Информационные технологииStfw.Ru 🔍

Краткий обзор групповых политик

🕛 21.01.2009, 20:21
Групповые политики Active Directory Windows Server 2003 обеспечивают мощные инструментальные средства, предназначенные для управления пользовательскими рабочими столами. В таблице 11-1 показано многое из того, что можно делать с помощью групповых политик.

Табл. 11-1. Опции групповых политик Опция конфигурации Объяснение

Инсталляция программ и управление

Используется для установки программного обеспечения на компьютерах и его обслуживания с помощью установки заплат или обновлений. Используется также для деинсталляции пакетов программ. Программное обеспечение может быть назначено и на пользователей, и на компьютеры.

Сценарии

Используется для выполнения сценариев при запуске и выключении компьютера, а также при входе и выходе из системы. Сценарии могут быть файлами MS-DOS .bat или файлами Windows Script Host.

Перенаправление папки

Используется для перенаправления некоторых частей рабочей среды пользователя, таких как My Documents (Мои документы), меню Start (Пуск) или Desktop (Рабочий стол), к сетевому ресурсу, на котором может быть сделана резервная копия. Это перенаправление прозрачно для пользователя.

Конфигурация защиты

Используется для конфигурирования параметров настройки защиты. Некоторые из этих параметров, такие как политики паролей и учетных записей, должны быть сконфигурированы на уровне домена, остальные - на уровне любого контейнера.

Административные шаблоны

Используется для создания административных шаблонов установки значений системного реестра, которые ограничивают модификации, выполняемые пользователями на своих компьютерах.

Существует два типа групповых политик. Первый тип - это локальная групповая политика на компьютере с системами Windows 2000, Windows XP и Windows Server 2003. Локальная групповая политика может быть только одна, и это единственная групповая политика, доступная на компьютере, не являющемся членом домена. Она применяется также на всех компьютерах, которые являются частью домена. Многие из локальных политик те же самые, что и групповые политики домена, но из-за того, что локальная групповая политика применяется первой, групповые политики Active Directory часто отменяют многие параметры ее настройки.

Примечание. Локальный объект групповой политики (GPO -Group Policy Object) хранится на локальном компьютере в папке %systemroot%\System32\GroupPolicy.

Второй тип групповой политики - э|го групповая политика Active Directory. Ее объекты хранятся в Active Directory, и каждая политика разными способами управляет компьютерами домена. Когда формируется домен Active Directory Windows Server 2003, создаются две групповые политики Active Directory: Default Domain Policy (Заданная по умолчанию политика домена) и Default Domain Controllers Policy (Заданная по умолчанию политика контроллеров домена). Default Domain Policy устанавливает политики учетных записей и паролей и используется для конфигурирования общих для домена параметров настройки. Политика Default Domain Controllers Policy применяется в организационных единицах (OU) контроллеров домена и используется для усиления некоторых параметров настройки защиты для контроллеров домена. В дополнение к этой политике можно создавать столько групповых политик, сколько потребуется, и связывать их с различными местами в структуре Active Directory. Групповые политики могут быть связаны с контейнером сайта, контейнером домена или любым контейнером OU вашей организации.

Все политики Active Directory имеют две группы параметров настройки. Первая группа параметров обращается к компьютерам, вторая - к учетным записям пользователя. Групповые политики могут применяться только к компьютерам и пользователям. Группы Active Directory используются для определения того, будет ли данная групповая политика применяться к определенному пользователю.

Объекты GPO, основанные на Active Directory, фактически состоят из двух различных объектов. Один из них - это объект контейнера групповой политики (GPC), к которому можно обратиться с помощью инструмента Active Directory Users And Computers через контейнер System (Система)\Policies (Политики). Если вы не видите системный контейнер, выберите Advanced Features (Дополнительные свойства) из меню View (Вид) (см. рис. 11-1). Объект GPC содержит следующую информацию.
* Информация о версии. Поддерживается как объектом GPC, так и шаблоном групповой политики (GPT - Group Policy Template) и используется для проверки синхронизации этих объектов. * Список компонентов. Используется для указания того, параметры настройки какой групповой политики (компьютера, пользователя или обеих) сконфигурированы в этом объекте GPO. * Информация о состояния. Используется для указания того, является ли объект GPO действующим, или он заблокирован.

Подробности, касающиеся объекта GPC, отражаются в свойствах объекта в инструменте ADSI Edit, но модифицировать их можно только через редактор групповой политики Group Policy Editor.

Рис. 11-1. Поиск объектов GPC в Active Directory

Совет. На рисунке 11-1 показано, что глобально уникальные идентификаторы (GUID), которые используются для идентификации объектов GPC в Active Directory, не всегда удобны. Для определения отображаемого имени каждого из GPC-объектов используйте утилиту ADSIedit.msc. Найдите GPC в Active Directory, используя ADSI Edit, а затем рассмотрите атрибут display Name.

Второй объект, который входит в групповую политику, - это объект GPT, содержащий большинство фактических параметров настройки для групповой политики и хранящийся в папке Sysvol на каждом контрол
лере домена. Этот объект включает папки и информацию о содержимом (см. табл. 11-2).

Табл. 11-2. Содержание шаблона групповой политики

Место расположения

Содержание папки

Adm

Содержит файлы .adm, использующиеся для конфигурирования административных шаблонов.

Scripts

Содержит сценарии, назначенные с помощью групповых политик.

User

Содержит параметры настройки системного реестра, применяемые политиками к данному пользователю. Параметры настройки хранятся в файле Registry.pol.

User\Applications

Содержит сценарии рекламы приложений для всех приложений, развернутых для пользователей.

Machine

Содержит все параметры настройки системного реестра, применяемые политикой к компьютеру. Параметры настройки хранятся в файле Registry.pol.

Machine\ Applications

Содержит сценарии рекламы приложений для всех приложений, развернутых для компьютеров.

{GUID}

Содержит файл Gpt.ini, в котором находится номер версии GPO.

Оба GPO-компонента реплицируются на все контроллеры домена в домене. Объект каталога (GPC) реплицируется как часть обычной репликации Active Directory. Объект Sysvol (GPT) реплицируется службой репликации файлов (File Replication service - FRS).

Примечание. Если вы создали новый объект GPO или изменили существующий, политики должны реплицироваться на все контроллеры домена в домене. Используйте монитор репликации Replication Monitor для проверки статуса репликации. (Replication Monitor является инструментом Active Directory, который устанавливается, когда вы дважды щелкаете на файле Suptools.msi, расположенном в папке \Support\Tools на компакт-диске Windows Server 2003.) Откройте Replication Monitor и добавьте контроллеры домена к списку Monitored Servers (Кон-троллируемые серверы). Затем щелкните правой кнопкой мыши на имени контроллера домена и выберите Show Group Policy Object Status (Показать состояние объекта групповой политики). На рисунке 11-2 показано, как выглядит реплицируемая информация.

Active Directory Windows 2003   Теги:

Читать IT-новости в Telegram
Информационные технологии
Мы в соцсетях ✉