Файловый архив студентов. Файловый архив студентов.
1262 вуза, 4625 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Санкт-Петербургский государственный экономический университет (бывш. ФИНЭК, ИНЖЭКОН)
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Лекция 13.docx
Скачиваний:
13
Добавлен:
26.09.2019
Размер:
519.52 Кб
Скачать
►Содержание►

Применение групповых политик

Работая с групповыми политиками, следует учитывать, что:

  1. объекты GPO применяются в отношении контейнеров, а не замыкающих объектов;

  2. один контейнер может быть связан с несколькими объектами GPO;

  3. объекты GPO, связанные с одним и тем же контейнером, применяются в отношении этого контейнера в том порядке, в котором они были назначены;

  4. объект GPO включает в себя две составляющие: параметры, относящиеся к компьютеру, и параметры, относящиеся к пользователю;

  5. обработку любой из этих составляющих можно отключить;

  6. наследование объектов GPO можно блокировать;

  7. наследование объектов GPO можно форсировать;

  8. применение объектов GPO можно фильтровать при помощи списков ACL.

Порядок применения объектов групповой политики

(слайд №9)

Когда компьютер запускается, происходят следующие действия:

    1. Читается реестр и определяется, к какому сайту принадлежит компьютер. Делается запрос серверу DNS с целью получения IP адресов контроллеров домена, расположенных в этом сайте.

    2. Получив адреса, компьютер соединяется с контроллером домена.

    3. Клиент запрашивает список объектов GP у контроллера домена и применяет их. Последний присылает список объектов GP в том порядке, в котором они должны применяться.

    4. Когда пользователь входит в систему, компьютер снова запрашивает список объектов GP, которые необходимо применить к пользователю, извлекает и применяет их.

Групповые политики применяются при загрузке OC и при входе пользователя в систему. Затем они применяются каждые 90 минут, с вариацией в 30 минут для исключения перегрузки контроллера домена в случае одновременного запроса большого количества клиентов. Для контроллеров домена интервал обновления составляет 5 минут. Изменить это поведение можно в разделе Computer Configuration\Administrative Templates\System\Group Policy. Объект групповой политики может действовать только на объекты «компьютер» и «пользователь». Политика действует только на объекты, находящиеся в объекте каталога (сайт, домен, подразделение), с которым связан GPO и ниже по «дереву» (если не запрещено наследование). Например: Объект GPO создан в OU testers (как мы сделали выше).

(слайд №10)

Рис. 4. Наследование настроек.

Все настройки, сделанные в этом GPO, будут действовать только на пользователей и компьютеры, находящиеся в OU testers и OU InTesters. Рассмотрим порядок применения политик на примере. Пользователь test, расположенный в OU testers, входит на компьютер comp, находящийся в OU compOU (см. рис. 5).

(слайд №11)

Рис. 5. Порядок применения политик.

В домене существуют четыре GPO:

  1. SitePolicy, связанный с контейнером сайта;

  2. Default Domain Policy, связанный с контейнером домена;

  3. Policy1, связанный с OU testers;

  4. Policy2, связанный с OU compOU.

При загрузке Windows на рабочей станции comp, параметры, определённые в разделах Computer Configuration, применяются в таком порядке:

  1. Параметры локального GPO;

  2. Параметры GPO SitePolicy;

  3. Параметры GPO Default Domain Policy;

  4. Параметры GPO Policy2.

При входе пользователя test на компьютер comp - параметры, определенные в разделах User Configuration:

  1. Параметры локального GPO;

  2. Параметры GPO SitePolicy;

  3. Параметры GPO Default Domain Policy;

  4. Параметры GPO Policy1.

(слайд №12)

То есть GPO применяются в таком порядке: локальные политики, политики уровня сайта, политики уровня домена, политики уровня OU.

Рисунок 1.3 Пример структуры подразделений и объектов GPO для компьютеров под управлением Windows 7

В примере на рисунке 1.3 переносные компьютеры входят в подразделение «Переносные компьютеры». В первую очередь в ним применяется их собственная локальная политика безопасности. Поскольку в нашем примере только один сайт, на уровне сайтов объектов GPO нет, так что следующей применяемой политикой становится доменный объект GPO. Наконец, последним применяется объект GPO «Политика переносного ПК».

Опция User Group policy loopback processing. Эта опция изменяет порядок применения политик по умолчанию, при котором пользовательские политики применяются после компьютерных и перезаписывают последние. Вы можете установить опцию loopback, чтобы политики компьютера применялись после пользовательских политик и перезаписывали все пользовательские политики, противоречащие политикам компьютера.

У параметра loopback есть 2 режима:

  1. Merge (соединить) - сначала применяется компьютерная политика, затем пользовательская и снова компьютерная. При этом компьютерная политика заменяет противоречащие ей параметры пользовательской политики своими.

  2. Replace (заменить) - пользовательская политика не обрабатывается.

Проиллюстрировать применение параметра User Group policy loopback processing можно, например, на общедоступном компьютере, на котором необходимо иметь одни и те же ограниченные настройки, независимо от того, какой пользователь им пользуется.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности