3-2 Основи планування та адміністрування служб доступу до інформаційних ресурсів / ЛБ / Книга Active directory
.pdf248 |
Инфраструктура групповой политики |
Глава 6 |
Неуправляемые параметры политики вносят постоянные изменения в реестр. Если объект GPO больше не применяется, изменение параметра остается в реестре. Такое изменение называется татуировкой реестра. Чтобы отменить результат применения параметра политики, нужно вернуть изменение, которое возвращает конфигурацию в нужное состояние.
По умолчанию редактор GPME скрывает неуправляемые параметры политики, чтобы пользователь не внес случайно изменения, которые сложно отменить. Тем не менее среди неуправляемых параметров политики есть много довольно полезных параметров, в частности для настраиваемых административных шаблонов, управляющих конфигурацией приложений. Д л я того чтобы управлять видимостью параметров политики, следует щелкнуть правой кнопкой мыши узел Административные шаблоны (Administrative Templates), выполнить команду Параметры фильтра (Filter Options) и в раскрывающемся списке Управляемый (Managed) выбрать нужную опцию.
Практические занятия. Реализация групповой политики
В предложенных далее упражнениях вы отконфигурируете домен contoso.com
спомощью групповой политики, создадите, отконфигурируете и определите области действия для объектов групповой политики, а также примените новые компоненты групповой политики в'Windows Server 2008.
Упражнеиие 1. Создание, редактирование и определение области действия объекта групповой политики
Создайте объект GPO, который реализует параметр обязательной политики безопасности Contoso, Ltd с областью действия для всех пользователей
икомпьютеров в домене.
1.Войдите на машину SERVER01 как администратор.
2.В группе Администрирование (Administrative Tools) откройте консоль Управление групповой политикой (Group Policy Management).
3.Разверните лес и домен contoso.com и откройте контейнер Объекты групповой политики (Group Policy Objects).
4.В дереве консоли щелкните правой кнопкой мыши контейнер Объекты групповой политики и выполните команду Создать (New).
5.В поле Имя (Name) введите имя CONTOSO Стандарты. Щелкните ОК .
6.Щелкните правой кнопкой мыши объект CONTOSO Стандарты и выполните команду Изменить (Edit). Откроется Редактор управления групповыми политиками (Group Policy Management Editor).
7.В консоли щелкните правой кнопкой мыши корневой узел C O N T O S O Стандарты и выполните команду Свойства (Properties).
8.Перейдите на вкладку Комментарий (Comment) и введите комментарий
«Стандарты корпоративных политик Contoso. Параметры влияют на всех пользователей и компьютеры в домене. Ответственное лицо за объект GPO: ваше имя». Щелкните ОК.
Вэтом сценарии корпоративная политика безопасности Contoso указывает, что компьютеры нельзя оставлять без присмотра и входить на них после
Занятие 1 |
|
|
Реализация групповой политики |
2 4 9 |
|
10 мин. простоя . Д л я того ч т о б ы |
в ы п о л н и т ь это требование, конфигури- |
||||
руется в р е м я |
о ж и д а н и я э к р а н н о й з а с т а в к и и параметры политики |
пароля |
|||
з а щ и т ы э к р а н н о й |
з а с т а в к и . Д л я |
л о к а л и з а ц и и |
э т и х параметров политики |
||
п р и м е н я ю т с я |
н о в |
ы е п о и с к о в ы е в о з м о ж н о с т и |
W i n d o w s Server 2008. |
|
|
9. Разверните узел К о н ф и г у р а ц и я пользователя\Политики\Административные ш а б л о н ы ( U s e r C o n f i g u r a t i o n \ P o l i c i e s \ A d m i n i s t r a t i v e Templates).
10. П р о с м о т р и т е п а р а м е т р ы в э т о м узле . П р о ч и т а й т е описание интересующих вас п а р а м е т р о в п о л и т и к и . Не в н о с и т е и з м е н е н и я в конфигурацию.
11. В узле К о н ф и г у р а ц и я п о л ь з о в а т е л я ( U s e r Configuration) щелкните правой
|
кнопкой |
м ы ш и у з е л А д м и н и с т р а т и в н ы е ш а б л о н ы (Administrative Templates) |
|||||||||||||||||||
|
и в ы п о л н и т е к о м а н д у П а р а м е т р ы ф и л ь т р а ( F i l t e r |
Options) . |
|
|
|||||||||||||||||
12. Установите ф л а ж о к В к л ю ч и т ь ф и л ь т р ы |
по к л ю ч е в ы м словам (Enable Key- |
||||||||||||||||||||
|
w o r d Filters) . |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
13. В текстовом |
п о л е |
Ф и л ь т р ы |
по |
с л о в а м |
( F i l t e r |
for |
W o r d ( s ) ) введите |
слова |
|||||||||||||
|
экранная |
|
заставка. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
14. |
В р а с к р ы в а ю щ е м с я с п и с к е в о з л е т е к с т о в о г о п о л я выберите опцию Точное |
||||||||||||||||||||
|
(Exact) . |
Щ е л к н и т е |
О К . |
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
П а р а м е т р ы |
п о л и т и к и а д м и н и с т р а т и в н ы х ш а б л о н о в |
будут отфильтрованы |
||||||||||||||||||
|
для о т о б р а ж е н и я |
|
п а р а м е т р о в |
со |
с л о в а м и экранная |
заставка. |
|
|
|||||||||||||
15. П р о с м о т р и т е |
н а й д е н н ы е |
|
п о л и т и к и |
|
э к р а н н о й |
заставки . |
|
|
|||||||||||||
16. |
В |
узле |
П а н е л ь у п р а в л е н и я \ О к н о |
с в о й с т в э к р а н а |
( C o n t r o l Panel\Display) |
||||||||||||||||
|
щ е л к н и т е |
п а р а м е т р п о л и т и к и |
Т а й м а у т э к р а н н о й |
з а с т а в к и (Screen |
Saver |
||||||||||||||||
|
T i m e o u t ) . |
В |
л е в о й |
ч а с т и |
п а н е л и с в е д е н и й к о н с о л и отобразится описание |
||||||||||||||||
|
параметра . |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
17. Д в а ж д ы |
щ е л к н и т е |
п а р а м е т р |
п о л и т и к и |
Т а й м а у т э к р а н н о й заставки |
(Screen |
||||||||||||||||
|
Saver T i m e o u t ) . |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
18. |
П р о с м о т р и т е |
о б ъ я с н е н и е |
на |
в к л а д к е О б ъ я с н е н и е |
(Explain). |
|
|
||||||||||||||
19. |
П е р е й д и т е |
на |
в к л а д к у |
п а р а м е т р |
( S e t t i n g ) и |
в ы б е р и т е о п ц и ю Включен |
|||||||||||||||
|
(Enabled) . |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
20. |
В |
поле |
С е к у н д ы |
( S e c o n d s ) в в е д и т е |
з н а ч е н и е |
600. |
|
|
|
|
|
||||||||||
21. |
На |
в к л а д к е |
К о м м е н т а р и й |
( C o m m e n t ) |
в в е д и т е <?Корпоративная политика |
||||||||||||||||
|
безопасности |
реализована с помощью этой политики |
в |
комбинации |
|
с па- |
|||||||||||||||
|
рольной |
защитой |
экранной |
|
заставки». |
Щ е л к н и т е |
О К . |
|
|
|
|||||||||||
22. |
Д в а ж д ы щ е л к н и т е |
п а р а м е т р |
п о л и т и к и И с п о л ь з о в а т ь |
парольную |
защиту |
||||||||||||||||
|
д л я э к р а н н ы х |
з а с т а в о к ( P a s s w o r d P r o t e c t T h e |
Screen |
Saver). |
|
|
|||||||||||||||
23. |
Выберите |
о п ц и ю |
В к л ю ч и т ь |
( E n a b l e d ) . |
|
|
|
|
|
|
|
||||||||||
24. |
На в к л а д к е |
К о м м е н т а р и й |
( C o m m e n t ) введите |
«Корпоративная политика |
|||||||||||||||||
|
безопасности |
реализована с помощью этой политики |
в |
|
комбинации |
с |
поли- |
||||||||||||||
|
тикой |
таймаута |
|
экранной |
заставкиЩелкните |
|
О К . |
|
|
|
|||||||||||
25. Закройте |
р е д а к т о р |
G P M E . |
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
Изменения, |
в н е с е н н ы е в |
G P M E , с о х р а н я ю т с я |
в реальном времени. Такая |
|||||||||||||||||
|
команда, |
как С о х р а н и т ь |
( S a v e ) , |
отсут ствует . |
|
|
|
|
|
|
|||||||||||
250 |
Инфраструктура групповой политики |
Глава 6 |
26.В консоли Управление групповой политикой (Group Policy Management) щелкните правой кнопкой мыши домен contoso.com и выполните команду Связать существующий объект GPO (Link An Existing GPO) .
27.Выберите объект групповой политики CONTOSO Стандарты и щелкните ОК.
Упражнение 2. Просмотр результатов применения групповой политики
Проверьте результат применения параметра групповой политики, отконфигурнрованного в упражнении 1, а также попрактикуйтесь в обновлении политики вручную с помощью инструмента Gpupdate.exe.
1.На машине SERVER01 щелкните правой кнопкой мыши рабочий стол
ивыполните команду Персонализация (Personalize).
2.Щелкните ссылку Экранная заставка (Screen Saver).
3.Вы можете изменить время ожидания экранной заставки и ее отображение, начиная с экрана входа в систему. Закройте диалоговое окно Параметры экранной заставки (Screen Saver Settings).
4.Откройте окно командной строки и введите команду gpupdate.exe /force / boot/logoff.
Эти опции команды Gpudate.exe указывают на полное обновление групповой политики. Подождите, пока закончится обновление политик компьютера
ипользователя.
5.Вновь откройте диалоговое окно Параметры экранной заставки (Screen Saver Settings). Теперь вы не сможете изменить время ожидания и отображение экранной заставки.
Упражнение 3. Обзор объекта групповой политики
Просмотрев результаты применения GPO, проанализируйте сам объект GPO, чтобы лучше понять принцип внутренней работы групповой политики.
1.В контейнере Объекты групповой политики (Group Policy Objects) консоли Управление групповой политикой (Group Policy Management) выберите объект CONTOSO Стандарты.
2.В секции Связи (Links) вкладки Область (Scope) показаны связи GPO .
3.Перейдите на вкладку Параметры (Settings), чтобы просмотреть отчет о параметрах в объекте GPO.
Если включена-конфигурация повышенной безопасности Internet Explorer (Internet Explorer Enhanced Security Configuration, ESC), подтвердите добавление содержимого веб-узла about:security_mmc.exe в зону надежных узлов (Trusted Sites).
4.Щелкните ссылку Показать все (Show All) в верхней части отчета, чтобы развернуть все секции отчета. Как видите, в отчет добавлены комментарии к параметрам политики.
5.Наведите указатель мыши на имя политики Таймаут экранной заставки (Screen Save Timeout). Как видите, оно представляет собой гиперссылку. Щелкните ее, чтобы просмотреть объяснение данного параметра политики.
Занятие 1 Реализация групповой политики 251
6 Перейдите иа вкладку Таблица (Details), где отображаются ваши комментарии к объекту G P O вместе с информацией о номерах версии GPO.
7. Запишите уникальный код (Unique ID), отображаемый на вкладке Таблица (Details):
8. Откройте папку \\contoso . com\SYSVOL\contoso . com\Policies .
9. Дважды щелкните папку с именем, которое соответствует уникальному коду объекта G P O .
Эта папка представляет шаблон G P T объекта GPO .
У п р а ж н е н и е 4 . А н а л и з а д м и н и с т р а т и в н ы х шаблонов
Административные шаблоны содержат инструкции, с помощью которых редактор G P M E создает пользовательский интерфейс для настройки параметров политики Административные шаблоны (Administrative Templates) и указания изменений реестра, которые д о л ж н ы быть внесены на основе параметров политики. Проанализируйте административный шаблон.
1. Откройте папку %SystemRoot%\PolicyDefinitions.
2. Откройте папку r u - R U для русского региона и языка.
3. Дважды щелкните ф а й л ControlPanelDisplay.adml. Щелкните опцию Выбор программы из списка установленных программ (Select A Program From A List Of Installed Programs), а затем О К . Откройте файл с помощью программы Блокнот (Notepad) и щелкните ОК .
4. В меню Формат (Format) выберите параметр Перенос по словам (Word Wrap). 5. Выполните поиск текста ScreenSaverlsSecure.
6. Просмотрите метку параметров и текст объяснения в следующей строке. 7. Закройте ф а й л и перейдите к папке PolicyDefinitions.
8. Дважды щелкните файл ControlPanelDisplay.admx. Щелкните опцию Выбор программы из списка установленных программ (Select A Program From A List Of Installed Programs) и ОК . Откройте файл с помощью программы Блокнот (Notepad) и щелкните О К .
9. Найдите в файле приведенный ниже текст:
<policy name="ScreenSaverIsSecure" class="User" dlsplayName="$(string. ScreenSaverlsSecure)" explainText="$(string.Sc reenSaverlsSecu re_Help)" key="Software\Policies\Microsoft\Windows\Control Panel\Desktop"
' valueName="ScreenSaverIsSecure"> |
|
|
|
<parentCategory ref="Display" |
/> |
|
|
<supportedOn ref="windows:SUPP0RTED_Win2kSP1" /> |
|||
<enabledValue> |
|
|
|
<string>1</string> |
|
|
|
</enabledValue> |
|
|
|
<disabledValue> |
|
|
|
<string>0</string> |
|
|
|
</disabledValue> |
|
|
|
</policy> |
|
|
1 |
252 |
Инфраструктура групповой политики |
Глава 6 |
10.Идентифицируйте следующие элементы в шаблоне:
•имя параметра политики, которое отображается в редакторе GPME;
•текст объяснения параметра политики;
•ключ реестра и значение, измененное параметром политики;
•данные, помещаемые в реестр в случае включения политики;
•данные, помещаемые в реестр в случае отключения политики.
Упражнение 5. Создание центрального хранилища
Создайте центральное хранилище административных шаблонов, для централизации управления шаблонами.
1.В консоли Управление групповой политикой (Group Policy Management) щелкните правой кнопкой мыши объект групповой политики C O N T O S O Стандарты и выполните команду Изменить (Edit).
2.Разверните узел Конфигурация пользователя\Политики\Административные шаблоны (User Configuration\Policies\Administrative Templates).
3.Отметьте: в имени узла указано, что Определения политик (ADMX - фай - лы) получены с локального компьютера (Policy Definitions ( A D M X Files) Retrieved From The Local Machine).
4.Закройте Редактор GPME.
5.Откройте папку \\contoso.com\SYSVOL\contoso.com\Policies.
6.Создайте папку с именем Policy Definitions.
7. Скопируйте в созданную папку содержимое папки % S y s t e m R o o t % \ PolicyDefinitions.
8.В консоли Управление групповой политикой (Group Policy Management) щелкните правой кнопкой мыши объект CONTOSO Стандарты и выполните команду Изменить (Edit).
9.Разверните узел Конфигурация пользователя\Политики\Административные шаблоны (User Configuration\Policies\Administrative Templates).
10.Отметьте: в имени узла указано, что Определения политик (ADMX - фай - лы) получены с локального компьютера (Policy Definitions ( A D M X Files) Retrieved From The Local Machine).
Резюме
« Объекты групповой политики (GPO) содержат параметры политики, которые определяют конфигурацию. Если областью действия объектов G P O является сайт, домен или подразделение, к пользователям и компьютерам
в области действия GPO будут применены параметры политики GPO .
•Процессы на клиентских машинах Windows определяют объекты GPO, которые требуется загрузить и применить. Обработка групповой политики компьютера выполняется при загрузке и каждые последующие 90-120 мин.,
Занятие 1 |
|
|
|
|
|
Реализация групповой политики |
|
2 5 3 |
|||||||
|
а обработка |
п а р а м е т р о в |
п о л и т и к и |
п о л ь з о в а т е л я в ы п о л н я е т с я |
при |
входе |
|||||||||
|
и каждые п о с л е д у ю щ и е 9 0 - 1 2 0 м и н . |
|
|
|
|
|
|
|
|
||||||
• |
По умолчанию к л и е н т с к и е р а с ш и р е н и я C S E п р и м е н я ю т параметры только |
||||||||||||||
|
в случае и з м е н е н и я G P O . И с к л ю ч е н и е составляют параметры безопасности, |
||||||||||||||
|
которые п р и м е н я ю т с я к а ж д ы е 16 |
часов н е з а в и с и м о от |
|
и з м е н е н и я |
G P O . |
||||||||||
|
Клиентские |
р а с ш и р е н и я |
|
C S E м о ж н о |
к о н ф и г у р и р о в а т ь |
д л я |
повторного |
||||||||
|
применения |
п а р а м е т р о в |
п р и к а ж д о м |
о б н о в л е н и и политики, |
а также для |
||||||||||
|
применения |
и л и о т к а з а от |
и с п о л ь з о в а н и я п о л и т и к и п р и л о ж е н и я в случае |
||||||||||||
|
обнаружения |
м е д л е н н о г о |
п о д к л ю ч е н и я . |
|
|
|
|
|
|
|
|||||
• |
В г р у п п о в у ю |
п о л и т и к у |
W i n d o w s |
S e r v e r 2 0 0 8 в к л ю ч е н |
узел |
Настройка |
|||||||||
|
(Preferences), |
к о т о р ы й д о б а в л я е т |
более 20 к л и е н т с к и х |
расширений |
CSE |
||||||||||
|
для у п р а в л е н и я о б ш и р н ы м |
к о л и ч е с т в о м |
п а р а м е т р о в |
пользователя |
или |
||||||||||
|
компьютера. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
• |
А д м и н и с т р а т и в н ы е ш а б л о н ы |
( ф а й л ы |
.adm, |
а т а к ж е .admx и .adml) опреде- |
|||||||||||
|
ляют п о л ь з о в а т е л ь с к и й |
и н т е р ф е й с и |
и з м е н е н и я реестра для |
|
параметров |
||||||||||
|
политики в |
у з л е А д м и н и с т р а т и в н ы е |
ш а б л о н ы (Administrative |
Templates) |
|||||||||||
объекта G P O .
•Управление а д м и н и с т р а т и в н ы м и ш а б л о н а м и можно централизовать путем
создания ц е н т р а л ь н о г о х р а н и л и щ а .
• В Windows Server 2 0 0 8 т а к ж е д о б а в л е н а возможность прикрепления комментариев к объектам G P O и п а р а м е т р а м политики, а также создания новых объектов G P O на основе н а ч а л ь н ы х объектов групповой политики, которые содержат о с н о в н ы е п а р а м е т р ы п о л и т и к и административных шаблонов.
Закрепление материала
Далее следуют в о п р о с ы д л я п р о в е р к и з н а н и й , полученных на занятии 1. Эти
вопросы можно |
н а й т и и на с о п р о в о д и т е л ь н о м компакт-диске. |
ПРИМЕЧАНИЕ |
Ответы |
Ответы на вопросы с пояснениями, почему тот или иной вариант ответа является правильным или неправильным, вы найдете в разделе «Ответы» в конце книги.
1. Компания Litware, Inc с о д е р ж и т т р и бизнес - структуры, каждая из которых представлена п о д р а з д е л е н и е м в д о м е н е litvvareinc.com. Администраторам бизнес - структур н е о б х о д и м а в о з м о ж н о с т ь у п р а в л е н и я групповой политикой пользователей и к о м п ь ю т е р о в в своих подразделениях. Какие действия
нужно п р е д п р и н я т ь , |
ч т о б ы а д м и н и с т р а т о р ы могли полностью управлять |
||
групповой |
п о л и т и к о й |
в с в о и х б и з н е с - с т р у к т у р а х ? |
(Укажите все варианты. |
Каждый п |
р а в и л ь н ы й |
о т в е т я в л я е т с я л и ш ь частью |
полного решения.) |
А. Скопировать а д м и н и с т р а т и в н ы е ш а б л о н ы из центрального хранилища в папку PolicyDefinitions на р а б о ч и х с т а н ц и я х W i n d o w s Vista администраторшу
254 |
Инфраструктура групповой политики |
Глава 6 |
Б.Добавить администраторов бизиес-структур в группу Владельцы — создатели групповой политики (Group Policy Creator Owners) .
В. Делегировать разрешение Связывание объектов G P O (Link G P O s ) администраторам в домене litwareinc.com.
Г. Делегировать в подразделении бизнес-структуры разрешение С в я з ы - вание объектов GPO (Link GPOs) администраторам к а ж д о й бизнесструктуры.
2. Вы являетесь администратором компании Contoso, Ltd. Д о м е н c o n t o s o x o m содержит дочерний домен es.contoso.com для ф и л и а л а в И с п а н и и . Адми - нистраторы этого домена просят предоставить им интерфейс на испанском языке для редактора управления групповыми п о л и т и к а м и G P M E . К а к
предоставить такие версии административных шаблонов? |
|
A. Войти на контроллер домена es.contoso.com, з а т е м о т к р ы т ь |
п а п к у |
%SystemRoot%\SYSVOL\domain\Policies\PolicyDefinitions и |
скопи - |
ровать файлы ADM в папку ES. |
|
Б. Скопировать файлы A D M L в папку \ \ e s . c o n t o s o . c o m \ S Y S V O L \ es.contoso.com\policies\PolicyDefinitions\es.
B. Войти на контроллер домена es.contoso.com, открыть папку %SystemRoot%\ SYSVOL\domain\Policies\PolicyDefinitions и с к о п и р о в а т ь ф а й л ы ADMX в папку ES.
Г. Установить файл Boot.win с компакт-диска W i n d o w s Server 2008 на контроллере дочернего домена.
3.Вы работаете администратором в компании Contoso Ltd. На к о н ф е р е н ц и и администратор компании Fabrikam, Inc попросил с к о п и р о в а т ь представ - ленную вами успешную конфигурацию, развернутую с п о м о щ ь ю объекта GPO, в его домен. Каким образом выполнить эту операцию вместе с адми - нистраторами Fabrikam?
A. Щелкнуть правой кнопкой мыши объект групповой п о л и т и к и C o n t o s o и выполнить команду Сохранить отчет (Save Report) . С о з д а т ь объект GPO в домене Fabrikam, щелкнуть его правой к н о п к о й м ы ш и и в ы п о л - нить команду Импорт параметров (Import).
Б. Щелкнуть правой кнопкой мыши объект групповой п о л и т и к и C o n t o s o и выполнить команду Архивировать (Back Up). В домене Fabrikam щелкнуть правой кнопкой мыши контейнер Объекты групповой п о л и т и к и (Group Policy Objects) и выполнить команду Восстановить из архива (Restore From Backup).
B. Щелкнуть правой кнопкой мыши объект групповой п о л и т и к и C o n t o s o и выполнить команду Архивировать (Back Up) . В д о м е н е F a b r i k a m создать объект GPO, щелкнуть его правой кнопкой м ы ш и и в ы п о л н и т ь команду Вставить (Paste).
Г. Щелкнуть правой кнопкой мыши объект групповой п о л и т и к и Contoso и выполнить команду Архивировать (Back Up) . В д о м е н е Fabrikam создать объект GPO, щелкнуть его правой кнопкой м ы ш и и в ы п о л н и т ь команду Импорт параметров (Import).
Занятие 2
Занятие 2. Управление областью действия
групповой политики
Сам по себе объект групповой политики — это всего лишь коллекция инструкций конфигурации, обрабатываемых клиентскими расширениями CSE компьютеров. Пока для объекта G P O не определена область действия, он не будет применяться к пользователям и компьютерам. Область действия GPO определяет компьютеры, CSE-расширения которых будут получать и обрабатывать GPO, а параметры в этом G P O будут применяться только к пользователям и компьютерам в области действия G P O . Д л я определения области действия GPO используется несколько механизмов:
• связь G P O с сайтом, доменом или подразделением и включение этой связи;
•опция Принудительный (Enforce) объекта GPO;
• опция Блокировать наследование (Block Inheritance) объекта GPO;
•фильтрация наследования групп;
• фильтрация W M I ;
•включение и отключение узла политики;
•нацеливание настройки;
•обработка замыкания политики .
Поскольку необходимо уметь определять пользователей и компьютеры, для которых развертывается конфигурация, вы должны научиться работать с областью действия G P O . На этом занятии мы рассмотрим все механизмы, с помощью которых назначается область действия GPO, а также концепции применения, наследования и приоритетов групповой политики.
Изучив материал этого занятия, вы сможете:
S Управлять связями GPO.
Оценивать параметры наследования и приоритет GPO.
S Понимать принцип работы опций Блокировать наследование (Block Inheritance) и Принудительный (Enforce).
Использовать фильтрацию безопасности для ограничения области действия GPO.
SПрименять фильтр WMI к объекту GPO. Реализовывать обработку замыкания политики.
Продолжительность занятия — около 90 мин,
Связи объектов GPO
Объект G P O можно связать с одним или несколькими сайтами, доменами или подразделениями Active Directory, после чего пользователи или компьютеры, в этом контейнере, включая компьютеры пользователей в дочерних подразделениях, подпадают под область действия GPO .
Как уже говорилось ранее, на занятии 1, объект G P O можно привязать к домену или подразделению, щелкнув его правой кнопкой мыши и выполнив
Занятие 2 |
Управление областью действия групповой политики |
257 |
GPO и связать этот G P O |
с каждым подразделением. Изменения, внесенные |
|
позже в GPO, будут применены ко всем подразделениям, с которыми связан объект GPO.
Удаление и о т к л ю ч е н и е связи объекта G P O
После связывания объекта G P O эта связь указывается в консоли GPMC на значке сайта, домена или подразделения. Связь G P O обозначена небольшой стрелкой на значке. Щ е л ч к о м правой кнопкой мыши связи G P O открывается контекстное меню (рис. 6-7).
Рис. 6-7. Контекстное меню связи объекта GPO
Связь G P O можно удалить с помощью команды Удалить (Delete) в контекстном меню. При удалении связи G P O объект G P O не удаляется и остается в контейнере Объекты групповой политики (Group Policy Objects). Удаление связи изменяет область действия объекта G P O , который больше не применяется к компьютерам и пользователям внутри узла, домена или подразделения, с которым был раньше связан.
Для того чтобы отключить связь G P O , щелкните ее правой кнопкой мыши и сбросьте ф л а ж о к Связь включена (Link Enabled). После этого изменится область действия объекта G P O , который больше не будет применяться к компьютерам и пользователям внутри контейнера. Следует отметить, что эту связь можно включить повторно.
Наследование и приоритеты объектов GPO
Объекты G P O , в которых отконфигурирован один и тот же параметр политики, могут конфликтовать друг с другом. Например, если параметр политики включен в одном G P O , отключен в другом и не задан в третьем, то приоритет объектов G P O определяет, какой параметр политики будет применен к клиенту. Объект G P O с более высоким приоритетом превалирует над объектом GPO с более низким приоритетом. Приоритет отображается в консоли GPMC в виде номера: чем меньше его значение, тем выше приоритет, так что GPO с порядком 1 превалирует над другими объектами GPO . Чтобы определить приоритет каждого GPO, выберите домеи или подразделение, а затем перейдите на вкладку Наследование групповой политики (Group Policy Inheritance).