Инструментальные средства управления групповыми политиками
🕛 21.01.2009, 20:23
Групповые политики обеспечивают большое количество возможностей и гибкость для управления компьютерами клиента и серверами. До сих пор в этой главе рассказывалось только об одном из инструментов управления групповыми политиками - редакторе Group Policy Object Editor. В этом разделе будут представлены другие средства.Инструмент RSoP
Конфигурирование групповых политик является сложным делом. Например, трудно определить точно, какая политика применяется к определенному пользователю или группе. Если вы создали несколько объектов GPO и связали их с различными контейнерами в вашем домене, то непросто понять, какими являются результирующие параметры установки групповой политики, и от какого объекта GPO происходит установка определенного параметра. Одним из инструментов для решения этой задачи является инструмент RSoP, позволяющий точно определить, какова результирующая политика, применяемая к любому пользователю или компьютеру.
Инструмент RSoP может использоваться в двух режимах: в режиме регистрации и планирования. В режиме регистрации инструмент используется для поиска и перечисления всех групповых политик, которые применяются к компьютеру или учетной записи пользователя. В режиме планирования он определяет влияние на данного пользователя или компьютер модификации конфигурации групповой политики. Она может включать перемещение пользователя из одного контейнера в другой или добавление пользователя (или компьютера) к разным группам безопасности.
Чтобы использовать инструмент RSoP, создайте собственную ММС-консоль и добавьте оснастку Resultant Set of Policy (Результирующий набор политик). Затем щелкните правой кнопкой мыши на Resultant Set Of Policy и выберите Generate RSoP Data (Сгенерировать данные RsoP). Resultant Set Of Policy Wizard даст вам возможность выполнить инструмент в одном из двух режимов. В режиме регистрации вы выбираете компьютер и пользователя. Затем инструмент вычисляет все параметры настройки групповых политик, которые применяются к ним. Вместе с каждой установкой инструмент определяет, какой объект GPO поставляет фактическую информацию для этой установки.
В режиме планирования вы выбираете пользователя, компьютер, или то и другое; контейнерный объект для пользовательской или компьютерной учетной записи, или для обоих (см. рис. 11-17). После этого можно проверить различные сценарии изменения пользовательских или компьютерных объектов. Например, определить, какая фактическая групповая политика будет применяться, если пользователь будет подключен к домену по медленной связи, или как повлияет на пользователя использование установки loopback. Вы можете определить, как повлияет на пользователя перемещение его или компьютера в другой контейнер Active Directory или добавление пользователя или компьютера к другой группе безопасности. Инструмент вычислит фактическую групповую политику для пользователя и компьютера в новой конфигурации.
Рис. 11-17. Выбор объектов пользователя и компьютера в режиме планирования в инструменте RSoP
Инструмент GPResult
GPResult - это инструмент командной строки, обеспечивающий часть функциональных возможностей инструмента RSoP. Если вы выполните команду Gpresult без каких-либо параметров, то получите информацию о групповой политике для компьютера, на котором вы выполнили команду, и для того пользователя, который вошел в систему. Информация включает групповые политики, применяющиеся к компьютерам, пользователям и группам, к которым принадлежит каэядый объект. Команда может выполняться в подробном режиме, т.е. результаты будут включать все фактические параметры настройки групповой политики, а также привилегии, которые имеет пользователь. Инструмент можно также выполнять с одного компьютера для анализа фактической групповой политики другого пользователя или компьютера. Инструмент GPResult установлен на всех компьютерах, на которых выполняются системы Windows XP Professional и Windows Server 2003. Полную информацию по инструменту GPResult смотрите в Центре справки и поддержки (Help And Support Center).
Инструмент GPUpdate
Инструмент командной строки GPUpdate заменяет команду Secedit/ refreshpolicy, которая имеется в Active Directory Windows 2000. Она ис
пользуется для принудительного выполнения обновления групповых политик для компьютера или пользователя. Если вы напечатаете gpupdate в командной строке, то обновятся и компьютерная, и пользовательская групповые политики на местном компьютере. Инструмент используется также для обновления групповых политик на других компьютерах. Одно из преимуществ команды Gpupdate состоит в том, что эта команда может использоваться для выхода пользователей из системы или даже для перезапуска компьютера после обновления групповой политики, что полезно при обновлении групповых политик, которые применяются только при входе пользователя в систему или при перезапуске компьютера. Например, политики распределения программного обеспечения и политики переназначения папок применяются только при запуске компьютера или входе в систему. Используя параметры /logoff или /Ъфог, вы можете вызвать применение этих политик в любое время.
Консоль управления групповой политикой
Использование встроенных инструментов для управления групповой политикой подходит для маленькой организации, где имеется только несколько групповых политик и простая иерархия OU, в которых групповые политики применяются только на одном или двух уровнях. Однако в больших предприятиях, где существует множество групповых политик и мест, в которых политика связана с контейнерами, управление групповыми политиками значительно усложняется. Поэтому компания Microsoft разработала новый инструмент - консоль управления групповой политикой (GPMC - Group Policy Management Console) (см. рис. 11-18).
Рис. 11-18. GPMC является инструментом, предназначенным для управления всеми групповыми политиками
Примечание. Во время написания этой книги компания Microsoft объявила, что инструмент GPMC будет доступен бесплатно вскоре после отправки покупателям Windows Server 2003. Этот раздел основан на бета-версии 2 инструмента GPMC. Часть функциональных возможностей в заключительном выпуске может отличаться от тех, которые показаны здесь.
GPMC является отдельным инструментом, который используется для управления всеми конфигурациями групповых политик всей организации. В таблице 11-4 показаны все функциональные возможности инструмента GPMC.
Табл. 11 -4. Опции конфигурирования инструмента GPMC
Функциональные возможности
Опции конфигурирования
GPO Settings (Параметры настройки GPO)
Используются для конфигурирования всех параметров настройки GPO.
GPO Links (Связи GPO)
Используются для просмотра и изменения всех мест, где объект GPO связан с контейнерными объектами.
GPO Delegation (Делегирование GPO)
Используется для просмотра и изменения делегирования создания, удаления и модификации связей GPO объектов и разрешений на генерацию данных RSoP.
Security Filtering (Фильтрация защиты)
Используется для просмотра и модификации всей фильтрации, основанной на группах безопасности.
RSoP Planning (RSoP планирование)
Назван как «Group Policy Modeling (Моделирование групповой политики)», но использует мастер режима планирования в инструменте RSoP.
RSoP Logging (RSoP регистрация)
Назван как «Group Policy Results (Результаты групповой политики) », но использует мастер режиме регистрации в инструменте RSoP.
Modify Inheritance (Изменить наследование)
Используется для установки параметров настройки No Override (He подменять) и Block Inheritance (Блокировка наследования).
Search (Поиск)
Используется для поиска любых типов объектов, связанных с групповой политикой. Например, можное найти все объекты GPO, в которых включена опция Folder Redirection (Переназначение папки).
Backup And Restore GPOs (Резервное копирование и восстановление объектов GPO)
Используется для резервного копирования и восстановления индивидуальных объектов GPO или всех объектов GPO в домене. Без этого инструмента единственным способом резервного копирования и восстановления объектов GPO является копирование данных состояния системы на контроллере домена.
Scripting Interface (Интерфейс создания сценариев)
Инструмент GPMC представляет несколько СОМ-объектов, которые могут использоваться для написания сценариев управления групповыми политиками. Для получения дополнительной информации обратитесь в веб-сайту Microsoft по адресу http:// www.microsoft.com/windowsserver2003/gpmc/ default.mspx.
Как видите, GPMC представляет собой мощный инструмент управления групповыми политиками в среде предприятия.