Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 23 (всего у книги 91 страниц)
и к о м п ь ю т е р ы ( A c t i v e D i r e c t o r y Users and Computers), щелкните правой
к н о п к о й м ы ш и о б ъ е к т к о м п ь ю т е р а D E S K T O P 5 5 5 и примените команду
П е р е у с т а н о в и т ь у ч е т н у ю з а п и с ь ( R e s e t Account). Таким образом будет
полностью р а з о р в а н б е з о п а с н ы й канал между компьютером DESKTOP555
и доменом. П о п р о б у й т е в о й т и на м а ш и н у D E S K T O P 5 5 5 как пользователь
Л и н д а М и т ч е л л . П о я в и т с я сообщение о том, что установить доверитель-
ные о т н о ш е н и я с д о м е н о м не удается. Поскольку для разрыва безопасного
к а н а л а вы и с п о л ь з о в а л и к о м а н д у П е р е у с т а н о в и т ь учетную запись (Re-
set Account), вы не с м о ж е т е восстановить такой канал с помощью команд
Netdom.exe и Nltest.exe. В о б ы ч н ы х с ц е н а р и я х устранения неполадок в пер-
вую очередь н у ж н о использовать эти инструменты. В данном случае заново
п р и с о е д и н и т е к о м п ь ю т е р к домену.
• У п р а ж н е н и е 4 Удалите объект D E S K T O P 5 5 5 из домена и поместите его
в рабочую группу. Убедитесь, что учетная запись объекта удалена в Active
Directory. С п о м о щ ь ю к о м а н д ы Redircmp.exe выполните перенаправление
контейнера к о м п ь ю т е р о в по умолчанию в подразделение Клиенты. Войдите
на м а ш и н у D E S K T O P 5 5 5 к а к администратор и присоедините компьютер
к домену. В окне ввода у ч е т н ы х д а н н ы х введите имя и пароль пользователя
Эприла Стюарта. К ом пьют е р будет присоединен к домену с помощью ново-
го объекта в п о д р а з д е л е н и и Клиенты. Вновь удалите компьютер из домена.
Атрибуту ms-DS-MachineAccountQuota присвойте значение 0, как описано в
подразделе « О г р а н и ч е н и е в о з м о ж н о с т и создания компьютеров пользова-
т е л я м и » на з а н я т и и 1. З а т е м вновь попытайтесь присоединить компьютер
D E S K T O P 5 5 5 к домену, п р и м е н и в учетные данные пользователя Эприла
Стюарта. Д о л ж н о п о я в и т ь с я сообщение об ошибке (см. рис. 5-4).
2 2 5 Компьютеры
Глава 5
Пробный экзамен
На прилагаемом к книге компакт-диске п р е д с т а в л е н о н е с к о л ь к о в а р и а н т о в
тренировочных тестов. Проверка знаний выполняется и л и т о л ь к о по одной теме
сертификационного экзамена 7 0 – 6 4 0 , и л и по в с е м э к з а м е н а ц и о н н ы м темам.
Тестирование можно организовать т а к и м образом, ч т о б ы о н о п р о в о д и л о с ь к а к
экзамен, либо настроить на режим обучения. В п о с л е д н е м с л у ч а е вы с м о ж е т е
после каждого своего ответа на вопрос п р о с м а т р и в а т ь ; п р а в и л ь н ы е о т в е т ы
и пояснения.
ПРИМЕЧАНИЕ Пробный экзамен
Подробнее о пробном экзамене рассказано во введении к данной книге. ;
Г Л А В А 6
Инфраструктура групповой политики
Занятие 1. Реализация групповой политики
228
Занятие 2. Управление областью действия групповой политики
255
Занятие 3. Поддержка групповой политики
279
В главе 1 мы о б с у ж д а л и Д о м е н н ы е службы Active Directory (Active Directory
Domain Services, AD D S ) , к о т о р ы е обеспечивают службы для идентификации и
у п р а в л е н и я д о с т у п о м в к о р п о р а т и в н ы х сетях Microsoft Windows, а также пре-
доставляют в о з м о ж н о с т и п о д д е р ж к и управления и конфигурации даже в очень
к р у п н ы х и с л о ж н ы х сетях. В г л а в а х 2 – 5 описаны методы администрирования
п р и н ц и п а л о в б е з о п а с н о с т и с л у ж б каталогов Active Directory, включая пользо-
вателей, г р у п п ы и к о м п ь ю т е р ы . Д а л е е речь пойдет об управлении и настройке
п о л ь з о в а т е л е й и к о м п ь ю т е р о в с п о м о щ ь ю групповой политики. Групповая
п о л и т и к а о б е с п е ч и в а е т и н ф р а с т р у к т у р у , в которой можно централизованно
определять и р а з в е р т ы в а т ь пользователей и компьютеры на предприятии.
В среде, у п р а в л я е м о й четко определенной инфраструктурой групповой
п о л и т и к и , н е п о с р е д с т в е н н а я к о н ф и г у р а ц и я рабочих столов практически не
выполняется. Вся к о н ф и г у р а ц и я определяется, внедряется и обновляется с по-
мощью п а р а м е т р о в объектов групповой политики G P O (Group Policy Object),
которые у п р а в л я ю т с т р у к т у р а м и предприятия, как, например, сайты, домены,
а также отдельные п о д р а з д е л е н и я и группы. В этой главе мы рассмотрим груп-
повую политику, п р и н ц и п ы ее работы и рекомендуемые методики реализации
групповой п о л и т и к и в организаций. В последующих главах настоящего руко-
водства г р у п п о в а я п о л и т и к а будет применяться для выполнения конкретных
задач у п р а в л е н и я , т а к и х как н ас т р о йк а безопасности, развертывание програм-
много обеспечения, п о л и т и к а паролей и аудит.
Темы экзамена:
• Создание и п о д д е р ж к а объектов Active Directory.
• Создание и п р и м е н е н и е объектов групповой политики ( G P O ) .
• Н астройка ш а б л о н о в G P O .
228 Инфраструктура групповой политики
Глава 6
• Поддержка среды Active Directory.
• Мониторинг Active Directory.
Прежде всего
Для выполнения упражнений в этой главе в домене contoso.com д о л ж е н быть
создан контроллер домена SERVER01. Инструкции относительно того, как это
делается, содержатся в главе 1.
История из жизни
Дэн Холме
Многие мои клиенты стараются повысить безопасность, снизить затраты и по-
высить эффективность работы пользователей. Всех этих целей достичь проще,
если управлять изменениями и конфигурацией в организации. При возникно-
вении проблем безопасности необходимо быстро реагировать, и когда в отдел
технической поддержки от пользователей поступает множество просьб отконфи-
гурировать системы, изменения лучше развертывать централизованно, заранее
обеспечивая эффективную работу для пользователей. Кроме того, нужно быстро
развертывать новое программное обеспечение. Мы привели лишь несколько
примеров, связанных с управлением на различных предприятиях. Групповая
политика представляет собой уникальную технологию, обеспечивающую зна-
чительные преимущества. Довольно часто администраторы неправильно приме-
няют параметры групповой политики. Подготовившись к сертификационному
экзамену, вы получите очень ценные навыки использования групповой политики,
которые сможете применять на предприятии.
Занятие 1. Реализация групповой политики
Инфраструктура групповой политики содержит много п е р е м е щ а е м ы х компо-
нентов, и чтобы обеспечить безопасность, нужно знать п р и н ц и п ы их работы.
На этом занятии мы обсудим компоненты, функции и п р и н ц и п ы в н у т р е н н е й
работы групповой политики.
Изучив материал этого занятия, вы сможете:
/ Идентифицировать компоненты групповой политики.
У Описывать основы обработки групповой политики.
/ Создавать, редактировать и привязывать объекты групповой политики.
^ Создавать центральное хранилище для административных шаблонов.
/ Выполнять поиск конкретных параметров в объекте групповой политики.
^ Создавать объект GPO из начального объекта групповой политики.
Продолжительность занятия – около 90 мин.
Занятие 1
Реализация групповой политики 2 2 9
Обзор групповой политики
Групповая п о л и т и к а п р е д с т а в л я е т собой к о м п о н е н т W i n d o w s , который позво-
л я е т у п р а в л я т ь и з м е н е н и я м и и к о н ф и г у р а ц и е й пользователей и компьютеров
в ц е н т р а л ь н о й т о ч к е а д м и н и с т р и р о в а н и я . Н а п о м н и м , что групповая полити-
к а к о н ф и г у р и р у е т п а р а м е т р ы о д н о г о и л и н е с к о л ь к и х пользователей, одного
и л и н е с к о л ь к и х к о м п ь ю т е р о в . С у щ е с т в у ю т т ы с я ч и параметров конфигурации,
к о т о р ы м и м о ж н о у п р а в л я т ь с п о м о щ ь ю г р у п п о в о й политики, используя одну
и н ф р а с т р у к т у р у с о д н и м н а б о р о м и н с т р у м е н т о в .
Параметры политики
Групповая п о л и т и к а о с н о в а н а на о т д е л ь н ы х параметрах политики (они также
н а з ы в а ю т с я политиками) и о п р е д е л я ю т к о н к р е т н у ю конфигурацию для приме-
нения. Н а п р и м е р , с у щ е с т в у е т п а р а м е т р политики, запрещающий пользователю
п о л у ч а т ь д о с т у п к с р е д с т в а м р е д а к т и р о в а н и я реестра. Если определить этот
п а р а м е т р п о л и т и к и и п р и м е н и т ь его к пользователю, то пользователь не запус-
т и т т а к и е и н с т р у м е н т ы , к а к р е д а к т о р р е е с т р а Regedit.exe. Еще один параметр
п о л и т и к и , п о з в о л я ю щ и й о т к л ю ч и т ь л о к а л ь н у ю учетную з а п и с ь Администра-
т о р ( A d m i n i s t r a t o r ) , п р и м е н я е т с я , к примеру, д л я о т к л ю ч е н и я учетной записи
а д м и н и с т р а т о р а на всех н а с т о л ь н ы х с и с т е м а х и ноутбуках пользователей.
Э т и д в а п р и м е р а о п р е д е л я ю т в а ж н ы й момент: некоторые параметры по-
л и т и к и в л и я ю т н а п о л ь з о в а т е л я н е з а в и с и м о о т компьютера, н а котором поль-
з о в а т е л ь в х о д и т в сеть, а д р у г и е п а р а м е т р ы п о л и т и к и в л и я ю т на компьютер
н е з а в и с и м о о т п о л ь з о в а т е л я , к о т о р ы й в х о д и т н а этот компьютер. Такие па-
р а м е т р ы п о л и т и к и , к а к п а р а м е т р , з а п р е щ а ю щ и й доступ к средствам редак-
т и р о в а н и я р е е с т р а , н а з ы в а ю т с я параметрами конфигурации пользователей,
и л и параметрами пользователей. П а р а м е т р п о л и т и к и , отключающий учетную
з а п и с ь а д м и н и с т р а т о р а , а т а к ж е д р у г и е а н а л о г и ч н ы е параметры, применяемые
к компьютеру, н а з ы в а ю т с я параметрами конфигурации компьютеров, или па-
раметрами компьютеров.
Объекты групповой политики
П а р а м е т р ы п о л и т и к и о п р е д е л я ю т с я и с о д е р ж а т с я в объекте групповой поли-
т и к и G P O ( G r o u p P o l i c y O b j e c t ) . О б ъ е к т G P O в к л ю ч а е т один или множество
п а р а м е т р о в п о л и т и к и и, с л е д о в а т е л ь н о , п р и м е н я е т с я к одному или множеству
к о н ф и г у р а ц и й п о л ь з о в а т е л я и л и к о м п ь ю т е р а .
Создание и управление объектами групповой политики
О б ъ е к т ы G P O м о ж н о с о з д а в а т ь в Active D i r e c t o r y с помощью консоли Управ-
л е н и е г р у п п о в о й п о л и т и к о й ( G r o u p Policy Management, G P M C ) , показанной н а
рис. 6-1. О н и о т о б р а ж а ю т с я в к о н т е й н е р е О б ъ е к т ы групповой политики (Group
Policy O b j e c t s ) . Ч т о б ы с о з д а т ь н о в ы й о б ъ е к т групповой п о л и т и к и , щелкните
правой к н о п к о й м ы ш и к о н т е й н е р О б ъ е к т ы групповой п о л и т и к и и выполните
команду С о з д а т ь ( N e w ) .
2 3 0 Инфраструктура г р у п п о в о й п о л и т и к и Г л а в а 6
Глава 6
ШШШШШ/Ж-,; -IGJJSJ
а <»«»» ДАт». виз <*»»•»
„1*1.21
> « * -о . . . .... .
0бьок1ы групповой попит пкм – contoso.com
Д Лес con»* аж
£^>о» | &>г»-*ое»« е |
– ! O i f j c o e ^ r j i T M r x – e – ^ r x w i w I <Рия.1рvwi j."':
.. Ow»*, Рок.
М CONTOSO Сл.. Hrr,
(Е и Ccn»olea
.' Dorren В » о Нет
.. CW«J Da^n bum *o Her
£ £ 'esl
$ £ Т»«;
в **W
' > t i / l Danan Cwwefcn Wo
. j H M i w w r t t w w i p m w w
. jg
•1 J •!
Ы ; '
Рис. 6-1. Консоль управления групповой политикой *
Редактирование объекта GPO
Для модификации параметров G P O щелкните объект п р а в о й к н о п к о й м ы ш и
и выполните команду Изменить (Edit). Объект G P O откроется в п о к а з а н н о м на
рис. 6-2 окне оснастки Редактор управления г р у п п о в ы м и п о л и т и к а м и ( G r o u p
Policy Management Editor, GPME), которую н а з ы в а ю т Р е д а к т о р о м о б ъ е к т о в
групповой политики (GPO Editor).
Window* rtotS tart
бфихты aeAci>«< после HI ««cm+AiT-юа
Еюд в сусerr
Грушоам n o n r a u
Доступ к см»*>п устрактдем
Пвяель г р а в л ы в псоизволитегънолмо
Еом пот лйракпр о.ло б
.ю<ьэое*те/ь лзгы'аетс* мпусткт*
• .'1 Сиемрм
хзм'сореестр*. 5уает выведено
'., Угравлеиие cbsjwo через /wTrcx'
. . . Угравлемие *лек"1рогм1»>«<ек
ттсгомчтам мпрсшспо.
j Усталом гржвера
,i, 3trpy<«Te о'суствумшне СОИ-ксепоиекты
j iViTepopeT*»»» столетия ins 2000 года
«/^«•мстр^фсввмв, испоыумте
! Зегретль мпухх к> ат>мхи гере-аслем»« прсгрл
грило«елж WnhrMK
« гоаетстеиа «Твистуют к рвбс
t' 1агрет*ть хслользомчм «он^идиой стрвш
К 34грет<те toa»n к средства* релактчкавгив рек
!£ Не загт»<х*ть >**r<»i/io»te>*«« vvndo*i -
•I
Рис. 6-2. Редактор управления групповыми политиками
Редактор GRME отображает тысячи параметров п о л и т и к и о б ъ е к т а G P O
в организованной иерархии, которая начинается с разделения между параметра-
L Занятие 1
Реализация групповой политики 2 3 1
|
ми к о м п ь ю т е р а и п а р а м е т р а м и п о л ь з о в а т е л я , – с о о т в е т с т в е н н о у з л ы К о н ф и -
г у р а ц и я к о м п ь ю т е р а ( C o m p u t e r C o n f i g u r a t i o n ) и К о н ф и г у р а ц и я п о л ь з о в а т е л я
( U s e r C o n f i g u r a t i o n ) . С л е д у ю щ и е у р о в н и и е р а р х и и т а к ж е п р е д с т а в л е н ы д в у м я
узлами: П о л и т и к и ( P o l i c i e s ) и Н а с т р о й к а ( P r e f e r e n c e s ) . Д а л е е м ы р а с с м о т р и м
р а з н и ц у м е ж д у н и м и . В с е о с т а л ь н ы е у р о в н и и е р а р х и и а н а л о г и ч н о представ-
л е н ы у з л а м и и л и г р у п п а м и п а р а м е т р о в п о л и т и к и . В н у т р и э т и х у з л о в разме-
щ е н ы п а р а м е т р ы п о л и т и к и . Н а р и с . 6 – 2 в ы б р а н а п о л и т и к а З а п р е т и т ь доступ
к с р е д с т в а м р е д а к т и р о в а н и я р е е с т р а ( P r e v e n t Access То R e g i s t r y E d i t i n g Tools).
Ч т о б ы о п р е д е л и т ь п о л и т и к у , д в а ж д ы щ е л к н и т е п а р а м е т р п о л и т и к и . О т к р о е т с я
д и а л о г о в о е о к н о С в о й с т в а ( P r o p e r t i e s ) п а р а м е т р а п о л и т и к и ( р и с . 6-3).
Рис. 6-3. Диалоговое окно свойств параметра политики
Настройка параметра политики
П а р а м е т р п о л и т и к и м о ж е т п р е б ы в а т ь в т р е х с о с т о я н и я х : Н е з а д а н ( N o t Con-
f i g u r e d ) , В к л ю ч е н ( E n a b l e d ) и О т к л ю ч е н ( D i s a b l e d ) . К а к п о к а з а н о н а рис. 6-2,
в н о в о м о б ъ е к т е G P O п а р а м е т р ы п о л и т и к и н е з а д а н ы . Э т о означает, что объект
G P O н е м о д и ф и ц и р у е т с у щ е с т в у ю щ у ю к о н ф и г у р а ц и ю д а н н о г о к о н к р е т н о г о
п а р а м е т р а п о л ь з о в а т е л я и л и к о м п ь ю т е р а . Е с л и в к л ю ч и т ь и л и о т к л ю ч и т ь па-
р а м е т р п о л и т и к и , в к о н ф и г у р а ц и ю п о л ь з о в а т е л е й и к о м п ь ю т е р о в , к к о т о р ы м
п р и м е н я е т с я G P O , м о ж е т б ы т ь в н е с е н о и з м е н е н и е . Р е з у л ь т а т такого изменения
з а в и с и т о т п а р а м е т р а п о л и т и к и . Н а п р и м е р , е с л и в к л ю ч и т ь п а р а м е т р п о л и т и -
к и З а п р е т и т ь д о с т у п к с р е д с т в а м р е д а к т и р о в а н и я р е е с т р а ( P r e v e n t Access Т о
R e g i s t r y E d i t i n g T o o l s ) , п о л ь з о в а т е л и н е з а п у с т я т р е д а к т о р р е е с т р а Regedit.exe
( R e g i s t r y E d i t o r ) . Е с л и о т к л ю ч и т ь э т о т п а р а м е т р п о л и т и к и , п о л ь з о в а т е л и смо-
гут з а п у с к а т ь Regedit.exe. Т а к и м о б р а з о м , о т к л ю ч а я п о л и т и к у , к о т о р а я запре-
щает о п е р а ц и ю , в ы т е м с а м ы м р а з р е ш а е т е э т у о п е р а ц и ю .
232 Инфраструктура групповой политики
Глава 6
ПРИМЕЧАНИЕ Знание и тестирование параметров политики
Многие параметры политики довольно сложные, а результат их включения пли от-
ключения проявляется не сразу. Кроме того, некоторые параметры политики влияют
только на определенные версии Windows. Поэтому внимательно читайте описа-
ние параметра политики на панели сведении GPME (см. рис. 6-2) или на вкладке
Объяснение (Explain) диалогового окна свойств параметра политики (см. рис. 6-3).
И, наконец, перед развертыванием политики в производственной среде всегда тести-
руйте результаты применения параметра политики и его взаимодействие с другими
параметрами политики.
Некоторые параметры политики связывают н е с к о л ь к о н а с т р о е к к о н ф и -
гурации в одну политику и могут требовать д о п о л н и т е л ь н ы е п а р а м е т р ы . Н а -
пример, чтобы определить, можно ли помещать ф а й л ы р е е с т р а в с и с т е м у без
предупреждения с помощью команды regedit/s, н у ж н о в к л ю ч и т ь п о л и т и к у
ограничения доступа к средствам редактирования реестра (см. рис. 6 – 3 ) .
Область действия
Конфигурация определяется параметрами в о б ъ е к т а х г р у п п о в о й п о л и т и к и .
Однако изменения конфигурации в G P O не в л и я ю т на к о м п ь ю т е р ы и л и поль-
зователей предприятия, если к ним не применяется объект G P O . Э т а к о н ц е п ц и я
называется областью действия объекта групповой п о л и т и к и . О б л а с т ь д е й с т в и я
G P O представляет собой коллекцию пользователей и компьютеров, к к о т о р ы м
применяются параметры GPO.
Для управления областью действия G P O используется н е с к о л ь к о методов.
Основной метод состоит в связывании G P O . О б ъ е к т ы G P O м о ж н о с в я з а т ь с
сайтами, доменами и подразделениями в Active Directory. П о с л е э т о г о сайт,
доиен ИЛИ подразделение определяют пределы о б л а с т и д е й с т в и я G P O . Па-
раметры политики, определенные в G P O , будут в л и я т ь на все к о м п ь ю т е р ы
и пользователей внутри узла, домена или подразделения, в к л ю ч а я д о ч е р н и е
подразделения. Один объект G P O можно п р и в я з а т ь к м н о ж е с т в у с а й т о в и л и
подразделений.
Затем область действия G P O можно ограничить д о п о л н и т е л ь н о с п о м о щ ь ю
фильтров безопасности, указывающих на г л о б а л ь н ы е г р у п п ы б е з о п а с н о с т и ,
к которым должен применяться или не применяться объект G P O , и л и фильтров
инструментария управления Windows (Windows M a n a g e m e n t I n s t r u m e n t a t i o n ) ,
указывающих область действия с помощью таких х а р а к т е р и с т и к с и с т е м ы , как
номер версии или свободное дисковое пространство.
Область действия объектов G P O подробно о п и с а н а на з а н я т и и 2.
Результирующая политика
Компьютеры и пользователи в области действия объекта G P O будут п р и м е н я т ь
параметры политики, указанные в этом G P O . О т д е л ь н ы й п о л ь з о в а т е л ь или
компьютер может подпадать под область действия м н о ж е с т в а о б ъ е к т о в G P O ,
привязанных к сайтам, домену или подразделениями, где расположен пользова-
тель или компьютер. Таким образом, в случае п р и м е н е н и я множества объектов
GPO параметры политики могут конфигурироваться иначе. П о э т о м у н у ж н о
Занятие 1
Реализация групповой политики 2 3 3
оценить Результирующую политику RSoP ( R e s u l t a n t Set of Policy), определяю-
щую параметры, которые будут применены к клиенту в случае использования
множества объектов G P O . Р е з у л ь т и р у ю щ а я п о л и т и к а R S o P рассматривается
на занятии 3.
Обновление групповой политики
Параметры п о л и т и к и в у з л е К о н ф и г у р а ц и я компьютера (Computer Configura-
tion) применяются при запуске системы, а также каждые 9 0 – 1 2 0 мин. Парамет-
ры политики К о н ф и г у р а ц и я п о л ь з о в а т е л я ( U s e r Configuration) применяются
во время входа п о л ь з о в а т е л я и к а ж д ы е 9 0 – 1 2 0 мин. Приложение политики
называется обновлением групповой политики.
Обновление групповой политики вручную с помощью команды GPUpdate
Если во время экспериментирования или устранения неполадок групповой по-
литики необходимо вручную инициировать ее обновление, чтобы не ждать сле-
дующего фонового обновления, выполняется команда Gpupdate.exe, посредством
которой запускается обработка групповой политики, аналогичная фоновому об-
новлению. Обновляются оба набора политик компьютера и пользователя. С по-
мощью параметров /targeticomputer и /target:user обновление компьютера можно
ограничить соответственно параметрами компьютера и пользователя. В фоновом
обновлении параметры применяются только в том случае, если использовался
объект групповой политики (GPO). Переключатель /force дает указание системе
заново применить все параметры во всех объектах GPO, под область действия
которых подпадает пользователь или компьютер. Чтобы некоторые параметры
политики вступили в силу, необходимо выйти из системы или перезагрузиться.
Переключатели /logoff и /boot команды Gpupdate.exe указывают соответственно
выход или перезагрузку. В Windows 2000 для обновления политики использо-
валась команда Secedit.exe, так что на сертификационном экзамене вы можете
встретить упоминания о ней.
Клиент групповой политики и расширения клиентской стороны
Каким образом п р и м е н я ю т с я п а р а м е т р ы п о л и т и к и ? В начале процесса обнов-
ления г р у п п о в о й п о л и т и к и с л у ж б а , з а п у щ е н н а я во всех системах Windows
(в W i n d o w s Vista и W i n d o w s Server 2008 она называется клиентом групповой
политики), определяет о б ъ е к т ы G P O , применяемые к компьютеру или пользо-
вателю. О н а з а г р у ж а е т все о б ъ е к т ы G P O , которые еще не кэшированы. Затем
набор процессов, к о т о р ы е н а з ы в а ю т с я расширениями клиентской стороны CSE
(Client-Side Extension), и н т е р п р е т и р у е т параметры в G P O и вносит соответс-
твующие и з м е н е н и я в к о н ф и г у р а ц и ю локального компьютера или текущего
вошедшего п о л ь з о в а т е л я . Р а с ш и р е н и я C S E существуют д л я всех основных
категорий параметров п о л и т и к и . Например, одно расширение CSE применяет
изменения безопасности, другое выполняет сценарии запуска и входа в систему,
третье вносит и з м е н е н и я в к л ю ч и и значения реестра. Каждая версия Windows
добавляет р а с ш и р е н и я C S E д л я н а р а щ и в а н и я функциональности групповой
политики. Н е с к о л ь к о д е с я т к о в р а с ш и р е н и й C S E имеются и в Windows Ser-
ver 2008. Одна из с а м ы х в а ж н ы х к о н ц е п ц и й групповой политики заключается
234 Инфраструктура групповой политики
Глава 6
в том, что она реально управляет клиентом. Клиент групповой п о л и т и к и из-
влекает объекты GPO из домена, включая р а с ш и р е н и я C S E д л я л о к а л ь н о г о
применения параметров.
Поведение клиентских расширений CSE м о ж н о о т к о н ф и г у р и р о в а т ь с по-
мощью тон же групповой политики. Б о л ь ш и н с т в о р а с ш и р е н и й C S E б у д у т
применять параметры в объекте G P O только в случае и з м е н е н и я G P O . Такое
поведение повышает общую скорость обработки политики, и с к л ю ч а я н е н у ж н о е
применение одних и тех же параметров. Б о л ь ш и н с т в о п о л и т и к п р и м е н я е т с я
таким образом, чтобы стандартные пользователи не смогли и з м е н и т ь п а р а м е т р
в своей системе, то есть этот параметр всегда будет с у б ъ е к т о м к о н ф и г у р а ц и и
групповой политики. Однако стандартные пользователи, о с о б е н н о а д м и н и с т -
раторы в своих системах, могут изменить некоторые п а р а м е т р ы . Е с л и п о л ь з о -
ватели в производственной среде являются а д м и н и с т р а т о р а м и с в о и х к о м п ь ю -
теров, клиентские расширения CSE можно о т к о н ф и г у р и р о в а т ь д л я п о в т о р н о г о
применения параметров политики, даже если о б ъ е к т G P O не б ы л и з м е н е н .
Таким образом, если административный пользователь м е н я е т к о н ф и г у р а ц и ю
в обход политики, конфигурация будет сброшена в соответствующее с о с т о я н и е
при следующем обновлении групповой политики.
ПРИМЕЧАНИЕ Настройка расширений CSE для повторного применения параметров
групповой политики, которые не изменялись в GPO
Расширения CSE можно отконфигурировать для повторного применения параметров
политики в фоновом режиме, даже если объект G P O не был изменен. Д л я этого
необходимо отконфигурировать объект GPO, под область действия которого под-
падают компьютеры, и определить параметры в узле Конфигурация компыотера
ПолитнкнАдминистративные шаблоныСистемаГрупповая политика (Computer
ConfigurationPoliciesAdininistrative TemplatesSystemGroup Policy). Для каждого
расширения следует открыть соответствующий параметр политики – например, Об-
работка политики реестра (Registry Policy Refreshing) для CSE-расширения Реестр
(Registry), выбрать опцию Включен (Enabled) и установить флажок Обрабатывать,
даже если объекты групповой политики не изменились (Process Even If The Group
Policy Objects Have Not Changed).
Важным исключением параметров обработки п о л и т и к и по у м о л ч а н и ю яв-
ляются параметры, управляемые CSE-расширением Б е з о п а с н о с т ь ( S e c u r i t y ) .
Параметры безопасности применяются каждые 16 ч, д а ж е е с л и о б ъ е к т груп-
повой политики не был изменен.
ПРИМЕЧАНИЕ Параметр политики Всегда ждать сеть при запуске и входе в систему
Строго рекомендуется включить параметр Всегда ждать сеть при запуске и вхо-
де в систему (Always Wait For Network At Startup And Logon) для всех клиен-
тов Windows XP и Windows Vista. Без этого параметра по умолчанию клиенты
Windows ХР и Windows Vista выполняют только фоновые обновления, то есть кли-
ент может загрузиться и пользователь может войти в домен, не получив из него
последние политики. Этот параметр находится в узле Конфигурация компьютерах
ПолнтнкиАдминистративные шаблоныСистемаВход в систему (Computer
ConfigurationPoliciesAdministrative TemplatesSystemLogon). Обязательно про-
читайте описание этого параметра политики.
Занятие 1
Реализация групповой политики 2 3 5
Медленные п о д к л ю ч е н и я и о т к л ю ч е н н ы е системы
Одна из задач, которую можно автоматизировать и контролировать с помощью
групповой п о л и т и к и , – у с т а н о в к а п р о г р а м м н о г о обеспечения. Клиентское
расширение C S E д л я нее по д де р ж и в ае т установку программного обеспечения
групповой п о л и т и к и G P S I ( G r o u p Policy Software Installation). Объект G P O
можно о т к о н ф и г у р и р о в а т ь д л я у с т а н о в к и одного или нескольких пакетов про-
граммного обеспечения. О д н а к о представим, что пользователь подключился
к сети через медленное соединение; передача больших программных пакетов
в таком случае м о ж е т с н и з и т ь о б щ у ю производительность.
К л и е н т г р у п п о в о й п о л и т и к и р е ш а е т эту проблему, идентифицируя ско-
рость п о д к л ю ч е н и я к д о м е н у и определяя, следует ли интерпретировать это
подключение к а к м е д л е н н о е . З а т е м это определение используется каждым
к л и е н т с к и м р а с ш и р е н и е м C S E , к о г д а п р и н и м а е т с я решение о применении
параметров. Н а п р и м е р , C S E – р а с ш и р е н и е Установка программ (Software Instal-
lation) о т к о н ф и г у р и р о в а н о д л я обработки политики отказа, чтобы програм-
мное обеспечение не у с т а н а в л и в а л о с ь в случае медленного подключения (по
умолчанию п о д к л ю ч е н и е с ч и т а е т с я медленным, если его скорость составляет
менее 500 к б и т / с ) .
Если п о л ь з о в а т е л ь о т к л ю ч и л с я от сети, параметры, ранее примененные
групповой п о л и т и к о й , будут действовать и далее, так что в этом отношении
для пользователя нет р а з н и ц ы , в сети он или вне нее. Существуют исключения
из этого п р а в и л а – в частности, сценарии запуска, входа, выхода и завершения
работы не будут з а п у с к а т ь с я в случае отключения пользователя.
Если у д а л е н н ы й п о л ь з о в а т е л ь подключается к сети в системе Windows
Vista и л и W i n d o w s Server 2008, к л и е н т групповой политики ожидает и опре-
деляет, б ы л о ли п р о п у щ е н о о б н о в л е н и е групповой политики. Если это так,
пропущенное о б н о в л е н и е г р у п п о в о й п о л и т и к и выполняется д л я получения
последних объектов G P O из домена. На основе своих параметров обработки
политики к л и е н т с к и е р а с ш и р е н и я C S E определяют применение параметров
в этих объектах G P O .
Объекты групповой политики
Далее мы более детально обсудим все компоненты групповой политики. В этом
подразделе р а с с м о т р и м о б ъ е к т ы G P O . О н и создаются д л я управления конфи-
гурацией к о м п ь ю т е р о в и п о л ь з о в а т е л е й и содержат необходимые параметры
политики. В л о к а л ь н о й системе каждого компьютера хранится несколько объек-
тов G P O – т а к н а з ы в а е м ы е локальные объекты групповой политики. Кроме
того, к о м п ь ю т е р м о ж е т п о д п а д а т ь под область действия любого количества
объектов G P O домена.
Локальные объекты групповой политики
Каждый компьютер Windows 2000, Windows ХР и Microsoft Windows Server 2003
содержит по одному л о к а л ь н о м у объекту G P O , который управляет конфигу-
рацией системы. Л о к а л ь н ы й объект G P O существует независимо от членства
компьютера в домене, р а б о ч е й группе и л и вне сетевой среды. Он хранится
в папке % S y s t e m R o o t % S y s t e m 3 2 G r o u p P o l i c y . Политики в локальном объекте
236 Инфраструктура групповой политики
Глава 6
GPO влияют только на компьютер, где хранится G P O . По у м о л ч а н и ю в ло-
кальном объекте G P O системы отконфигурированы т о л ь к о п о л и т и к и Пара-
метры безопасности (Security Settings). Все остальные п о л и т и к и не заданы
(Not Configured).
Если компьютер не принадлежит домену, локальная п о л и т и к а используется
для настройки и внедрения конфигурации данного к о м п ь ю т е р а . О д н а к о в до-
мене Active Directory параметры объектов G P O , п р и в я з а н н ы е к сайту, домену
или подразделениям, заменяют параметры локального о б ъ е к т а G P O . Кроме
того, ими проще управлять, чем объектами G P O на о т д е л ь н ы х компьютерах.
Системы Windows Vista и Windows Server 2008 с о д е р ж а т м н о ж е с т в о ло-
