355 500 произведений, 25 200 авторов.

Электронная библиотека книг » Dan Holme » Настройка Active Directory. Windows Server 2008 » Текст книги (страница 24)
Настройка Active Directory. Windows Server 2008
  • Текст добавлен: 8 октября 2016, 16:34

Текст книги "Настройка Active Directory. Windows Server 2008"


Автор книги: Dan Holme


Соавторы: Danielle Ruest,Nelson Ruest

Жанр:

   

ОС и Сети


сообщить о нарушении

Текущая страница: 24 (всего у книги 91 страниц)

кальных объектов GPO. Объект G P O Локальный компьютер ( L o c a l Computer)

не отличается от объекта G P O в предыдущих версиях W i n d o w s . В у з л е Кон-

фигурация компьютера (Computer Configuration) о т к о н ф и г у р и р у й т е все пара-

метры, в узле Конфигурация пользователя (User C o n f i g u r a t i o n ) – параметры,

которые хотите применить для всех пользователей к о м п ь ю т е р а . Параметры

пользователей в объекте G P O локального компьютера м о д и ф и ц и р у ю т с я с по-

мощью пользовательских параметров в двух новых л о к а л ь н ы х о б ъ е к т а х GP0:

Администраторы (Administrators) и Не администраторы (Non-Administrators).

Эти два объекта G P O применяют пользовательские п а р а м е т р ы к вошедшему в

систему пользователю, который является членом л о к а л ь н о й г р у п п ы админис-

траторов или стандартным пользователем. Параметры п о л ь з о в а т е л я коррек-

тируются с помощью локального объекта G P O , п р и м е н я е м о г о к конкретной

учетной записи пользователя. Локальные объекты G P O п о л ь з о в а т е л е й связайы

с локальными (не доменными) учетными записями п о л ь з о в а т е л е й . J

Для параметров компьютера легко определить р е з у л ь т и р у ю щ у ю политику

RSop, поскольку объект GPO Локальный компьютер (Local C o m p u t e r ) – единс-

твенный локальный объект GPO, применяющий параметры к о м п ь ю т е р а . Пара-

метры пользователя и G P O пользователей заменят к о н ф л и к т у ю щ и е параметры

в объектах GPO для администраторов и не администраторов, к о т о р ы е сами

заменяют параметры в G P O локального компьютера. К о н ц е п ц и я довольно

простая: чем специфичнее локальный объект G P O , тем в ы ш е п р и о р и т е т его

параметров.

Для того чтобы создать и отредактировать л о к а л ь н ы й о б ъ е к т G P O , щелк-

ните кнопку Пуск (Start) и в поле Начать поиск ( S t a r t Search) введите ттс.ехе,

чтобы открыть пустую консоль М М С (Microsoft M a n a g e m e n t C o n s o l e ) . Щелк-

ните меню Консоль (File) и выполните команду Д о б а в и т ь и л и у д а л и т ь оснас-

тку (Add/Remove Snap-in). Выберите Редактор объектов г р у п п о в о й политики

(Group Policy Object Editor) и щелкните кнопку Д о б а в и т ь ( A d d ) . Откроется

диалоговое окно, в котором по умолчанию выбран G P O Л о к а л ь н ы й компью-

тер (Local Computer). Чтобы отредактировать еще один л о к а л ь н ы й объект

GPO, щелкните кнопку Обзор (Browse). На в к л а д к е П о л ь з о в а т е л и (Users)

расположены объекты G P O Администраторы (Administrators) и Не админист-

раторы (Non-Administrators), а также по одному G P O д л я каждого локального

пользователя. Выберите объект G P O и щелкните О К . Далее щ е л к н и т е кнопку

Готово (Finish), а затем ОК, чтобы закрыть все диалоговые окна. Добавлений"

редактор объектов групповой политики будет с ф о к у с и р о в а н на выбранной

объекте GPO. •

Занятие 1

Реализация групповой политики 2 3 7

П о м н и т е , ч т о л о к а л ь н ы е о б ъ е к т ы G P O м о ж н о к о н ф и г у р и р о в а т ь н а до-

м а ш н е м к о м п ь ю т е р е , п о с к о л ь к у о н и н е п р е д н а з н а ч е н ы д л я д о м е н н ы х сред.

В доменной среде п а р а м е т р ы объектов G P O д о м е н а з а м е н я ю т конфликтующие

параметры в л о к а л ь н ы х о б ъ е к т а х G P O , п о э т о м у у п р а в л е н и е конфигурацией

в домене л у ч ш е всего о с у щ е с т в л я т ь с п о м о щ ь ю д о м е н н ы х объектов G P O .

Доменные объекты GPO

Д о м е н н ы е объекты G P O , п р е д н а з н а ч е н н ы е д л я централизованного управления

к о н ф и г у р а ц и е й п о л ь з о в а т е л е й и к о м п ь ю т е р о в в домене, создаются в Active

D i r e c t o r y и х р а н я т с я на к о н т р о л л е р а х д о м е н а . В о с т а в ш е й с я части данного

руководства мы б у д е м о б с у ж д а т ь п р е и м у щ е с т в е н н о д о м е н н ы е объекты груп-

повой п о л и т и к и ( G P O ) , а н е л о к а л ь н ы е G P O .

П р и у с т а н о в к е A D D S с о з д а ю т с я д в а о б ъ е к т а G P O п о умолчанию.

• D e f a u l t D o m a i n P o l i c y Э т о т о б ъ е к т G P O п р и в я з ы в а е т с я к домену и не

располагает г р у п п о й безопасности1 и л и ф и л ь т р а м и W M I . Поэтому о н вли-

яет на в с е х п о л ь з о в а т е л е й и к о м п ь ю т е р ы в домене ( в к л ю ч а я компьютеры,

я в л я ю щ и е с я к о н т р о л л е р а м и д о м е н а ) . С о д е р ж и т параметры, назначающие

п о л и т и к и паролей, б л о к и р о в к и у ч е т н ы х записей и Kerberos. Существующие

п а р а м е т р ы м о д и ф и ц и р у ю т с я и п р и в о д я т с я в соответствие с политиками

б л о к и р о в к и у ч е т н ы х з а п и с е й и п а р о л е й на п р е д п р и я т и и , однако несвя-

з а н н ы е п а р а м е т р ы п о л и т и к и , к а к правило, н е добавляются. Чтобы откон-

ф и г у р и р о в а т ь и п р и м е н я т ь на у р о в н е д о м е н а другие параметры, следует

с о з д а в а т ь д о п о л н и т е л ь н ы е о б ъ е к т ы G P O и п р и в я з ы в а т ь их к домену.

• D e f a u l t D o m a i n Controllers P o l i c y Д а н н ы й объект G P O привязан к под-

р а з д е л е н и ю D o m a i n C o n t r o l l e r s . П о с к о л ь к у учетные записи контроллеров

доменов х р а н я т с я т о л ь к о в п о д р а з д е л е н и и D o m a i n Controllers, а учетные

з а п и с и д р у г и х к о м п ь ю т е р о в д о л ж н ы х р а н и т ь с я в д р у г и х подразделениях,

этот о б ъ е к т G P O в л и я е т т о л ь к о н а к о н т р о л л е р ы домена. Объект групповой

п о л и т и к и D e f a u l t D o m a i n C o n t r o l l e r s следует м о д и ф и ц и р о в а т ь , чтобы реа-

л и з о в а т ь п о л и т и к и а у д и т а (об этом речь идет в главах 7 и 8) и предоставить

• н е о б х о д и м ы е на к о н т р о л л е р а х д о м е н а п о л ь з о в а т е л ь с к и е права.

Создание, связывание и редактирование объектов GPO

Д л я того ч т о б ы с о з д а т ь о б ъ е к т G P O , щ е л к н и т е правой к н о п к о й м ы ш и контей-

нер О б ъ е к т ы г р у п п о в о й п о л и т и к и ( G r o u p Policy Objects) и выполните команду

Создать ( N e w ) . Д л я с о з д а н и я G P O в к о н т е й н е р е О б ъ е к т ы групповой политики

нужны с о о т в е т с т в у ю щ и е р а з р е ш е н и я .

П о у м о л ч а н и ю р а з р е ш е н и е н а с о з д а н и е объектов G P O делегируется груп-

пам А д м и н и с т р а т о р ы д о м е н а ( D o m a i n Admins) и Владельцы – создатели груп-

повой п о л и т и к и ( G r o u p P o l i c y C r e a t o r O w n e r s ) . Ч т о б ы д е л е г и р о в а т ь разре-

шение д р у г и м г р у п п а м , в д е р е в е к о н с о л и р е д а к т о р а у п р а в л е н и я групповыми

политиками G P M E в ы б е р и т е к о н т е й н е р О б ъ е к т ы групповой политики ( G r o u p

Policy O b j e c t s ) и на п а н е л и с в е д е н и й к о н с о л и п е р е й д и т е на в к л а д к у Делеги-

рование ( D e l e g a t i o n ) .

После с о з д а н и я G P O у к а ж и т е н а ч а л ь н у ю область действия, привязав его

к сайту, д о м е н у и л и п о д р а з д е л е н и ю . Щ е л к н и т е к о н т е й н е р п р а в о й к н о п к о й

238 Инфраструктура групповой политики

Глава 6

мыши н выполните команду Связать существующий объект G P O (Link An

Existing GPO). Чтобы отобразить сайты в консоли у п р а в л е н и я групповой

политикой в узле Сайты (Sites), щелкните правой кнопкой м ы ш и контейнер

Сайты, выполните команду Показать сайты (Show Sites) и выберите сайты,

которыми хотите управлять. Вы также можете создать и п р и в я з а т ь объект

GPO: щелкните правой кнопкой мыши сайт, домен или подразделение, а потом

введите команду Создать объект G P O в этом домене и с в я ж и т е его ( C r e a t e

A GPO In This Domain And Link It Here).

Кроме того, необходимо разрешение на связывание объекта G P O с сай-

том, доменом или подразделением. В дереве консоли у п р а в л е н и я групповой

политикой (GPMC) выберите контейнер и на панели сведений к о н с о л и пе-

рейдите на вкладку Делегирование (Delegation). В р а с к р ы в а ю щ е м с я списке

Разрешение (Permission) выберите разрешение Связанные объекты G P O (Link

GPOs). Отображаемые пользователи и группы обладают этим разрешением для

выбранного подразделения. Для модификации делегирования и с п о л ь з у ю т с я

кнопки Добавить (Add) и Удалить (Remove).

Для того чтобы отредактировать G P O в контейнере О б ъ е к т ы групповой

политики (Group Policy Objects), щелкните правой кнопкой м ы ш и объект G P O

и выполните команду Изменить (Edit). Объект G P O откроется в Редакторе

управления групповыми политиками G P M E . Д л я того чтобы о т к р ы т ь объект

GPO в этом редакторе, необходимо как минимум разрешение чтения, а чтобы

внести изменения в GPOI – разрешение записи ( W r i t e ) в G P O . Назначьте

разрешения для объекта GPO: выберите G P O в контейнере О б ъ е к т ы групповой

политики (Group Policy Objects) и на панели сведений к о н с о л и п е р е й д и т е на

вкладку Делегирование (Delegation).

Редактор управления групповыми политиками G P M E отобразит в корневом

узле имя GPO. Редактор также отображает домен, в котором определен G P O ,

и сервер, на котором был открыт G P O и на который будут вноситься изменения.

Корневой узел использует формат Имя_СРО [Имясервера]. На рис. 6-2 корне-

вым является узел Политика CONTOSO Стандарты [SERVER01.contoso.com].

Таким образом, объект GPO с именем C O N T O S O Стандарты открыт на машине

SERVER01.contoso.com, то есть этот G P O определен в д о м е н е contoso.com.

Хранилище объектов GPO

Параметры групповой политики представлены в инструментах пользователь-

ского интерфейса Active Directory как объекты G P O , однако на самом деле

объект групповой политики GPO составляют два компонента: Контейнер груп-

повой политики GPC (Group Policy Container) и Шаблон групповой политики

GPT (Group Policy Template). GPT,представляет собой объект Active Directory,

который хранится в контейнере Объекты групповой п о л и т и к и ( G r o u p Policy

Objects) в контексте именования домена каталога. Аналогично всем объектам

Active Directory каждый объект GPC содержит атрибут глобального уникаль-

ного идентификатора (GUID), который уникально и д е н т и ф и ц и р у е т объект

в Active Directory. Объект GPC определяет основные атрибуты G P O , но не

содержит никаких параметров. Параметры находятся в объекте GPT, который

представляет собой коллекцию файлов в каталоге SYSVOL каждого контролле– J

Занятие 1

Реализация групповой политики 2 3 9

ра д о м е н а в п а п к е % S y s t e m R o o t % S Y S V O L D o m a i n P o l i c i e s G £ t f £ > _ объекта

GPO, где G U I D – и д е н т и ф и к а т о р о м о б ъ е к т а G P O я в л я е т с я G U I D объекта G P C .

И з м е н е н и я о б ъ е к т а G P O с о х р а н я ю т с я в о б ъ е к т е G P T сервера, н а к о т о р о м б ы л

о т к р ы т о б ъ е к т G P O .

П о у м о л ч а н и ю п р и о б н о в л е н и и г р у п п о в о й п о л и т и к и к л и е н т с к и е р а с ш и р е -

ния C S E п р и м е н я ю т п а р а м е т р ы G P O т о л ь к о в т о м случае, е с л и о б ъ е к т G P O

был и з м е н е н . К л и е н т г р у п п о в о й п о л и т и к и м о ж е т и д е н т и ф и ц и р о в а т ь обновлен-

ный о б ъ е к т G P O п о н о м е р у в е р с и и . Л ю б о й о б ъ е к т G P O и м е е т н о м е р версии,

к о т о р ы й у в е л и ч и в а е т с я к а ж д ы й раз, к о г д а в о б ъ е к т в н о с я т с я и з м е н е н и я . Н о м е р

версии х р а н и т с я в а т р и б у т е G P C и т е к с т о в о м ф а й л е G P T . i n i в п а п к е G P T . К л и -

ент г р у п п о в о й п о л и т и к и з н а е т н о м е р в е р с и и к а ж д о г о р а н е е п р и м е н е н н о г о объ-

екта G P O . Е с л и в п р о ц е с с е о б н о в л е н и я г р у п п о в о й п о л и т и к и о б н а р у ж и в а е т с я ,

что н о м е р в е р с и и G P C б ы л и з м е н е н , к л и е н т с к и е р а с ш и р е н и я C S E н а з н а ч а ю т

о б н о в л е н и е э т о г о о б ъ е к т а G P O .

Контрольный вопрос

• Опишите обработку групповой политики по умолчанию, включая интервалы

о б н о в л е н и я и п р и м е н е н и е параметров политики клиентскими расширени-

я м и C S E .

Ответ на контрольный вопрос

• К а ж д ы е 9 0 – 1 2 0 м и н с л у ж б а К л и е н т групповой политики (Group Policy

Client) о п р е д е л я е т объекты G P O , под область действия которых подпадает

пользователь и л и компьютер, и загружает все обновленные объекты G P O

на основе их н о м е р о в в е р с и й . Клиентские расширения CSE выполняют

обработку п о л и т и к в объектах G P O в соответствии с их конфигурацией

обработки п о л и т и к и . По у м о л ч а н и ю большинство клиентских расширений

CSE п р и м е н я ю т п а р а м е т р ы политики только в случае обновления объекта

G P O . Н е к о т о р ы е к л и е н т с к и е р а с ш и р е н и я CSE не применяют параметры

политики в случае о п р е д е л е н и я медленного подключения.

Репликация объектов GPO

Р е п л и к а ц и я д в у х с о с т а в л я ю щ и х о б ъ е к т а G P O в ы п о л н я е т с я м е ж д у к о н т р о л л е -

рами д о м е н а с п о м о щ ь ю о т д е л ь н ы х м е х а н и з м о в . О б ъ е к т G P C в Active Direc-

t o r y р е п л и ц и р у е т с я а г е н т о м р е п л и к а ц и и к а т а л о г о в D R A ( D i r e c t o r y Replication

A g e n t ) с и с п о л ь з о в а н и е м т о п о л о г и и , г е н е р и р у е м о й м е х а н и з м о м п р о в е р к и це-

л о с т н о с т и К С С ( K n o w l e d g e C o n s i s t e n c y C h e c k e r ) . Б о л е е п о д р о б н о э т и с л у ж б ы

о п и с а н ы в г л а в е 11. В р е з у л ь т а т е о б ъ е к т G P C р е п л и ц и р у е т с я в т е ч е н и е не-

с к о л ь к и х с е к у н д на в с е к о н т р о л л е р ы д о м е н а в сайте, а п о т о м – м е ж д у с а й т а м и

в с о о т в е т с т в и и с к о н ф и г у р а ц и е й р е п л и к а ц и и м е ж д у у з л а м и , к о т о р а я т а к ж е

описана в г л а в е 11.

О б ъ е к т G P T в п а п к е S Y S V O L р е п л и ц и р у е т с я с п о м о щ ь ю о д н о й и з д в у х

т е х н о л о г и й . С л у ж б а Р е п л и к а ц и я ф а й л о в ( F i l e R e p l i c a t i o n Service, F R S ) ис-

пользуется д л я р е п л и к а ц и и S Y S V O L в д о м е н а х W i n d o w s Server 2008, W i n d o w s

Server 2 0 0 3 и W i n d o w s 2 0 0 0 . Е с л и н а в с е х к о н т р о л л е р а х д о м е н а у с т а н о в л е н а

система W i n d o w s S e r v e r 2 0 0 8 , р е п л и к а ц и ю S Y S V O L м о ж н о к о н ф и г у р и р о в а т ь

240 Инфраструктура групповой политики Глава 6

с помощью более эффективной и надежной службы р е п л и к а ц и и распределен– i

ной файловой системы DFSR (Distributed File System Replication).

Поскольку объекты GPC и G P T реплицируются по отдельности, в течение

небольшого промежутка времени они могут оставаться не синхронизированны-

ми. Такая ситуация, как правило, возникает, когда объект G P C реплицируется

на контроллер домена первым. Системы, получающие у п о р я д о ч е н н ы й список

объектов GPO от контроллера домена, идентифицируют н о в ы й объект GPC,

пытаются загрузить объект G P T и определяют, что их номера версий отлича-

ются. В журналы событий вносятся данные об ошибке обработки политики.

Если же объект GPT реплицируется на контроллер домена до объекта GPC,

клиенты, получающие упорядоченный список объектов G P O от контроллера

домена, не определят новые объекты GPO, пока не будет в ы п о л н е н а репли-

кация GPC.

В центре загрузки Microsoft доступно средство п р о в е р к и р е п л и к а ц и и

Gpotool.exe (Group Policy Verification Tool), которое входит в и н с т р у м е н т а р и й

Windows Resource Kits. Оно указывает состояние объектов G P O в домене и мо– ;

жет идентифицировать на контроллере домена э к з е м п л я р ы G P C и G P T с раз– ';

ными номерами версий. Для того чтобы получить подробную и н ф о р м а ц и ю об 1

использовании Gpotool.exe, введите в командной строке команду gpotool/?. j

СОВЕТ К ЭКЗАМЕНУ j

Инструмент Gpotool.exe используется для устранения неполадок состояния GPO, j

включая ошибки репликации GPO, в результате которых нарушается согласован-

ность версий GPC и GPT.

Параметры политики

Параметры групповой политики (или просто п о л и т и к и ) содержатся в объекте

групповой политики GPO. Их можно просматривать и м о д и ф и ц и р о в а т ь в ре-

дакторе управления групповыми политиками G P M E . В этом подразделе мы ;

рассмотрим категории параметров в объекте G P O .

Узлы Конфигурация компьютера и конфигурация пользователя

Существует два основных раздела параметров групповой политики: параметры j

компьютера в узле Конфигурация компьютера ( C o m p u t e r C o n f i g u r a t i o n ) и па– 1

раметры пользователя в узле Конфигурация пользователя (User Configuration). [•

Узел конфигурации компьютера содержит параметры, применяемые к компыо– [

терам независимо от того, кто входит на них. Параметры компьютера приме-

няются при запуске операционной системы и обновляются в ф о н о в о м режиме ;

каждые 90-120 мин. Узел конфигурации пользователя содержит параметры, j

которые задействуются при входе пользователя на компьютер и обновляются 1

в фоновом режиме каждые 90-120 мин. j

В узлах Конфигурация компьютера и Конфигурация пользователя содер– !

жатся узлы Политики (Policies) и Настройка (Preferences). Параметры в узле

Политики конфигурируются и применяются аналогично параметрам полити– [

ки в предыдущих версиях Windows. Узел Настройка есть только в W i n d o w s ,

Server 2008. !

Занятие 1 Реализация групповой политики 241

Узел К о н ф и г у р а ц и я п р о г р а м м

В узлах П о л и т и к и ( P o l i c i e s ) к о н ф и г у р а ц и и к о м п ь ю т е р о в и конфигурации

пользователей п р е д с т а в л е н а и е р а р х и я п а п о к с п а р а м е т р а м и политики. На

сертификационном эк зам ене и в д а н н о м руководстве не описаны все эти па-

раметры, поскольку их т ы с я ч и . О д н а к о имеет смысл определить обширные

категории п а р а м е т р о в п о л и т и к и в папках. П е р в ы м в этой иерархии указан

узел К о н ф и г у р а ц и я п р о г р а м м ( S o f t w a r e Settings), содержащий л и ш ь CSE-

расширение Установка п р о г р а м м ( S o f t w a r e Installation), позволяющее указать

процедуру у с т а н о в к и и п о д д е р ж к и п р и л о ж е н и й в организации. В нее могут

добавлять п а р а м е т р ы и с т о р о н н и е п о с т а в щ и к и программного обеспечения.

Развертывание п р о г р а м м н о г о о б е с п е ч е н и я с п о м о щ ь ю групповой политики

описано в главе 7.

У з е л К о н ф и г у р а ц и я W i n d o w s

Узел Политики (Policies) в обоих узлах, К о н ф и г у р а ц и я компьютера (Computer

Configuration) и К о н ф и г у р а ц и я п о л ь з о в а т е л я (User Configuration), содержит

узел К о н ф и г у р а ц и я W i n d o w s ( W i n d o w s Settings) с узлами Сценарии (Scripts),

Параметры безопасности ( S e c u r i t y Settings) и Q o S на основе политики (Policy-

Based QoS).

Расширение С ц е н а р и и ( S c r i p t s ) п о з в о л я е т указать два типа сценариев: за-

пуск/завершение (в у з л е к о н ф и г у р а ц и и компьютера) и вход-выход из системы

(в узле к о н ф и г у р а ц и и п о л ь з о в а т е л я ) . С ц е н а р и и запуска/завершения запус-

каются при загрузке и з а в е р ш е н и и р а б о т ы компьютера, входа-выхода – при

входе и выходе пользователя из системы. Если назначить множество сценариев

входа-выхода и л и з а п у с к а / з а в е р ш е н и я д л я п о л ь з о в а т е л я или компьютера,

CSE-расширение С ц е н а р и и ( S c r i p t s ) будет в ы п о л н я т ь эти сценарии в порядке

их перечисления в списке. По у м о л ч а н и ю в р е м я ожидания обработки сцена-

риев составляет 10 мин. Е с л и д л я о б р а б о т к и сценариев выхода и завершения

требуется больше в р е м е н и , н у ж н о и з м е н и т ь в р е м я ожидания с помощью пара-

метра политики. Д л я с о з д а н и я с ц е н а р и е в используется любой язык сценариев

ActiveX, в к л ю ч а я M i c r o s o f t Visual Basic, Scripting Edition (VBScript), Microsoft

JScript, Perl а т а к ж е к о м а н д н ы е ф а й л ы .bat и .smd в стиле Microsoft MS DOS.

Сценарии входа в о б щ е с е т е в о м к а т а л о г е еще одного леса поддерживаются

службами сетевого входа м е ж д у лесами.

Узел П а р а м е т р ы б е з о п а с н о с т и ( S e c u r i t y Settings) позволяет администра-

тору к о н ф и г у р и р о в а т ь б е з о п а с н о с т ь с п о м о щ ь ю объектов G P O . Настройку

безопасности с и с т е м ы м о ж н о в ы п о л н и т ь п о с л е и л и вместо использования

шаблона безопасности. П о д р о б н о е описание безопасности систем и узла Па-

раметры безопасности ( S e c u r i t y Settings) содержится в главе 7.

Узел QoS на основе п о л и т и к и (Policy-Based Q o S ) определяет политики,

которые у п р а в л я ю т сетевым т р а ф и к о м . Н а п р и м е р , если понадобится, чтобы

пользователи в отделе ф и н а н с о в во в р е м я с о з д а н и я годового финансового

отчета обладали п р и о р и т е т о м запуска важного сетевого приложения, то эти

параметры можно о п р е д е л и т ь в узле Q o S на основе политики.

Папка К о н ф и г у р а ц и я W i n d o w s ( W i n d o w s Settings) в узле Конфигурация

пользователя ( U s e r C o n f i g u r a t i o n ) содержит дополнительные узлы Службы

242 Инфраструктура групповой политики

Глава 6

удаленной установки (Remote Installation Services), Перенаправление папки

(Folder Redirection) и Настройка Internet Explorer ( I n t e r n e t Explorer Mainte-

nance).

Политики служб удаленной установки RIS (Remote Installation Services)

контролируют удаленную установку операционной системы с помощью служб

RIS. Политики перенаправления папки позволяют перенаправлять папки дан-

ных и параметров пользователей (например, AppData, Desktop, D o c u m e n t s ,

Pictures, Music и Favorites) из размещения п о л ь з о в а т е л ь с к о г о п р о ф и л я по

умолчанию в альтернативное сетевое размещение, где ими м о ж н о централизо-

ванно управлять. Политики настройки Internet Explorer п о з в о л я ю т админис-

трировать и настраивать Microsoft Internet Explorer.

Узел Административные шаблоны

В узлах Конфигурация компьютера (Computer Configuration) и К о н ф и г у р а ц и я

пользователя (User Configuration) содержится узел Административные шабло-

ны (Administrative Templates) с параметрами групповой п о л и т и к и реестра. Д л я

настройки пользовательской и компьютерной среды в этом узле используются

тысячи параметров. Администратору придется потратить н е м а л о в р е м е н и на

манипулирование этими параметрами. Д л я облегчения работы администратора

в двух местах представлено описание каждого параметра п о л и т и к и .

• Вкладка Объяснение (Explain) диалогового о к н а С в о й с т в а ( P r o p e r t i e s )

параметра политики,-Кроме того на вкладке Параметр ( S e t t i n g s ) указана

требуемая операционная система или программное обеспечение.

• Вкладка Расширенный (Extended) редактора у п р а в л е н и я г р у п п о в ы м и по-

литиками GPME находится справа внизу на панели сведений и с о д е р ж и т

описание каждого выбранного параметра между деревом к о н с о л и и пане-

лью сведений. Указана требуемая операционная система и л и программное

обеспечение.

Административные шаблоны подробно описаны в разделе «Администра-

тивные шаблоны».

Узел Настройка

В обоих узлах конфигурации компьютера и к о н ф и г у р а ц и и п о л ь з о в а т е л я со-

держится узел Настройка (Preferences). Этот новый узел Win'dovvs Server 2008

содержит более 20 клиентских расширений CSE, с п о м о щ ь ю к о т о р ы х осу-

ществляется управление огромным количеством д о п о л н и т е л ь н ы х параметров,

включая следующие:

• такие приложения, как Microsoft Office 2003 и Office 2007;

• сопоставления дисков;

• параметры реестра;

• электропитание;

• свойства папки;

• региональные параметры;

• главное меню. '

Занятие 1

Реализация групповой политики 2 4 3

С п о м о щ ь ю у з л а Н а с т р о й к а ( P r e f e r e n c e s ) м о ж н о р а з в е р н у т ь такие компо-

ненты:

• ф а й л ы и п а п к и ;

• п р и н т е р ы ;

• н а з н а ч е н н ы е з а д а н и я ;

• сетевые п о д к л ю ч е н и я .

М н о г и е п р е д п р и я т и я п о л ь з у ю т с я п р е и м у щ е с т в а м и параметров Настрой-

ка ( P r e f e r e n c e s ) , п о с к о л ь к у о н и п р и м е н я ю т с я д л я в к л ю ч е н и я и отключения

а п п а р а т н ы х у с т р о й с т в и л и к л а с с о в у с т р о й с т в . Н а п р и м е р , в узле Настройка

м о ж н о з а п р е т и т ь п о д к л ю ч е н и е к к о м п ь ю т е р у ж е с т к и х дисков USB, включая

п р о и г р ы в а т е л и м у л ь т и м е д и а .

Н о в у ю в е р с и ю р е д а к т о р а у п р а в л е н и я г р у п п о в ы м и п о л и т и к а м и G P M E ,

п о д д е р ж и в а ю щ у ю у з е л Н а с т р о й к а ( P r e f e r e n c e s ) , м о ж н о загрузить для системы

W i n d o w s Vista S P 1 и з ц е н т р а з а г р у з к и Microsoft, расположенному п о адресу

http://www.microsoft.com/downloads. Д л я того чтобы применить настройки в сис-

теме, н е о б х о д и м ы к л и е н т с к и е р а с ш и р е н и я C S E настроек, которые включены в

W i n d o w s Server 2008. К л и е н т с к и е р а с ш и р е н и я C S E д л я Windows ХР, Windows

Server 2003 и W i n d o w s V i s t a н а х о д я т с я в центре загрузки Microsoft.

И н т е р ф е й с к о н ф и г у р а ц и и п а р а м е т р о в в узле Н а с т р о й к а (Preferences) ана-

логичен п о л ь з о в а т е л ь с к о м у и н т е р ф е й с у Windows, где изменения можно внести

вручную. На р и с . 6 – 4 п о к а з а н элемент н а с т р о й к и Свойства папки (Windows

Х Р ) ( F o l d e r O p t i o n s ( W i n d o w s Х Р ) ) , к о т о р ы й представляет собой коллекцию

параметров, о б р а б а т ы в а е м ы х C S E – р а с ш и р е н и е м Настройка (Preferences). Эта

к о л л е к ц и я а н а л о г и ч н а с в о й с т в а м п а п к и н а п а н е л и управления.

Свойстве; Свойства палка (

S E S f f i l i . / 1 Щ

Д о п о л н и т е л ь н ы е | О б щ и е п а р а м е т р ы |

Д о п о л н и т е л ь н ы е п а р а м е т р ы :

(71 Автоматический поиск сетевых папок и принтеров

О т о б р а ж а т ь с в е д е н и я о р а з м е р е ф а й л о в в п о д с к а з к а х пг

( 3 О т о б р а ж а т ь п р о с т о и в.д п а п о к в с п и с к е п а п о к " П р о в о д и

[ j О т о б р а ж а т ь с о д е р ж и м о е с и с т е м а х п а п о к

[ у ] В ы в о д и т ь п о л н ы й п у т ь в п а н е л и а д р е с а

• В ы в о д и т ь п о л н ы й п у т ь в с т р о к е з а г о л о в к а

Г " | Н е к э ш и р о в а т ь э с к и з ы

i r * ) С к р ы т ы е ф а й л ы и п а п к и

0 Не п о к а з ь в а т ь с к р ы т ы е ф а й л ы и п а п к и

О П о к а з ы в а т ь с к р ы т ы е ф а й г ы и п а п к и

( 3 С к р ы в а т ь р а с ш и р е н и я д л я з а р е г и с т р и р о в а н н ы х т и п о в 4 к

1 3 С к р ы в а т ь з а щ и щ е м г ы е с и с т е м н ы е ф а й / ы { р е к о м е н д у е т е * – ^

[ 3 З а п у с к а т ь о к н а с п а п к а м и в о т д е л ь н о м п р о ц е с с е

[ 3 П о м н и т ь п а р а м е т р ы о т о б р а ж е н и я к а ж д о й п а п к и

Р 1 В о с с т а м а в п и в а т ь п р е ж н и е о к н а п а п о к п р и в х о д е в систек

гге> у [

^ – У..'-::– – ' 7

В о с с т а н о в и т ь з н а ч е н и я по у м о я ч а т – э о I

Рис. 6-4. Элемент настройки Свойства папки

244 Инфраструктура групповой политики

Глава 6

Административные шаблоны

Политики в узле Административные шаблоны (Administrative Templates) кон-

фигурации компьютера (Computer Configuration) м о д и ф и ц и р у ю т з н а ч е н и я

реестра в ключе H K E Y _ L O C A L _ M A C H I N E ( H K L M ) , п о л и т и к и в у з л е Адми-

нистративные шаблоны конфигурации пользователя ( U s e r C o n f i g u r a t i o n ) —

в ключе H K E Y _ C U R R E N T _ U S E R ( H K C U ) . Б о л ь ш и н с т в о з н а ч е н и й реестра,

модифицируемых политиками по умолчанию, находятся в одном из следующих

четырех зарезервированных деревьев:

л HKLMSoftwarePolicies (конфигурация компьютера);

• HKCUSoftwarePolicies (конфигурация пользователя);

• HKLMSoftwareMicrosoftWindowsCurrentVersionPolicies ( к о н ф и г у р а -

ция компьютера);

• II K C U S o f t w a r e M i c r o s o f t W i n d o w s C u r r e n t V e r s i o n Policies ( к о н ф и г у р а -

ция пользователя). , ,

Административный шаблон – это текстовый файл, у к а з ы в а ю щ и й на измене-

ние реестра и генерирующий пользовательский и н т е р ф е й с д л я н а с т р о й к и пара-

метра политики административных шаблонов в редакторе G P M E . На рис. 6 – 3

показано диалоговое окно свойств параметра п о л и т и к и З а п р е т и т ь д о с т у п к

средствам редактирования реестра ( P r e v e n t Access То Registry E d i t i n g Tools).

Наличие этого параметра политики, раскрывающийся список д л я о т к л ю ч е н и я

запуска редактора реестра без предупреждения, а т а к ж е п а р а м е т р р е е с т р а на

основе политики определяются в административном шаблоне.

При необходимости добавить в редактор G P M E н о в ы е а д м и н и с т р а т и в н ы е

шаблоны нужно щелкнуть правой кнопкой м ы ш и узел А д м и н и с т р а т и в н ы е шаб-

лоны (Administrative Templates) и выполнить команду Д о б а в л е н и е и у д а л е н и е

шаблонов (Add/Remove Templates). Некоторые поставщики программного обес-

печения предоставляют административные ш а б л о н ы в качестве ц е н т р а л и з о -

ванного механизма управления конфигурацией своих п р и л о ж е н и й . Н а п р и м е р ,

в центре загрузки Microsoft доступны все административные ш а б л о н ы д л я всех

версий Microsoft Office. Вы также можете создавать с о б с т в е н н ы е н а с т р а и в а е -

мые административные шаблоны. Создание настраиваемых а д м и н и с т р а т и в н ы х

шаблонов в данном руководстве не рассматривается.

В версиях Windows ниже Windows Vista д л я а д м и н и с т р а т и в н о г о ш а б л о -

на используется расширение .adm. При работе с ф а й л а м и A D M н е о б х о д и м о

учесть следующее. Во-первых, нужно в ы п о л н и т ь всю л о к а л и з а ц и ю , то есть

для создания файла ADM, используемого п р и р а з в е р т ы в а н и и к о н ф и г у р а ц и и


    Ваша оценка произведения:

Популярные книги за неделю