Файловый архив студентов. Файловый архив студентов.
1271 вуз, 4672 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Белорусский государственный университет информатики и радиоэлектроники
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:

Книга Active directory

.pdf
Скачиваний:
566
Добавлен:
16.03.2016
Размер:
8.2 Mб
Скачать

258

Инфраструктура групповой политики

Глава 6

Если в GPO с более высоким приоритетом параметр политики включен или отключен, отконфигурированный параметр будет применен к клиенту. Однако не забывайте, что по умолчанию параметры политики не заданы (Not Configured). Если в GPO с более высоким приоритетом параметр политики не задан, будет применен параметр политики (включенный или отключенный)

вGPO с более низким приоритетом.

Ссайтом, доменом или подразделением можно связать множество объектов GPO. В таком сценарии объекты GPO с более высоким порядком ссылок имеют приоритет перед объектами GPO с более низким порядком ссылок. При выборе подразделения в консоли GPMC вкладка Связанные объекты групповой политики (Linked Group Policy Objects) отображает порядок ссылок объектов GPO, связанных с подразделением.

Поведение групповой политики по умолчанию заключается в том, что этот GPO связывается контейнером более высокого уровня и наследуется дочерними контейнерами. При запуске компьютера или входе пользователя клиент групповой политики анализирует размещение объекта компьютера или пользователя в Active Directory и оценивает объекты GPO, в область действия которых включен компьютер или пользователь. Затем расширения клиентской стороны применяют параметры политики из этих объектов G P O . Политики применяются последовательно: связанные с сайтом, затем с доменом и, наконец, связанные с подразделениями (от подразделения первого уровня до подразделения, в котором расположен объект пользователя или компьютера). В такой многослойной схеме приложения параметров политики объект G P O с более высоким приоритетом позже заменит параметры, применявшиеся ранее. Этот порядок применения политик по умолчанию продемонстрирован на рис. 6-8.

СОВЕТ К ЭКЗАМЕНУ

Запомните порядок обработки политик домена по умолчанию: сайт, домен, подразделение. Помните, что параметры политики домена применяются позже и, следовательно, превалируют над параметрами в локальных объектах GPO.

Результатом такого последовательного применения объектов G P O является наследование политики. Результирующим набором групповых политик для пользователя или компьютера будет кумулятивный результат применения политики сайта, домена и подразделения.

По умолчанию унаследованные объекты GPO обладают более низким приоритетом, чем объекты GPO, непосредственно связанные с контейнером. В качестве упражнения отконфигурируйте параметр политики, чтобы отключить использование средств редактирования реестра всеми пользователями в домене, настроив этот параметр политики в объекте GPO, связанном с доменом. Этот GPO и его параметры политики будут наследоваться всёмй пользователями в домене. Однако администраторам может потребоваться использовать средства редактирования реестра, поэтому к подразделению с учетными записями администраторов можно привязать GPO и отконфигурировать параметр политики, разрешающий использовать средства редактирования реестра. Поскольку объект GPO, связанный с подразделениями администраторов, обладает более

Занятие 2

 

Управление областью действия групповой политики

2 5 9

 

 

 

 

высоким

п р и о р и т е т о м ,

ч е м у н а с л е д о в а н н ы й

о б ъ е к т G P O , администраторы

смогут использовать средства р е д а к т и р о в а н и я

реестра. П р и м е р такой конфи-

гурации

показан на рис .

6-9.

 

 

Порядок обработки объектов GPO для подразделения подрядчиков = 1, 2,3,4, 5 Порядок обработки объектов GPO для подразделения ноутбуков = 1,2, 6,7

Рис. 6-8. Обработка объектов GPO, привязанных к сайту, домену и подразделению

У г р а ве лн « е гз у г т ю в о йп о л и т и к о м

А

д

л и к тир со т о р ы

 

 

 

 

 

 

 

 

 

 

 

 

 

i ^Л е сa j f i t c s o . c a n

 

С п я И и н о« гз еъ е к г т р ы, т ю с вг ок >й л * т и « л

Н а с л е д от в р а ун т» о* вг о юй л

м J м

 

 

 

j

 

 

 

 

 

 

3

c n n t o s o . c o m

 

Э т о

т с л и с см кв z c

& p j а a« nъ е *

т т с

тв ю с

в п оо гй

и

т и < ги

р и а я а а

» c» a*

#. T» 4* Оопапъпгыь*w

с а « !

 

 

 

' . ] [ C O N T O СS Oт а н д а р

т ы

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Ш

D e f a Dd ot m a i nP o k y

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

3 3

3 § } D a n l Cno n t r o l l e r s

 

П р и о р и т е *т

G |P O

 

 

 

 

 

 

 

P a j M * 4 * v «

C W T J| * 1

 

 

|

£ 1

Ш G r c t p s

 

 

1

К

о г р

юп оп р

та дтж ли зява

н®

а*

я» » «

с т р а т с

р о о

А л - » * » < т р

в т е с ы ЬI

с ю

н

i t ;

k f c ;T e s t

 

 

2

D o m Da ?enоf

4» сj уi

 

 

 

 

 

 

 

В

к м Д нд

ч » « « с т > з г с 4 ы

Й

i ' i Ti e s t l

 

> ' w

3

С тO а Oн Nд аT рO т Sы O

 

 

 

 

 

 

Ь * яД о д|-

* * « с т р а т о р ы

.

А а ш « н с т р а т о

р ы

 

 

 

 

 

 

 

 

 

 

 

 

1

 

 

3 D

м . К а д р ы

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Я

{ f t . Ю м е и т ы

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

3

Ш С е р в е р ы

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Рис. 6-9. Вкладка

наследования групповой политики

 

 

 

 

 

 

 

 

 

Параметр п о л и т и к и , о г р а н и ч и в а ю щ и й и с п о л ь з о в а н и е средств редактирова-

ния реестра, определен в о б ъ е к т е г р у п п о в о й

п о л и т и к и C O N T O S O Стандарты,

связанном с д о м е н о м

c o n t o s o . c o m .

В

G P O

 

 

К о р п о р а т и в н а я политика для ад-

министраторов п а р а м е т р п о л и т и к и

р а з р е ш а е т и с п о л ь з о в а н и е

средств

редак-

тирования реестра.

О б ъ е к т

G P O а д м и н и с т р а т о р о в

связан с подразделением

Администраторы. П р и в ы б о р е п о д р а з д е л е н и я , как, например, Администраторы, на панели сведений к о н с о л и G P M C о т о б р а ж а е т с я вкладка Наследование групповой политики ( G r o u p Policy Inheritance), о п р е д е л я ю щ а я приоритет G P O для этого подразделения. К а к видите, с а м ы м в ы с о к и м приоритетом обладает G P O

260

Инфраструктура групповой политики

Глава 6

Корпоративная политика для администраторов. Все параметры в этом GPO, которые конфликтуют с параметрами в объекте групповой политики CONTOSO Стандарты, будут применены из объекта GPO администраторов. Поэтому средства редактирования реестра смогут применять только пользователи в подразделении Администраторы. Итак, приоритет по умолчанию гарантирует применение политики, определенной ближе всего к пользователю или компьютеру.

Приоритет множества связанных объектов групповой политики

Сподразделением, доменом или сайтом связывается множество объектов GPO.

Вслучае с множеством объектов групповой политики приоритет определяется порядком ссылок. На рис. 6-10 с подразделением Кадры связаны два объекта GPO. Объект с порядком ссылок 1 обладает более высоким приоритетом. Поэтому параметры, включенные или отключенные в объекте GPO Конфигурация опытных пользователей, будут иметь приоритет и заменят те же параметры в объекте GPO Конфигурация стандартных пользователей.

Кедры

Ce«M~»«o3w-,wrpF*wsa*no™nw j Ногми«л«е fp,moeofl roiwr»»., j Пегиггсовэнж: j

СОПЫО.ОП

Падяджvt

I GPO

|

Нет

j Сдаз

.

' С О К П Ж К т ж и * , ,

 

gjf

 

 

• .

' Wait Dow Рок)

 

Клттмия стодлрта» по/ъэоаат

 

№awi C c w o l c i

 

 

 

 

 

I £ Те*

 

 

 

 

 

. Test I

 

 

 

 

 

• . UMOUW,

 

 

 

 

 

в

Cow»

 

 

 

 

 

; Объел ci гр>тжн

 

 

 

 

 

r е>№й»«Hi

Рис. 6-10. Порядок ссылок объектов групповой политики

Блокирование наследования

Для того чтобы запретить наследование параметров политики, в редакторе GPME щелкните домен правой кнопкой мыши и выполните команду Блокировать наследование (Block Inheritance). Эта опция является свойством домена или подразделения и блокирует все параметры групповой политики из объектов GPO, связанных с родителями в иерархии групповой политики. Например, при блокировании наследования в подразделении применение объектов G P O начинается с объектов GPO, непосредственно связанных с этим подразделением, а объекты GPO, связанные с подразделениями более высоких уровней, доменом и сайтом, не применяются.

Блокирование рекомендуется использовать лишь изредка, поскольку оно усложняет оценку приоритетов и наследования групповой политики. В разделе «Модификация области GPO с помощью фильтров безопасности» описано, как определить область действия GPO, чтобы она охватывала только поднабор объектов или не применялась к нему. Кроме того, можно четко определить область действия GPO, чтобы объект применялся только к конкретным пользователям и компьютерам без необходимости в блокировании наследования.

Занятие 2

Управление областью действия групповой политики

261

Принудительное в к л ю ч е н и е связи G P O

Связь объекта G P O можно включить принудительно. Щелкните правой кнопкой мыши связь G P O и в контекстном меню (см. рис. 6-7) выберите команду Принудительный (Enforced). Если включить принудительную связь GPO, объект получит наивысший приоритет, а параметры политики в данном GPO будут превалировать над всеми конфликтующими параметрами из других объектов GPO. Кроме того, принудительно включенная связь будет применена ко всем дочерним контейнерам, даже если для них задано блокирование наследования. В случае принудительного включения связи политика применяется ко всем объектам в области действия. Таким образом, принудительные политики заменяют все конфликтующие политики и применяются независимо от параметров блокирования наследования.

На рис. 6-11 блокирование наследования политики применено к подразделению Клиенты (Clients). В результате объект G P O 1, применяемый к сайту, блокируется и не применяется к подразделению Клиенты (Clients), а объект GPO 2, принудительно связанный с доменом, применяется по-прежнему, да еще и последним в порядке обработки, то есть его параметры заменят параметры объектов G P O 6 и 7.

Порядок обработки объектов GPO для подразделения подрядчиков = 1,3,4, 5,2 Порядок обработки объектов GPO для подразделения ноутбуков = 6,7, 2

Рис. 6-11. Обработка политики с блокированием наследования и принудительным включением

При настройке G P O , который определяет конфигурацию, диктуемую корпоративной безопасностью IT и политиками использования, необходимо бьггь уверенным, что параметры не будут заменены параметрами из других объектов

262 Инфраструктура групповой политики Глава 6

GPO. Для этого можно включить принудительную связь объекта G P O . На рис. 6-12 показан именно такой сценарии. Конфигурация, диктуемая корпоративной политикой, развертывается в объекте групповой политики C O N T O S O Корпоративная безопасность и использование, который принудительно связан с доменом contoso.com. Эта связь GPO помечена значком в виде висячего замка, который обозначает принудительное включение связи. На вкладке Наследование групповой политики (Group Policy Inheritance) подразделения Кадры указано, что этот объект GPO обладает более высоким приоритетом, чем даже объекты GPO, непосредственно привязанные к подразделению Кадры.

Рис. 6-12. Приоритет обьекта GPO с принудительной связью

Чтобы оценить приоритет GPO, выберите подразделение (или домен) н перейдите на вкладку Наследование групповой политики (Group Policy Inheritance), где отображается результирующий приоритет объектов GPO, связи GPO, порядок ссылок, блокирование наследования и принудительное включение связей. Здесь не перечислены политики, связанные с сайтом, и не указана фильтрация безопасности и WMI объекта GPO.

СОВЕТ К ЭКЗАМЕНУ

Хотя опции блокирования наследования и принудительного включения связей рекомендуется использовать в инфраструктуре групповой политики только по мере крайней необходимости, на сертификационном экзамене 70-640 от вас потребуется доскональное знание обеих опций.

Модификация области действия GPO с помощью фильтров безопасности

Итак, вы уже знаете, как связать объект GPO с сайтом, доменом или подразделением. Однако вам может потребоваться применять объекты G P O только к определенным группам пользователей или компьютеров в области действия GPO. Хотя объект GPO нельзя непосредственно связать с группой безопасности, существует метод применения GPO к конкретным группам безопасности. Политики в объекте GPO применяются только к пользователям с разрешениями чтения (Allow Read) и применения групповой политики (Allow Apply Group Policy) к GPO.

Занятие 2

Управление областью действия групповой политики

263

Каждый объект G P O располагает списком контроля доступа ACL (Access Control List), который определяет разрешения доступа к GPO. Для применения GPO к пользователю или компьютеру требуются два разрешения: чтение (Allow Read) и применение групповой политики (Allow Apply Group Policy). Если под область действия G P O подпадает компьютер, как в случае связывания GPO с подразделением компьютера, однако этот компьютер не обладает разрешениями на чтение и применение групповой политики, он не будет загружать и применять объект GPO. Поэтому, отконфигурировав соответствующие разрешения для групп безопасности, вы сможете фильтровать G P O , чтобы его параметры применялись только к указанным компьютерам и пользователям.

По умолчанию группа Прошедшие проверку (Authenticated Users) обладает правом применения групповой политики в каждом новом GPO . Это означает, что по умолчанию все пользователи и компьютеры подпадают под область действия набора объектов G P O своего домена, сайта или подразделения независимо от других групп, членами которых они могут быть. Поэтому существует два способа фильтрации области действия G P O .

Удалите разрешение Применить групповую политику (Apply Group Policy) для этих групп, установив д л я разрешения флажок Запретить (Deny). Затем определите группы, к которым нужно применить объект GPO и назначить разрешения на чтение и применение групповой политики для этих групп, установив флажки Разрешить (Allow).

Определите группы, к которым не должен применяться объект GPO, и для этих групп напротив разрешения Применить групповую политику (Apply Group Policy) установите ф л а ж о к Запретить (Deny). После этого пользователь или компьютер не будет применять параметры политики GPO, даже если пользователь или компьютер является членом еще одной группы, которой разрешено применять групповую политику.

Фильтрация GPO для п р и м е н е н и я к к о н к р е т н ы м группам

Чтобы применить объект G P O к конкретной группе безопасности, выберите GPO в контейнере Объекты групповой политики (Group Policy Objects) консоли управления групповой политикой G P M C . В секции Фильтры безопасности (Security Filtering) выберите группу Прошедшие проверку (Authenticated Users) и щелкните кнопку Удалить (Remove). Чтобы подтвердить изменение, щелкните ОК, а затем кнопку Добавить (Add). Выберите группу, к которой хо- тите применить политику, и щелкните ОК . Таким образом, группа Прошедшие проверку (Authenticated Users) не будет указана, зато будет указана конкретная группа, к которой следует применить политику (рис. 6-13).

ПРИМЕЧАНИЕ Использование глобальных групп безопасности для фильтрации объектов GPO

Объекты GPO можно фильтровать только с помощью глобальных групп безопасности. Локальные группы безопасности в домене нельзя применять для фильтрации GPO.

2 6 4

Инфраструктура групповой политики

 

 

 

 

 

 

Глава 6

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

и

п в

к

т

-

' -

 

 

 

 

 

 

- Искать Деллвие Вчл &»«

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Справка

 

 

 

 

 

 

 

 

 

 

 

• *

В !Е'г

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

jh Ут**вле^« грутэеои

Конфигурацияnoiwrv»-^ опытных п о л ь з о в а т е л е й

 

 

 

 

 

 

 

 

 

 

 

 

В ф: £o*et*«

 

Область | Твбпли | Параметры | Делег*«е<*«е |

 

 

 

Связи

 

 

 

 

 

 

 

 

 

 

 

 

Е fi arteec.com

 

 

 

 

 

 

 

 

 

 

 

 

 

CONTOSO

Кос»**

 

 

 

 

 

 

 

 

 

 

 

 

 

СОГГТВОСтапД

С GPQ свихл-ч* спвц^едцив уам. И

 

 

 

 

 

,/ ОеЫЮопапРс

 

 

 

 

| Лрж-,яите»ънкЛ Связь задействованаП/ть

 

 

 

 

SC Graxs

 

 

 

Размещение

'

 

 

 

 

 

 

 

 

 

 

Я Кадры

 

 

 

 

Нет

 

Да

cortow.

 

 

 

 

• „ Адммораторь

 

<1

 

 

 

 

 

 

1

н

 

 

 

 

Е л. ta££ы

 

 

 

 

 

 

 

 

 

 

 

 

 

 

«Ьиыры беэопясмосщ

 

 

 

 

 

 

 

 

 

£ .3 ; KlWOfTB

 

 

 

Гаозметы GPO метут лстеивгьс* только кямгруппами ком, пьютерамэ:ъзова. тел

 

 

 

 

 

 

 

Им»

-

 

 

 

 

 

 

 

|

 

 

 

 

it „. Сесвкы

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

£f

Томнчвска» посдерхка

CONTOSO\Tej»w«KxaR

поддержка)

 

 

 

 

Е „•/ Обьехтъ групто

 

 

 

 

 

 

 

 

 

 

 

 

 

' CONTOSO Ко

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

' CONTOSO Ст:

 

 

 

 

 

|

Удели п>

|

Свойства

j

 

 

 

 

 

геЫлОатл Добавиъ

 

 

 

 

 

' OFAUFLDOMA

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Кои$мгур*>

 

 

 

 

 

 

 

 

 

 

 

 

 

Кэ^гурЛ*

 

 

Объект GPO CBJUSH сз 0!«д>'К>л»»'фигьтэом WMI.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Корпсрвтиим

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Новей обьес»

 

 

| отсутствуем

 

 

 

jJ

, OfШ 1

 

 

 

 

<1

1

>1

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Рис. 6-13. Фильтры безопасности объекта групповой политики

Исключение конкретных групп с помощью фильтрации GPO

К сожалению, иа вкладке Область (Scope) объекта G P O нельзя исключать конкретные группы. Чтобы запретить разрешение Применить групповую политику (Apply Group Policy), перейдите на вкладку Делегирование (Delegation)

ищелкните кнопку Дополнительно (Advanced). В диалоговом окне Параметры безопасности (Security Settings) щелкните Добавить (Add), выберите группу, которую хотите исключить из GPO, и щелкните ОК. Выбранная группа по умолчанию получит разрешение чтения (Allow Read). Сбросьте этот флажок

инапротив разрешения Применить групповую политику (Apply Group Policy) установите флажок Запретить (Deny). На рис. 6-14 запрещено разрешение Применить групповую политику (Apply Group Policy) для группы Техническая поддержка, которая таким образом исключается из области действия GPO .

Когда вы щелкните ОК в диалоговом окне Параметры безопасности (Security Settings), отобразится предупреждение о том, что заданный элемент запрета имеет более высокий приоритет, чем элементы разрешения (поэтому использовать элементы запрета рекомендуется только по мере крайней необходимости). Таким образом система Microsoft Windows напоминает, что процесс исключения групп с помощью элемента запрета применения групповой политики является более трудоемким, чем включение групп в секцию Фильтры безопасности (Security Filtering) на вкладке Область (Scope).

ПРИМЕЧАНИЕ Элементы запрета разрешения не отображаются на вкладке Область

К сожалению, исключенные группы не отображаются в секции Фильтры безопасности (Security Filtering) на вкладке Область (Scope). Это еще одна причина, по которой элемент запрета (Deny) рекомендуется использовать как можно реже.

Занятие 2

 

Управление областью действия групповой политики

2 6 5

 

 

 

 

 

' *1

 

безопасность |

 

 

 

 

 

 

 

Группы или пользователи:

 

 

 

 

 

 

 

 

 

СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ

 

 

 

 

 

 

 

 

 

Прошедшие гроаерку

 

 

 

 

 

 

 

ft SYSTEM •

 

_

 

 

Д

 

 

 

 

 

 

 

 

% Термическая поддержка ff:ONTOSO\Ta>m«cKaa now

 

 

jU. Администраторы домена ? Х Ы Т 0 5 0 ' А и ^ м н и с т р а т о р ы Tj

 

iJ

 

 

 

 

I ± Г

 

Рзгрешення див Тоническая

 

 

 

 

 

 

 

подкржха

Раэреимтъ

Запретить

 

 

Запись

 

 

 

 

 

 

Создать все дочерние объекты

 

 

 

 

 

 

 

 

Удалить все дочерние объекты

 

 

 

 

 

 

 

 

 

 

 

Применить групповую политику

 

 

и

 

 

Особые разрешения

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Чтсбы зэаатъ особые разреи»*ия и|*1 параметр, нажмите "£Ъполмитегъмо'\ Подробнее ой уттравлении даст,лом i-i pa

Отмена Пршетть

Рис. 6-14. Исключение группы из области действия объекта GPO путем запрета применения групповой политики

Фильтры WMI

Инструментарий у п р а в л е н и я W i n d o w s ( W i n d o w s Management Instrumentation, WMI) представляет собой т е х н о л о г и ю и н ф р а с т р у к т у р ы управления, позволяющую администраторам о т с л е ж и в а т ь и к о н т р о л и р о в а т ь управляемые объекты в сети. Запрос W M I может ф и л ь т р о в а т ь с и с т е м ы на основе характеристик, включая объем о п е р а т и в н о й п а м я т и , ч а с т о т у процессора, емкость диска, IP-адрес, версию операционной с и с т е м ы , а т а к ж е у р о в е н ь пакетов обновлений, установленные п р и л о ж е н и я и с в о й с т в а п р и н т е р о в . П о с к о л ь к у W M I отображает практически каждое свойство к а ж д о г о о б ъ е к т а на компьютере, список атрибутов, которые можно и с п о л ь з о в а т ь в з а п р о с е W M I , практически не ограничен.

Запрос

W M I

п о з в о л я е т с о з д а т ь ф и л ь т р

W M I , с п о м о щ ь ю

которого мож-

но фильтровать

объект G P O . П р и н ц и п ф и л ь т р а W M I проще

всего понять с

помощью

п р и м е р о в . Г р у п п о в а я п о л и т и к а

и с п о л ь з у е т с я д л я

развертывания

программного о б е с п е ч е н и я и п а к е т о в о б н о в л е н и й , как описано в главе 7. Для

развертывания п р и л о ж е н и я

вы м о ж е т е

создать объект G P O , а затем с помо-

щью фильтра W M I у к а з а т ь

п о л и т и к у ,

к о т о р а я д о л ж н а применяться только к

компьютерам с о п р е д е л е н н о й о п е р а ц и о н н о й системой и пакетом обновлений (например, Windows Х Р S P 3 ) . Д а л е е приведен п р и м е р запроса W M I для идентификации таких систем:

Select * FROM Win32_0peratingSystem WHERE Caption="Microsoft

Windows XP Professional" AND CSDVersion="Service Pack 3"

Когда клиент г р у п п о в

о й

п о л и т и к и о ц е н и в а е т загруженные объекты G P O ,

чтобы определить,

к а к и е

из

н и х н у ж н о

о б р а б о т а т ь с

п о м о щ ь ю клиентских

расширений CSE,

он в ы п о л н я е т з а п р о с

в л о к а л ь н о й

системе. Если система

Юзак.3399

2 6 6

Инфраструктура групповой политики

Глава 6

соответствует критерию запроса, то результатом будет логическое значение True и расширение CSE выполнит обработку GPO .

Инструментарий WMI извлекает пространства имен, где есть классы, которые можно запрашивать. Многие полезные классы, включая Win32 _Operating System, находятся в классе root\CIMv2.

Чтобы создать фильтр WMI, в консоли управления групповой политикой GPMC щелкните правой кнопкой мыши узел Фильтры W M I ( W M I Filters) и выполните команду Создать (New). Введите имя и описание для фильтра, а затем щелкните кнопку Добавить (Add). В поле Пространство имен (Namespace) укажите именное пространство для запроса. В поле Запрос ( Q u e r y ) введите запрос п щелкните ОК.

Чтобы фильтровать GPO с помощью фильтра W M I , откройте вкладку Область (Scope) объекта GPO, щелкните раскрывающийся список фильтров W M I и выберите фильтр WMI. Объект G P O фильтруется л и ш ь с помощью одного фильтра WMI, однако он может содержать комплексный запрос с множест - венным критерием. Таким образом, с одним или несколькими объектами G P O можно связать один фильтр WMI. Вкладка (General) фильтра W M I (рис. 6-15) отображает объекты GPO, использующие фильтр W M I .

 

а Кенам»

Действ* Ы& Осн> Слрмк«

 

 

 

 

 

 

 

j

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Лес. con ton cm

 

W i n d o w s ХР S P 2

 

 

 

 

 

 

 

Овщхв | Оемгиосоан* |

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

fVn><p WMI

 

 

 

 

 

 

 

, •) CCNTOSO Корпорвпвидя бснхмоосп \

й ж * * * '

 

 

Изменил., |

 

 

 

A? CONTCSO Стандарты

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

>v' C*f»Jt Domari РЫсу

 

 

 

 

 

 

 

 

 

К

il Dom*»i Corbcierj

 

 

Просгрвистзо имвч

| Запрос

 

 

j

j

£

mj Gro«*

 

 

•с--» С м . ;

5* «С! - " C M

 

VAHEFS

 

 

 

ffi

:AJ

Tel

 

 

 

CsjfcCA-'MicroscftV^ndc*? X? P»cfewic<«aT ДШ

 

 

 

ffi X T«tl

 

 

.

SCCv'treioo" Servie» Рас* 3*

 

 

|

 

ft Аопморлгоои

 

 

 

 

 

 

 

 

£

Кадры

 

Объемы GPO. жпогьэяошио « м л ы р WMI

 

 

 

 

 

 

 

 

 

 

 

 

 

ffi '<& Серверы

 

С Фипыром V/MI cBSi^ioi елвдющм объекты GPO

 

 

 

 

It

, О б ъ я т ы групповой попита

 

 

 

 

 

 

 

 

 

 

GPO •

 

 

 

1

 

 

 

, tw/wrpw WM1

 

 

 

 

 

 

 

 

 

 

Программное оСвсг«ч»ме

 

 

 

 

 

 

 

f 'АГДОА* V SP2

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Е Hs^vwt объекты групповом ПОЛНИ

 

 

 

 

 

 

 

 

ffi .'jj Ойть>

 

 

 

 

 

 

 

 

 

 

 

•г, Моаеарова»« груглсвои mnawa

 

 

 

 

 

 

 

 

 

Pej»*iaiM груттовон полт»;я

 

 

 

 

 

 

 

 

 

<1

 

1

 

>1

 

 

 

 

 

 

 

г

 

"

 

~ "

" '

Г"

!

*

J

 

 

 

 

 

 

 

 

 

 

 

 

Рис. 6-15.

Фильтр WMI

 

 

 

 

 

 

 

 

Следует отметить три важных нюанса, связанных с использованием ф и л ь - тров WMI. Во-первых, нужно хорошо знать синтаксис W Q L запросов W M I . С помощью ключевых слов WMI filter и WMI query в Интернете можно найти много примеров с описаниями запросов.

Занятие 2

 

 

Управление областью действия групповой политики

2 6 7

К СВЕДЕНИЮ

Примеры фильтров WMI

 

 

 

 

 

Примеры

фильтров

W M I

можно найти

по адресу

http://technet2.microsoft.com/

Wind0wsserver/en/library/a16cffa4-83b3-430b-b826-9bf81c0d39a71033.mspx?mfr-true.

 

 

Набор средств разработки программного обеспечения SDK для Инструментария

управления

Windows

( W M I )

находится

по

адресу http://msdn2.microsoft.com/en-us/

library/aa394582.aspx.

 

 

 

 

 

 

 

 

Во-вторых,

при и с п о л ь з о в а н и и ф и л ь т р о в

W M I может снизиться скорость

обработки

групповой

п о л и т и к и .

П о с к о л ь к у к л и е н т групповой

политики дол-

жен при очередной

о б р а б о т к е

п о л и т и к и

в ы п о л н я т ь

з а п р о с

W M I ,

каждые

90-120

мин производител ьность с и с т е м ы снижается . С учетом производитель-

ности

современных

к о м п ь ю т е р о в это

в л и я н и е м о ж е т быть незначительным.

Тем не

менее перед

р а з в е р т ы в а н и е м

в

п р о и з в о д с т в е н н о й среде всегда нужно

тестировать в л и я н и е

ф и л ь т р о в W M I

н а производительность .

В-третьих, к о м п ь

ю т е р ы W i n d o w s 2 0 0 0 н е о б р а б а т ы в а ю т фильтры W M I .

Если объект G P O ф и л

ь т р у е т с я с п о м о щ ь ю фильтра W M I , система Windows 2000

игнорирует фильтр

и

в ы п о л н я е т о б р а б о т к у G P O , как если бы результатом на

запрос

фильтра б ы л о

з н а ч е н и е true.

 

 

СОВЕТ К ЭКЗАМЕНУ

Хотя на сертификационном экзамене вряд ли придется определять запросы WQL, вы должны знать основные ф у н к ц и и запросов WMI, описанные в этом разделе. Помните, что системы Windows 2000 будут применять параметры в объектах GPO с фильтрами WMI, поскольку Windows 2000 игнорирует фильтрацию WMI во время обработки политики.

Включение и отключение объектов и узлов GPO

Вы можете запретить о б р а б о т к у п а р а м е т р о в в узлах Конфигурация компьютера

(Computer Configuration) и

К о н ф и г у р а ц и я пользователя (User Configuration)

во время обновления п о л и т и к и , и з м е н и в с о с т о я н и е объекта G P O . На вкладке

Таблица (Details) объекта G P O

(рис . 6 - 1 6 )

щ е л к н и т е раскрывающийся список

Состояние G P O ( G P O S t a t u s )

и в ы б е р и т е

одну из следующих опций.

Включено

( E n a b l e d )

Во

в р е м я о б н о в л е н и я п о л и т и к и обрабатываются

 

параметры

к о н ф и г у р а ц и и к о м п ь ю т е р а

и

пользователя .

Все п а р а м е т р ы о т к л ю ч е н ы

(All S e t t i n g s

D i s a b l e d )

Клиентские расши-

 

рения CSE не будут в ы п о л н я т ь о б р а б о т к у объекта

G P O .

вПараметры к о н ф и г у р а ц и и к о м п ь ю т е р а о т к л ю ч е н ы ( C o m p u t e r Configura-

tion Settings D i s a b l e d ) Во в р е м я о б н о в л е н и я п о л и т и к и компьютера применяются параметры к о н ф и г у р а ц и и компьютера в объекте GPO . В процессе обновления п о л и т и к и п о л ь з о в а т е л я обработка G P O не выполняется.

• Параметры к о н ф и г у р а ц

и и п о л

ь з о в а т е л я о т к л ю ч е н ы

( U s e r Configuration

Settings D i s a b l e d ) В о

в р е м я

о б н о в л е н и я п о л и т и к

пользователя будут
Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности