Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 25 (всего у книги 91 страниц)
в многоязычной организации, потребуются отдельные A D M – ф а й л ы д л я к а ж -
дого языка – они предоставят пользовательский интерфейс администраторам,
говорящим на этих языках. А для того чтобы впоследствии м о д и ф и ц и р о в а т ь
параметры реестра, управляемые этими шаблонами, п р и д е т с я в н е с т и изме-
нения в каждый файл ADM. Во-вторых, ф а й л A D M х р а н и т с я к а к к о м п о н е н т
объекта G P T в папке SYSVOL. Если он используется во множестве объектов
GPO, то сохраняется много раз, занимая пространство папки SYSVOL. Кроме
Занятие 1
Реализация групповой политики 2 4 5
того, с л е д у е т о б р а т и т ь о с о б о е в н и м а н и е н а н е д о с т а т к и п о д д е р ж к и к о н т р о л я
версии ф а й л о в A D M .
В W i n d o w s V i s t a и W i n d o w s S e r v e r 2 0 0 8 а д м и н и с т р а т и в н ы й ш а б л о н пред-
ставляет с о б о й п а р у X N L – ф а й л о в : о д и н с р а с ш и р е н и е м .admx, у к а з ы в а ю щ и й
и з м е н е н и я в р е е с т р е , в т о р о й с р а с ш и р е н и е м .adml, п р е д о с т а в л я ю щ и й в ре-
д а к т о р е G P M E и н т е р ф е й с с я з ы к о м п о л ь з о в а т е л я . И з м е н е н и я п а р а м е т р о в ,
у п р а в л я е м ы х а д м и н и с т р а т и в н ы м и ш а б л о н а м и , в н о с я т с я в о д и н ф а й л A D M X .
Все а д м и н и с т р а т о р ы , м о д и ф и ц и р у ю щ и е о б ъ е к т G P O , к о т о р ы й и с п о л ь з у е т этот
шаблон, п о л у ч а ю т д о с т у п к о д н о м у ф а й л у A D M X и в ы з ы в а ю т соответствую-
щ и й ф а й л A D M L , ч т о б ы з а п о л н и т ь п о л ь з о в а т е л ь с к и й и н т е р ф е й с .
ПРИМЕЧАНИЕ Совместимость шаблонов
Административные ш а б л о н ы A D M и A D M X / A D M L могут сосуществовать.
Центральное хранилище
Как м ы у ж е г о в о р и л и , ф а й л ы A D M х р а н я т с я к а к к о м п о н е н т о б ъ е к т а G P O .
В процессе р е д а к т и р о в а н и я G P O , п р и м е н я ю щ е г о а д м и н и с т р а т и в н ы е ш а б л о н ы
в ф о р м а т е A D M , р е д а к т о р G P M E з а г р у ж а е т ш а б л о н A D M и з объекта G P C ,
чтобы с о з д а т ь п о л ь з о в а т е л ь с к и й и н т е р ф е й с . Е с л и в качестве а д м и н и с т р а т и в -
н ы х ш а б л о н о в з а д е й с т в у ю т с я ф а й л ы A D M X / A D M L , о б ъ е к т G P O с о д е р ж и т
т о л ь к о д а н н ы е , н е о б х о д и м ы е к л и е н т а м д л я о б р а б о т к и г р у п п о в о й п о л и т и к и ,
а п р и р е д а к т и р о в а н и и G P O р е д а к т о р G P M E и з в л е к а е т ф а й л ы A D M X и A D M L
н а л о к а л ь н о й р а б о ч е й с т а н ц и и .
Э т и м е т о д ы э ф ф е к т и в н ы в н е б о л ь ш и х о р г а н и з а ц и я х , о д н а к о д л я комплекс-
н ы х сред, в к л ю ч а ю щ и х н а с т р а и в а е м ы е а д м и н и с т р а т и в н ы е ш а б л о н ы и л и нужда-
ю щ и х с я в б о л е е ц е н т р а л и з о в а н н о м у п р а в л е н и и , в W i n d o w s Server 2 0 0 8 имеется
ц е н т р а л ь н о е х р а н и л и щ е – о т д е л ь н а я п а п к а в S Y S V O L , к о т о р а я с о д е р ж и т все
н е о б х о д и м ы е ф а й л ы A D M X и A D M L . П о с л е н а с т р о й к и ц е н т р а л ь н о г о храни-
л и щ а р е д а к т о р G P M E р а с п о з н а е т его и з а г р у ж а е т в с е а д м и н и с т р а т и в н ы е шаб-
л о н ы и з ц е н т р а л ь н о г о х р а н и л и щ а , а н е и з х р а н и л и щ а л о к а л ь н о г о компьютера.
Д л я того ч т о б ы с о з д а т ь ц е н т р а л ь н о е х р а н и л и щ е , с о з д а й т е п а п к у P o l i c y D e -
f i n i t i o n s B n a n K e F Q . D N S Y S V O L F Q D N P o l i c i e s . Например, д л я домена contoso.
com н е о б х о д и м о с о з д а т ь ц е н т р а л ь н о е х р а н и л и щ е c o n t o s o . c o m S Y S V O L
c o n t o s o . c o m P o l i c i e s P o l i c y D e f i n i t i o n s . З а т е м с к о п и р у й т е все ф а й л ы и з п а п к и
% S y s t e m R o o t % P o l i c y D e f i n i t i o n s с и с т е м ы W i n d o w s S e r v e r 2 0 0 8 в н о в у ю папку
P o l i c y D e f i n i t i o n s в S Y S V O L . Н у ж н о с к о п и р о в а т ь ф а й л ы .admx и ф а й л ы .adml
в я з ы к о в о й п о д п а п к е % S y s t e m R o o t % P o l i c y D e f i n i t i o n s . С к а ж е м , ф а й л ы A D M L
для р у с с к о г о я з ы к а л о к а л и з о в а н ы в п а п к е % S y s t e m R o o t % P o l i c y D e f i n i t i o n s
ru-RU. С к о п и р у й т е и х в п а п к у F Q D N S Y S V O L F Q D N P o l i c i e s r u – R U . Если
требуются д о п о л н и т е л ь н ы е я з ы к и , с к о п и р у й т е п а п к у с ф а й л а м и A D M L в цен-
тральное х р а н и л и щ е . Т а к и м о б р а з о м , п а п к а P o l i c y D e f i n i t i o n s н а к о н т р о л л е р е
домена д о л ж н а с о д е р ж а т ь ф а й л ы A D M X , а т а к ж е о д н у и л и н е с к о л ь к о п а п о к
с я з ы к о в ы м и ф а й л а м и A D M L .
2 4 6 Инфраструктура групповой политики
Глава 6
СОВЕТ К ЭКЗАМЕНУ
При ихоле на контроллер домена локально или с помощью удаленного рабоче-
го стола (Remote Desktop) локальным путем к папке PolicyDefinitions будет путь
%SystemRoot%SYSVOLdoinainPoliciesPoIicyDefinitions.
Фильтрация параметров политики административных шаблонов
Недостаток средств редактирования г р у п п о в о й п о л и т и к и в п р е д ы д у щ и х вер-
сиях Windows состоит в их неспособности в ы п о л н я т ь п о и с к к о н к р е т н ы х п а р а -
метров политики, тогда как из тысячи п а р а м е т р о в п о л и т и к и л о к а л и з о в а т ь па-
раметр, который нужно отконфигурировать, непросто. Н о в ы й р е д а к т о р G P M E
в Windows Server 2008 решает проблему п о и с к а п а р а м е т р о в а д м и н и с т р а т и в н ы х
шаблонов, предоставляя в о з м о ж н о с т ь с о з д а в а т ь ф и л ь т р ы д л я л о к а л и з а ц и и
конкретных параметров политики.
Итак, для того чтобы создать ф и л ь т р , щ е л к н и т е п р а в о й к н о п к о й м ы ш и
узел Административные ш а б л о н ы ( A d m i n i s t r a t i v e T e m p l a t e s ) и в ы п о л н и т е
команду Параметры фильтра (Filter Options). Ч т о б ы л о к а л и з о в а т ь к о н к р е т н у ю
политику, установите флажок Включить ф и л ь т р ы по к л ю ч е в ы м с л о в а м ( E n a b l e
Keyword Filters), введите ключевые слова н в ы б е р и т е п о л я , в к о т о р ы х н у ж н о
выполнить поиск. На рис. 6-5 показан п р и м е р п о и с к а п а р а м е т р о в п о л и т и к и ,
связанных с экранной заставкой.
• Ь»£т»пе •»!« г в д а р A/t »ii»c«r*» и н mtrm-o иа> откяо < д м
• иЛк*».
IT 4->C.1-
p з • 3 | p s r – f
P b – . . ' 1 1.4– 1 . –• L»| I 1 ' B *
.X :/ Л.' I w jlgJgJH^]
t p J a r – ' * * * f w » * ' ; , . F l w i j w w ! 7
бфочп* <ы/ъ'0» по тр»6савг«й*
'
I– ••
.,{
3 z z i
j j
| 0К | О т * * *
Рис. 6-5. Фильтрация параметров политики административных шаблонов
Комментарии
Поиск и фильтрация выполняются также на о с н о в е к о м м е н т а р и е в п о л и т и к и .
В параметры политики административных шаблонов W i n d o w s Server 2 0 0 8 мож-
Занятие 1
Реализация групповой политики 2 4 7
но добавлять комментарии. Д в а ж д ы щелкните параметр политики и перейдите
на вкладку К о м м е н т а р и й ( C o m m e n t ) . Комментарии добавляются в отконфи-
гурированные п а р а м е т р ы п о л и т и к и ( ч т о б ы задокументировать назначение
параметра и его д е й с т в и е ) и в сам объект G P O . Система Windows Server 2008
позволяет д о б а в л я т ь к о м м е н т а р и и к объектам групповой политики. В дереве
консоли редактора G P M E щ е л к н и т е правой кнопкой мыши корневой узел и
выполните команду С в о й с т в а ( P r o p e r t i e s ) , после чего перейдите на вкладку
Комментарий ( C o m m e n t ) . •
Начальные объекты г р у п п о в о й п о л и т и к и |
Еще одним н о в ы м к о м п о н е н т о м г р у п п о в о й п о л и т и к и Windows Server 2008
является узел Н а ч а л ь н ы е объекты групповой политики (Starter GPOs). Началь-
ный объект групповой п о л и т и к и содержит параметры административных шаб-
лонов. На основе начального G P O м о ж н о создать новый объект GPO, в кото-
рый будут п р е д в а р и т е л ь н о с к о п и р о в а н ы параметры начального GPO. В свою
очередь, начальный объект G P O я в л я е т с я шаблоном. К сожалению, корпорация
Microsoft уже п р и м е н и л а слово шаблон в контексте административных шабло-
нов, а другого слова не н а ш л о с ь . П р и создании нового объекта G P O можно
выбрать пустой G P O , один из предварительно существующих начальных объ-
ектов G P O и л и н а с т р а и в а е м ы й н а ч а л ь н ы й объект G P O .
ПРИМЕЧАНИЕ Начальные объекты GPO
Начальные объекты групповой политики содержат только параметры администра-
тивных шаблонов. В контейнер Объекты групповой политики (Group Policy Objects)
консоли Управление групповой политикой (Group Policy Management) можно копи-
ровать и вставлять целые объекты GPO, получая таким образом объекты групповой
политики со всеми параметрами начального GPO. Для передачи параметров между
объектами G P O в различных доменах или лесах щелкните правой кнопкой мыши
объект GPO и выполните команду Архивировать (Back Up). В конечном домене
создайте новый объект GPO, щелкните его правой кнопкой мыши и выполните ко-
манду Импорт параметров (Import Settings). Вы можете импортировать параметры
архивированного объекта GPO.
Управляемые и н е у п р а в л я е м ы е п а р а м е т р ы политики
Если говорить о параметрах п о л и т и к и реестра, конфигурируемых узлом Адми-
нистративные ш а б л о н ы (Administrative Templates), то важно понимать разницу
между у п р а в л я е м ы м и и н е у п р а в л я е м ы м и параметрами политики. Параметры
политики реестра, о к о т о р ы х ш л а речь до сих пор и которые модифицируются
на практических з а н я т и я х в э т о й главе, я в л я ю т с я примерами управляемых
политик. Управляемые п а р а м е т р ы п о л и т и к и влияют на тип изменения конфи-
гурации при п р и м е н е н и и параметра объектом G P O . Когда пользователь или
компьютер больше не подпадает под область действия объекта G P O , конфи-
гурация автоматически в о з в р а щ а е т с я в исходное состояние. Например, если
удалить и л и о т к л ю ч и т ь объект G P O , запрещающий доступ к средствам редак-
тирования реестра, п о л ь з о в а т е л и получат доступ к средствам редактирования
реестра при с л е д у ю щ е м о б н о в л е н и и политики.
248 Инфраструктура групповой политики
Глава 6
Неуправляемые параметры политики вносят постоянные изменения в ре-
естр. Если объект GPO больше не применяется, изменение параметра остается
в реестре. Такое изменение называется татуировкой реестра. Чтобы отменить
результат применения параметра политики, нужно вернуть изменение, которое
возвращает конфигурацию в нужное состояние.
По умолчанию редактор G P M E скрывает неуправляемые параметры по-
литики, чтобы пользователь не внес случайно изменения, к о т о р ы е с л о ж н о
отменить. Тем не менее среди неуправляемых параметров политики есть много
довольно полезных параметров, в частности д л я настраиваемых администра-
тивных шаблонов, управляющих конфигурацией приложений. Д л я того что-
бы управлять видимостью параметров политики, следует щ е л к н у т ь правой
кнопкой мыши узел Административные шаблоны (Administrative Templates),
выполнить команду Параметры фильтра (Filter Options) и в р а с к р ы в а ю щ е м с я
списке Управляемый (Managed) выбрать нужную опцию.
Практические занятия. Реализация групповой политики
В предложенных далее упражнениях вы отконфигурируете домен contoso.com
с помощью групповой политики, создадите, отконфигурируете и определите
области действия для объектов групповой политики, а также примените новые
компоненты групповой политики в'Windows Server 2008.
Упражнеиие 1. Создание, редактирование и определение области д е й с т в и я
объекта групповой политики
Создайте объект GPO, который реализует параметр о б я з а т е л ь н о й п о л и т и -
ки безопасности Contoso, Ltd с областью действия д л я всех п о л ь з о в а т е л е й
и компьютеров в домене.
1. Войдите на машину SERVER01 как администратор.
2. В группе Администрирование (Administrative Tools) о т к р о й т е к о н с о л ь
Управление групповой политикой (Group Policy M a n a g e m e n t ) .
3. Разверните лес и домен contoso.com и откройте контейнер О б ъ е к т ы груп-
повой политики (Group Policy Objects).
4. В дереве консоли щелкните правой кнопкой м ы ш и к о н т е й н е р О б ъ е к т ы
групповой политики и выполните команду Создать (New).
5. В поле Имя (Name) введите имя CONTOSO Стандарты. Щ е л к н и т е О К .
6. Щелкните правой кнопкой мыши объект C O N T O S O Стандарты и выполни-
те команду Изменить (Edit). Откроется Редактор управления групповыми
политиками (Group Policy Management Editor).
7. В консоли щелкните правой кнопкой м ы ш и корневой узел C O N T O S O
Стандарты и выполните команду Свойства (Properties).
8. Перейдите на вкладку Комментарий ( C o m m e n t ) и введите к ом ме н т а р и й
«Стандарты корпоративных политик Contoso. Параметры влияют на всех
пользователей и компьютеры в домене. Ответственное лицо за объект GPO:
ваше имя». Щелкните ОК.
В этом сценарии корпоративная политика безопасности Contoso указывает,
что компьютеры нельзя оставлять без присмотра и входить на них после
Занятие 1
Реализация групповой политики 2 4 9
1 0 м и н . п р о с т о я . Д л я т о г о ч т о б ы в ы п о л н и т ь э т о т р е б о в а н и е , к о н ф и г у р и -
р у е т с я в р е м я о ж и д а н и я э к р а н н о й з а с т а в к и и п а р а м е т р ы п о л и т и к и пароля
з а щ и т ы э к р а н н о й з а с т а в к и . Д л я л о к а л и з а ц и и э т и х п а р а м е т р о в политики
п р и м е н я ю т с я н о в ы е п о и с к о в ы е в о з м о ж н о с т и W i n d o w s Server 2008.
9 . Р а з в е р н и т е у з е л К о н ф и г у р а ц и я п о л ь з о в а т е л я П о л и т и к и А д м и н и с т р а т и в н ы е
ш а б л о н ы ( U s e r C o n f i g u r a t i o n P o l i c i e s A d m i n i s t r a t i v e Templates).
10. П р о с м о т р и т е п а р а м е т р ы в э т о м у з л е . П р о ч и т а й т е о п и с а н и е интересующих
вас п а р а м е т р о в п о л и т и к и . Н е в н о с и т е и з м е н е н и я в к о н ф и г у р а ц и ю .
11. В у з л е К о н ф и г у р а ц и я п о л ь з о в а т е л я ( U s e r C o n f i g u r a t i o n ) щ е л к н и т е правой
к н о п к о й м ы ш и у з е л А д м и н и с т р а т и в н ы е ш а б л о н ы (Administrative Templates)
и в ы п о л н и т е к о м а н д у П а р а м е т р ы ф и л ь т р а ( F i l t e r O p t i o n s ) .
12. У с т а н о в и т е ф л а ж о к В к л ю ч и т ь ф и л ь т р ы п о к л ю ч е в ы м с л о в а м ( E n a b l e Key-
w o r d F i l t e r s ) .
13. В т е к с т о в о м п о л е Ф и л ь т р ы п о с л о в а м ( F i l t e r f o r W o r d ( s ) ) введите слова
экранная заставка.
14. В р а с к р ы в а ю щ е м с я с п и с к е в о з л е т е к с т о в о г о п о л я в ы б е р и т е опцию Точное
( E x a c t ) . Щ е л к н и т е О К .
П а р а м е т р ы п о л и т и к и а д м и н и с т р а т и в н ы х ш а б л о н о в б у д у т отфильтрованы
д л я о т о б р а ж е н и я п а р а м е т р о в со с л о в а м и экранная заставка.
15. П р о с м о т р и т е н а й д е н н ы е п о л и т и к и э к р а н н о й з а с т а в к и .
16. В у з л е П а н е л ь у п р а в л е н и я О к н о с в о й с т в э к р а н а ( C o n t r o l PanelDisplay)
щ е л к н и т е п а р а м е т р п о л и т и к и Т а й м а у т э к р а н н о й з а с т а в к и (Screen Saver
T i m e o u t ) . В л е в о й ч а с т и п а н е л и с в е д е н и й к о н с о л и о т о б р а з и т с я описание
п а р а м е т р а .
17. Д в а ж д ы щ е л к н и т е п а р а м е т р п о л и т и к и Т а й м а у т э к р а н н о й заставки (Screen
Saver T i m e o u t ) .
18. П р о с м о т р и т е о б ъ я с н е н и е н а в к л а д к е О б ъ я с н е н и е ( E x p l a i n ) .
19. П е р е й д и т е н а в к л а д к у п а р а м е т р ( S e t t i n g ) и в ы б е р и т е о п ц и ю Включен
( E n a b l e d ) .
20. В п о л е С е к у н д ы ( S e c o n d s ) в в е д и т е з н а ч е н и е 600.
21. Н а в к л а д к е К о м м е н т а р и й ( C o m m e n t ) в в е д и т е Корпоративная политика
безопасности реализована с помощью этой политики в комбинации с па-
рольной защитой экранной заставки». Щ е л к н и т е О К .
22. Д в а ж д ы щ е л к н и т е п а р а м е т р п о л и т и к и И с п о л ь з о в а т ь п а р о л ь н у ю защиту
д л я э к р а н н ы х з а с т а в о к ( P a s s w o r d P r o t e c t T h e S c r e e n S a v e r ) .
23. В ы б е р и т е о п ц и ю В к л ю ч и т ь ( E n a b l e d ) .
24. Н а в к л а д к е К о м м е н т а р и й ( C o m m e n t ) в в е д и т е « К о р п о р а т и в н а я политика
безопасности реализована с помощью этой политики в комбинации с поли-
тикой таймаута экранной заставкиЩелкните О К .
25. З а к р о й т е р е д а к т о р G P M E .
И з м е н е н и я , в н е с е н н ы е в G P M E , с о х р а н я ю т с я в р е а л ь н о м времени. Такая
команда, к а к С о х р а н и т ь ( S a v e ) , о т с у т с т в у е т .
250 Инфраструктура групповой политики
Глава 6
26. В консоли Управление групповой политикой ( G r o u p Policy Management)
щелкните правой кнопкой мыши домен contoso.com и выполните команду
Связать существующий объект G P O (Link An Existing G P O ) .
27. Выберите объект групповой политики CONTOSO Стандарты и щелкните ОК.
Упражнение 2. Просмотр результатов применения групповой политики
Проверьте результат применения параметра групповой политики, отконфигу-
рнрованного в упражнении 1, а также попрактикуйтесь в обновлении политики
вручную с помощью инструмента Gpupdate.exe.
1. На машине SERVER01 щелкните правой кнопкой м ы ш и р а б о ч и й стол
и выполните команду Персонализация (Personalize).
2. Щелкните ссылку Экранная заставка (Screen Saver).
3. Вы можете изменить время ожидания экранной заставки и ее отображение,
начиная с экрана входа в систему. Закройте диалоговое окно Параметры
экранной заставки (Screen Saver Settings).
4. Откройте окно командной строки и введите команду gpupdate.exe /force /
boot/logoff.
Эти опции команды Gpudate.exe указывают на полное обновление групповой
политики. Подождите, пока закончится обновление политик компьютера
и пользователя.
5. Вновь откройте диалоговое окно Параметры экранной з а с т а в к и (Screen
Saver Settings). Теперь вы не сможете изменить время о ж и д а н и я и отобра-
жение экранной заставки.
Упражнение 3. Обзор объекта групповой политики
Просмотрев результаты применения G P O , проанализируйте сам объект G P O ,
чтобы лучше понять принцип внутренней работы групповой п о л и т и к и .
1. В контейнере Объекты групповой политики (Group Policy Objects) консоли
Управление групповой политикой ( G r o u p Policy M a n a g e m e n t ) выберите
объект CONTOSO Стандарты.
2. В секции Связи (Links) вкладки Область (Scope) показаны связи G P O .
3. Перейдите на вкладку Параметры (Settings), чтобы просмотреть отчет о па-
раметрах в объекте GPO.
Если включена-конфигурация повышенной безопасности I n t e r n e t Explorer
(Internet Explorer Enhanced Security Configuration, E S C ) , подтвердите до-
бавление содержимого веб-узла about:security_mmc.exe в зону н а д е ж н ы х
узлов (Trusted Sites).
4. Щелкните ссылку Показать все (Show All) в верхней части отчета, чтобы
развернуть все секции отчета. Как видите, в отчет добавлены комментарии
к параметрам политики.
5. Наведите указатель мыши на имя политики Таймаут экранной заставки
(Screen Save Timeout). Как видите, оно представляет собой гиперссылку.
Щелкните ее, чтобы просмотреть объяснение данного параметра политики.
Занятие 1
Реализация групповой политики 251
6 Перейдите иа в к л а д к у Таблица (Details), где отображаются ваши коммен-
тарии к объекту G P O вместе с и н ф о р м а ц и е й о номерах версии GPO.
7. Запишите у н и к а л ь н ы й код ( U n i q u e I D ) , отображаемый на вкладке Таблица
(Details):
8. Откройте папку c o n t o s o . c o m S Y S V O L c o n t o s o . c o m P o l i c i e s .
9. Д в а ж д ы щ е л к н и т е п а п к у с и м е н е м , которое соответствует уникальному
коду объекта G P O .
Эта папка п р е д с т а в л я е т ш а б л о н G P T объекта G P O .
У п р а ж н е н и е 4 . А н а л и з а д м и н и с т р а т и в н ы х ш а б л о н о в
Административные ш а б л о н ы с о д е р ж а т и н с т р у к ц и и , с помощью которых ре-
дактор G P M E создает п о л ь з о в а т е л ь с к и й и н т е р ф е й с д л я настройки параметров
политики А д м и н и с т р а т и в н ы е ш а б л о н ы (Administrative Templates) и указания
изменений реестра, к о т о р ы е д о л ж н ы б ы т ь в н е с е н ы на основе параметров по-
литики. П р о а н а л и з и р у й т е а д м и н и с т р а т и в н ы й шаблон.
1. Откройте п а п к у % S y s t e m R o o t % P o l i c y D e f i n i t i o n s .
2. Откройте папку r u – R U д л я русского региона и языка.
3. Дважды щ е л к н и т е ф а й л ControlPanelDisplay.adml. Щелкните опцию Выбор
п р о г р а м м ы из с п и с к а у с т а н о в л е н н ы х п р о г р а м м (Select A Program From
A List Of Installed P r o g r a m s ) , а затем О К . Откройте ф а й л с помощью про-
граммы Б л о к н о т ( N o t e p a d ) и щ е л к н и т е О К .
4. В меню Ф о р м а т ( F o r m a t ) выберите параметр Перенос по словам (Word Wrap).
5. Выполните п о и с к т е к с т а ScreenSaverlsSecure.
6. Просмотрите метку п а р а м е т р о в и текст о б ъ я с н е н и я в следующей строке.
7. Закройте ф а й л и п е р е й д и т е к п а п к е PolicyDefinitions.
8. Дважды щелкните ф а й л ControlPanelDisplay.admx. Щелкните опцию Выбор
программы из списка установленных программ (Select A Program From A List
Of Installed Programs) и О К . Откройте ф а й л с помощью программы Блокнот
(Notepad) и щ е л к н и т е О К .
9. Найдите в ф а й л е п р и в е д е н н ы й н и ж е текст:
dlsplayName="$(string. ScreenSaverlsSecure)" explainText="$(string.Sc reenSaverlsSecu re_Help)" key="SoftwarePoliciesMicrosoftWindowsControl PanelDesktop" ' valueName="ScreenSaverIsSecure">
252 Инфраструктура групповой политики
Глава 6
10. Идентифицируйте следующие элементы в шаблоне:
• имя параметра политики, которое отображается в редакторе G P M E ;
• текст объяснения параметра политики;
• ключ реестра и значение, измененное параметром политики;
• данные, помещаемые в реестр в случае включения политики;
• данные, помещаемые в реестр в случае отключения политики.
Упражнение 5. Создание центрального хранилища
Создайте центральное хранилище административных шаблонов, для центра-
лизации управления шаблонами.
1. В консоли Управление групповой политикой (Group Policy M a n a g e m e n t )
щелкните правой кнопкой мыши объект групповой политики C O N T O S O
Стандарты и выполните команду Изменить (Edit).
2. Разверните узел Конфигурация пользователяПолитикиАдминистратив-
ные шаблоны (User ConfigurationPoliciesAdministrative Templates).
3. Отметьте: в имени узла указано, что Определения политик ( A D M X – ф а й -
лы) получены с локального компьютера (Policy Definitions ( A D M X Files)
Retrieved From The Local Machine).
4. Закройте Редактор GPME.
5. Откройте папку \contoso.comSYSVOLcontoso.comPolicies.
6. Создайте папку с именем Policy Definitions.
7. Скопируйте в созданную папку содержимое п а п к и % S y s t e m R o o t %
PolicyDefinitions.
8. В консоли Управление групповой политикой (Group Policy Management)
щелкните правой кнопкой мыши объект C O N T O S O Стандарты и выпол-
ните команду Изменить (Edit).
9. Разверните узел Конфигурация пользователяПолитикиАдминистратив-
ные шаблоны (User ConfigurationPoliciesAdministrative Templates).
10. Отметьте: в имени узла указано, что Определения политик ( A D M X – ф а й -
лы) получены с локального компьютера (Policy Definitions ( A D M X Files)
Retrieved From The Local Machine).
Резюме
« Объекты групповой политики (GPO) содержат параметры политики, ко-
торые определяют конфигурацию. Если областью действия объектов G P O
является сайт, домен или подразделение, к пользователям и компьютерам
в области действия GPO будут применены параметры политики G P O .
• Процессы на клиентских машинах Windows определяют объекты G P O ,
которые требуется загрузить и применить. Обработка групповой политики
компьютера выполняется при загрузке и каждые последующие 9 0 – 1 2 0 мин.,
Занятие 1
Реализация групповой политики 2 5 3
а о б р а б о т к а п а р а м е т р о в п о л и т и к и п о л ь з о в а т е л я в ы п о л н я е т с я п р и входе
и к а ж д ы е п о с л е д у ю щ и е 9 0 – 1 2 0 м и н .
• П о у м о л ч а н и ю к л и е н т с к и е р а с ш и р е н и я C S E п р и м е н я ю т п а р а м е т р ы только
в случае и з м е н е н и я G P O . И с к л ю ч е н и е с о с т а в л я ю т п а р а м е т р ы безопасности,
к о т о р ы е п р и м е н я ю т с я к а ж д ы е 1 6 ч а с о в н е з а в и с и м о о т и з м е н е н и я G P O .
К л и е н т с к и е р а с ш и р е н и я C S E м о ж н о к о н ф и г у р и р о в а т ь д л я п о в т о р н о г о
п р и м е н е н и я п а р а м е т р о в п р и к а ж д о м о б н о в л е н и и п о л и т и к и , а т а к ж е д л я
п р и м е н е н и я и л и о т к а з а о т и с п о л ь з о в а н и я п о л и т и к и п р и л о ж е н и я в случае
о б н а р у ж е н и я м е д л е н н о г о п о д к л ю ч е н и я .
• В г р у п п о в у ю п о л и т и к у W i n d o w s S e r v e r 2 0 0 8 в к л ю ч е н у з е л Н а с т р о й к а
( P r e f e r e n c e s ) , к о т о р ы й д о б а в л я е т б о л е е 2 0 к л и е н т с к и х р а с ш и р е н и й CSE
д л я у п р а в л е н и я о б ш и р н ы м к о л и ч е с т в о м п а р а м е т р о в п о л ь з о в а т е л я и л и
к о м п ь ю т е р а .
• А д м и н и с т р а т и в н ы е ш а б л о н ы ( ф а й л ы .adm, а т а к ж е . a d m x и .adml) опреде-
л я ю т п о л ь з о в а т е л ь с к и й и н т е р ф е й с и и з м е н е н и я р е е с т р а д л я параметров
п о л и т и к и в у з л е А д м и н и с т р а т и в н ы е ш а б л о н ы ( A d m i n i s t r a t i v e Templates)
объекта G P O .
• Управление а д м и н и с т р а т и в н ы м и ш а б л о н а м и м о ж н о ц е н т р а л и з о в а т ь путем
с о з д а н и я ц е н т р а л ь н о г о х р а н и л и щ а .
• В W i n d o w s S e r v e r 2 0 0 8 т а к ж е д о б а в л е н а в о з м о ж н о с т ь п р и к р е п л е н и я ком-
ментариев к о б ъ е к т а м G P O и п а р а м е т р а м п о л и т и к и , а также создания новых
объектов G P O н а о с н о в е н а ч а л ь н ы х о б ъ е к т о в групповой политики, которые
с о д е р ж а т о с н о в н ы е п а р а м е т р ы п о л и т и к и а д м и н и с т р а т и в н ы х шаблонов.
Закрепление материала
Далее с л е д у ю т в о п р о с ы д л я п р о в е р к и з н а н и й , п о л у ч е н н ы х н а з а н я т и и 1 . Эти
вопросы м о ж н о н а й т и и н а с о п р о в о д и т е л ь н о м к о м п а к т – д и с к е .
ПРИМЕЧАНИЕ Ответы
Ответы на вопросы с п о я с н е н и я м и , почему тот или иной вариант ответа является
правильным или н е п р а в и л ь н ы м , вы найдете в разделе «Ответы» в конце книги.
1 . К о м п а н и я L i t w a r e , I n c с о д е р ж и т т р и б и з н е с – с т р у к т у р ы , к а ж д а я и з которых
п р е д с т а в л е н а п о д р а з д е л е н и е м в д о м е н е litvvareinc.com. А д м и н и с т р а т о р а м
б и з н е с – с т р у к т у р н е о б х о д и м а в о з м о ж н о с т ь у п р а в л е н и я г р у п п о в о й полити-
кой п о л ь з о в а т е л е й и к о м п ь ю т е р о в в с в о и х п о д р а з д е л е н и я х . К а к и е действия
н у ж н о п р е д п р и н я т ь , ч т о б ы а д м и н и с т р а т о р ы м о г л и п о л н о с т ь ю у п р а в л я т ь
групповой п о л и т и к о й в с в о и х б и з н е с – с т р у к т у р а х ? ( У к а ж и т е все варианты.
К а ж д ы й п р а в и л ь н ы й о т в е т я в л я е т с я л и ш ь ч а с т ь ю п о л н о г о р е ш е н и я . )
А . С к о п и р о в а т ь а д м и н и с т р а т и в н ы е ш а б л о н ы и з ц е н т р а л ь н о г о х р а н и л и щ а
в п а п к у P o l i c y D e f i n i t i o n s н а р а б о ч и х с т а н ц и я х W i n d o w s V i s t a админис-
т р а т о р ш у
254
Инфраструктура групповой политики
Глава 6
Б. Добавить администраторов бизиес-структур в г р у п п у В л а д е л ь ц ы – со-
здатели групповой политики ( G r o u p Policy C r e a t o r O w n e r s ) .
В. Делегировать разрешение Связывание объектов G P O (Link G P O s ) адми-
нистраторам в домене litwareinc.com.
Г. Делегировать в подразделении б и з н е с – с т р у к т у р ы р а з р е ш е н и е С в я з ы -
вание объектов G P O (Link G P O s ) а д м и н и с т р а т о р а м к а ж д о й б и з н е с -
структуры.
2. Вы являетесь администратором компании Contoso, Ltd. Д о м е н c o n t o s o x o m
содержит дочерний домен es.contoso.com д л я ф и л и а л а в И с п а н и и . А д м и -
нистраторы этого домена просят предоставить им и н т е р ф е й с на и с п а н с к о м
языке для редактора управления г р у п п о в ы м и п о л и т и к а м и G P M E . К а к
предоставить такие версии административных ш а б л о н о в ?
A. Войти на контроллер домена es.contoso.com, з а т е м о т к р ы т ь п а п к у
% S y s t e m R o o t % S Y S V O L d o m a i n P o l i c i e s P o l i c y D e f i n i t i o n s и с к о п и -
ровать файлы ADM в папку ES.
Б. Скопировать файлы A D M L в п а п к у e s . c o n t o s o . c o m S Y S V O L
es.contoso.compoliciesPolicyDefinitionses.
B. Войти на контроллер домена es.contoso.com, открыть папку % S y s t e m R o o t %
S Y S V O L d o m a i n P o l i c i e s P o l i c y D e f i n i t i o n s и с к о п и р о в а т ь ф а й л ы
ADMX в папку ES.
Г. Установить файл Boot.win с к о м п а к т – д и с к а W i n d o w s S e r v e r 2 0 0 8 на
контроллере дочернего домена.
3. Вы работаете администратором в компании C o n t o s o L t d . На к о н ф е р е н ц и и
