых случаях этого происходить не должно, и вы можете сконфигурировать исключения к заданному по умолчанию способу применения групповых политик. Рассмотрим способы изменения заданного по умолчанию порядка применения групповых политик. В большинстве случаев при проектировании структуры OU предприятия следует использовать преимущества заданного по умолчанию наследования параметров настройки групповой политики. Однако структура большинства крупных предприятий слишком сложна для того, чтобы использовать заданное по умолчанию наследование. Например, можно создать структуру OU, основанную на деловых подразделениях отделах, потому что большинство пользователей одного и того же подразделения отдела нуждаются в одинаковых параметрах настройки рабочего стола и в одинаковом наборе приложений. При этом некоторые пользователи могут быть членами групп, участвующими в других проектах смежных отделов. Эти отделы могут иметь свои требования к набору программ, так что пользователю необходим доступ к обоим наборам приложений. Такие сложные конфигурации являются типичными для большинства предприятий, поэтому Active Directory Windows Server 2008 2003 обеспечивает возможность изменения заданного по умолчанию способа применения групповых политик. Блокировка наследования политик Первый способ состоит в блокировании наследования политики на контейнерном уровне. Для этого на контейнере, в котором изменяем наследование, выберем Properties Group Policy и отметим флажок Block Policy Inheritance (Блокировать наследование политики). Это означает, что параметры настройки групповой политики, унаследованные от контейнеров более высокого уровня, будут блокированы. Опция блокировки наследования политики полезна, когда политика должна применяться к большой группе пользователей и компьютеров в нескольких OU, но при этом не должна применяться к одной конкретной определенной группе пользователей. Одно из ограничений блокировки наследования групповых политик состоит в том, что после выбора (установки) блокировки все наследуемые групповые политики будут блокированы. Нет никакого способа выборочно блокировать наследование только определенных групповых политик. Использование опции No Override Второй способ изменения заданного по умолчанию наследования групповых политик состоит в использовании опции No Override (Не переопределять). Эта опция используется для предписания применения групповой политики даже в тех контейнерах, в которых установлена опция блокировки наследования групповой политики. Чтобы сконфигурировать No Override на контейнерном объекте, с которым связана данная групповая политика, откройте вкладку Properties/Group Policy GPO_name Options и выберите опцию No Override. Опция No Override может быть полезна, когда групповая политика применяется ко всем пользователям независимо от того, где они расположены. Например, можно использовать групповые политики для управления антивирусным программным обеспечением на всех компьютерах-клиентах организации. В этом случае нужно выбрать контейнер высокого уровня, содержащий все компьютеры домена, и применить политику на этом уровне. Затем сконфигурировать групповую политику опцией No Override, чтобы параметры настройки применялись ко всем клиентским компьютерам. Опция No Override устанавливается в том месте, где объект GPO связывается с контейнером, а не в самом объекте GPO. Если вы связываете объект GPO с несколькими контейнерами домена и конфигурируете одну из связей с применением опции No Override, другие связи не будут сконфигурированы с этой опцией автоматически. Опция No Override устанавливается применительно к одному объекту GPO, т.е. ее установка на одном объекте GPO, связанном с OU, не затрагивает опцию No Override для других объектов GPO, связанных с этой же OU. 46,47. Порядок применения групповых политик к компьютеру/пользователю. Можно сконфигурировать групповую политику так, чтобы она применялась только к компьютерам или только к пользователям, а не к тем и другим. Чтобы сделать это, обратитесь к свойствам объекта GPO, в котором можно отключить или компьютерные параметры настройки конфигурации, или пользовательские. Еще одна опция, которую можно использовать для изменения области применения групповых политик, состоит в отключении групповой политики. Откройте для контейнера вкладку Properties/Group/Policy/ GPO_name /Options и выберите опцию Disabled. Путем отключения групповой политики можно предотвращать ее применение без необходимости изменять другие параметры настройки. Когда компьютер запускается и пользователь входит в систему, происходит применение групповых политик следующим образом: 1. Во время запуска компьютера клиента считывается системный реестр и определяется сайт, в котором расположен компьютер. Компьютер посылает запрос DNS-серверу, запрашивая IP-адреса контроллеров домена, расположенных в этом сайте. 2. Получив ответ DNS-сервера. компьютер клиента соединяется с контроллером домена в своем сайте. В процессе опознания, проводимом контроллером домена, компьютер клиента запрашивает список всех GPO-объектов, которые применяются к компьютеру. 3. Контроллер домена присылает клиенту список всех GPO-объектов в том порядке, в котором политики должны применяться. Затем компьютер извлекает объект GPO с контроллера домена и применяет политику. Порядок, в котором применяются групповые политики, основан на LSDOU-конфигурации. 4. Когда пользователь входит в систему, компьютер клиента снова обращается к контролеру домена и запрашивает все объекты СЮ. которые применяются к пользователям. В этом случае они также применяются в соответствующем порядке. Групповые политики применяются при запуске компьютера при входе пользователя в систему. После входа они обновляются периодически, по умолчанию каждые 90 минут, с 30ти минутным разбросом для избежания перегрузки контроллера домена в ситуации, когда много клиентов одновременно запрашивают обновление. Групповые политики на контроллерах домена обновляются каждые 5 минут. Можно использовать параметры настройки конфигурации для отключения всех фоновых обновлений групповых политик или для изменения времени обновления групповой политики. Существует две причины, которые могут изменить заданную по умолчанию обработку групповых политик, применяемых к компьютерам и пользователям. Первая причина — это обнаружение компьютером клиента медленного сетевого подключения в процессе запуска. В этом случае применяются только выборочные части групповой политики (по умолчанию это параметры настройки защиты и административные шаблоны). Второй способ изменения применения объекта GPO на компьютере состоит в использовании опции Loopback. Эта опция изменяет заданное по умолчанию применение групповых политик, при котором сначала устанавливается компьютерная политика, а затем политика пользователя, переопределяя все параметры настройки, противоречащие компьютерной политике. Можно установить политику Loopback, чтобы компьютерная политика применялась последней и на все политики, примененные к пользователю. Групповая политика Loopback устанавливается с помощью опции User group Policy Loopback Processing Mode (Режим Loopback для пользовательских групповых политик) в контейнере Computer Configuration Administrative Templates System\ Group Policy. При применении loopback предоставляются две опции конфигурации. Первая опция- Merge (Соединить) означает, что сначала применяется компьютерная групповая политика, затем пользовательская групповая политика, а затем компьютерная групповая политика применяется снова. Некоторые из пользовательских параметров настройки могут не изменяться компьютерной политикой. Переопределяются только противоречивые параметры настройки. Вторая опция - Replace (Заменить) означает, что будет обработана только компьютерная политика.
