Текст книги "Настройка Active Directory. Windows Server 2008"

Автор книги: Dan Holme

Соавторы: Danielle Ruest,Nelson Ruest
сообщить о нарушении

Текущая страница: 23 (всего у книги 91 страниц)

и к о м п ь ю т е р ы ( A c t i v e D i r e c t o r y Users and Computers), щелкните правой

к н о п к о й м ы ш и о б ъ е к т к о м п ь ю т е р а D E S K T O P 5 5 5 и примените команду

П е р е у с т а н о в и т ь у ч е т н у ю з а п и с ь ( R e s e t Account). Таким образом будет

полностью р а з о р в а н б е з о п а с н ы й канал между компьютером DESKTOP555

и доменом. П о п р о б у й т е в о й т и на м а ш и н у D E S K T O P 5 5 5 как пользователь

Л и н д а М и т ч е л л . П о я в и т с я сообщение о том, что установить доверитель-

ные о т н о ш е н и я с д о м е н о м не удается. Поскольку для разрыва безопасного

к а н а л а вы и с п о л ь з о в а л и к о м а н д у П е р е у с т а н о в и т ь учетную запись (Re-

set Account), вы не с м о ж е т е восстановить такой канал с помощью команд

Netdom.exe и Nltest.exe. В о б ы ч н ы х с ц е н а р и я х устранения неполадок в пер-

вую очередь н у ж н о использовать эти инструменты. В данном случае заново

п р и с о е д и н и т е к о м п ь ю т е р к домену.

• У п р а ж н е н и е 4 Удалите объект D E S K T O P 5 5 5 из домена и поместите его

в рабочую группу. Убедитесь, что учетная запись объекта удалена в Active

Directory. С п о м о щ ь ю к о м а н д ы Redircmp.exe выполните перенаправление

контейнера к о м п ь ю т е р о в по умолчанию в подразделение Клиенты. Войдите

на м а ш и н у D E S K T O P 5 5 5 к а к администратор и присоедините компьютер

к домену. В окне ввода у ч е т н ы х д а н н ы х введите имя и пароль пользователя

Эприла Стюарта. К ом пьют е р будет присоединен к домену с помощью ново-

го объекта в п о д р а з д е л е н и и Клиенты. Вновь удалите компьютер из домена.

Атрибуту ms-DS-MachineAccountQuota присвойте значение 0, как описано в

подразделе « О г р а н и ч е н и е в о з м о ж н о с т и создания компьютеров пользова-

т е л я м и » на з а н я т и и 1. З а т е м вновь попытайтесь присоединить компьютер

D E S K T O P 5 5 5 к домену, п р и м е н и в учетные данные пользователя Эприла

Стюарта. Д о л ж н о п о я в и т ь с я сообщение об ошибке (см. рис. 5-4).

2 2 5 Компьютеры

Глава 5

Пробный экзамен

На прилагаемом к книге компакт-диске п р е д с т а в л е н о н е с к о л ь к о в а р и а н т о в

тренировочных тестов. Проверка знаний выполняется и л и т о л ь к о по одной теме

сертификационного экзамена 7 0 – 6 4 0 , и л и по в с е м э к з а м е н а ц и о н н ы м темам.

Тестирование можно организовать т а к и м образом, ч т о б ы о н о п р о в о д и л о с ь к а к

экзамен, либо настроить на режим обучения. В п о с л е д н е м с л у ч а е вы с м о ж е т е

после каждого своего ответа на вопрос п р о с м а т р и в а т ь ; п р а в и л ь н ы е о т в е т ы

и пояснения.

ПРИМЕЧАНИЕ Пробный экзамен

Подробнее о пробном экзамене рассказано во введении к данной книге. ;

Г Л А В А 6

Инфраструктура групповой политики

Занятие 1. Реализация групповой политики

228

Занятие 2. Управление областью действия групповой политики

255

Занятие 3. Поддержка групповой политики

279

В главе 1 мы о б с у ж д а л и Д о м е н н ы е службы Active Directory (Active Directory

Domain Services, AD D S ) , к о т о р ы е обеспечивают службы для идентификации и

у п р а в л е н и я д о с т у п о м в к о р п о р а т и в н ы х сетях Microsoft Windows, а также пре-

доставляют в о з м о ж н о с т и п о д д е р ж к и управления и конфигурации даже в очень

к р у п н ы х и с л о ж н ы х сетях. В г л а в а х 2 – 5 описаны методы администрирования

п р и н ц и п а л о в б е з о п а с н о с т и с л у ж б каталогов Active Directory, включая пользо-

вателей, г р у п п ы и к о м п ь ю т е р ы . Д а л е е речь пойдет об управлении и настройке

п о л ь з о в а т е л е й и к о м п ь ю т е р о в с п о м о щ ь ю групповой политики. Групповая

п о л и т и к а о б е с п е ч и в а е т и н ф р а с т р у к т у р у , в которой можно централизованно

определять и р а з в е р т ы в а т ь пользователей и компьютеры на предприятии.

В среде, у п р а в л я е м о й четко определенной инфраструктурой групповой

п о л и т и к и , н е п о с р е д с т в е н н а я к о н ф и г у р а ц и я рабочих столов практически не

выполняется. Вся к о н ф и г у р а ц и я определяется, внедряется и обновляется с по-

мощью п а р а м е т р о в объектов групповой политики G P O (Group Policy Object),

которые у п р а в л я ю т с т р у к т у р а м и предприятия, как, например, сайты, домены,

а также отдельные п о д р а з д е л е н и я и группы. В этой главе мы рассмотрим груп-

повую политику, п р и н ц и п ы ее работы и рекомендуемые методики реализации

групповой п о л и т и к и в организаций. В последующих главах настоящего руко-

водства г р у п п о в а я п о л и т и к а будет применяться для выполнения конкретных

задач у п р а в л е н и я , т а к и х как н ас т р о йк а безопасности, развертывание програм-

много обеспечения, п о л и т и к а паролей и аудит.

Темы экзамена:

• Создание и п о д д е р ж к а объектов Active Directory.

• Создание и п р и м е н е н и е объектов групповой политики ( G P O ) .

• Н астройка ш а б л о н о в G P O .

228 Инфраструктура групповой политики

Глава 6

• Поддержка среды Active Directory.

• Мониторинг Active Directory.

Прежде всего

Для выполнения упражнений в этой главе в домене contoso.com д о л ж е н быть

создан контроллер домена SERVER01. Инструкции относительно того, как это

делается, содержатся в главе 1.

История из жизни

Дэн Холме

Многие мои клиенты стараются повысить безопасность, снизить затраты и по-

высить эффективность работы пользователей. Всех этих целей достичь проще,

если управлять изменениями и конфигурацией в организации. При возникно-

вении проблем безопасности необходимо быстро реагировать, и когда в отдел

технической поддержки от пользователей поступает множество просьб отконфи-

гурировать системы, изменения лучше развертывать централизованно, заранее

обеспечивая эффективную работу для пользователей. Кроме того, нужно быстро

развертывать новое программное обеспечение. Мы привели лишь несколько

примеров, связанных с управлением на различных предприятиях. Групповая

политика представляет собой уникальную технологию, обеспечивающую зна-

чительные преимущества. Довольно часто администраторы неправильно приме-

няют параметры групповой политики. Подготовившись к сертификационному

экзамену, вы получите очень ценные навыки использования групповой политики,

которые сможете применять на предприятии.

Занятие 1. Реализация групповой политики

Инфраструктура групповой политики содержит много п е р е м е щ а е м ы х компо-

нентов, и чтобы обеспечить безопасность, нужно знать п р и н ц и п ы их работы.

На этом занятии мы обсудим компоненты, функции и п р и н ц и п ы в н у т р е н н е й

работы групповой политики.

Изучив материал этого занятия, вы сможете:

/ Идентифицировать компоненты групповой политики.

У Описывать основы обработки групповой политики.

/ Создавать, редактировать и привязывать объекты групповой политики.

^ Создавать центральное хранилище для административных шаблонов.

/ Выполнять поиск конкретных параметров в объекте групповой политики.

^ Создавать объект GPO из начального объекта групповой политики.

Продолжительность занятия – около 90 мин.

Занятие 1

Реализация групповой политики 2 2 9

Обзор групповой политики

Групповая п о л и т и к а п р е д с т а в л я е т собой к о м п о н е н т W i n d o w s , который позво-

л я е т у п р а в л я т ь и з м е н е н и я м и и к о н ф и г у р а ц и е й пользователей и компьютеров

в ц е н т р а л ь н о й т о ч к е а д м и н и с т р и р о в а н и я . Н а п о м н и м , что групповая полити-

к а к о н ф и г у р и р у е т п а р а м е т р ы о д н о г о и л и н е с к о л ь к и х пользователей, одного

и л и н е с к о л ь к и х к о м п ь ю т е р о в . С у щ е с т в у ю т т ы с я ч и параметров конфигурации,

к о т о р ы м и м о ж н о у п р а в л я т ь с п о м о щ ь ю г р у п п о в о й политики, используя одну

и н ф р а с т р у к т у р у с о д н и м н а б о р о м и н с т р у м е н т о в .

Параметры политики

Групповая п о л и т и к а о с н о в а н а на о т д е л ь н ы х параметрах политики (они также

н а з ы в а ю т с я политиками) и о п р е д е л я ю т к о н к р е т н у ю конфигурацию для приме-

нения. Н а п р и м е р , с у щ е с т в у е т п а р а м е т р политики, запрещающий пользователю

п о л у ч а т ь д о с т у п к с р е д с т в а м р е д а к т и р о в а н и я реестра. Если определить этот

п а р а м е т р п о л и т и к и и п р и м е н и т ь его к пользователю, то пользователь не запус-

т и т т а к и е и н с т р у м е н т ы , к а к р е д а к т о р р е е с т р а Regedit.exe. Еще один параметр

п о л и т и к и , п о з в о л я ю щ и й о т к л ю ч и т ь л о к а л ь н у ю учетную з а п и с ь Администра-

т о р ( A d m i n i s t r a t o r ) , п р и м е н я е т с я , к примеру, д л я о т к л ю ч е н и я учетной записи

а д м и н и с т р а т о р а на всех н а с т о л ь н ы х с и с т е м а х и ноутбуках пользователей.

Э т и д в а п р и м е р а о п р е д е л я ю т в а ж н ы й момент: некоторые параметры по-

л и т и к и в л и я ю т н а п о л ь з о в а т е л я н е з а в и с и м о о т компьютера, н а котором поль-

з о в а т е л ь в х о д и т в сеть, а д р у г и е п а р а м е т р ы п о л и т и к и в л и я ю т на компьютер

н е з а в и с и м о о т п о л ь з о в а т е л я , к о т о р ы й в х о д и т н а этот компьютер. Такие па-

р а м е т р ы п о л и т и к и , к а к п а р а м е т р , з а п р е щ а ю щ и й доступ к средствам редак-

т и р о в а н и я р е е с т р а , н а з ы в а ю т с я параметрами конфигурации пользователей,

и л и параметрами пользователей. П а р а м е т р п о л и т и к и , отключающий учетную

з а п и с ь а д м и н и с т р а т о р а , а т а к ж е д р у г и е а н а л о г и ч н ы е параметры, применяемые

к компьютеру, н а з ы в а ю т с я параметрами конфигурации компьютеров, или па-

раметрами компьютеров.

Объекты групповой политики

П а р а м е т р ы п о л и т и к и о п р е д е л я ю т с я и с о д е р ж а т с я в объекте групповой поли-

т и к и G P O ( G r o u p P o l i c y O b j e c t ) . О б ъ е к т G P O в к л ю ч а е т один или множество

п а р а м е т р о в п о л и т и к и и, с л е д о в а т е л ь н о , п р и м е н я е т с я к одному или множеству

к о н ф и г у р а ц и й п о л ь з о в а т е л я и л и к о м п ь ю т е р а .

Создание и управление объектами групповой политики

О б ъ е к т ы G P O м о ж н о с о з д а в а т ь в Active D i r e c t o r y с помощью консоли Управ-

л е н и е г р у п п о в о й п о л и т и к о й ( G r o u p Policy Management, G P M C ) , показанной н а

рис. 6-1. О н и о т о б р а ж а ю т с я в к о н т е й н е р е О б ъ е к т ы групповой политики (Group

Policy O b j e c t s ) . Ч т о б ы с о з д а т ь н о в ы й о б ъ е к т групповой п о л и т и к и , щелкните

правой к н о п к о й м ы ш и к о н т е й н е р О б ъ е к т ы групповой п о л и т и к и и выполните

команду С о з д а т ь ( N e w ) .

2 3 0 Инфраструктура г р у п п о в о й п о л и т и к и Г л а в а 6

Глава 6

ШШШШШ/Ж-,; -IGJJSJ

а <»«»» ДАт». виз <*»»•»

„1*1.21

> « * -о . . . .... .

0бьок1ы групповой попит пкм – contoso.com

Д Лес con»* аж

£^>о» | &>г»-*ое»« е |

– ! O i f j c o e ^ r j i T M r x – e – ^ r x w i w I <Рия.1рvwi j."':

.. Ow»*, Рок.

М CONTOSO Сл.. Hrr,

(Е и Ccn»olea

.' Dorren В » о Нет

.. CW«J Da^n bum *o Her

£ £ 'esl

$ £ Т»«;

в **W

' > t i / l Danan Cwwefcn Wo

. j H M i w w r t t w w i p m w w

. jg

•1 J •!

Ы ; '

Рис. 6-1. Консоль управления групповой политикой *

Редактирование объекта GPO

Для модификации параметров G P O щелкните объект п р а в о й к н о п к о й м ы ш и

и выполните команду Изменить (Edit). Объект G P O откроется в п о к а з а н н о м на

рис. 6-2 окне оснастки Редактор управления г р у п п о в ы м и п о л и т и к а м и ( G r o u p

Policy Management Editor, GPME), которую н а з ы в а ю т Р е д а к т о р о м о б ъ е к т о в

групповой политики (GPO Editor).

Window* rtotS tart

бфихты aeAci>«< после HI ««cm+AiT-юа

Еюд в сусerr

Грушоам n o n r a u

Доступ к см»*>п устрактдем

Пвяель г р а в л ы в псоизволитегънолмо

Еом пот лйракпр о.ло б

.ю<ьэое*те/ь лзгы'аетс* мпусткт*

• .'1 Сиемрм

хзм'сореестр*. 5уает выведено

'., Угравлеиие cbsjwo через /wTrcx'

. . . Угравлемие *лек"1рогм1»>«<ек

ттсгомчтам мпрсшспо.

j Усталом гржвера

,i, 3trpy<«Te о'суствумшне СОИ-ксепоиекты

j iViTepopeT*»»» столетия ins 2000 года

«/^«•мстр^фсввмв, испоыумте

! Зегретль мпухх к> ат>мхи гере-аслем»« прсгрл

грило«елж WnhrMK

« гоаетстеиа «Твистуют к рвбс

t' 1агрет*ть хслользомчм «он^идиой стрвш

К 34грет<те toa»n к средства* релактчкавгив рек

!£ Не загт»<х*ть >**r<»i/io»te>*«« vvndo*i -

•I

Рис. 6-2. Редактор управления групповыми политиками

Редактор GRME отображает тысячи параметров п о л и т и к и о б ъ е к т а G P O

в организованной иерархии, которая начинается с разделения между параметра-

L Занятие 1

Реализация групповой политики 2 3 1

|

ми к о м п ь ю т е р а и п а р а м е т р а м и п о л ь з о в а т е л я , – с о о т в е т с т в е н н о у з л ы К о н ф и -

г у р а ц и я к о м п ь ю т е р а ( C o m p u t e r C o n f i g u r a t i o n ) и К о н ф и г у р а ц и я п о л ь з о в а т е л я

( U s e r C o n f i g u r a t i o n ) . С л е д у ю щ и е у р о в н и и е р а р х и и т а к ж е п р е д с т а в л е н ы д в у м я

узлами: П о л и т и к и ( P o l i c i e s ) и Н а с т р о й к а ( P r e f e r e n c e s ) . Д а л е е м ы р а с с м о т р и м

р а з н и ц у м е ж д у н и м и . В с е о с т а л ь н ы е у р о в н и и е р а р х и и а н а л о г и ч н о представ-

л е н ы у з л а м и и л и г р у п п а м и п а р а м е т р о в п о л и т и к и . В н у т р и э т и х у з л о в разме-

щ е н ы п а р а м е т р ы п о л и т и к и . Н а р и с . 6 – 2 в ы б р а н а п о л и т и к а З а п р е т и т ь доступ

к с р е д с т в а м р е д а к т и р о в а н и я р е е с т р а ( P r e v e n t Access То R e g i s t r y E d i t i n g Tools).

Ч т о б ы о п р е д е л и т ь п о л и т и к у , д в а ж д ы щ е л к н и т е п а р а м е т р п о л и т и к и . О т к р о е т с я

д и а л о г о в о е о к н о С в о й с т в а ( P r o p e r t i e s ) п а р а м е т р а п о л и т и к и ( р и с . 6-3).

Рис. 6-3. Диалоговое окно свойств параметра политики

Настройка параметра политики

П а р а м е т р п о л и т и к и м о ж е т п р е б ы в а т ь в т р е х с о с т о я н и я х : Н е з а д а н ( N o t Con-

f i g u r e d ) , В к л ю ч е н ( E n a b l e d ) и О т к л ю ч е н ( D i s a b l e d ) . К а к п о к а з а н о н а рис. 6-2,

в н о в о м о б ъ е к т е G P O п а р а м е т р ы п о л и т и к и н е з а д а н ы . Э т о означает, что объект

G P O н е м о д и ф и ц и р у е т с у щ е с т в у ю щ у ю к о н ф и г у р а ц и ю д а н н о г о к о н к р е т н о г о

п а р а м е т р а п о л ь з о в а т е л я и л и к о м п ь ю т е р а . Е с л и в к л ю ч и т ь и л и о т к л ю ч и т ь па-

р а м е т р п о л и т и к и , в к о н ф и г у р а ц и ю п о л ь з о в а т е л е й и к о м п ь ю т е р о в , к к о т о р ы м

п р и м е н я е т с я G P O , м о ж е т б ы т ь в н е с е н о и з м е н е н и е . Р е з у л ь т а т такого изменения

з а в и с и т о т п а р а м е т р а п о л и т и к и . Н а п р и м е р , е с л и в к л ю ч и т ь п а р а м е т р п о л и т и -

к и З а п р е т и т ь д о с т у п к с р е д с т в а м р е д а к т и р о в а н и я р е е с т р а ( P r e v e n t Access Т о

R e g i s t r y E d i t i n g T o o l s ) , п о л ь з о в а т е л и н е з а п у с т я т р е д а к т о р р е е с т р а Regedit.exe

( R e g i s t r y E d i t o r ) . Е с л и о т к л ю ч и т ь э т о т п а р а м е т р п о л и т и к и , п о л ь з о в а т е л и смо-

гут з а п у с к а т ь Regedit.exe. Т а к и м о б р а з о м , о т к л ю ч а я п о л и т и к у , к о т о р а я запре-

щает о п е р а ц и ю , в ы т е м с а м ы м р а з р е ш а е т е э т у о п е р а ц и ю .

232 Инфраструктура групповой политики

Глава 6

ПРИМЕЧАНИЕ Знание и тестирование параметров политики

Многие параметры политики довольно сложные, а результат их включения пли от-

ключения проявляется не сразу. Кроме того, некоторые параметры политики влияют

только на определенные версии Windows. Поэтому внимательно читайте описа-

ние параметра политики на панели сведении GPME (см. рис. 6-2) или на вкладке

Объяснение (Explain) диалогового окна свойств параметра политики (см. рис. 6-3).

И, наконец, перед развертыванием политики в производственной среде всегда тести-

руйте результаты применения параметра политики и его взаимодействие с другими

параметрами политики.

Некоторые параметры политики связывают н е с к о л ь к о н а с т р о е к к о н ф и -

гурации в одну политику и могут требовать д о п о л н и т е л ь н ы е п а р а м е т р ы . Н а -

пример, чтобы определить, можно ли помещать ф а й л ы р е е с т р а в с и с т е м у без

предупреждения с помощью команды regedit/s, н у ж н о в к л ю ч и т ь п о л и т и к у

ограничения доступа к средствам редактирования реестра (см. рис. 6 – 3 ) .

Область действия

Конфигурация определяется параметрами в о б ъ е к т а х г р у п п о в о й п о л и т и к и .

Однако изменения конфигурации в G P O не в л и я ю т на к о м п ь ю т е р ы и л и поль-

зователей предприятия, если к ним не применяется объект G P O . Э т а к о н ц е п ц и я

называется областью действия объекта групповой п о л и т и к и . О б л а с т ь д е й с т в и я

G P O представляет собой коллекцию пользователей и компьютеров, к к о т о р ы м

применяются параметры GPO.

Для управления областью действия G P O используется н е с к о л ь к о методов.

Основной метод состоит в связывании G P O . О б ъ е к т ы G P O м о ж н о с в я з а т ь с

сайтами, доменами и подразделениями в Active Directory. П о с л е э т о г о сайт,

доиен ИЛИ подразделение определяют пределы о б л а с т и д е й с т в и я G P O . Па-

раметры политики, определенные в G P O , будут в л и я т ь на все к о м п ь ю т е р ы

и пользователей внутри узла, домена или подразделения, в к л ю ч а я д о ч е р н и е

подразделения. Один объект G P O можно п р и в я з а т ь к м н о ж е с т в у с а й т о в и л и

подразделений.

Затем область действия G P O можно ограничить д о п о л н и т е л ь н о с п о м о щ ь ю

фильтров безопасности, указывающих на г л о б а л ь н ы е г р у п п ы б е з о п а с н о с т и ,

к которым должен применяться или не применяться объект G P O , и л и фильтров

инструментария управления Windows (Windows M a n a g e m e n t I n s t r u m e n t a t i o n ) ,

указывающих область действия с помощью таких х а р а к т е р и с т и к с и с т е м ы , как

номер версии или свободное дисковое пространство.

Область действия объектов G P O подробно о п и с а н а на з а н я т и и 2.

Результирующая политика

Компьютеры и пользователи в области действия объекта G P O будут п р и м е н я т ь

параметры политики, указанные в этом G P O . О т д е л ь н ы й п о л ь з о в а т е л ь или

компьютер может подпадать под область действия м н о ж е с т в а о б ъ е к т о в G P O ,

привязанных к сайтам, домену или подразделениями, где расположен пользова-

тель или компьютер. Таким образом, в случае п р и м е н е н и я множества объектов

GPO параметры политики могут конфигурироваться иначе. П о э т о м у н у ж н о

Занятие 1

Реализация групповой политики 2 3 3

оценить Результирующую политику RSoP ( R e s u l t a n t Set of Policy), определяю-

щую параметры, которые будут применены к клиенту в случае использования

множества объектов G P O . Р е з у л ь т и р у ю щ а я п о л и т и к а R S o P рассматривается

на занятии 3.

Обновление групповой политики

Параметры п о л и т и к и в у з л е К о н ф и г у р а ц и я компьютера (Computer Configura-

tion) применяются при запуске системы, а также каждые 9 0 – 1 2 0 мин. Парамет-

ры политики К о н ф и г у р а ц и я п о л ь з о в а т е л я ( U s e r Configuration) применяются

во время входа п о л ь з о в а т е л я и к а ж д ы е 9 0 – 1 2 0 мин. Приложение политики

называется обновлением групповой политики.

Обновление групповой политики вручную с помощью команды GPUpdate

Если во время экспериментирования или устранения неполадок групповой по-

литики необходимо вручную инициировать ее обновление, чтобы не ждать сле-

дующего фонового обновления, выполняется команда Gpupdate.exe, посредством

которой запускается обработка групповой политики, аналогичная фоновому об-

новлению. Обновляются оба набора политик компьютера и пользователя. С по-

мощью параметров /targeticomputer и /target:user обновление компьютера можно

ограничить соответственно параметрами компьютера и пользователя. В фоновом

обновлении параметры применяются только в том случае, если использовался

объект групповой политики (GPO). Переключатель /force дает указание системе

заново применить все параметры во всех объектах GPO, под область действия

которых подпадает пользователь или компьютер. Чтобы некоторые параметры

политики вступили в силу, необходимо выйти из системы или перезагрузиться.

Переключатели /logoff и /boot команды Gpupdate.exe указывают соответственно

выход или перезагрузку. В Windows 2000 для обновления политики использо-

валась команда Secedit.exe, так что на сертификационном экзамене вы можете

встретить упоминания о ней.

Клиент групповой политики и расширения клиентской стороны

Каким образом п р и м е н я ю т с я п а р а м е т р ы п о л и т и к и ? В начале процесса обнов-

ления г р у п п о в о й п о л и т и к и с л у ж б а , з а п у щ е н н а я во всех системах Windows

(в W i n d o w s Vista и W i n d o w s Server 2008 она называется клиентом групповой

политики), определяет о б ъ е к т ы G P O , применяемые к компьютеру или пользо-

вателю. О н а з а г р у ж а е т все о б ъ е к т ы G P O , которые еще не кэшированы. Затем

набор процессов, к о т о р ы е н а з ы в а ю т с я расширениями клиентской стороны CSE

(Client-Side Extension), и н т е р п р е т и р у е т параметры в G P O и вносит соответс-

твующие и з м е н е н и я в к о н ф и г у р а ц и ю локального компьютера или текущего

вошедшего п о л ь з о в а т е л я . Р а с ш и р е н и я C S E существуют д л я всех основных

категорий параметров п о л и т и к и . Например, одно расширение CSE применяет

изменения безопасности, другое выполняет сценарии запуска и входа в систему,

третье вносит и з м е н е н и я в к л ю ч и и значения реестра. Каждая версия Windows

добавляет р а с ш и р е н и я C S E д л я н а р а щ и в а н и я функциональности групповой

политики. Н е с к о л ь к о д е с я т к о в р а с ш и р е н и й C S E имеются и в Windows Ser-

ver 2008. Одна из с а м ы х в а ж н ы х к о н ц е п ц и й групповой политики заключается

234 Инфраструктура групповой политики

Глава 6

в том, что она реально управляет клиентом. Клиент групповой п о л и т и к и из-

влекает объекты GPO из домена, включая р а с ш и р е н и я C S E д л я л о к а л ь н о г о

применения параметров.

Поведение клиентских расширений CSE м о ж н о о т к о н ф и г у р и р о в а т ь с по-

мощью тон же групповой политики. Б о л ь ш и н с т в о р а с ш и р е н и й C S E б у д у т

применять параметры в объекте G P O только в случае и з м е н е н и я G P O . Такое

поведение повышает общую скорость обработки политики, и с к л ю ч а я н е н у ж н о е

применение одних и тех же параметров. Б о л ь ш и н с т в о п о л и т и к п р и м е н я е т с я

таким образом, чтобы стандартные пользователи не смогли и з м е н и т ь п а р а м е т р

в своей системе, то есть этот параметр всегда будет с у б ъ е к т о м к о н ф и г у р а ц и и

групповой политики. Однако стандартные пользователи, о с о б е н н о а д м и н и с т -

раторы в своих системах, могут изменить некоторые п а р а м е т р ы . Е с л и п о л ь з о -

ватели в производственной среде являются а д м и н и с т р а т о р а м и с в о и х к о м п ь ю -

теров, клиентские расширения CSE можно о т к о н ф и г у р и р о в а т ь д л я п о в т о р н о г о

применения параметров политики, даже если о б ъ е к т G P O не б ы л и з м е н е н .

Таким образом, если административный пользователь м е н я е т к о н ф и г у р а ц и ю

в обход политики, конфигурация будет сброшена в соответствующее с о с т о я н и е

при следующем обновлении групповой политики.

ПРИМЕЧАНИЕ Настройка расширений CSE для повторного применения параметров

групповой политики, которые не изменялись в GPO

Расширения CSE можно отконфигурировать для повторного применения параметров

политики в фоновом режиме, даже если объект G P O не был изменен. Д л я этого

необходимо отконфигурировать объект GPO, под область действия которого под-

падают компьютеры, и определить параметры в узле Конфигурация компыотера

ПолитнкнАдминистративные шаблоныСистемаГрупповая политика (Computer

ConfigurationPoliciesAdininistrative TemplatesSystemGroup Policy). Для каждого

расширения следует открыть соответствующий параметр политики – например, Об-

работка политики реестра (Registry Policy Refreshing) для CSE-расширения Реестр

(Registry), выбрать опцию Включен (Enabled) и установить флажок Обрабатывать,

даже если объекты групповой политики не изменились (Process Even If The Group

Policy Objects Have Not Changed).

Важным исключением параметров обработки п о л и т и к и по у м о л ч а н и ю яв-

ляются параметры, управляемые CSE-расширением Б е з о п а с н о с т ь ( S e c u r i t y ) .

Параметры безопасности применяются каждые 16 ч, д а ж е е с л и о б ъ е к т груп-

повой политики не был изменен.

ПРИМЕЧАНИЕ Параметр политики Всегда ждать сеть при запуске и входе в систему

Строго рекомендуется включить параметр Всегда ждать сеть при запуске и вхо-

де в систему (Always Wait For Network At Startup And Logon) для всех клиен-

тов Windows XP и Windows Vista. Без этого параметра по умолчанию клиенты

Windows ХР и Windows Vista выполняют только фоновые обновления, то есть кли-

ент может загрузиться и пользователь может войти в домен, не получив из него

последние политики. Этот параметр находится в узле Конфигурация компьютерах

ПолнтнкиАдминистративные шаблоныСистемаВход в систему (Computer

ConfigurationPoliciesAdministrative TemplatesSystemLogon). Обязательно про-

читайте описание этого параметра политики.

Занятие 1

Реализация групповой политики 2 3 5

Медленные п о д к л ю ч е н и я и о т к л ю ч е н н ы е системы

Одна из задач, которую можно автоматизировать и контролировать с помощью

групповой п о л и т и к и , – у с т а н о в к а п р о г р а м м н о г о обеспечения. Клиентское

расширение C S E д л я нее по д де р ж и в ае т установку программного обеспечения

групповой п о л и т и к и G P S I ( G r o u p Policy Software Installation). Объект G P O

можно о т к о н ф и г у р и р о в а т ь д л я у с т а н о в к и одного или нескольких пакетов про-

граммного обеспечения. О д н а к о представим, что пользователь подключился

к сети через медленное соединение; передача больших программных пакетов

в таком случае м о ж е т с н и з и т ь о б щ у ю производительность.

К л и е н т г р у п п о в о й п о л и т и к и р е ш а е т эту проблему, идентифицируя ско-

рость п о д к л ю ч е н и я к д о м е н у и определяя, следует ли интерпретировать это

подключение к а к м е д л е н н о е . З а т е м это определение используется каждым

к л и е н т с к и м р а с ш и р е н и е м C S E , к о г д а п р и н и м а е т с я решение о применении

параметров. Н а п р и м е р , C S E – р а с ш и р е н и е Установка программ (Software Instal-

lation) о т к о н ф и г у р и р о в а н о д л я обработки политики отказа, чтобы програм-

мное обеспечение не у с т а н а в л и в а л о с ь в случае медленного подключения (по

умолчанию п о д к л ю ч е н и е с ч и т а е т с я медленным, если его скорость составляет

менее 500 к б и т / с ) .

Если п о л ь з о в а т е л ь о т к л ю ч и л с я от сети, параметры, ранее примененные

групповой п о л и т и к о й , будут действовать и далее, так что в этом отношении

для пользователя нет р а з н и ц ы , в сети он или вне нее. Существуют исключения

из этого п р а в и л а – в частности, сценарии запуска, входа, выхода и завершения

работы не будут з а п у с к а т ь с я в случае отключения пользователя.

Если у д а л е н н ы й п о л ь з о в а т е л ь подключается к сети в системе Windows

Vista и л и W i n d o w s Server 2008, к л и е н т групповой политики ожидает и опре-

деляет, б ы л о ли п р о п у щ е н о о б н о в л е н и е групповой политики. Если это так,

пропущенное о б н о в л е н и е г р у п п о в о й п о л и т и к и выполняется д л я получения

последних объектов G P O из домена. На основе своих параметров обработки

политики к л и е н т с к и е р а с ш и р е н и я C S E определяют применение параметров

в этих объектах G P O .

Объекты групповой политики

Далее мы более детально обсудим все компоненты групповой политики. В этом

подразделе р а с с м о т р и м о б ъ е к т ы G P O . О н и создаются д л я управления конфи-

гурацией к о м п ь ю т е р о в и п о л ь з о в а т е л е й и содержат необходимые параметры

политики. В л о к а л ь н о й системе каждого компьютера хранится несколько объек-

тов G P O – т а к н а з ы в а е м ы е локальные объекты групповой политики. Кроме

того, к о м п ь ю т е р м о ж е т п о д п а д а т ь под область действия любого количества

объектов G P O домена.

Локальные объекты групповой политики

Каждый компьютер Windows 2000, Windows ХР и Microsoft Windows Server 2003

содержит по одному л о к а л ь н о м у объекту G P O , который управляет конфигу-

рацией системы. Л о к а л ь н ы й объект G P O существует независимо от членства

компьютера в домене, р а б о ч е й группе и л и вне сетевой среды. Он хранится

в папке % S y s t e m R o o t % S y s t e m 3 2 G r o u p P o l i c y . Политики в локальном объекте

236 Инфраструктура групповой политики

Глава 6

GPO влияют только на компьютер, где хранится G P O . По у м о л ч а н и ю в ло-

кальном объекте G P O системы отконфигурированы т о л ь к о п о л и т и к и Пара-

метры безопасности (Security Settings). Все остальные п о л и т и к и не заданы

(Not Configured).

Если компьютер не принадлежит домену, локальная п о л и т и к а используется

для настройки и внедрения конфигурации данного к о м п ь ю т е р а . О д н а к о в до-

мене Active Directory параметры объектов G P O , п р и в я з а н н ы е к сайту, домену

или подразделениям, заменяют параметры локального о б ъ е к т а G P O . Кроме

того, ими проще управлять, чем объектами G P O на о т д е л ь н ы х компьютерах.

Системы Windows Vista и Windows Server 2008 с о д е р ж а т м н о ж е с т в о ло-