3-2 Основи планування та адміністрування служб доступу до інформаційних ресурсів / ЛБ / Книга Active directory
.pdf238 |
Инфраструктура групповой политики |
Глава 6 |
мыши н выполните команду Связать существующий объект G P O (Link An Existing GPO). Чтобы отобразить сайты в консоли управления групповой политикой в узле Сайты (Sites), щелкните правой кнопкой мыши контейнер Сайты, выполните команду Показать сайты (Show Sites) и выберите сайты, которыми хотите управлять. Вы также можете создать и привязать объект GPO: щелкните правой кнопкой мыши сайт, домен или подразделение, а потом введите команду Создать объект GPO в этом домене и свяжите его (Create A GPO In This Domain And Link It Here).
Кроме того, необходимо разрешение на связывание объекта G P O с сайтом, доменом или подразделением. В дереве консоли управления групповой политикой (GPMC) выберите контейнер и на панели сведений консоли перейдите на вкладку Делегирование (Delegation). В раскрывающемся списке Разрешение (Permission) выберите разрешение Связанные объекты G P O (Link GPOs). Отображаемые пользователи и группы обладают этим разрешением для выбранного подразделения. Для модификации делегирования используются кнопки Добавить (Add) и Удалить (Remove).
Для того чтобы отредактировать GPO в контейнере Объекты групповой политики (Group Policy Objects), щелкните правой кнопкой мыши объект G P O и выполните команду Изменить (Edit). Объект G P O откроется в Редакторе управления групповыми политиками GPME. Для того чтобы открыть объект GPO в этом редакторе, необходимо как минимум разрешение чтения, а чтобы внести изменения в GPOI — разрешение записи (Write) в G P O . Назначьте разрешения для объекта GPO: выберите GPO в контейнере Объекты групповой политики (Group Policy Objects) и на панели сведений консоли перейдите на вкладку Делегирование (Delegation).
Редактор управления групповыми политиками G P M E отобразит в корневом узле имя GPO. Редактор также отображает домен, в котором определен GPO, и сервер, на котором был открыт GPO и на который будут вноситься изменения. Корневой узел использует формат Имя_СРО [Имясервера]. На рис. 6-2 корневым является узел Политика CONTOSO Стандарты [SERVER01.contoso.com]. Таким образом, объект GPO с именем CONTOSO Стандарты открыт на машине SERVER01.contoso.com, то есть этот GPO определен в домене contoso.com.
Хранилище объектов GPO
Параметры групповой политики представлены в инструментах пользовательского интерфейса Active Directory как объекты GPO, однако на самом деле объект групповой политики GPO составляют два компонента: Контейнер групповой политики GPC (Group Policy Container) и Шаблон групповой политики GPT (Group Policy Template). GPT,представляет собой объект Active Directory, который хранится в контейнере Объекты групповой политики (Group Policy Objects) в контексте именования домена каталога. Аналогично всем объектам Active Directory каждый объект GPC содержит атрибут глобального уникального идентификатора (GUID), который уникально идентифицирует объект в Active Directory. Объект GPC определяет основные атрибуты G P O , но не содержит никаких параметров. Параметры находятся в объекте GPT, который представляет собой коллекцию файлов в каталоге SYSVOL каждого контролле- J
Занятие 1 |
Реализация групповой политики |
2 3 9 |
|
||
ра домена в п а п к е |
% S y s t e m R o o t % \ S Y S V O L \ D o m a i n \ P o l i c i e s \ G £ t f £ > _ объекта |
|
GPO, где G U I D - и д е н т и ф и к а т о р о м о б ъ е к т а G P O я в л я е т с я G U I D объекта G P C . |
||
Изменения о б ъ е к т а G P O с о х р а н я ю т с я в объекте G P T сервера, на котором был |
||
открыт о б ъ е к т G P O . |
|
|
П о у м о л ч а н и ю |
п р и о б н о в л е н и и г р у п п о в о й п о л и т и к и клиентские расшире- |
|
ния C S E п р и м е н я ю т п а р а м е т р ы G P O т о л ь к о в том случае, если объект |
G P O |
|
был изменен . К л и е н т г р у п п о в о й п о л и т и к и м о ж е т идентифицировать обновленный объект G P O п о н о м е р у в е р с и и . Л ю б о й объект G P O имеет номер версии, который у в е л и ч и в а е т с я к а ж д ы й раз, когда в объект вносятся изменения. Номер версии х р а н и т с я в а т р и б у т е G P C и текстовом ф а й л е GPT.ini в папке GPT. Клиент г р у п п о в о й п о л и т и к и знает н о м е р в е р с и и каждого ранее примененного объ-
екта G P O . |
Е с л и в |
п р о ц е с с е |
о б н о в л е н и я групповой п о л и т и к и обнаруживается, |
что номер |
в е р с и и |
G P C б ы л и з м е н е н , к л и е н т с к и е р а с ш и р е н и я C S E назначают |
|
обновление этого |
о б ъ е к т а |
G P O . |
|
Контрольный вопрос
•Опишите обработку групповой политики по умолчанию, включая интервалы обновления и применение параметров политики клиентскими расширениями CSE.
Ответ на контрольный вопрос
•Каждые 9 0 - 1 2 0 мин служба Клиент групповой политики (Group Policy Client) определяет объекты G P O , под область действия которых подпадает пользователь или компьютер, и загружает все обновленные объекты GPO на основе их номеров версий. Клиентские расширения CSE выполняют обработку политик в объектах G P O в соответствии с их конфигурацией обработки политики. По умолчанию большинство клиентских расширений CSE применяют параметры политики только в случае обновления объекта GPO . Некоторые клиентские расширения CSE не применяют параметры политики в случае определения медленного подключения.
Репликация объектов GPO
Р е п л и к а ц и я д в у х с о с т а в л я ю щ и х объекта G P O в ы п о л н я е т с я между контроллерами д о м е н а с п о м о щ ь ю о т д е л ь н ы х механизмов . О б ъ е к т G P C в Active Direc-
tory р е п л и ц и р у е т с я а г е н т о м р е п л и к а ц и и каталогов |
D R A |
(Directory Replication |
|
Agent) с и с п о л ь з о в а н и е м т о п о л о г и и , г е н е р и р у е м о й |
механизмом проверки це- |
||
лостности |
К С С ( K n o w l e d g e C o n s i s t e n c y Checker) . Более |
подробно эти службы |
|
описаны в |
главе 11. В р е з у л ь т а т е о б ъ е к т G P C р е п л и ц и р у е т с я в течение не- |
||
скольких секунд на все к о н т р о л л е р ы домена в сайте, а потом — между сайтами
в соответствии |
с к о н ф и г у р а ц и е й |
р е п л и к а ц и и |
между узлами, |
которая также |
|
описана в главе |
11. |
|
|
|
|
Объект |
G P T |
в п а п к е S Y S V O L |
р е п л и ц и р у е т с я с п о м о щ ь ю |
одной из двух |
|
технологий. |
С л у ж б а Р е п л и к а ц и я |
ф а й л о в (File |
Replication Service, F R S ) ис- |
||
пользуется д л я р е п л и к а ц и и S Y S V O L в д о м е н а х W i n d o w s Server 2008, Windows
Server 2003 и W i n d o w s 2000. |
Е с л и на всех |
к о н т р о л л е р а х домена установлена |
система W i n d o w s Server 2008, |
р е п л и к а ц и ю |
S Y S V O L м о ж н о к о н ф и г у р и р о в а т ь |
240 |
Инфраструктура групповой политики |
Глава6 |
|
с помощью более эффективной и надежной службы репликации распределен- |
i |
||
ной файловой системы DFSR (Distributed File System Replication). |
|
||
|
Поскольку объекты GPC и GPT реплицируются по отдельности, в течение |
|
|
небольшого промежутка времени они могут оставаться не синхронизированны- |
|
||
ми. Такая ситуация, как правило, возникает, когда объект G P C реплицируется |
|
||
на контроллер домена первым. Системы, получающие упорядоченный список |
|
||
объектов GPO от контроллера домена, идентифицируют новый объект GPC, |
|
||
пытаются загрузить объект GPT и определяют, что их номера версий отлича- |
|
||
ются. В журналы событий вносятся данные об ошибке обработки политики. |
|
||
Если же объект GPT реплицируется на контроллер домена до объекта GPC, |
|
||
клиенты, получающие упорядоченный список объектов |
G P O от контроллера |
|
|
домена, не определят новые объекты GPO, пока не будет выполнена репли- |
|
||
кация GPC. |
|
|
|
В центре загрузки Microsoft доступно средство проверки репликации |
|
||
Gpotool.exe (Group Policy Verification Tool), которое входит в инструментарий |
|
||
Windows Resource Kits. Оно указывает состояние объектов G P O в домене и мо- |
; |
||
жет идентифицировать на контроллере домена экземпляры G P C и G P T с раз- |
'; |
||
ными номерами версий. Для того чтобы получить подробную информацию об |
1 |
||
использовании Gpotool.exe, введите в командной строке команду gpotool/?. |
j |
||
СОВЕТ К ЭКЗАМЕНУ |
|
j |
|
Инструмент Gpotool.exe используется для устранения неполадок состояния GPO, |
j |
||
включая ошибки репликации GPO, в результате которых нарушается согласован- |
|
||
ность версий GPC и GPT. |
|
|
|
Параметры политики |
|
|
|
Параметры групповой политики (или просто политики) содержатся в объекте |
|
||
групповой политики GPO. Их можно просматривать и модифицировать в ре- |
|
||
дакторе управления групповыми политиками GPME . В этом подразделе мы |
; |
||
рассмотрим категории параметров в объекте GPO. |
|
|
|
Узлы Конфигурация компьютера и конфигурация пользователя |
|
||
Существует два основных раздела параметров групповой политики: параметры |
j |
||
компьютера в узле Конфигурация компьютера (Computer Configuration) и па- 1 раметры пользователя в узле Конфигурация пользователя (User Configuration). [• Узел конфигурации компьютера содержит параметры, применяемые к компыо- [ терам независимо от того, кто входит на них. Параметры компьютера применяются при запуске операционной системы и обновляются в фоновом режиме ; каждые 90-120 мин. Узел конфигурации пользователя содержит параметры, j которые задействуются при входе пользователя на компьютер и обновляются 1 в фоновом режиме каждые 90-120 мин. j
В узлах Конфигурация компьютера и Конфигурация пользователя содер- ! жатся узлы Политики (Policies) и Настройка (Preferences). Параметры в узле Политики конфигурируются и применяются аналогично параметрам полити- [
ки в предыдущих версиях Windows. |
Узел Настройка есть только в Windows , |
Server 2008. |
! |
Занятие 1 |
|
Реализация групповой политики |
241 |
Узел Конфигурация п р о г р а м м
В узлах Политики (Policies) к о н ф и г у р а ц и и компьютеров и конфигурации пользователей представлена иерархия папок с параметрами политики. На сертификационном экзамене и в данном руководстве не описаны все эти параметры, поскольку их тысячи . Однако имеет смысл определить обширные категории параметров п о л и т и к и в папках. Первым в этой иерархии указан узел Конфигурация программ (Software Settings), содержащий лишь CSEрасширение Установка программ (Software Installation), позволяющее указать процедуру установки и поддержки приложений в организации. В нее могут добавлять параметры и сторонние поставщики программного обеспечения. Развертывание программного обеспечения с помощью групповой политики описано в главе 7.
Узел К о н ф и г у р а ц и я W i n d o w s
Узел Политики (Policies) в обоих узлах, Конфигурация компьютера (Computer Configuration) и Конфигурация пользователя (User Configuration), содержит узел Конфигурация Windows (Windows Settings) с узлами Сценарии (Scripts), Параметры безопасности (Security Settings) и QoS на основе политики (PolicyBased QoS).
Расширение Сценарии (Scripts) позволяет указать два типа сценариев: запуск/завершение (в узле конфигурации компьютера) и вход-выход из системы (в узле конфигурации пользователя) . Сценарии запуска/завершения запускаются при загрузке и завершении работы компьютера, входа-выхода — при входе и выходе пользователя из системы. Если назначить множество сценариев входа-выхода или з а п у с к а / з а в е р ш е н и я д л я пользователя или компьютера, CSE-расширение Сценарии (Scripts) будет выполнять эти сценарии в порядке их перечисления в списке. По умолчанию время ожидания обработки сценариев составляет 10 мин. Если для обработки сценариев выхода и завершения требуется больше времени, нужно изменить время ожидания с помощью параметра политики. Д л я создания сценариев используется любой язык сценариев ActiveX, включая Microsoft Visual Basic, Scripting Edition (VBScript), Microsoft JScript, Perl а также командные ф а й л ы .bat и .smd в стиле Microsoft MS DOS. Сценарии входа в общесетевом каталоге еще одного леса поддерживаются службами сетевого входа между лесами.
Узел Параметры безопасности (Security Settings) позволяет администратору конфигурировать безопасность с помощью объектов GPO. Настройку безопасности системы можно в ы п о л н и т ь после или вместо использования шаблона безопасности. Подробное описание безопасности систем и узла Параметры безопасности (Security Settings) содержится в главе 7.
Узел QoS на основе политики (Policy-Based QoS) определяет политики, которые управляют сетевым трафиком. Например, если понадобится, чтобы пользователи в отделе финансов во время создания годового финансового отчета обладали приоритетом запуска важного сетевого приложения, то эти параметры можно определить в узле QoS на основе политики.
Папка Конфигурация Windows (Windows Settings) в узле Конфигурация пользователя (User Configuration) содержит дополнительные узлы Службы
242 |
Инфраструктура групповой политики |
Глава 6 |
удаленной установки (Remote Installation Services), Перенаправление папки (Folder Redirection) и Настройка Internet Explorer (Internet Explorer Maintenance).
Политики служб удаленной установки RIS (Remote Installation Services) контролируют удаленную установку операционной системы с помощью служб RIS. Политики перенаправления папки позволяют перенаправлять папки данных и параметров пользователей (например, AppData, Desktop, Documents, Pictures, Music и Favorites) из размещения пользовательского п р о ф и л я по умолчанию в альтернативное сетевое размещение, где ими можно централизованно управлять. Политики настройки Internet Explorer позволяют администрировать и настраивать Microsoft Internet Explorer.
Узел Административные шаблоны
В узлах Конфигурация компьютера (Computer Configuration) и Конфигурация пользователя (User Configuration) содержится узел Административные шаблоны (Administrative Templates) с параметрами групповой политики реестра. Для настройки пользовательской и компьютерной среды в этом узле используются тысячи параметров. Администратору придется потратить немало времени на манипулирование этими параметрами. Для облегчения работы администратора в двух местах представлено описание каждого параметра политики.
•Вкладка Объяснение (Explain) диалогового окна Свойства (Properties) параметра политики,-Кроме того на вкладке Параметр (Settings) указана требуемая операционная система или программное обеспечение.
•Вкладка Расширенный (Extended) редактора управления групповыми политиками GPME находится справа внизу на панели сведений и содержит описание каждого выбранного параметра между деревом консоли и панелью сведений. Указана требуемая операционная система или программное обеспечение.
Административные шаблоны подробно описаны в разделе «Административные шаблоны».
Узел Настройка
В обоих узлах конфигурации компьютера и конфигурации пользователя содержится узел Настройка (Preferences). Этот новый узел Win'dovvs Server 2008 содержит более 20 клиентских расширений CSE, с помощью которых осуществляется управление огромным количеством дополнительных параметров, включая следующие:
• такие приложения, как Microsoft Office 2003 и Office 2007;
•сопоставления дисков;
•параметры реестра;
•электропитание;
•свойства папки;
•региональные параметры;
• главное меню. |
' |
244 |
Инфраструктура групповой политики |
Глава 6 |
Административные шаблоны
Политики в узле Административные шаблоны (Administrative Templates) конфигурации компьютера (Computer Configuration) модифицируют значения реестра в ключе HKEY_LOCAL_MACHINE ( H K L M ) , политики в узле Административные шаблоны конфигурации пользователя (User Configuration) — в ключе HKEY_CURRENT_USER (HKCU) . Большинство значений реестра, модифицируемых политиками по умолчанию, находятся в одном из следующих четырех зарезервированных деревьев:
лHKLM\Software\Policies (конфигурация компьютера);
•HKCU\Software\Policies (конфигурация пользователя);
•HKLM\Software\Microsoft\Windows\CurrentVersion\Policies (конфигурация компьютера);
•II KCU\Software\Microsoft\Windows\CurrentVersion\ Policies (конфигура-
ция пользователя). |
, , |
Административный шаблон — это текстовый файл, указывающий на изменение реестра и генерирующий пользовательский интерфейс для настройки параметра политики административных шаблонов в редакторе G P M E . На рис. 6-3 показано диалоговое окно свойств параметра политики Запретить доступ к средствам редактирования реестра (Prevent Access То Registry Editing Tools). Наличие этого параметра политики, раскрывающийся список для отключения запуска редактора реестра без предупреждения, а также параметр реестра на основе политики определяются в административном шаблоне.
При необходимости добавить в редактор G P M E новые административные шаблоны нужно щелкнуть правой кнопкой мыши узел Административные шаблоны (Administrative Templates) и выполнить команду Добавление и удаление шаблонов (Add/Remove Templates). Некоторые поставщики программного обеспечения предоставляют административные шаблоны в качестве централизованного механизма управления конфигурацией своих приложений. Например,
вцентре загрузки Microsoft доступны все административные шаблоны для всех версий Microsoft Office. Вы также можете создавать собственные настраиваемые административные шаблоны. Создание настраиваемых административных шаблонов в данном руководстве не рассматривается.
Вверсиях Windows ниже Windows Vista для административного шаблона используется расширение .adm. При работе с файлами A D M необходимо учесть следующее. Во-первых, нужно выполнить всю локализацию, то есть для создания файла ADM, используемого при развертывании конфигурации
вмногоязычной организации, потребуются отдельные A D M - ф а й л ы для каждого языка — они предоставят пользовательский интерфейс администраторам, говорящим на этих языках. А для того чтобы впоследствии модифицировать параметры реестра, управляемые этими шаблонами, придется внести изменения в каждый файл ADM. Во-вторых, файл A D M хранится как компонент объекта GPT в папке SYSVOL. Если он используется во множестве объектов GPO, то сохраняется много раз, занимая пространство папки SYSVOL. Кроме
Занятие 1 |
|
Реализация групповой политики |
2 4 5 |
||
того, следует обратить особое |
в н и м а н и е на |
недостатки поддержки контроля |
|||
версии файлов |
A D M . |
|
|
|
|
В Windows Vista и W i n d o w s Server 2008 |
а д м и н и с т р а т и в н ы й шаблон пред- |
||||
ставляет собой |
пару X N L - ф а й л о в : один с р а с ш и р е н и е м .admx, указывающий |
||||
изменения в реестре, в т о р о й |
с р а с ш и р е н и е м .adml, |
п р е д о с т а в л я ю щ и й |
в ре- |
||
дакторе G P M E |
и н т е р ф е й с с |
я з ы к о м п о л ь з о в а т е л я . |
И з м е н е н и я параметров, |
||
управляемых а д м и н и с т р а т и в н ы м и ш а б л о н а м и , в н о с я т с я в один ф а й л A D M X . |
|||||
Все администраторы, м о д и ф и ц и р у ю щ и е объект G P O , который использует этот |
|||||
шаблон, п о л у ч а ю т д о с т у п к о д н о м у ф а й л у |
A D M X и |
в ы з ы в а ю т соответствую- |
|||
щий файл A D M L , ч т о б ы з а п о л н и т ь пользовательский интерфейс . |
|
||||
ПРИМЕЧАНИЕ |
Совместимость шаблонов |
|
|
|
|
Административные шаблоны ADM и A D M X / A D M L могут сосуществовать. |
|
||||
Центральное хранилище
Как м ы у ж е г о в о р и л и , ф а й л ы |
A D M х р а н я т с я как компонент объекта G P O . |
|||
В процессе р е д а к т и р о в а н и я |
G P O , п р и м е н я ю щ е г о административные шаблоны |
|||
в формате A D M , р е д а к т о р |
G P M E з а г р у ж а е т шаблон A D M из объекта GPC, |
|||
чтобы создать |
п о л ь з о в а т е л ь с к и й и н т е р ф е й с . Е с л и в качестве административ- |
|||
ных шаблонов |
з а д е й с т в у ю т с я |
ф а й л ы A D M X / A D M L , объект G P O |
содержит |
|
только данные, н е о б х о д и м ы е |
к л и е н т а м д л я обработки групповой |
политики, |
||
а при р е д а к т и р о в а н и и G P O |
р е д а к т о р G P M E извлекает ф а й л ы A D M X и A D M L |
|||
на локальной |
р а б о ч е й с т а н ц и и . |
|
||
Эти методы э ф ф е к т и в н ы в н е б о л ь ш и х организациях, однако для комплексных сред, в к л ю ч а ю щ и х н а с т р а и в а е м ы е административные шаблоны или нуждающихся в более ц е н т р а л и з о в а н н о м управлении, в Windows Server 2008 имеется центральное х р а н и л и щ е — о т д е л ь н а я п а п к а в SYSVOL, которая содержит все необходимые ф а й л ы A D M X и A D M L . П о с л е настройки центрального хранилища редактор G P M E р а с п о з н а е т его и загружает все административные шаблоны из ц е н т р а л ь н о г о х р а н и л и щ а , а не из х р а н и л и щ а локального компьютера.
Д л я того ч т о б ы с о з д а т ь ц е н т р а л ь н о е х р а н и л и щ е , создайте папку PolicyDe- f i n i t i o n s B n a n K e \ \ F Q . D N \ S Y S V O L \ F Q D N \ P o l i c i e s . Например, для домена contoso. com н е о б х о д и м о с о з д а т ь ц е н т р а л ь н о е х р а н и л и щ е \ \ c o n t o s o . c o m \ S Y S V O L \ c o n t o s o . c o m \ P o l i c i e s \ P o l i c y D e f i n i t i o n s . З а т е м ск опи руйте все ф а й л ы из папки % S y s t e m R o o t % \ P o l i c y D e f i n i t i o n s с и с т е м ы W i n d o w s Server 2008 в новую папку PolicyDefinitions в S Y S V O L . Н у ж н о с к о п и р о в а т ь ф а й л ы .admx и ф а й л ы .adml в языковой подпапке % S y s t e m R o o t % \ P o l i c y D e f i n i t i o n s . Скажем, ф а й л ы A D M L для русского я з ы к а л о к а л и з о в а н ы в папке % S y s t e m R o o t % \ P o l i c y D e f i n i t i o n s \ ru-RU. Скопируйте их в п а п к у \ \ F Q D N \ S Y S V O L \ F Q D N \ P o l i c i e s \ r u - R U . Если требуются д о п о л н и т е л ь н ы е я з ы к и , с к о п и р у й т е папку с ф а й л а м и A D M L в центральное х р а н и л и щ е . Т а к и м образом, п а п к а PolicyDefinitions на контроллере домена д о л ж н а с о д е р ж а т ь ф а й л ы A D M X , а т а к ж е одну и л и несколько папок с языковыми ф а й л а м и A D M L .
Занятие 1 |
Реализация групповой политики |
2 4 7 |
но добавлять комментарии. Дважды щелкните параметр политики и перейдите на вкладку Комментарий (Comment) . Комментарии добавляются в отконфигурированные параметры политики (чтобы задокументировать назначение параметра и его действие) и в сам объект GPO . Система Windows Server 2008 позволяет добавлять комментарии к объектам групповой политики. В дереве консоли редактора G P M E щелкните правой кнопкой мыши корневой узел и выполните команду Свойства (Properties), после чего перейдите на вкладку Комментарий (Comment) . •
Начальные объекты групповой п о л и т и к и |
| |
Еще одним новым компонентом групповой политики Windows Server 2008 является узел Начальные объекты групповой политики (Starter GPOs). Начальный объект групповой политики содержит параметры административных шаблонов. На основе начального G P O можно создать новый объект GPO, в который будут предварительно скопированы параметры начального GPO. В свою очередь, начальный объект G P O является шаблоном. К сожалению, корпорация Microsoft уже применила слово шаблон в контексте административных шаблонов, а другого слова не нашлось. При создании нового объекта GPO можно выбрать пустой G P O , один из предварительно существующих начальных объектов G P O или настраиваемый начальный объект GPO.
ПРИМЕЧАНИЕ Начальные объекты GPO
Начальные объекты групповой политики содержат только параметры административных шаблонов. В контейнер Объекты групповой политики (Group Policy Objects) консоли Управление групповой политикой (Group Policy Management) можно копировать и вставлять целые объекты GPO, получая таким образом объекты групповой политики со всеми параметрами начального GPO. Для передачи параметров между объектами GPO в различных доменах или лесах щелкните правой кнопкой мыши объект GPO и выполните команду Архивировать (Back Up). В конечном домене создайте новый объект GPO, щелкните его правой кнопкой мыши и выполните команду Импорт параметров (Import Settings). Вы можете импортировать параметры архивированного объекта GPO.
Управляемые и неуправляемые п а р а м е т р ы политики
Если говорить о параметрах политики реестра, конфигурируемых узлом Административные шаблоны (Administrative Templates), то важно понимать разницу между управляемыми и неуправляемыми параметрами политики. Параметры политики реестра, о которых шла речь до сих пор и которые модифицируются на практических занятиях в этой главе, являются примерами управляемых политик. Управляемые параметры политики влияют на тип изменения конфигурации при применении параметра объектом GPO . Когда пользователь или компьютер больше не подпадает под область действия объекта GPO, конфигурация автоматически возвращается в исходное состояние. Например, если удалить или отключить объект G P O , запрещающий доступ к средствам редактирования реестра, пользователи получат доступ к средствам редактирования реестра при следующем обновлении политики.