3. Налаштування групових політик в active directory
В основі GP(group policy) лежать параметри налаштування політики - спеціальні атрибути, які наказують порядок здійснення контролю за всіма аспектами конфігурування ОС Windows. Параметри налаштування політики призначені для кожного зареєстрованого користувача або комп'ютера. Це можуть бути налаштування безпеки, що стосуються обмежень аудиту, реєстрації подій і входу в систему; виконання сценаріїв при запуску, завершенні роботи вході і виході з неї, інсталяції ПЗ, переадресації користувача тек і маніпулювання реєстром згідно шаблонам адміністрування.
Структура параметрів налаштування політики може нарощуватися за допомогою конфігураційних файлів, відомих як ADM-шаблони. Якщо для певної програми у вашій організації є свій ADM-шаблон, можна, управляти налаштуваннями цього додатка з використанням групової політики.
Щоб застосувати установки політики до AD-оточення, спочатку потрібно зконфігурувати об'єкт групової політики (Group Policy Object - GPO), що знаходиться в домені AD в спеціальній папці з ім'ям "Group Policy Objects". GPO - це пойменована колекція сконфігурованих налаштувань політики. При цьому найкраще конфігурувати тільки ті настановні параметри, які дійсно необхідні для виконання адміністраторських завдань усередині GPO. Якщо для дотримання корпоративної політики безпеки потрібно на кожному комп'ютері задіяти міжмережевий екран Windows, можна створити GPO з ім'ям "Default Windows Firewall Settings" і настроїти установки таким чином, щоб забезпечити необхідну роботу МЕ на відповідних робочих станціях, на зразок того, як це робиться в панелі управління Windows. Слід зауважити, що якщо цільова операційна система не "зрозуміє" задану налаштування, то вона просто проігнорує її.
Налаштування політики в GPO не будуть приведені в дію до тих пір, поки не буде повязаний об'єкт з сайтом AD, доменом або організаційною одиницею (Organizational Unit - OU). Як тільки GPO асоціюється з сайтом, доменом або OU, налаштування політики активізуються щодо користувачів і комп'ютерів, визначених у рамках відповідного контейнера. "Прив'язавши" GPO до рівня домену, тим самим використовуються налаштування політики до всіх робочих станцій Windows XP і серверів Windows 2003 в цьому домені. Якщо ж замість цього GPO прив'язати до організаційної одиниці Product Management Group (PMG), то налаштування міжмережевого екрану почнуть діяти тільки усередині цієї OU. Один GPO може бути прив'язаний, наприклад, до кількох OU, а сайт, домен або OU, в свою чергу, - мати зв'язки з декількома об'єктами групової політики.
Гнучкість прив'язування GPO змушує звернути увагу на три наступні принципи:
По-перше, застосування GPO в певному контексті дозволяє створювати вузькоспеціалізовані об'єкти під конкретні завдання. Дані об'єкти можна застосовувати до відповідних рівнів AD, замість того щоб "звалювати" всі установки в загальні GPO рівня сайту, домену або організаційної одиниці. При останньому сценарії копії одних і тих же налаштувань політики зберігалися б у різних місцях, що обернулося б справжнім кошмаром для адміністратора.
По-друге, можливість прив'язування GPO дуже зручна для тестування нових конфігурацій. Так, можна спочатку прив'язати об'єкт до тестової OU і на ній перевірити всі налаштування, перш ніж прив'язувати його до реальної організаційної одиниці з реальними користувачами і комп'ютерами.
По-третє, структура організаційної одиниці в дереві AD повинна бути такою, щоб максимально сприяти використанню об'єктів, - важко, наприклад, застосувати установки МЕ тільки до робочих станцій Windows XP, якщо в організаційній одиниці, до якої прив'язується відповідний об'єкт групової політики, існують одночасно і сервери і робочі станції.