Книга Active directory
.pdf2 6 8 |
Инфраструктура групповой политики |
Глава 6 |
применяться параметры конфигурации пользователя в объекте G P O . В процессе обновления политики к о м п ь ю т е р а о б р а б о т к а о б ъ е к т а G P O выпол - няться не будет.
А Ко*®/*. |
Дейп»* Вия Ою-С |
Охиок!» |
|
* |
D |
|
j |
|
|
||
|
|
|
|
Упоадеям гр>ахвой пс-пткон |
К о н ф и г у р а ц и я с т а н д а р т н ы х п о л ь з о в а т е л е й |
Аontwo.com
|
В. & Донен* |
|
|
Область Т«вл*я j Параметрн ] Демгкровэмна j |
|
|
|
|
||||||
|
is Jy contceo.com |
|
|
Домен |
oootojocem |
|
|
|
|
|
||||
|
|
••i CONTOSO Кэдоратганл» безопзсносп |
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
CONTOSO Ст^двдт» |
|
|
Впзйвпеи |
Аамиялстретер*дом«ие |
|
домен? |
||||
|
|
«V Defadt Oom»i f>afcv |
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
ffi 58 Ooman Confrolerj |
|
|
Создан |
29.10.20083:04.54 |
|
|
|
|
|
||||
|
Ш 33 Test |
|
|
Изменен. |
2Э.10.2008 13:43:40 |
|
|
|
|
|
||||
|
it. jQ Tetll |
|
|
S S L ™ |
w.0^:. |
|
|
|
|
|
||||
!£ |
l) |
Аапмжтратора, |
|
|
|
|
|
|
|
|||||
|
|
|
|
КоиФ»»'>Раич1 crtm^x-»опьзс«т< компьютера |
|
|
|
|
|
|
|
|||
|
6i .5.1 Юменты |
|
|
У^иапвиьЛмд. |
:{1EA>7686-001C45A£-BEOS-B340A2032351} |
|
|
|
|
|||||
|
& ju |
Севе» |
|
|
Состоя»» GPO" |
j Параметры мямаигдодои компьютера о |
|
|
|
|
||||
£ |
Ui,' Объекты групповой ломтики |
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
||||||
|
К |
,."у |
Лиътрь vwfl |
|
|
Комментарий |
|
|
|
|
|
|
|
|
|
|
|
|
-j MM»«t хр SP2 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
5 |
3 |
|
объекте: гр«пг>;в>'( гомти |
|
|
|
|
|
|
|
|
|||
|
ffi Lj| Сайты |
|
|
|
|
|
|
|
|
|
|
|
||
|
Молеасое»** групповой погитиш |
|
|
|
|
|
|
|
|
|
||||
|
Ц« Результаты футовой политжл |
|
|
|
|
|
|
|
|
|
||||
|
<i |
|
|
|
1 |
.1 |
|
|
|
|
|
|
|
|
|
кт~-г : |
|
|
|
|
|
|
" |
. |
> |
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
Рис. 6-16. Вкладка Таблица (Details) обьекта GPO |
|
|
|
|
|
||||||||
|
Состояние GPO |
можно к о н ф и г у р и р о в а т ь д л я о п т и м и з а ц и и |
о б р а б о т к и по- |
|||||||||||
литики. Если G P O |
содержит, к примеру, т о л ь к о п а р а м е т р ы |
к о н ф и г у р а ц и и |
||||||||||||
пользователя, следует указать для этого объекта с о с т о я н и е |
П а р а м е т р ы к о н ф и - |
|||||||||||||
гурации |
компьютера |
отключены ( C o m p u t e r C o n f i g u r a t i o n |
S e t t i n g s Disabled), |
|||||||||||
чтобы клиент групповой политики не в ы п о л н я л |
о б р а б о т к у |
G P O во в р е м я об- |
новления политики компьютера. Поскольку этот G P O не с о д е р ж и т п а р а м е т р ы компьютера, нет необходимости в его обработке, т а к что т а к и м о б р а з о м м о ж н о сэкономить ресурсы процессора.
ПРИМЕЧАНИЕ Использование отключенных объектов GPO для восстановления после аварийного отказа
Определите в GPO конфигурацию, которая будет применена в чрезвычайных обстоятельствах, при нарушении безопасности или в других аварийных ситуациях, и свяжите этот GPO для применения к соответствующим пользователям и компью- I терам. Затем отключите GPO. Когда возникнет необходимость в развертывании аварийной конфигурации, включите объект GPO.
Нацеливание настройки
Новый узел Настройка (Preferences) в Windows Server 2008 с о д е р ж и т встроен-
ный механизм области действия, который называется |
нацеливанием |
па уровень |
элемента. В один объект G P O можно в к л ю ч и т ь много |
н а с т р о е к , |
и к а ж д у ю |
настройку можно нацеливать или фильтровать. Н а п р и м е р , вы создайте один объект GPO с настройкой, указывающей свойства папки д л я инженеров, и еще
Занятие 2 |
Управление областью действия групповой политики |
2 6 9 |
одной настройкой, указывающей свойства папки для отдела продаж. Вы можете нацелить эти э л е м е н т ы с помощью группы безопасности или подразделения, а кроме того, использовать более десятка других критериев, включая характеристики оборудования и сети, время и дату, запросы LDAP и многое другое.
ПРИМЕЧАНИЕ |
Нацеливание настроек в объекте GPO |
В одном объекте G P O можно нацелить множество настроек, не используя для этого несколько объектов GPO . При использовании традиционных политики часто требуется множество объектов GPO, отфильтрованных по отдельным группам, чтобы можно было варьировать параметры конфигурации.
Аналогично ф и л ь т р а м W M I нацеливание настроек требует, чтобы клиентское расширение C S E в ы п о л н и л о запрос и определило, следует ли применять параметры в настройке. Нацеливание на уровень элемента потенциально влияет на производительность — в частности, при использовании таких опций, как LDAP - запросы, которые о т п р а в л я ю т запрос на контроллер домена для обработки и о ж и д а ю т результат. П р и проектировании инфраструктуры групповой
политики н у ж н о н а й т и о п т |
и м а л ь н о е соответствие между |
преимуществами |
|
у п р а в л е н и я |
к о н ф и г у р а ц и е й |
с п о м о щ ь ю нацеливания на |
уровень элемента |
и влиянием |
на производительность . |
|
Обработка групповой политики
Далее мы ближе о з н а к о м и м с я с концепциями, компонентами и областью действия групповой п о л и т и к и . Групповая политика применяет конфигурацию, определенную объектами G P O , объекты G P O применяются в определенном порядке (сайт, домен, подразделение), объекты GPO, примененные позже, заменяют параметры, п р и м е н е н н ы е ранее, и поэтому имеют более высокий приоритет. Д а л е е о п и с а н а последовательность применения параметров объектов G P O в домене к компьютеру или пользователю.
1. Запускается компьютер и запускается сеть. Запускается служба удаленного вызова процедур R P C S S (Remote Procedure Call System Service) и множественный поставщик универсальных имен M U P (Multiple Universal Naming Convention Provider) . Запускается клиент групповой политики.
.2. Клиент |
г р у п п о в о й п о л и т и к и |
получает упорядоченный список объектов |
||
G P O , в |
область д е й с т в и я |
которых входит компьютер. |
||
Объекты G P O обрабатываются так, как они указаны в списке (по умолча- |
||||
нию: локальные G P O , затем G P O сайта, домена и подразделения). |
||||
А. |
Л о к а л ь н ы е о б ъ е к т ы G P O |
Каждый компьютер Windows Server 12003, |
||
|
Windows ХР и W i n d o w s 2000 содержит по одному локальному объекту |
|||
|
G P O . Компьютеры Windows Vista и Windows Server 2008 содержат мно- |
|||
|
жество л о к а л ь н ы х объектов G P O . Приоритет локального GPO описан |
|||
|
в разделе «Локальные объекты G P O » (занятие 1). |
|||
Б. |
О б ъ е к т ы G P O сайтов |
Далее в упорядоченный список добавляются |
||
|
все объекты G P O , связанные с сайтом. Если с сайтом (доменом или |
|||
|
подразделением) связано много объектов GPO, порядок их добавления |
2 70 |
Инфраструктура групповой политики |
Глава 6 |
всписок определяется порядком ссылок, отконфнгурнропапным на вкладке Область (Scope). Самый высокий приоритет имеет G P O , который указан в списке с минимальным номером (1), поэтому он добавляется
вконец списка. Таким образом, он будет обработан последним, а его
параметры заменят параметры ранее примененных объектов G P O .
В. Объекты GPO домена Порядок добавления в список множества связанных объектов GPO определяется порядком ссылок.
ПРИМЕЧАНИЕ Связанные с доменом политики не наследуются дочерним доменом Каждый домен поддерживает индивидуальные ссылки политики. Однако компьютеры в нескольких дочерних доменах могут подпадать под область действия объекта GPO, связанного с сайтом.
Г. Объекты GPO подразделений Объекты G P O , с в я з а н н ы е с |
первым |
подразделением в иерархии Active Directory, д о б а в л я ю т с я в |
у п о р я - |
доченный список перед объектами G P O , связанными с его дочерним подразделением, н т. д. В конце списка д о б а в л я ю т с я о б ъ е к т ы G P O , связанные с подразделением, содержащим объект компьютера . Е с л и с подразделением связаны несколько групповых политик, они добавля - ются в порядке ссылок.
Д. Принудительно связанные объекты G P O О н и д о б а в л я ю т с я в конец упорядоченного списка, так что их параметры применяются в конце процесса обработки и таким образом заменяют параметры объектов G P O , ранее перечисленных в списке и уже обработанных. Отметим, что при - нудительно связанные объекты G P O добавляются в список в обратном порядке: подразделение, домен, а затем сайт. Это следует учитывать при применении корпоративных политик безопасности в объекте G P O , который принудительно связан с доменом. Этот объект G P O указывается в конце упорядоченного списка и применяется последним, в результате чего его параметры получают приоритет.
3. Выполняется синхронная обработка объектов G P O в порядке, у к а з а н н о м в списке. Это означает, что вначале выполняется обработка параметров в локальных объектах GPO, после чего обрабатываются объекты G P O , связан - ные с сайтом, доменом и подразделениями, содержащими пользователя или компьютер. Объекты GPO, связанные с подразделением, непосредственным членом которого является пользователь или компьютер, обрабатываются последними, после чего выполняется обработка принудительно связанных объектов GPO.
При обработке каждого объекта G P O система определяет, следует ли применять параметры на основе состояния объектов G P O узла к о м п ь ю т е р а (включены или отключены), а также обладает ли компьютер разрешением на чтение групповой политики (Allow Group Policy). Если к G P O приме - няется фильтр WMI и на компьютере установлена система не ниже Win - dows ХР, выполняется запрос, указанный в фильтре.
Занятие 2 |
Управление областью действия групповой политики |
2 71 |
А. Если |
к системе нужно п р и м е н и т ь объект G P O , клиентские расширения |
CSE переключаются в режим обработки параметров G P O . Параметры политики в объектах G P O заменят политики ранее примененных объектов GPO в соответствии с определенными правилами,
•Если параметр п о л и т и к и отконфигурирован (включен или отключен)
вобъекте G P O , связанном с родительским контейнером, и этот же параметр не задан (Not Configured) в объектах G P O , связанных с дочерним контейнером, то в результирующем наборе политик пользователей и компьютеров дочернего контейнера будет включен параметр политики родительского контейнера. Если для дочернего контейнера откон-
фигурирована о п ц и я б л о к и р о в а н и я наследования (Block Inheritance), |
|
родительский параметр не |
будет унаследован. Исключением из этого |
правила является п р и н у д и |
т е л ь н а я (Enforced) связь GPO . |
• |
Если |
параметр |
п о л и т и к и отконфигурирован (включен или отключен) |
||
|
в объекте |
G P O |
родительского контейнера и этот же параметр откон- |
||
|
фигурирован |
в объектах G P O , |
связанных с дочерним контейнером, то |
||
|
параметр дочернего контейнера заменит параметр, унаследованный от |
||||
|
родительского |
контейнера . Если связь G P O родительского контейне- |
|||
|
ра включена п р и н у д и т е л ь н о |
(Enforced), приоритет получит параметр |
|||
|
родителя. |
|
|
|
|
• |
Если параметр |
п о л и т и к и не |
задан ни в родительском контейнере, ни |
||
|
в дочернем, то п р и м е н я е т с я |
параметр, полученный в результате обра- |
|||
|
ботки |
л о к а л ь н ы х объектов G P O . Если в локальных G P O этот пара- |
|||
|
метр |
также не |
задай, п р и м е н я е т с я параметр конфигурации Windows |
по умолчанию.
5. Когда пользователь входит в систему, для пользовательских параметров
повторно в ы п о л н я ю т с я |
шаги 2 - 4 . Клиент получает упорядоченный |
спи- |
|
сок объектов G P O , в область действия |
которых попадает пользователь, |
||
выполняет с и н х р о н н ы й |
а н а л и з каждого |
G P O и передает объекты |
GPO, |
которые нужно применить, в соответствующие клиентские расширения для обработки. Этот шаг м о ж н о модифицировать с помощью опции Режим обработки замыкания п о л и т и к и пользователя (User Loopback Group Policy Processing). Обработка политики loopback описана в следующем подразделе.
ПРИМЕЧАНИЕ Параметры политики конфигурации компьютера и пользователя
Большинство параметров политики связаны с узлом Конфигурация компьютера (Computer Configuration) и Конфигурация пользователя (User Configuration). Хотя во многих ситуациях параметры в узле конфигурации компьютера заменяют параметры в узле конфигурации пользователя, всегда читайте объяснение параметра политики, чтобы четко понять принцип его использования и результат.
6. Каждые 90—120 мин после запуска компьютера выполняется обновление политики компьютера, а д л я параметров компьютера повторяются шаги 2 - 4 .
7, Каждый 90^120 мин после входа пользователя выполняется обновление политики пользователя, а д л я параметров пользователя повторяются шаги 2 - 4 .
272 |
Инфраструктура групповой политики |
Глава 6 |
ПРИМЕЧАНИЕ Немедленное применение параметров |
|
Хотя большинство параметров используются во время фонового обновления политики, некоторые клиентские расширения CSE не задействуют параметр до следующего запуска или входа пользователя. Например, новые добавленные политики сценариев запуска н входа не применяются до следующего запуска компьютера или входа пользователя. Установка программного обеспечения, описанная в главе 7, выполняется при следующем запуске, если установка программ задана в параметрах конфигурации компьютера. Изменения политик перенаправления папки будут применены при следующем входе пользователя.
Обработка замыкания политики
По умолчанию параметры пользователя извлекаются из объектов G P O , в область действия которых включен объект пользователя в Active Directory. Не - зависимо от компьютера, на который входит пользователь, р е з у л ь т и р у ю щ и й набор политик, определяющих среду пользователя, остается неизменным . Тем не менее в некоторых ситуациях может потребоваться конфигурировать среду пользователя в зависимости от компьютера, на котором он входит в домен. Например, вы можете блокировать и стандартизировать рабочие столы пользователей, которые входят на компьютеры в плотно у п р а в л я е м ы х средах, таких как конференц-залы, зоны приема, лаборатории, аудитории и киоски . Представим сценарий, в котором нужно отконфигурировать стандартное корпоративное визуальное оформление рабочего стола Windows на всех компью - терах в конфереиц-залах и других общественных местах офиса. Каким образом централизованно управлять такой конфигурацией с помощью групповой политики? Параметры политики, конфигурирующие о ф о р м л е н и е рабочего стола, находятся в узле Конфигурация пользователя (User C o n f i g u r a t i o n ) объекта групповой политики. Поэтому по умолчанию эти параметры п р и м е н я ю т с я к пользователям независимо от компьютера, на котором они в х о д я т в домен . Обработка политики по умолчанию не позволяет применить параметры пользователей к компьютерам, на которых пользователи входят в сеть. Д л я этого используется обработка замыкания политики.
Обработка замыкания политики изменяет алгоритм, по умолчанию используемый клиентом групповой политики для получения упорядоченного списка объектов GPO, которые нужно применить к к о н ф и г у р а ц и и пользователя . Вместо использования узла Конфигурация пользователя (User Configuration) в объектах GPO, применяемых к пользователю, конфигурацию пользователей можно определять с помощью политик узла Конфигурация пользователя объектов GPO, которые применяются к объекту компьютера.
Для политики Режим обработки замыкания пользовательской групповой политики (User Group Policy Loopback Processing M o d e ) в папке Конфигура - ция компыотера\Политики\Административные ш а б л о н ы \ С и с т е м а \ Г р у п п о в а я политика (Computer Configuration\Policies\Administrative T e m p l a t e s \ S y s t e m \ Group Policy) редактора управления групповыми политиками G P M E м о ж н о назначить опции Не задан (Not Configured), Включен (Enabled) и Отключен
Занятие 2 |
Управление областью действия групповой политики |
2 7 3 |
(Disabled). Включив |
эту политику, вы м о ж е т е задать д л я нее режим |
Замена |
(Replace) или С л и я н и е ( M e r g e ) . |
|
|
ш Замена ( R e p l a c e ) |
П р и исп ользо ва нии этого режима список объектов G P O |
для пользователя ( п о л у ч е н н ы й в результате выполнения шага 5, указанного
в подразделе « О б р а б о т к а |
г р у п п о в о й п о л и т и к и » ) полностью |
заменяется |
|||||
списком G P O , п о л у ч е н н ы м д л я |
к о м п ь ю т е р а во время его запуска (шаг 2). |
||||||
К пользователю п р и м е н я ю т с я |
п а р а м е т р ы п о л и т и к в узле конфигурации |
||||||
пользователя о б ъ е к т а G P O к о м п ь ю т е р а . Р е ж и м |
замены |
удобно исполь- |
|||||
зовать в аудиториях, |
где |
п о л ь з о в а т е л и |
д о л ж н ы |
работать |
со |
стандартной |
|
конфигурацией (в о т л и ч и е |
от п о л ь з о в а т е л е й в неуправляемых |
средах). |
|||||
• Слияние ( M e r g e ) |
П р и |
и с п о л ь з о в а н и и этого |
р е ж и м а список объектов |
||||
GPO, п о л у ч е н н ы й д л я к о м п ь ю т е р а во в р е м я его запуска (шаг 2, подраздел |
|||||||
«Обработка групповой п о л и т и к и » ) , прикрепляется к списку объектов GPO, |
|||||||
полученному д л я п о л ь з о в а т е л я |
п р и его |
входе (шаг 5). Поскольку список |
|||||
GPO, п о л у ч е н н ы й д л я к о м п ь ю т е р а , п р и м е н я е т с я позже, параметры объек- |
|||||||
тов G P O в списке д л я к о м п ь ю т е р а и м е ю т приоритет и заменяют парамет- |
|||||||
р ы G P O п о л ь з о в а т е л я . Э т о т р е ж и м удобно использовать для применения |
|||||||
дополнительных параметров |
к т и п и ч н о й |
конфигурации пользователя. На- |
пример, вы м о ж е т е р а з р е ш и т ь п о л ь з о в а т е л ю получать свою типичную конфигурацию при входе на к о м п ь ю т е р в конференц - зале или области приема,
однако при этом з а м е н и т ь |
о б о и с т а н д а р т н ы м изображением и отключить |
определенные п р и л о ж е н и я |
и л и устройства . |
СОВЕТ К ЭКЗАМЕНУ
В темы сертификационного экзамена 70 - 640 могут быть включены вопросы, связанные с областью действия групповой политики. Некоторые вопросы о технических деталях параметра политики на самом деле предназначены для тестирования вашего умения включать в область действия параметра политики соответствуюище системы. Поэтому, получая вопросы о групповой политике, определите вначале, с чем связан вопрос: с конкретным параметром политики или с областью его действия.
Практические занятия. Настройка области действия групповой политики
В предложенных у п р а ж н е н и я х вы |
п р о д о л ж и т е сценарий, начатый с создания |
|||
и настройки |
GP О на |
з а н я т и и 1, |
и о п р е д е л и т е область д е й с т в и я |
групповой |
политики. Но |
прежде |
н е о б х о д и м о |
в ы п о л н и т ь у п р а ж н е н и я з а н я т и я |
1. |
Упражнение 1. Создание объекта GPO с приоритетным параметром политики
Представим, что вы я в л я е т е с ь |
а д м и н и с т р а т о р о м домена |
contoso.com. |
Объект |
||
групповой п о л и т и к и |
C O N T O S O |
С т а н д а р т ы , с в я з а н н ы й |
с доменом, |
конфи - |
|
гурирует параметр п |
о л и т и к и , |
к о |
т о р о м у требуется д е с я т |
и м и н у т н ы й |
таймаут |
экранной заставки. Некое к р и т и ч е с к и важное приложение, выполняющее длин-
ный процесс |
в ы ч и с л е н и й , в ы л е т а е т п р и |
запуске экранной |
заставки, поэтому |
||
инженер попросил о т к л ю ч и т ь э к р а н н у ю |
заставку д л я тех, |
кто ежедневно ис- |
|||
пользует это |
п р и л о ж е н и е . |
|
|
||
|
|
|
|
|
|
274 |
Инфраструктура групповой политики |
Глава 6 |
1.Войдите на машину SERVER01 как администратор.
2.Откройте оснастку Active Directory — пользователи п компьютеры (Active Directory Users And Computers) и создайте подразделение первого уровня Кадры с дочерним подразделением Инженеры.
3. Откройте консоль Управление групповой политикой ( G r o u p Policy Mana - gement).
4. Щелкните правой кнопкой мыши подразделение И н ж е н е р ы |
(Engineers) |
и выполните команду Создать объект G P O в этом домене и |
связать его |
(Create A GPO In This Domain, And Link It Here). |
|
5. Введите имя Параметры политики инженеров и щелкните О К .
6. Разверните подразделение Инженеры (Engineers), щелкните правой кнопкой мыши объект GPO и выполните команду Изменить (Edit) .
7.Разверните папку Конфигурация пользователя\Политики\Административ - ные шаблоны\Панель управления\Окно свойств экрана (User Configuration\Policies\Administrative Templates\Control Panel\Display) .
8. Дважды щелкните параметр политики Таймаут экранной заставки (Screen Saver Timeout).
9. Щелкните опцию Отключен (Disabled), а затем О К .
10.Закройте редактор GPME.
11.В консоли управления групповой политикой G P M C выберите подразделение Инженеры (Engineers) и перейдите на вкладку Наследование групповой политики (Group Policy Inheritance).
12.Объект GPO Параметры политики инженеров должен превалировать н а д объектом групповой политики C O N T O S O Стандарты. Отконфнгурированный параметр, явно отключающий экранную заставку, заменит параметр в объекте групповой политики C O N T O S O Стандарты .
Упражнение 2. Настройка принудительной связи
Необходимо максимально ускорить процесс получения изменений групповой политики всеми системами, и вы принимаете решение о т к о н ф и г у р и р о в а т ь параметр Всегда ждать сеть при запуске и входе в систему (Always Wait For Network At Startup And Logon), описанный на занятии 1. Администраторы не должны изменять эту политику; политика должна принудительно применяться ко всем системам.
1. В консоли управления групповой политикой G P M C щ е л к н и т е п р а в о й кнопкой мыши домен contoso.com и выполните команду Создать объект GPO в этом домене и связать его (Create A G P O In This Domain And Link It Here).
2. Введите имя Принудительные политики домена и щелкните О К .
3. Щелкните правой кнопкой мыши объект G P O и выполните команду Изме - нить (Edit).
Занятие 2 |
Управление областью действия групповой политики |
2 7 5 |
|
4. Разверните |
п а п к у К о н ф и г у р а ц и я |
п о л ь з о в а т е л я \ П о л и т и к и \ А д м и н и с т р а - |
|
тнвные ш а б л о н ы \ С и с т е м а \ В х о д в |
с и с т е м у ( U s e r Configuration\Policies\ |
||
Administrative T e m p l a t e s \ S y s t e m \ L o g o n ) . |
|
5. Дважды щелкните п а р а м е т р п о л и т и к и Всегда ждать сеть при запуске и вхо-
де в систему (Always W a i t |
F o r N e t w o r k |
At S t a r t u p |
And Logon). |
6. Выберите о п ц и ю В к л ю ч е н |
( E n a b l e d ) и |
щ е л к н и т е |
О К . |
7. Закройте редактор G P M E .
8 . Щелкните правой к н о п к о й м ы п ш объект G P O Принудительные политики домена и установите ф л а ж о к П р и н у д и т е л ь н ы й (Enforced) .
9. Выберите п о д р а з д е л е н и е И н ж е н е р ы и перейдите на вкладку Наследование
групповой |
п о л и т и к и ( G r o u p |
Policy |
Inheritance) . |
|
|
Принудительно |
с в я з а н н ы й |
о б ъ е к т |
G P O будет |
превалировать даже над |
|
объектами |
G P O , |
н е п о с р е д с т в е н н о |
с в я з а н н ы м и |
с подразделением Инже- |
неры (Engineers) . П а р а м е т р ы т а к и х объектов G P O не заменят параметров принудительно с в я з а н н о г о о б ъ е к т а G P O .
Упражнение 3. Настройка фильтров безопасности
Со временем вы о б н а р у ж и в а е т е , ч т о небольшое число пользователей нужно освободить от п о л и т и к и т а й м а у т а э к р а н н о й заставки, конфигурируемой объектом C O N T O S O С т а н д а р т ы . З а м е н а параметров непрактична, и вы используете фильтры безопасности д л я у п р а в л е н и я областью действия G P O .
1. Откройте оснастку A c t i v e D i r e c t o r y — пользователи и компьютеры (Active Directory Users A n d C o m p u t e r s ) , создайте подразделение Группы, а в этом
подразделении — г л о б а л ь н у ю г р у п п у б е з о п а с н о с т и |
с именем Исключе- |
|||||
ния GPO _ CONTOSO _ C T a H f l a p T b i . |
|
|
||||
|
|
|
|
|
||
2. В консоли у п р а в л е н и я г р у п п о в о й п о л и т и к о й |
G P M C |
выберите контейнер |
||||
Объекты |
г р у п п о в о й п о л и т и к и ( G r o u p Policy |
Objects). |
||||
3 . Щелкните |
п р а в о й к н о п к о й м ы ш и объект G P O Параметры политики ин- |
|||||
женеров |
и |
в ы п о л н и т е к о м а н д у Удалить (Delete) . Подтвердить удаление, |
||||
щелкнув |
Да (Yes). |
|
|
4. В контейнере О б ъ е к т ы г р у п п о в о й п о л и т и к и ( G r o u p Policy Objects) выбе-
|
рите объект C O N T O S O С т а н д а р т ы . |
||
5 |
. Перейдите |
на в к л а д к у Д е л е г и р о в а н и е (Delegation) . |
|
6 |
. Щелкните |
к н о п к у |
Д о п о л н и т е л ь н о (Advanced) . |
7 |
. В диалогом о к н е |
П а р а м е т р ы б е з о п а с н о с т и (Security Settings) щелкните |
|
|
Добавить |
( A d d ) . |
|
8. Введите и м я г р у п п ы и щ е л к н и т е О К .
9. В списке р а з р е ш е н и й н а й д и т е р а з р е ш е н и е Применить групповую политику (Apply G r o u p Policy) и у с т а н о в и т е ф л а ж о к З а п р е т и т ь (Deny) . Затем щелкните О К .
10. Для того чтобы п о д т в е р д и т ь изменение, щ е л к н и т е кнопку Да (Yes).
276 |
Инфраструктура групповой политики |
Глава 6 |
11. Просмотрите запись на вкладке Делегирование (Delegation) в столбце Разрешено (Allowed Permissions) группы Исключения G P O _ C O N T O S O _ Стандарты.
12.Перейдите на вкладку Область (Scope) и проанализируйте секцию Фильтры безопасности (Security Filtering).
По умолчанию в фильтрах безопасности нового G P O группа П р о ш е д ш и е проверку (Authenticated Users) обладает разрешением П р и м е н и т ь групповую политику (Apply Group Policy), чтобы все пользователи и компьютеры в области действия GPO могли применять параметры этого G P O . Вы отконфнгурнровалн группу с запретом чтения групповой политики ( D e n y Apply Group Policy), который заменяет разрешение (Allow). Чтобы освободить пользователя от политики объекта C O N T O S O Стандарты, м о ж н о просто добавить его в группу.
Упражнение 4. Обработка замыкания политики
Недавно один из менеджеров по продажам Contoso, Ltd показал презентацию важному клиенту на своем компьютере, на рабочем столе которого была непри - стойная картинка. Руководство Contoso, Ltd попросило вас сделать так, чтобы рабочие столы ноутбуков менеджеров по продажам не с о д е р ж а л и ф о н о в ы х рисунков. Это необязательно делать для рабочих столов менеджеров, когда они входят на настольные компьютеры в офисе. Поскольку параметры политики, управляющие фоновым рисунком рабочего стола, относятся к к о н ф и г у р а ц и и пользователя, а вам нужно применить параметры к ноутбукам м е н е д ж е р о в по продажам, требуется использовать обработку политики з а м ы к а н и я . К р о м е того, объекты ноутбуков менеджеров по продажам распределены по несколь - ким подразделениям, и вы используете фильтры безопасности, которые объект GPO применит к группе, а не к подразделению ноутбуков менеджеров по продажам.
1.Откройте оснастку Active Directory — пользователи и к о м п ь ю т е р ы (Active Directory Users And Computers) и в подразделении Группы создайте глобальную группу безопасности с именем Ноутбуки отдела продаж . Кроме того, создайте подразделение Клиенты для объектов компьютеров клиентов.
2.В консоли управления групповой политикой G P M C щелкните правой кноп-
кой мыши контейнер Объекты групповой политики ( G r o u p Policy Objects) и выполните команду Создать (New).
3. В поле Имя (Name) введите имя |
Конфигурация ноутбуков отдела продаж |
и щелкните ОК. |
|
4. Щелкните правой кнопкой мыши |
G P O и выполните команду И з м е н и т ь |
(Edit). |
|
5. Разверните папку Конфигурация |
п о л ь з о в а т е л я \ П о л и т и к и \ А д м и н и с т р а - |
тивные шаблоны\Рабочий стол\Рабочий стол (User Configuration\Policies\ Administrative Templates\Desktop\Desktop).
6. Дважды щелкните параметр политики Фоновые рисунки рабочего стола (Desktop Wallpaper).