355 500 произведений, 25 200 авторов.

Электронная библиотека книг » Dan Holme » Настройка Active Directory. Windows Server 2008 » Текст книги (страница 25)
Настройка Active Directory. Windows Server 2008
  • Текст добавлен: 8 октября 2016, 16:34

Текст книги "Настройка Active Directory. Windows Server 2008"


Автор книги: Dan Holme


Соавторы: Danielle Ruest,Nelson Ruest

Жанр:

   

ОС и Сети


сообщить о нарушении

Текущая страница: 25 (всего у книги 91 страниц)

в многоязычной организации, потребуются отдельные A D M – ф а й л ы д л я к а ж -

дого языка – они предоставят пользовательский интерфейс администраторам,

говорящим на этих языках. А для того чтобы впоследствии м о д и ф и ц и р о в а т ь

параметры реестра, управляемые этими шаблонами, п р и д е т с я в н е с т и изме-

нения в каждый файл ADM. Во-вторых, ф а й л A D M х р а н и т с я к а к к о м п о н е н т

объекта G P T в папке SYSVOL. Если он используется во множестве объектов

GPO, то сохраняется много раз, занимая пространство папки SYSVOL. Кроме

Занятие 1

Реализация групповой политики 2 4 5

того, с л е д у е т о б р а т и т ь о с о б о е в н и м а н и е н а н е д о с т а т к и п о д д е р ж к и к о н т р о л я

версии ф а й л о в A D M .

В W i n d o w s V i s t a и W i n d o w s S e r v e r 2 0 0 8 а д м и н и с т р а т и в н ы й ш а б л о н пред-

ставляет с о б о й п а р у X N L – ф а й л о в : о д и н с р а с ш и р е н и е м .admx, у к а з ы в а ю щ и й

и з м е н е н и я в р е е с т р е , в т о р о й с р а с ш и р е н и е м .adml, п р е д о с т а в л я ю щ и й в ре-

д а к т о р е G P M E и н т е р ф е й с с я з ы к о м п о л ь з о в а т е л я . И з м е н е н и я п а р а м е т р о в ,

у п р а в л я е м ы х а д м и н и с т р а т и в н ы м и ш а б л о н а м и , в н о с я т с я в о д и н ф а й л A D M X .

Все а д м и н и с т р а т о р ы , м о д и ф и ц и р у ю щ и е о б ъ е к т G P O , к о т о р ы й и с п о л ь з у е т этот

шаблон, п о л у ч а ю т д о с т у п к о д н о м у ф а й л у A D M X и в ы з ы в а ю т соответствую-

щ и й ф а й л A D M L , ч т о б ы з а п о л н и т ь п о л ь з о в а т е л ь с к и й и н т е р ф е й с .

ПРИМЕЧАНИЕ Совместимость шаблонов

Административные ш а б л о н ы A D M и A D M X / A D M L могут сосуществовать.

Центральное хранилище

Как м ы у ж е г о в о р и л и , ф а й л ы A D M х р а н я т с я к а к к о м п о н е н т о б ъ е к т а G P O .

В процессе р е д а к т и р о в а н и я G P O , п р и м е н я ю щ е г о а д м и н и с т р а т и в н ы е ш а б л о н ы

в ф о р м а т е A D M , р е д а к т о р G P M E з а г р у ж а е т ш а б л о н A D M и з объекта G P C ,

чтобы с о з д а т ь п о л ь з о в а т е л ь с к и й и н т е р ф е й с . Е с л и в качестве а д м и н и с т р а т и в -

н ы х ш а б л о н о в з а д е й с т в у ю т с я ф а й л ы A D M X / A D M L , о б ъ е к т G P O с о д е р ж и т

т о л ь к о д а н н ы е , н е о б х о д и м ы е к л и е н т а м д л я о б р а б о т к и г р у п п о в о й п о л и т и к и ,

а п р и р е д а к т и р о в а н и и G P O р е д а к т о р G P M E и з в л е к а е т ф а й л ы A D M X и A D M L

н а л о к а л ь н о й р а б о ч е й с т а н ц и и .

Э т и м е т о д ы э ф ф е к т и в н ы в н е б о л ь ш и х о р г а н и з а ц и я х , о д н а к о д л я комплекс-

н ы х сред, в к л ю ч а ю щ и х н а с т р а и в а е м ы е а д м и н и с т р а т и в н ы е ш а б л о н ы и л и нужда-

ю щ и х с я в б о л е е ц е н т р а л и з о в а н н о м у п р а в л е н и и , в W i n d o w s Server 2 0 0 8 имеется

ц е н т р а л ь н о е х р а н и л и щ е – о т д е л ь н а я п а п к а в S Y S V O L , к о т о р а я с о д е р ж и т все

н е о б х о д и м ы е ф а й л ы A D M X и A D M L . П о с л е н а с т р о й к и ц е н т р а л ь н о г о храни-

л и щ а р е д а к т о р G P M E р а с п о з н а е т его и з а г р у ж а е т в с е а д м и н и с т р а т и в н ы е шаб-

л о н ы и з ц е н т р а л ь н о г о х р а н и л и щ а , а н е и з х р а н и л и щ а л о к а л ь н о г о компьютера.

Д л я того ч т о б ы с о з д а т ь ц е н т р а л ь н о е х р а н и л и щ е , с о з д а й т е п а п к у P o l i c y D e -

f i n i t i o n s B n a n K e F Q . D N S Y S V O L F Q D N P o l i c i e s . Например, д л я домена contoso.

com н е о б х о д и м о с о з д а т ь ц е н т р а л ь н о е х р а н и л и щ е c o n t o s o . c o m S Y S V O L

c o n t o s o . c o m P o l i c i e s P o l i c y D e f i n i t i o n s . З а т е м с к о п и р у й т е все ф а й л ы и з п а п к и

% S y s t e m R o o t % P o l i c y D e f i n i t i o n s с и с т е м ы W i n d o w s S e r v e r 2 0 0 8 в н о в у ю папку

P o l i c y D e f i n i t i o n s в S Y S V O L . Н у ж н о с к о п и р о в а т ь ф а й л ы .admx и ф а й л ы .adml

в я з ы к о в о й п о д п а п к е % S y s t e m R o o t % P o l i c y D e f i n i t i o n s . С к а ж е м , ф а й л ы A D M L

для р у с с к о г о я з ы к а л о к а л и з о в а н ы в п а п к е % S y s t e m R o o t % P o l i c y D e f i n i t i o n s

ru-RU. С к о п и р у й т е и х в п а п к у F Q D N S Y S V O L F Q D N P o l i c i e s r u – R U . Если

требуются д о п о л н и т е л ь н ы е я з ы к и , с к о п и р у й т е п а п к у с ф а й л а м и A D M L в цен-

тральное х р а н и л и щ е . Т а к и м о б р а з о м , п а п к а P o l i c y D e f i n i t i o n s н а к о н т р о л л е р е

домена д о л ж н а с о д е р ж а т ь ф а й л ы A D M X , а т а к ж е о д н у и л и н е с к о л ь к о п а п о к

с я з ы к о в ы м и ф а й л а м и A D M L .

2 4 6 Инфраструктура групповой политики

Глава 6

СОВЕТ К ЭКЗАМЕНУ

При ихоле на контроллер домена локально или с помощью удаленного рабоче-

го стола (Remote Desktop) локальным путем к папке PolicyDefinitions будет путь

%SystemRoot%SYSVOLdoinainPoliciesPoIicyDefinitions.

Фильтрация параметров политики административных шаблонов

Недостаток средств редактирования г р у п п о в о й п о л и т и к и в п р е д ы д у щ и х вер-

сиях Windows состоит в их неспособности в ы п о л н я т ь п о и с к к о н к р е т н ы х п а р а -

метров политики, тогда как из тысячи п а р а м е т р о в п о л и т и к и л о к а л и з о в а т ь па-

раметр, который нужно отконфигурировать, непросто. Н о в ы й р е д а к т о р G P M E

в Windows Server 2008 решает проблему п о и с к а п а р а м е т р о в а д м и н и с т р а т и в н ы х

шаблонов, предоставляя в о з м о ж н о с т ь с о з д а в а т ь ф и л ь т р ы д л я л о к а л и з а ц и и

конкретных параметров политики.

Итак, для того чтобы создать ф и л ь т р , щ е л к н и т е п р а в о й к н о п к о й м ы ш и

узел Административные ш а б л о н ы ( A d m i n i s t r a t i v e T e m p l a t e s ) и в ы п о л н и т е

команду Параметры фильтра (Filter Options). Ч т о б ы л о к а л и з о в а т ь к о н к р е т н у ю

политику, установите флажок Включить ф и л ь т р ы по к л ю ч е в ы м с л о в а м ( E n a b l e

Keyword Filters), введите ключевые слова н в ы б е р и т е п о л я , в к о т о р ы х н у ж н о

выполнить поиск. На рис. 6-5 показан п р и м е р п о и с к а п а р а м е т р о в п о л и т и к и ,

связанных с экранной заставкой.

• Ь»£т»пе •»!« г в д а р A/t »ii»c«r*» и н mtrm-o иа> откяо < д м

иЛк*».

IT 4->C.1-r+f> Г*(4ПГ1РИ no wr.tr-

p з • 3 | p s r – f

P b – . . ' 1 1.4– 1 . –• L»| I 1 ' B *

.X :/ Л.' I w jlgJgJH^]

t p J a r – ' * * * f w » * ' ; , . F l w i j w w ! 7

бфочп* <ы/ъ'0» по тр»6савг«й*

'

I– ••

.,{

3 z z i

j j

| 0К | О т * * *

Рис. 6-5. Фильтрация параметров политики административных шаблонов

Комментарии

Поиск и фильтрация выполняются также на о с н о в е к о м м е н т а р и е в п о л и т и к и .

В параметры политики административных шаблонов W i n d o w s Server 2 0 0 8 мож-

Занятие 1

Реализация групповой политики 2 4 7

но добавлять комментарии. Д в а ж д ы щелкните параметр политики и перейдите

на вкладку К о м м е н т а р и й ( C o m m e n t ) . Комментарии добавляются в отконфи-

гурированные п а р а м е т р ы п о л и т и к и ( ч т о б ы задокументировать назначение

параметра и его д е й с т в и е ) и в сам объект G P O . Система Windows Server 2008

позволяет д о б а в л я т ь к о м м е н т а р и и к объектам групповой политики. В дереве

консоли редактора G P M E щ е л к н и т е правой кнопкой мыши корневой узел и

выполните команду С в о й с т в а ( P r o p e r t i e s ) , после чего перейдите на вкладку

Комментарий ( C o m m e n t ) . •

Начальные объекты г р у п п о в о й п о л и т и к и |

Еще одним н о в ы м к о м п о н е н т о м г р у п п о в о й п о л и т и к и Windows Server 2008

является узел Н а ч а л ь н ы е объекты групповой политики (Starter GPOs). Началь-

ный объект групповой п о л и т и к и содержит параметры административных шаб-

лонов. На основе начального G P O м о ж н о создать новый объект GPO, в кото-

рый будут п р е д в а р и т е л ь н о с к о п и р о в а н ы параметры начального GPO. В свою

очередь, начальный объект G P O я в л я е т с я шаблоном. К сожалению, корпорация

Microsoft уже п р и м е н и л а слово шаблон в контексте административных шабло-

нов, а другого слова не н а ш л о с ь . П р и создании нового объекта G P O можно

выбрать пустой G P O , один из предварительно существующих начальных объ-

ектов G P O и л и н а с т р а и в а е м ы й н а ч а л ь н ы й объект G P O .

ПРИМЕЧАНИЕ Начальные объекты GPO

Начальные объекты групповой политики содержат только параметры администра-

тивных шаблонов. В контейнер Объекты групповой политики (Group Policy Objects)

консоли Управление групповой политикой (Group Policy Management) можно копи-

ровать и вставлять целые объекты GPO, получая таким образом объекты групповой

политики со всеми параметрами начального GPO. Для передачи параметров между

объектами G P O в различных доменах или лесах щелкните правой кнопкой мыши

объект GPO и выполните команду Архивировать (Back Up). В конечном домене

создайте новый объект GPO, щелкните его правой кнопкой мыши и выполните ко-

манду Импорт параметров (Import Settings). Вы можете импортировать параметры

архивированного объекта GPO.

Управляемые и н е у п р а в л я е м ы е п а р а м е т р ы политики

Если говорить о параметрах п о л и т и к и реестра, конфигурируемых узлом Адми-

нистративные ш а б л о н ы (Administrative Templates), то важно понимать разницу

между у п р а в л я е м ы м и и н е у п р а в л я е м ы м и параметрами политики. Параметры

политики реестра, о к о т о р ы х ш л а речь до сих пор и которые модифицируются

на практических з а н я т и я х в э т о й главе, я в л я ю т с я примерами управляемых

политик. Управляемые п а р а м е т р ы п о л и т и к и влияют на тип изменения конфи-

гурации при п р и м е н е н и и параметра объектом G P O . Когда пользователь или

компьютер больше не подпадает под область действия объекта G P O , конфи-

гурация автоматически в о з в р а щ а е т с я в исходное состояние. Например, если

удалить и л и о т к л ю ч и т ь объект G P O , запрещающий доступ к средствам редак-

тирования реестра, п о л ь з о в а т е л и получат доступ к средствам редактирования

реестра при с л е д у ю щ е м о б н о в л е н и и политики.

248 Инфраструктура групповой политики

Глава 6

Неуправляемые параметры политики вносят постоянные изменения в ре-

естр. Если объект GPO больше не применяется, изменение параметра остается

в реестре. Такое изменение называется татуировкой реестра. Чтобы отменить

результат применения параметра политики, нужно вернуть изменение, которое

возвращает конфигурацию в нужное состояние.

По умолчанию редактор G P M E скрывает неуправляемые параметры по-

литики, чтобы пользователь не внес случайно изменения, к о т о р ы е с л о ж н о

отменить. Тем не менее среди неуправляемых параметров политики есть много

довольно полезных параметров, в частности д л я настраиваемых администра-

тивных шаблонов, управляющих конфигурацией приложений. Д л я того что-

бы управлять видимостью параметров политики, следует щ е л к н у т ь правой

кнопкой мыши узел Административные шаблоны (Administrative Templates),

выполнить команду Параметры фильтра (Filter Options) и в р а с к р ы в а ю щ е м с я

списке Управляемый (Managed) выбрать нужную опцию.

Практические занятия. Реализация групповой политики

В предложенных далее упражнениях вы отконфигурируете домен contoso.com

с помощью групповой политики, создадите, отконфигурируете и определите

области действия для объектов групповой политики, а также примените новые

компоненты групповой политики в'Windows Server 2008.

Упражнеиие 1. Создание, редактирование и определение области д е й с т в и я

объекта групповой политики

Создайте объект GPO, который реализует параметр о б я з а т е л ь н о й п о л и т и -

ки безопасности Contoso, Ltd с областью действия д л я всех п о л ь з о в а т е л е й

и компьютеров в домене.

1. Войдите на машину SERVER01 как администратор.

2. В группе Администрирование (Administrative Tools) о т к р о й т е к о н с о л ь

Управление групповой политикой (Group Policy M a n a g e m e n t ) .

3. Разверните лес и домен contoso.com и откройте контейнер О б ъ е к т ы груп-

повой политики (Group Policy Objects).

4. В дереве консоли щелкните правой кнопкой м ы ш и к о н т е й н е р О б ъ е к т ы

групповой политики и выполните команду Создать (New).

5. В поле Имя (Name) введите имя CONTOSO Стандарты. Щ е л к н и т е О К .

6. Щелкните правой кнопкой мыши объект C O N T O S O Стандарты и выполни-

те команду Изменить (Edit). Откроется Редактор управления групповыми

политиками (Group Policy Management Editor).

7. В консоли щелкните правой кнопкой м ы ш и корневой узел C O N T O S O

Стандарты и выполните команду Свойства (Properties).

8. Перейдите на вкладку Комментарий ( C o m m e n t ) и введите к ом ме н т а р и й

«Стандарты корпоративных политик Contoso. Параметры влияют на всех

пользователей и компьютеры в домене. Ответственное лицо за объект GPO:

ваше имя». Щелкните ОК.

В этом сценарии корпоративная политика безопасности Contoso указывает,

что компьютеры нельзя оставлять без присмотра и входить на них после

Занятие 1

Реализация групповой политики 2 4 9

1 0 м и н . п р о с т о я . Д л я т о г о ч т о б ы в ы п о л н и т ь э т о т р е б о в а н и е , к о н ф и г у р и -

р у е т с я в р е м я о ж и д а н и я э к р а н н о й з а с т а в к и и п а р а м е т р ы п о л и т и к и пароля

з а щ и т ы э к р а н н о й з а с т а в к и . Д л я л о к а л и з а ц и и э т и х п а р а м е т р о в политики

п р и м е н я ю т с я н о в ы е п о и с к о в ы е в о з м о ж н о с т и W i n d o w s Server 2008.

9 . Р а з в е р н и т е у з е л К о н ф и г у р а ц и я п о л ь з о в а т е л я П о л и т и к и А д м и н и с т р а т и в н ы е

ш а б л о н ы ( U s e r C o n f i g u r a t i o n P o l i c i e s A d m i n i s t r a t i v e Templates).

10. П р о с м о т р и т е п а р а м е т р ы в э т о м у з л е . П р о ч и т а й т е о п и с а н и е интересующих

вас п а р а м е т р о в п о л и т и к и . Н е в н о с и т е и з м е н е н и я в к о н ф и г у р а ц и ю .

11. В у з л е К о н ф и г у р а ц и я п о л ь з о в а т е л я ( U s e r C o n f i g u r a t i o n ) щ е л к н и т е правой

к н о п к о й м ы ш и у з е л А д м и н и с т р а т и в н ы е ш а б л о н ы (Administrative Templates)

и в ы п о л н и т е к о м а н д у П а р а м е т р ы ф и л ь т р а ( F i l t e r O p t i o n s ) .

12. У с т а н о в и т е ф л а ж о к В к л ю ч и т ь ф и л ь т р ы п о к л ю ч е в ы м с л о в а м ( E n a b l e Key-

w o r d F i l t e r s ) .

13. В т е к с т о в о м п о л е Ф и л ь т р ы п о с л о в а м ( F i l t e r f o r W o r d ( s ) ) введите слова

экранная заставка.

14. В р а с к р ы в а ю щ е м с я с п и с к е в о з л е т е к с т о в о г о п о л я в ы б е р и т е опцию Точное

( E x a c t ) . Щ е л к н и т е О К .

П а р а м е т р ы п о л и т и к и а д м и н и с т р а т и в н ы х ш а б л о н о в б у д у т отфильтрованы

д л я о т о б р а ж е н и я п а р а м е т р о в со с л о в а м и экранная заставка.

15. П р о с м о т р и т е н а й д е н н ы е п о л и т и к и э к р а н н о й з а с т а в к и .

16. В у з л е П а н е л ь у п р а в л е н и я О к н о с в о й с т в э к р а н а ( C o n t r o l PanelDisplay)

щ е л к н и т е п а р а м е т р п о л и т и к и Т а й м а у т э к р а н н о й з а с т а в к и (Screen Saver

T i m e o u t ) . В л е в о й ч а с т и п а н е л и с в е д е н и й к о н с о л и о т о б р а з и т с я описание

п а р а м е т р а .

17. Д в а ж д ы щ е л к н и т е п а р а м е т р п о л и т и к и Т а й м а у т э к р а н н о й заставки (Screen

Saver T i m e o u t ) .

18. П р о с м о т р и т е о б ъ я с н е н и е н а в к л а д к е О б ъ я с н е н и е ( E x p l a i n ) .

19. П е р е й д и т е н а в к л а д к у п а р а м е т р ( S e t t i n g ) и в ы б е р и т е о п ц и ю Включен

( E n a b l e d ) .

20. В п о л е С е к у н д ы ( S e c o n d s ) в в е д и т е з н а ч е н и е 600.

21. Н а в к л а д к е К о м м е н т а р и й ( C o m m e n t ) в в е д и т е Корпоративная политика

безопасности реализована с помощью этой политики в комбинации с па-

рольной защитой экранной заставки». Щ е л к н и т е О К .

22. Д в а ж д ы щ е л к н и т е п а р а м е т р п о л и т и к и И с п о л ь з о в а т ь п а р о л ь н у ю защиту

д л я э к р а н н ы х з а с т а в о к ( P a s s w o r d P r o t e c t T h e S c r e e n S a v e r ) .

23. В ы б е р и т е о п ц и ю В к л ю ч и т ь ( E n a b l e d ) .

24. Н а в к л а д к е К о м м е н т а р и й ( C o m m e n t ) в в е д и т е « К о р п о р а т и в н а я политика

безопасности реализована с помощью этой политики в комбинации с поли-

тикой таймаута экранной заставкиЩелкните О К .

25. З а к р о й т е р е д а к т о р G P M E .

И з м е н е н и я , в н е с е н н ы е в G P M E , с о х р а н я ю т с я в р е а л ь н о м времени. Такая

команда, к а к С о х р а н и т ь ( S a v e ) , о т с у т с т в у е т .

250 Инфраструктура групповой политики

Глава 6

26. В консоли Управление групповой политикой ( G r o u p Policy Management)

щелкните правой кнопкой мыши домен contoso.com и выполните команду

Связать существующий объект G P O (Link An Existing G P O ) .

27. Выберите объект групповой политики CONTOSO Стандарты и щелкните ОК.

Упражнение 2. Просмотр результатов применения групповой политики

Проверьте результат применения параметра групповой политики, отконфигу-

рнрованного в упражнении 1, а также попрактикуйтесь в обновлении политики

вручную с помощью инструмента Gpupdate.exe.

1. На машине SERVER01 щелкните правой кнопкой м ы ш и р а б о ч и й стол

и выполните команду Персонализация (Personalize).

2. Щелкните ссылку Экранная заставка (Screen Saver).

3. Вы можете изменить время ожидания экранной заставки и ее отображение,

начиная с экрана входа в систему. Закройте диалоговое окно Параметры

экранной заставки (Screen Saver Settings).

4. Откройте окно командной строки и введите команду gpupdate.exe /force /

boot/logoff.

Эти опции команды Gpudate.exe указывают на полное обновление групповой

политики. Подождите, пока закончится обновление политик компьютера

и пользователя.

5. Вновь откройте диалоговое окно Параметры экранной з а с т а в к и (Screen

Saver Settings). Теперь вы не сможете изменить время о ж и д а н и я и отобра-

жение экранной заставки.

Упражнение 3. Обзор объекта групповой политики

Просмотрев результаты применения G P O , проанализируйте сам объект G P O ,

чтобы лучше понять принцип внутренней работы групповой п о л и т и к и .

1. В контейнере Объекты групповой политики (Group Policy Objects) консоли

Управление групповой политикой ( G r o u p Policy M a n a g e m e n t ) выберите

объект CONTOSO Стандарты.

2. В секции Связи (Links) вкладки Область (Scope) показаны связи G P O .

3. Перейдите на вкладку Параметры (Settings), чтобы просмотреть отчет о па-

раметрах в объекте GPO.

Если включена-конфигурация повышенной безопасности I n t e r n e t Explorer

(Internet Explorer Enhanced Security Configuration, E S C ) , подтвердите до-

бавление содержимого веб-узла about:security_mmc.exe в зону н а д е ж н ы х

узлов (Trusted Sites).

4. Щелкните ссылку Показать все (Show All) в верхней части отчета, чтобы

развернуть все секции отчета. Как видите, в отчет добавлены комментарии

к параметрам политики.

5. Наведите указатель мыши на имя политики Таймаут экранной заставки

(Screen Save Timeout). Как видите, оно представляет собой гиперссылку.

Щелкните ее, чтобы просмотреть объяснение данного параметра политики.

Занятие 1

Реализация групповой политики 251

6 Перейдите иа в к л а д к у Таблица (Details), где отображаются ваши коммен-

тарии к объекту G P O вместе с и н ф о р м а ц и е й о номерах версии GPO.

7. Запишите у н и к а л ь н ы й код ( U n i q u e I D ) , отображаемый на вкладке Таблица

(Details):

8. Откройте папку c o n t o s o . c o m S Y S V O L c o n t o s o . c o m P o l i c i e s .

9. Д в а ж д ы щ е л к н и т е п а п к у с и м е н е м , которое соответствует уникальному

коду объекта G P O .

Эта папка п р е д с т а в л я е т ш а б л о н G P T объекта G P O .

У п р а ж н е н и е 4 . А н а л и з а д м и н и с т р а т и в н ы х ш а б л о н о в

Административные ш а б л о н ы с о д е р ж а т и н с т р у к ц и и , с помощью которых ре-

дактор G P M E создает п о л ь з о в а т е л ь с к и й и н т е р ф е й с д л я настройки параметров

политики А д м и н и с т р а т и в н ы е ш а б л о н ы (Administrative Templates) и указания

изменений реестра, к о т о р ы е д о л ж н ы б ы т ь в н е с е н ы на основе параметров по-

литики. П р о а н а л и з и р у й т е а д м и н и с т р а т и в н ы й шаблон.

1. Откройте п а п к у % S y s t e m R o o t % P o l i c y D e f i n i t i o n s .

2. Откройте папку r u – R U д л я русского региона и языка.

3. Дважды щ е л к н и т е ф а й л ControlPanelDisplay.adml. Щелкните опцию Выбор

п р о г р а м м ы из с п и с к а у с т а н о в л е н н ы х п р о г р а м м (Select A Program From

A List Of Installed P r o g r a m s ) , а затем О К . Откройте ф а й л с помощью про-

граммы Б л о к н о т ( N o t e p a d ) и щ е л к н и т е О К .

4. В меню Ф о р м а т ( F o r m a t ) выберите параметр Перенос по словам (Word Wrap).

5. Выполните п о и с к т е к с т а ScreenSaverlsSecure.

6. Просмотрите метку п а р а м е т р о в и текст о б ъ я с н е н и я в следующей строке.

7. Закройте ф а й л и п е р е й д и т е к п а п к е PolicyDefinitions.

8. Дважды щелкните ф а й л ControlPanelDisplay.admx. Щелкните опцию Выбор

программы из списка установленных программ (Select A Program From A List

Of Installed Programs) и О К . Откройте ф а й л с помощью программы Блокнот

(Notepad) и щ е л к н и т е О К .

9. Найдите в ф а й л е п р и в е д е н н ы й н и ж е текст:

dlsplayName="$(string. ScreenSaverlsSecure)"

explainText="$(string.Sc reenSaverlsSecu re_Help)"

key="SoftwarePoliciesMicrosoftWindowsControl PanelDesktop"

' valueName="ScreenSaverIsSecure">

1

0

1

252 Инфраструктура групповой политики

Глава 6

10. Идентифицируйте следующие элементы в шаблоне:

• имя параметра политики, которое отображается в редакторе G P M E ;

• текст объяснения параметра политики;

• ключ реестра и значение, измененное параметром политики;

• данные, помещаемые в реестр в случае включения политики;

• данные, помещаемые в реестр в случае отключения политики.

Упражнение 5. Создание центрального хранилища

Создайте центральное хранилище административных шаблонов, для центра-

лизации управления шаблонами.

1. В консоли Управление групповой политикой (Group Policy M a n a g e m e n t )

щелкните правой кнопкой мыши объект групповой политики C O N T O S O

Стандарты и выполните команду Изменить (Edit).

2. Разверните узел Конфигурация пользователяПолитикиАдминистратив-

ные шаблоны (User ConfigurationPoliciesAdministrative Templates).

3. Отметьте: в имени узла указано, что Определения политик ( A D M X – ф а й -

лы) получены с локального компьютера (Policy Definitions ( A D M X Files)

Retrieved From The Local Machine).

4. Закройте Редактор GPME.

5. Откройте папку \contoso.comSYSVOLcontoso.comPolicies.

6. Создайте папку с именем Policy Definitions.

7. Скопируйте в созданную папку содержимое п а п к и % S y s t e m R o o t %

PolicyDefinitions.

8. В консоли Управление групповой политикой (Group Policy Management)

щелкните правой кнопкой мыши объект C O N T O S O Стандарты и выпол-

ните команду Изменить (Edit).

9. Разверните узел Конфигурация пользователяПолитикиАдминистратив-

ные шаблоны (User ConfigurationPoliciesAdministrative Templates).

10. Отметьте: в имени узла указано, что Определения политик ( A D M X – ф а й -

лы) получены с локального компьютера (Policy Definitions ( A D M X Files)

Retrieved From The Local Machine).

Резюме

« Объекты групповой политики (GPO) содержат параметры политики, ко-

торые определяют конфигурацию. Если областью действия объектов G P O

является сайт, домен или подразделение, к пользователям и компьютерам

в области действия GPO будут применены параметры политики G P O .

• Процессы на клиентских машинах Windows определяют объекты G P O ,

которые требуется загрузить и применить. Обработка групповой политики

компьютера выполняется при загрузке и каждые последующие 9 0 – 1 2 0 мин.,

Занятие 1

Реализация групповой политики 2 5 3

а о б р а б о т к а п а р а м е т р о в п о л и т и к и п о л ь з о в а т е л я в ы п о л н я е т с я п р и входе

и к а ж д ы е п о с л е д у ю щ и е 9 0 – 1 2 0 м и н .

• П о у м о л ч а н и ю к л и е н т с к и е р а с ш и р е н и я C S E п р и м е н я ю т п а р а м е т р ы только

в случае и з м е н е н и я G P O . И с к л ю ч е н и е с о с т а в л я ю т п а р а м е т р ы безопасности,

к о т о р ы е п р и м е н я ю т с я к а ж д ы е 1 6 ч а с о в н е з а в и с и м о о т и з м е н е н и я G P O .

К л и е н т с к и е р а с ш и р е н и я C S E м о ж н о к о н ф и г у р и р о в а т ь д л я п о в т о р н о г о

п р и м е н е н и я п а р а м е т р о в п р и к а ж д о м о б н о в л е н и и п о л и т и к и , а т а к ж е д л я

п р и м е н е н и я и л и о т к а з а о т и с п о л ь з о в а н и я п о л и т и к и п р и л о ж е н и я в случае

о б н а р у ж е н и я м е д л е н н о г о п о д к л ю ч е н и я .

• В г р у п п о в у ю п о л и т и к у W i n d o w s S e r v e r 2 0 0 8 в к л ю ч е н у з е л Н а с т р о й к а

( P r e f e r e n c e s ) , к о т о р ы й д о б а в л я е т б о л е е 2 0 к л и е н т с к и х р а с ш и р е н и й CSE

д л я у п р а в л е н и я о б ш и р н ы м к о л и ч е с т в о м п а р а м е т р о в п о л ь з о в а т е л я и л и

к о м п ь ю т е р а .

• А д м и н и с т р а т и в н ы е ш а б л о н ы ( ф а й л ы .adm, а т а к ж е . a d m x и .adml) опреде-

л я ю т п о л ь з о в а т е л ь с к и й и н т е р ф е й с и и з м е н е н и я р е е с т р а д л я параметров

п о л и т и к и в у з л е А д м и н и с т р а т и в н ы е ш а б л о н ы ( A d m i n i s t r a t i v e Templates)

объекта G P O .

• Управление а д м и н и с т р а т и в н ы м и ш а б л о н а м и м о ж н о ц е н т р а л и з о в а т ь путем

с о з д а н и я ц е н т р а л ь н о г о х р а н и л и щ а .

• В W i n d o w s S e r v e r 2 0 0 8 т а к ж е д о б а в л е н а в о з м о ж н о с т ь п р и к р е п л е н и я ком-

ментариев к о б ъ е к т а м G P O и п а р а м е т р а м п о л и т и к и , а также создания новых

объектов G P O н а о с н о в е н а ч а л ь н ы х о б ъ е к т о в групповой политики, которые

с о д е р ж а т о с н о в н ы е п а р а м е т р ы п о л и т и к и а д м и н и с т р а т и в н ы х шаблонов.

Закрепление материала

Далее с л е д у ю т в о п р о с ы д л я п р о в е р к и з н а н и й , п о л у ч е н н ы х н а з а н я т и и 1 . Эти

вопросы м о ж н о н а й т и и н а с о п р о в о д и т е л ь н о м к о м п а к т – д и с к е .

ПРИМЕЧАНИЕ Ответы

Ответы на вопросы с п о я с н е н и я м и , почему тот или иной вариант ответа является

правильным или н е п р а в и л ь н ы м , вы найдете в разделе «Ответы» в конце книги.

1 . К о м п а н и я L i t w a r e , I n c с о д е р ж и т т р и б и з н е с – с т р у к т у р ы , к а ж д а я и з которых

п р е д с т а в л е н а п о д р а з д е л е н и е м в д о м е н е litvvareinc.com. А д м и н и с т р а т о р а м

б и з н е с – с т р у к т у р н е о б х о д и м а в о з м о ж н о с т ь у п р а в л е н и я г р у п п о в о й полити-

кой п о л ь з о в а т е л е й и к о м п ь ю т е р о в в с в о и х п о д р а з д е л е н и я х . К а к и е действия

н у ж н о п р е д п р и н я т ь , ч т о б ы а д м и н и с т р а т о р ы м о г л и п о л н о с т ь ю у п р а в л я т ь

групповой п о л и т и к о й в с в о и х б и з н е с – с т р у к т у р а х ? ( У к а ж и т е все варианты.

К а ж д ы й п р а в и л ь н ы й о т в е т я в л я е т с я л и ш ь ч а с т ь ю п о л н о г о р е ш е н и я . )

А . С к о п и р о в а т ь а д м и н и с т р а т и в н ы е ш а б л о н ы и з ц е н т р а л ь н о г о х р а н и л и щ а

в п а п к у P o l i c y D e f i n i t i o n s н а р а б о ч и х с т а н ц и я х W i n d o w s V i s t a админис-

т р а т о р ш у

254

Инфраструктура групповой политики

Глава 6

Б. Добавить администраторов бизиес-структур в г р у п п у В л а д е л ь ц ы – со-

здатели групповой политики ( G r o u p Policy C r e a t o r O w n e r s ) .

В. Делегировать разрешение Связывание объектов G P O (Link G P O s ) адми-

нистраторам в домене litwareinc.com.

Г. Делегировать в подразделении б и з н е с – с т р у к т у р ы р а з р е ш е н и е С в я з ы -

вание объектов G P O (Link G P O s ) а д м и н и с т р а т о р а м к а ж д о й б и з н е с -

структуры.

2. Вы являетесь администратором компании Contoso, Ltd. Д о м е н c o n t o s o x o m

содержит дочерний домен es.contoso.com д л я ф и л и а л а в И с п а н и и . А д м и -

нистраторы этого домена просят предоставить им и н т е р ф е й с на и с п а н с к о м

языке для редактора управления г р у п п о в ы м и п о л и т и к а м и G P M E . К а к

предоставить такие версии административных ш а б л о н о в ?

A. Войти на контроллер домена es.contoso.com, з а т е м о т к р ы т ь п а п к у

% S y s t e m R o o t % S Y S V O L d o m a i n P o l i c i e s P o l i c y D e f i n i t i o n s и с к о п и -

ровать файлы ADM в папку ES.

Б. Скопировать файлы A D M L в п а п к у e s . c o n t o s o . c o m S Y S V O L

es.contoso.compoliciesPolicyDefinitionses.

B. Войти на контроллер домена es.contoso.com, открыть папку % S y s t e m R o o t %

S Y S V O L d o m a i n P o l i c i e s P o l i c y D e f i n i t i o n s и с к о п и р о в а т ь ф а й л ы

ADMX в папку ES.

Г. Установить файл Boot.win с к о м п а к т – д и с к а W i n d o w s S e r v e r 2 0 0 8 на

контроллере дочернего домена.

3. Вы работаете администратором в компании C o n t o s o L t d . На к о н ф е р е н ц и и


    Ваша оценка произведения:

Популярные книги за неделю