Книга Active directory
.pdf2 7 8 |
Инфраструктура групповой политики |
Глава 6 |
или несколькими сайтами, доменами и подразделениями. Область действия GPO корректируется с помощью фильтров безопасности и W M I .
•Клиентские расширения CSE применяют объекты G P O в следующем порядке: локальные GPO; объекты GPO, связанные с сайтом, где пользователь или компьютер входит в домен; объекты G P O , связанные с доменом пользователя или компьютера; объекты GPO, связанные с подразделениями. Результатом такого принципа применения параметров политики является наследование политики.
м Наследование политики можно блокировать с помощью опции Блокировать наследование (Block Inheritance) домена или подразделения.
•Объект GPO можно связать принудительно. Параметры в принудительно связанных GPO применяются к компьютерам и пользователям в области действия GPO, даже если для них задано блокирование наследования политики. Кроме того, параметры политики в принудительно связанном объекте GPO имеют приоритет и заменяют параметры конфигурации .
•С помощью фильтров безопасности можно указать группы, к которым будет применяться объект GPO, или группы, исключенные из области действия GPO. Фильтрацию GPO можно выполнять только д л я глобальных групп безопасности.
•В стандартном процессе обработки политики при обновлении политики пользователя (при входе в систему и каждые последующие 9 0 - 1 2 0 мин)
система применяет параметры политики к о н ф и г у р а ц и и пользователя из объектов GPO, в область действия которых включен пользователь.
ш Режим обработки замыкания политики изменяет принцип применения объектов GPO во время обновления политики пользователя. В режиме слияния (Merge) после применения параметров из объектов G P O , в область действия которых включен пользователь, система использует параметры политики из объектов GPO, в область действия которых попадает компьютер. Эти параметры заменяют конфликтующие параметры из объектов G P O пользователя. В режиме замены (Replace) обработки з а м ы к а н и я п о л и т и к и вместо пользовательских параметров конфигурации из объектов G P O вошедшего пользователя применяются только параметры конфигурации пользователя из объектов GPO, в область действия которых включен компьютер.
Закрепление материала
Для проверки знаний, полученных на занятии 2, используйте приведенные ниже вопросы, которые есть и на сопроводительном компакт-диске.
ПРИМЕЧАНИЕ Ответы
Ответы на эти вопросы с пояснениями, почему тот или иной вариант ответа является правильным или неправильным, вы найдете в разделе «Ответы» в конце книги.
1. Вам нужно развернуть объект GPO с именем Northwind Lockdown, который применяет конфигурацию ко всем пользователям в компании Northwind
280 |
Инфраструктура групповой политики |
Глава 6 |
Изучив материал этого занятия, вы сможете:
SАнализировать набор объектов GPO, применяемых к пользователю или ком- ' пыотеру.
S Предварительно моделировать влияние групповой политики или изменений Active Directory и результирующей политике.
S Локализовать журналы, содержащие события групповой политики.
Продолжительность занятия — около 30 мин.
Результирующая политика
На занятии 2 мы говорили, что пользователь или компьютер может быть включен в область действия множества объектов GPO. С учетом наследования, фильтров и исключения групповой политики становится довольно сложно определить применяемые параметры политики. Результирующая политика RSoP (Resultant Set of Policy) представляет сетевой результат применения объектов GPO к пользователю или компьютеру с учетом связей GPO, исключений (например, принудительная связь или блокирование наследования), а также фильтров безопасности и WMI. Результирующая политика RSoP также представляет коллекцию инструментов, с помощью которых можно оценивать, моделировать и устранять неполадки применения параметров групповой политики. Результирующая политика RSoP запрашивает локальный или удаленный компьютер и извлекает точные параметры, примененные к компьютеру и любому пользователю, который вошел на компьютер. Политика RSoP также может моделировать параметры политики, которые планируется применять к пользователю или компьютеру в различных сценариях, включая перемещение объекта между подразделениями или сайтами или изменение членства объекта в группах. С такими возможностями инструменты RSoP позволяют управлять конфликтами политик и устранять их.
В Windows Server 2008 включены следующие инструменты для выполнения анализа RSoP:
•Мастер результатов групповой политики (Group Policy Results Wizard);
•Мастер моделирования групповой политики ( Group Policy Modeling Wizard);
•утилита Gpresult.exe.
Генерирование отчетов RSoP с помощью мастера результатов групповой политики
Для анализа общего результата применения объектов GPO и параметров политики к пользователю и компьютеру организации в консоль Управление групповой политикой (Group Policy Management) включен Мастер результатов групповой политики (Group Policy Results Wizard), предназначенный для того, чтобы точно определять параметры применяемой к пользователю или компьютеру политики и причины применения тех или иных параметров.
Мастер результатов групповой политики может просматривать данные поставщика WM1 на локальном или удаленном компьютере Window Vista, Windows ХР, Windows Server 2003 и Windows Server 2008. Поставщик W M I
Занятие 3 |
Поддержка групповой политики |
2 8 1 |
|
'может создать отчет по всем п р |
и м е н я е м ы м параметрам групповой политики |
в системе. Он определяет, когда |
в ы п о л н я л а с ь обработка, какие объекты G P O |
были применены, о ш и б к и , п а р а м е т р ы п о л и т и к и ц их приоритет, а также объекты G P O , которые з а д а ю т эти п а р а м е т р ы .
Для того чтобы з а п у с т и т ь мастер результатов групповой политики, следует выполнить несколько т р е б о в а н и й .
•Вы д о л ж н ы обладать а д м и н и с т р а т и в н ы м и пр ивилеги ями на конечном компьютере.
• |
На конечном к о м п ь ю т е р е д о л ж н а быть установлена система не ниже Win- |
|
|
dows ХР. М а с т е р р е з у л ь т а т о в г р у п п о в о й п о л и т и к и не может получить до- |
|
|
ступ к системам W i n d o w s 2000. |
|
• |
Необходим |
д о с т у п к W M I на к о н е ч н о м компьютере . Это означает, что |
|
компьютер д о л ж е н б ы т ь в к л ю ч е н , подсоединен к сети и доступен на портах |
|
|
135 и 445. |
|
ПРИМЕЧАНИЕ |
Удаленное администрирование клиентских компьютеров |
|
Выполнение анализа R S o P с помощью Мастера результатов групповой политики (Group Policy Results Wizard) является лишь одним примеров удаленного выполнения административных задач. В Windows ХР SP2, Windows Vista и Windows Server 2008 включен брандмауэр, запрещающий незатребованные входящие подключения даже от членов группы Администраторы (Administrators). Групповая политика обеспечивает простой способ включения удаленного администрирования. В папке Конфигурация компыотера\Политики\Административные шаблоны\Сеть\Сетевые подключения\Брандмауэр W i n d o w s \ П p o ф и л ь домена (Computer Configuration\ Policies\Administrative Templates\Network\Network Connections\Windows Firewall\ Domain Profile) есть параметр политики Брандмауэр Windows: Разрешить исключение для входящих сообщений удаленного администрирования (Windows Firewall: Allow Inbound Remote Administration Exception). Включив этот параметр политики, вы можете указать IP-адреса или подсети, из которых будут приниматься пакеты удаленного администрирования. Как и в случае со всеми параметрами политики, прочитайте объяснение на вкладке Объяснение (Explain) и проверьте в лабораторной среде действие политики, прежде чем развернуть ее на предприятии.
• |
На конечном к о м п ь ю т е р е д о л ж н а быть запущена служба W M I . |
« |
Если вы хотите п р о а н а л и з и р о в а т ь результирующую политику RSoP для |
|
конкретного п о л ь з о в а т е л я , э т о т пользователь должен хотя бы раз войти на |
|
данный компьютер. Э т о т р е б о в а н и е не относится к текущему пользователю, |
|
вошедшему на к о м п ь ю т е р . |
|
После в ы п о л н е н и я всех этих т р е б о в а н и й запустите анализ RSoP. В консоли |
управления групповой п о л и т и к о й G P M C щелкните правой кнопкой мыши элемент Результаты г р у п п о в о й п о л и т и к и ( G r o u p Policy Results) и выполните команду Мастер результатов г р у п п о в о й п о л и т и к и ( G r o u p Policy Results Wizard). Мастер предложит в ы б р а т ь к о м п ь ю т е р . З а т е м он подключится к поставщику WMI на этом компьютере и отобразит список пользователей, которые входили на него. Вы можете в ы б р а т ь одного из пользователей или пропустить анализ RSoP политик к о н ф и г у р а ц и и п о л ь з о в а т е л я .
2 8 2 |
Инфраструктура групповой политики |
Глава 6 |
Мастер выводит подробный отчет RSoP в динамическом формате HTML.' Если включена конфигурация усиленной безопасности Internet Explorer ESCi будет предложено разрешить консоли отображать динамическое содержимое. Каждую секцию отчета можно развернуть или свернуть с помощью ссылки Показать (Show) и Скрыть (Hide) либо двойным щелчком заголовка секции. Отчет состоит из трех вкладок.
• |
Сводка (Summary') |
Отображается состояние обработки групповой по- |
|
литики в последнем обновлении, а также информация о системе, объек- |
|
|
тах GPO, членстве в группах безопасности при применении групповой |
|
|
политики, проанализированные фильтры WMI и состояние клиентских |
|
|
расширений (компонентов) CSE. |
|
• |
Параметры (Settings) |
На этой вкладке выведен результирующий набор |
|
параметров политики, примененных к компьютеру или пользователю. Здесь |
|
|
точно указаны действия, примененные к пользователю в результате реали- |
|
|
зации групповой политики. Хотя здесь представлено очень много данных, |
|
|
некоторая информация все же не отображается — например, параметры |
|
|
политики IPsec, беспроводных сетей и дисковых квот. |
|
• |
События политики (Policy Events) Отображаются события групповой |
|
|
политики из журналов событий конечного компьютера. |
|
После генерирования отчета RSoP с помощью Мастера результатов групповой политики (Group Policy Results Wizard) щелкните отчет правой кнопкой мыши и заново запустите запрос, затем распечатайте отчет либо сохраните его в файле XML или HTML, поддерживающем динамическое развертывание и свертывание секций. Оба типа файлов можно открыть с помощью Internet Explorer, а отчет RSoP переместить из консоли GPMC . В деретзе консоли в папке Результаты групповой политики (Group Policy Results) щелкните правой кнопкой мыши узел самого отчета и выполните команду Дополнительные параметры (Advanced View). В открывшемся окне отчет RSoP отображается в виде оснастки RSoP, где можно просмотреть все примененные параметры, включая политики IPsec, беспроводных сетей и дисковых квот.
Генерирование отчетов RSoP с помощью утилиты Gpresult.exe
Команда Gpresult представляет собой версию мастера результатов групповой политики в командной строке. Эта утилита обращается к тому же провайдеру WMI, генерирует такую же информацию и даже позволяет создавать такие же графические отчеты. Утилита Gpresult.exe запускается в Windows Vista, Windows ХР, Windows Server 2003 и Windows Server 2008. В Windows 2000 включена команда Gpresult, генерирующая ограниченный отчёт обработки групповой политики, однако она не предлагает таких возможностей, как в последующих версиях Windows.
При запуске команды Gpresult применяются следующие опции.
•/s имя_компъютера Указывает имя или IP-адрес удаленной системы. Если в качестве имени компьютера использовать символ точки (.) или не указать опцию /в, анализ RSoP будет выполнен на локальном компьютере.
Занятие 3 |
Поддержка групповой политики |
2 8 3 |
•/scope [user | computer] Отображает анализ RSoP для параметров пользователя или компьютера. Если пропустить опцию /scope, будет выполнен анализ RSoP как пользовательских, так и компьютерных параметров политики.
•/user 1шя_пользователя Указывает имя пользователя, для которого отображаются данные анализа RSoP.
• /г Отображает сводку данных RSoP.
•/v Отображает подробные сведения RSoP с четкой информацией.
• /г Отображает максимально подробную информацию, в том числе сведения обо всех параметрах политики, примененных к системе. Нередко этот параметр отображает намного больше информации, чем требуется для устранения типичных неполадок групповой политики.
•/и domain\nonb3oeamenb/р пароль Запускает команду с учетными данными из группы администраторов удаленной системы. Без этих учетных данных команда Gpresult запускается с использованием учетных данных текущего вошедшего пользователя, который запускает команду.
м 1/х | /h] имя_файла С о х р а н я е т отчеты соответственно в формате XML и HTML . Эти опции доступны в Windows Vista SP1 и Windows Server 2008.
Контрольный вопрос
м Вам нужно выполнить анализ RSoP удаленной системы. Какие два инструмента можно использовать для выполнения этой задачи?
Ответ на контрольный вопрос
•Мастер результатов групповой политики (Group Policy Results Wizard)
иутилиту Gresult.exe.
Устранение н е п о л а д о к г р у п п о в о й политики с помощью мастера результатов групповой политики и утилиты Gpresult.exe
Нередко прежде чем исправить неполадки групповой политики, необходимо выполнить диагностику и устранить другие неполадки, включая следующие:
•не применяются объекты G P O ;
•результирующая политика компьютера или пользователя отличается от ожидаемой.
Мастер результатов групповой политики и утилита Gpresult.exe позволяют извлечь подробную информацию о неполадках обработки и применения групповой политики. Помните, что для составления точного отчета эти средства анализируют RSoP провайдера W M I . В отчете анализа RSoP часто указываются объекты G P O с некорректной областью действия или ошибками обработки, не позволяющими применить параметры GPO .
2 8 4 |
Инфраструктура групповой политики |
Глава 6 |
Выполнение анализов «что-если» с помощью мастера моделирования групповой политики
Если вы перемещаете компьютер или пользователя между сайтами, доменами и подразделениями либо изменяете его членство в группах безопасности, будут меняться объекты GPO, под область действия которых подпадает пользователь или компьютер, и соответственно результирующая политика RSoP компьютера или пользователя. Политика RSoP также изменяется в случае использования медленного подключения или обработки замыкания политики, а также при изменении системной характеристики, на которую нацелен фильтр W M I .
Прежде чем внести какие-либо изменения, нужно оценить потенциальное влияние политики RSoP на пользователя или компьютер. Мастер результатов групповой политики (Group Policy Results Wizard) выполняет анализ RSoP только уже примененных политик. Для прогнозирования политики и выполнения анализов «что-если» (what-if)' используется Мастер моделирования групповой политики (Group Policy Modeling Wizard).
В консоли управления групповой политикой G P M C щелкните правой кнопкой узел Моделирование групповой политики (Group Policy Modeling) и выполните команду Мастер моделирования групповой политики (Group Policy Modeling Wizard). Моделирование выполняется путем эмуляции контроллера домена, поэтому вначале нужно выбрать контроллер домена не ниже Windows Server 2003. Локально входить на контроллер домена нет необходимости, однако запрос моделирования будет выполняться на нем. Затем нужно указать параметры эмуляции:
•выбрать объект пользователя или компьютера для оценки или указать подразделение, сайт либо домен для оценки;
•указать, следует ли имитировать медленное подключение;
•указать, следует ли выполнять обработку замыкаНия политики, и выбрать для обработки режим Замена (Replace) или Слияние (Merge);
•выбрать сайт для эмулирования;
•выбрать группы безопасности пользователя и компьютера;
•выбрать фильтры WMI для применения в эмуляции обработки политики пользователя или компьютера.
После указания параметров эмуляции генерируется отчет, очень похожий на описанный выше отчет Результаты групповой политики (Group Policy Results). На вкладке Сводка (Summary) указаны объекты групповой политики,
авкладка Параметры (Settings) содержит параметры, которые будут применены
кпользователю или компьютеру. Чтобы сохранить отчет, щелкните его правой кнопкой мыши и выполните команду Сохранить отчет (Save Report).
Анализ журналов событий политики
В Windows Vista и Windows Server 2008 устранение неполадок групповой политики выполняется не только с помощью инструментов RSoP, но и путем ведения журнала событий групповой политики. В журнале Система (System) содержатся высокоуровневые данные о групповой политике, включая ошиб-
Занятие 3 |
Поддержка групповой политики |
285 |
ки клиента групповой политики, связанные с невозможностью подключения к контроллеру домена или неправильного размещения объектов GPO. Журнал Приложение (Application) захватывает события, записанные клиентскими расширениями CSE, новый журнал Operational групповой политики содержит подробные сведения об обработке групповой политики. Для того чтобы найти эти журналы, откройте оснастку или консоль Просмотр событий (Event Viewer). Журналы Система (System) и Приложение (Application) находятся в узле Журналы Windows (Windows Logs). Журнал Operational групповой политики находится в папке Microsoft\Windows \GroupPolicy в узле журналы приложений и служб (Applications And Services Logs). Этот журнал будет доступен, только когда вы используете Мастер моделирования групповой политики (Group Policy Modeling Wizard).
Практические занятия. Настройка области действия групповой политики
В предложенных далее упражнениях вы продолжите сценарий, начатый с создания и настройки объектов G P O на занятиях 1 и 2: проанализируете RSoP, выполните моделирование и проанализируете события политики в журналах событий. Для выполнения этих упражнений следует прежде выполнить упражнения занятий 1 и 2.
Упражнение 1. Использование м а с т е р а результатов групповой политики
В этом упражнении используется мастер результатов групповой политики для анализа результирующей политики RSoP на машине SERVER01 и проверяется применение политик, созданных на занятиях 1 и 2.
1. Войдите на машину S E R V E R 0 1 как администратор.
2.Откройте окно командной строки и введите команду gpupdate.exe /force / boot, чтобы инициировать обновление групповой политики. Подождите, пока ие будет перезагружен компьютер. Запомните текущее время системы, поскольку оно вам понадобится в упражнении 3.
3.Войдите на SERVER01 как администратор и откройте консоль Управление
групповой политикой ( G r o u p Policy Management). 4. Разверните узел Лес (Forest).
5. Щелкните правой кнопкой м ы ш и узел Результаты групповой политики (Group Policy Results) и выполните команду Мастер результатов групповой политики (Group Policy Results Wizard).
6.Щелкните Далее (Next).
7.На странице Выбор компьютера (Computer Selection) выберите опцию Этот компьютер (This Computer) и щелкните Далее (Next).
8.На странице Выбор пользователя (User Selection) выберите опцию Отображать параметры политики пользователя для (Display Policy Settings For), затем выберите опцию Другого пользователя (Select A Specific User) и пользователя CONTOSO\Администратор (СОЫТОЗО\Адмииистратор). Щелкните Далее (Next).
2 8 6 |
Инфраструктура групповой политики |
Глава 6 |
9.На странице Сводка выбранных параметров (Summary Of Selections) просмотрите выбранные параметры и щелкните Далее (Next).
10.Щелкните Готово (Finish).
На панели сведении консоли появится отчет RSoP.
11.В верхней части отчета на вкладке Сводка (Summary) щелкните ссылку Показать все (Show All).
12.Просмотрите сводку Результаты групповой политики (Group Policy Summary). Для конфигурации пользователя и компьютера идентифицируйте время последнего обновления политики, а также просмотрите список примененных и отклоненных объектов GPO. Идентифицируйте компоненты (CSE-расширепия), которые использовались для обработки параметров политики.
13.Перейдите па вкладку Параметры (Settings) и щелкните ссылку Показать все (Show All) в верхней части страницы. Просмотрите примененные параметры политики пользователя и компьютера и идентифицируйте GPO, из которого получены эти параметры.
14.Перейдите на вкладку События политики (Policy Events) и локализуйте события, записанные в журналы при обновлении политики с помощью команды Gpupdate.exe в шаге 2.
15.Перейдите на вкладку Сводка (Summary), щелкните страницу правой кнопкой мыши и выполните команду Сохранить отчет (Save Report). Сохраните отчет в папке Документы (Documents) в виде файла H T M L с именем по своему усмотрению.
16.Откройте отчет RSoP, сохраненный в папке Документы (Documents).
Упражнение 2. Использование утилиты Gpresult.exe
В этом упражнении выполняется анализ RSoP в окне командной строки с помощью команды Gpresult.
1.Откройте окно командной строки.
2.Введите команду gpresult /г и нажмите клавишу Enter.
Отобразятся результаты сводки RSoP. Эта информация аналогична сведениям на вкладке Сводка (Summary) отчета RSoP, генерируемого мастером результатов групповой политики.
3.Введите команду gpresult/V и нажмите клавишу Enter.
Будет создан более детальный отчет RSoP. В отчете перечислено множество параметров групповой политики, применяемых клиентом.
А. Введите команду gpresult /г и нажмите Enter. Будет создан сверхподробный отчет RSoP.
5. Введите команду gpresult/h:"%userprofile%\Documents\RSOP.html" и нажмите Enter.
Отчет RSoP будет сохранен в виде файла HTML в вашей папке Документы (Documents).
Занятие 3 |
Поддержка групповой политики |
2 8 7 |
6. В папке документов откройте сохраненный отчет RSoP. Сравните его информацию и форматирование с отчетом RSoP, сохраненным в предыдущем примере.
Упражнение 3. Просмотр событий политики
При обновлении политики клиентом в журналы событий Windows записываются события политики. Выполняя это упражнение, вы локализуете и проанализируете события, связанные с групповой политикой.
1.В группе Администрирование (Administrative Tools) откройте консоль Просмотр событий (Event Viewer).
2.Разверните папку Журналы Windows (Windows Logs) и откройте журнал Система (System).
3.Локализуйте события с источником GroupPolicy. Вы можете щелкнуть ссылку Фильтровать текущий журнал (Filter Current Log) на панели Действия (Actions) и в раскрывающемся списке Источники событий (Event Sources) выбрать источник GroupPolicy.
4.Просмотрите информацию событий GroupPolicy.
5.В папке Журналы Windows (Windows Logs) в дереве консоли щелкните узел Приложение (Application).
6. Отсортируйте журнал П р и л о ж е н и е (Application) по столбцу Источник (Source).
7.Просмотрите события групповой политики, внесенные в этот журнал. Какие события связаны с применением групповой политики и какие связаны с действиями, которые выполняются для управления групповой политикой?
8.В дереве консоли в папке Журналы приложений и служб (Application And Services Logs) разверните журнал Microsoft\Windows\GroupPolicy\ Operational.
9.Локализуйте первое событие, связанное с обновлением групповой политики, инициированном в упражнении 1, где для этого использовалась команда Gpupdate. Просмотрите это событие и все последующие.
Упражнение 4. М о д е л и р о в а н и е групповой политики
В этом упражнении используется мастер моделирования групповой политики для оценки потенциального влияния параметров политики на пользователей ноутбуков отдела продаж.
1.Откройте оснастку Active Directory — пользователи и компьютеры (Active Directory Users And Computers) .
2.В подразделении Кадры создайте учетную запись пользователя Майк Дансеглио.
3.Создайте в домене подразделение Клиенты.
4.В подразделении Клиенты создайте учетную запись компьютера LAPTOPIOI.
5. Добавьте объект L A P T O P I O I и группу Пользователи домена (Domain Users) в группу Ноутбуки.отдела продаж.