Текст книги "Настройка Active Directory. Windows Server 2008"

Автор книги: Dan Holme

Соавторы: Danielle Ruest,Nelson Ruest
сообщить о нарушении

Текущая страница: 26 (всего у книги 91 страниц)

администратор компании Fabrikam, Inc п о п р о с и л с к о п и р о в а т ь п р е д с т а в -

ленную вами успешную конфигурацию, р а з в е р н у т у ю с п о м о щ ь ю о б ъ е к т а

GPO, в его домен. Каким образом в ы п о л н и т ь эту о п е р а ц и ю в м е с т е с а д м и -

нистраторами Fabrikam?

A. Щелкнуть правой кнопкой мыши объект г р у п п о в о й п о л и т и к и C o n t o s o

и выполнить команду Сохранить отчет (Save R e p o r t ) . С о з д а т ь о б ъ е к т

GPO в домене Fabrikam, щелкнуть его п р а в о й к н о п к о й м ы ш и и в ы п о л -

нить команду Импорт параметров ( I m p o r t ) .

Б. Щелкнуть правой кнопкой мыши объект г р у п п о в о й п о л и т и к и C o n t o s o

и выполнить команду Архивировать (Back U p ) . В д о м е н е F a b r i k a m щ е л -

кнуть правой кнопкой мыши контейнер О б ъ е к т ы г р у п п о в о й п о л и т и к и

(Group Policy Objects) и выполнить к о м а н д у В о с с т а н о в и т ь из а р х и в а

(Restore From Backup).

B. Щелкнуть правой кнопкой м ы ш и объект г р у п п о в о й п о л и т и к и C o n t o s o

и выполнить команду Архивировать ( B a c k U p ) . В д о м е н е F a b r i k a m

создать объект GPO, щелкнуть его правой к н о п к о й м ы ш и и в ы п о л н и т ь

команду Вставить (Paste).

Г. Щелкнуть правой кнопкой мыши объект г р у п п о в о й п о л и т и к и C o n t o s o

и выполнить команду Архивировать ( B a c k U p ) . В д о м е н е F a b r i k a m

создать объект GPO, щелкнуть его правой к н о п к о й м ы ш и и в ы п о л н и т ь

команду Импорт параметров (Import).

Занятие 2

Занятие 2. Управление областью действия

групповой политики

Сам по себе объект г р у п п о в о й п о л и т и к и – это всего л и ш ь коллекция инс-

трукций к о н ф и г у р а ц и и , о б р а б а т ы в а е м ы х к л и е н т с к и м и расширениями CSE

компьютеров. П о к а д л я объекта G P O не определена область действия, он не

будет применяться к п о л ь з о в а т е л я м и компьютерам. Область действия G P O

определяет компьютеры, C S E – р а с ш и р е н и я которых будут получать и обрабаты-

вать G P O , а параметры в этом G P O будут применяться только к пользователям

и компьютерам в области д е й с т в и я G P O . Д л я определения области действия

G P O используется н е с к о л ь к о механизмов:

• связь G P O с сайтом, д о м е н о м и л и подразделением и включение этой связи;

• опция П р и н у д и т е л ь н ы й ( E n f o r c e ) объекта G P O ;

• опция Б л о к и р о в а т ь н а с л е д о в а н и е (Block Inheritance) объекта GPO;

• фильтрация н а с л е д о в а н и я групп;

• фильтрация W M I ;

• включение и о т к л ю ч е н и е у з л а п о л и т и к и ;

• нацеливание н а с т р о й к и ;

• обработка з а м ы к а н и я п о л и т и к и .

Поскольку н е о б х о д и м о у м е т ь о п р е д е л я т ь пользователей и компьютеры,

для которых р а з в е р т ы в а е т с я к о н ф и г у р а ц и я , вы должны научиться работать

с областью д е й с т в и я G P O . На этом з а н я т и и мы рассмотрим все механизмы,

с помощью к о т о р ы х н а з н а ч а е т с я о б л а с т ь д е й с т в и я G P O , а также концепции

применения, н а с л е д о в а н и я и п р и о р и т е т о в групповой политики.

Изучив материал этого занятия, вы сможете:

S Управлять связями GPO.

Оценивать параметры наследования и приоритет GPO.

S Понимать принцип работы опций Блокировать наследование (Block Inheri-

tance) и Принудительный (Enforce).

Использовать фильтрацию безопасности для ограничения области действия

GPO.

S Применять фильтр W M I к объекту GPO.

Реализовывать обработку замыкания политики.

Продолжительность занятия – около 90 мин,

Связи объектов GPO

Объект G P O можно с в я з а т ь с одним и л и несколькими сайтами, доменами или

подразделениями Active Directory, после чего пользователи или компьютеры,

в этом контейнере, в к л ю ч а я к о м п ь ю т е р ы пользователей в дочерних подразде-

лениях, подпадают под область д е й с т в и я G P O .

Как уже г о в о р и л о с ь ранее, на з а н я т и и 1, объект G P O можно привязать

к домену или подразделению, щ е л к н у в его правой кнопкой мыши и выполнив

256 Инфраструктура групповой политики

Глава 6

команду Связать существующий объект G P O (Link An Existing G P O ) . Е с л и

вы еще не создали GPO, воспользуйтесь командой Создать объект G P O в этом

домене и связать его (Create A GPO In This Domain, And Link It Here): Э т и же

команды применяются для связывания G P O с сайтом, однако по у м о л ч а н и ю

сайты Active Directory не отображаются в редакторе G P M E . Вначале щ е л к н и -

те правой кнопкой мыши узел Сайты (Sites) и выполните команду Показать

сайты (Show Sites).

Объекты GPO, связанные с сайтами, и размещение контроллеров домена

Объект GPO, связанный с сайтом, влияет на все компьютеры в этом сайте неза-

висимо от домена, к которому принадлежат эти компьютеры (если все компью-

теры принадлежат одному лесу Active Directory). Поэтому объект GPO, связан-

ный с сайтом, можно применить к множеству доменов в лесу. Объекты GPO,

связанные с сайтами, хранятся на контроллерах в домене, где были созданы.

Поэтому для корректного применения объектов GPO, связанных с сайтом, долж-

ны быть доступны контроллеры этого домена. В случае реализации политик,

связанных с сайтами, нужно учесть их применение при планировании сетевой

инфраструктуры. Поместите контроллер домена объекта GPO в сайт, с которым

связывается политика, или обеспечьте доступ подключения WAN к контроллеру

домена, в котором был создан объект GPO.

При связывании объекта GPO с сайтом, доменом или подразделением опре-

деляется начальная область действия GPO. Выберите G P O и п е р е й д и т е на

вкладку Область (Scope), чтобы идентифицировать контейнеры, с к о т о р ы м и

связан объект GPO. На панели сведений консоли Управление групповой поли-

тикой (Group Policy Management Console, G P M C ) на вкладке Область ( S c o p e )

в первой секции отображаются связи G P O (рис. 6-6).

– Д

Д Ле

Л

е ce

–F

ceto

CONTOSO Сюкоортм

М

Ft

F Я

o К* j life** | Пл.-»–' | r»vf |

CUM

С CO си»» aaifouM ,w. w»*** и гораздо м»

• 1 Лр*«<в<ге1мм» 1 Се»к, «даелгтвмм | n*t>

– -4i Dt слпКяз сап/•лары

•! 1 .1

Рис. 6-6. Связи объекта GPO, отображаемые на вкладке Область (Scope) консоли GPMC

Влияние объекта GPO заключается в том, что клиент групповой п о л и т и к и

будет загружать GPO, если объекты компьютера или пользователя в к л ю ч е н ы в

область этой связи. Загружается только новый или обновленный объект G P O .

Для более эффективного обновления политики клиент групповой п о л и т и к и

кэширует объект GPO.

Связывание объекта GPO с множеством сайтов

Объект GPO можно связать с несколькими сайтами, доменами и л и подразделе-

ниями. Например, довольно часто конфигурация применяется к компьютерам в

нескольких подразделениях. Конфигурацию можно определить в одном объекте

Занятие 2

Управление областью действия групповой политики

257

G P O и связать этот G P O с к а ж д ы м подразделением. Изменения, внесенные

позже в G P O , будут п р и м е н е н ы ко всем подразделениям, с которыми связан

объект G P O .

Удаление и о т к л ю ч е н и е связи о б ъ е к т а G P O

После с в я з ы в а н и я объекта G P O э т а с в я з ь у к а з ы в а е т с я в консоли G P M C на

значке сайта, д о м е н а и л и п о д р а з д е л е н и я . С в я з ь G P O обозначена небольшой

стрелкой на значке. Щ е л ч к о м п р а в о й к н о п к о й м ы ш и связи G P O открывается

контекстное меню (рис. 6-7).

Рис. 6-7. Контекстное меню связи объекта GPO

С в я з ь G P O м о ж н о у д а л и т ь с п о м о щ ь ю к о м а н д ы Удалить (Delete) в кон-

текстном меню. П р и у д а л е н и и с в я з и G P O объект G P O не удаляется и остается

в контейнере О б ъ е к т ы г р у п п о в о й п о л и т и к и ( G r o u p Policy Objects). Удаление

связи изменяет область д е й с т в и я о б ъ е к т а G P O , к о т о р ы й больше не применя-

ется к к о м п ь ю т е р а м и п о л ь з о в а т е л я м в н у т р и узла, домена или подразделения,

с которым б ы л р а н ь ш е связан.

Д л я того чтобы о т к л ю ч и т ь с в я з ь G P O , щ е л к н и т е ее правой кнопкой мыши

и сбросьте ф л а ж о к С в я з ь в к л ю ч е н а ( L i n k E n a b l e d ) . После этого изменится

область д е й с т в и я объекта G P O , к о т о р ы й б о л ь ш е не будет применяться к ком-

пьютерам и п о л ь з о в а т е л я м в н у т р и контейнера. Следует отметить, что эту связь

можно в к л ю ч и т ь повторно.

Наследование и приоритеты объектов GPO

Объекты G P O , в к о т о р ы х о т к о н ф и г у р и р о в а н один и тот же параметр полити-

ки, могут к о н ф л и к т о в а т ь д р у г с другом. Н а п р и м е р , если параметр политики

включен в одном G P O , о т к л ю ч е н в д р у г о м и не задан в третьем, то приоритет

объектов G P O определяет, какой параметр политики будет применен к клиенту.

Объект G P O с более в ы с о к и м п р и о р и т е т о м превалирует над объектом G P O с

более н и з к и м п р и о р и т е т о м . П р и о р и т е т отображается в консоли G P M C в виде

номера: чем меньше его значение, тем в ы ш е приоритет, так что G P O с порядком

1 превалирует над д р у г и м и объектами G P O . Чтобы определить приоритет каж-

дого G P O , выберите д о м е и и л и подразделение, а затем перейдите на вкладку

Наследование г р у п п о в о й п о л и т и к и ( G r o u p Policy Inheritance).

258 Инфраструктура групповой политики

Глава 6

Если в GPO с более высоким приоритетом параметр политики включен

или отключен, отконфигурированный параметр будет применен к клиенту.

Однако не забывайте, что по умолчанию параметры политики не заданы (Not

Configured). Если в GPO с более высоким приоритетом параметр п о л и т и к и не

задан, будет применен параметр политики (включенный и л и о т к л ю ч е н н ы й )

в GPO с более низким приоритетом.

С сайтом, доменом или подразделением можно связать множество объек-

тов GPO. В таком сценарии объекты G P O с более высоким порядком с с ы л о к

имеют приоритет перед объектами G P O с более низким порядком ссылок. П р и

выборе подразделения в консоли GPMC вкладка Связанные объекты групповой

политики (Linked Group Policy Objects) отображает порядок с с ы л о к объектов

GPO, связанных с подразделением.

Поведение групповой политики по умолчанию заключается в том, что этот

GPO связывается контейнером более высокого уровня и наследуется дочер-

ними контейнерами. При запуске компьютера или входе п о л ь з о в а т е л я к л и е н т

групповой политики анализирует размещение объекта компьютера и л и поль-

зователя в Active Directory и оценивает объекты G P O , в область д е й с т в и я

которых включен компьютер или пользователь. Затем расширения к л и е н т с к о й

стороны применяют параметры политики из этих объектов G P O . П о л и т и к и

применяются последовательно: связанные с сайтом, затем с доменом и, наконец,

связанные с подразделениями (от подразделения первого у р о в н я до подразде-

ления, в котором расположен объект пользователя и л и компьютера). В т а к о й

многослойной схеме приложения параметров политики объект G P O с более

высоким приоритетом позже заменит параметры, п р и м е н я в ш и е с я ранее. Э т о т

порядок применения политик по умолчанию продемонстрирован на рис. 6-8.

СОВЕТ К ЭКЗАМЕНУ

Запомните порядок обработки политик домена по умолчанию: сайт, домен, подраз-

деление. Помните, что параметры политики домена применяются позже и, следова-

тельно, превалируют над параметрами в локальных объектах GPO.

Результатом такого последовательного применения объектов G P O я в л я е т -

ся наследование политики. Результирующим набором групповых п о л и т и к д л я

пользователя или компьютера будет к у м у л я т и в н ы й р е з у л ь т а т п р и м е н е н и я

политики сайта, домена и подразделения.

По умолчанию унаследованные объекты G P O обладают более н и з к и м при-

оритетом, чем объекты GPO, непосредственно связанные с контейнером. В ка-

честве упражнения отконфигурируйте параметр политики, чтобы о т к л ю ч и т ь

использование средств редактирования реестра всеми пользователями в домене,

настроив этот параметр политики в объекте G P O , связанном с доменом. Этот

GPO и его параметры политики будут наследоваться всёмй п о л ь з о в а т е л я м и

в домене. Однако администраторам может потребоваться использовать средс-

тва редактирования реестра, поэтому к подразделению с у ч е т н ы м и з а п и с я м и

администраторов можно привязать G P O и отконфигурировать параметр поли-

тики, разрешающий использовать средства редактирования реестра. Поскольку

объект GPO, связанный с подразделениями администраторов, обладает более

Занятие 2

Управление областью действия групповой политики

2 5 9

высоким п р и о р и т е т о м , ч е м у н а с л е д о в а н н ы й о б ъ е к т G P O , а д м и н и с т р а т о р ы

смогут и с п о л ь з о в а т ь с р е д с т в а р е д а к т и р о в а н и я р е е с т р а . П р и м е р т а к о й конфи-

гурации п о к а з а н н а р и с . 6 – 9 .

Порядок обработки объектов GPO для подразделения подрядчиков = 1, 2,3,4, 5

Порядок обработки объектов GPO для подразделения ноутбуков = 1,2, 6,7

Рис. 6-8. Обработка объектов GPO, привязанных к сайту, домену и подразделению

У г р а в л е н « е г з з у г т ю в о й

й п о л и т и к о м

А д л и к и с т р о т о р ы

i ^

^ Л е с a j f i t c s o . c a n

С п я И и н о г е « з ъ е к т ы г р , т ю с в о й г к > л * т и « л Н а с л е д о в а н » * т р у т о в о й г ю л м м J j

3 c n n t o s o . c o m

Э т о т с л и с с к м в z c & p j a n а « ъ е * т с в т т ю с в о й п о г и т и < и г р и а я а а » » * . » * c a # T 4 w Оопапъпгыь* с а « !

'.][ C O N T O S O

O С т а н д а р т ы

Ш

Ш D e f a d t D o m a i n

n P o k y

3 3 3 § } D a n l n

n C o n t r o l l e r s

П р и о р и т е т * | G P O | P a j M * 4 * v « | C W T J * 1

s

£ 1 Ш

Ш G r c t p s

1 К о р п о р а т и в н а я г ю п т ж з д л я а ® * » » « с т р а т с р о о А л – » * » < т р в т е с ы Ь с ю н I

it; kfc; T e s t

2 D e f » j i D o m a n ? о 4 с у Д д ч » « « с т > з г с 4 ы В к м н 1

Й

Й i ' i i T e s t l

> ' w 3 O O N T O S O С т а н д а р т ы Д д г * * « с т р а т о р ы Ь * я о – . |

. А а ш « н с т р а т о р ы

3D

D м. К а д р ы

1

Я

Я { f t . Ю м е и т ы

3 Ш

Ш С е р в е р ы

Рис. 6-9. Вкладка наследования групповой политики

Параметр п о л и т и к и , о г р а н и ч и в а ю щ и й и с п о л ь з о в а н и е средств редактирова-

ния реестра, о п р е д е л е н в о б ъ е к т е г р у п п о в о й п о л и т и к и C O N T O S O Стандарты,

связанном с д о м е н о м c o n t o s o . c o m . В G P O К о р п о р а т и в н а я п о л и т и к а д л я ад-

министраторов п а р а м е т р п о л и т и к и р а з р е ш а е т и с п о л ь з о в а н и е средств редак-

тирования р е е с т р а . О б ъ е к т G P O а д м и н и с т р а т о р о в с в я з а н с подразделением

Администраторы. П р и в ы б о р е п о д р а з д е л е н и я , к а к , н а п р и м е р , Администраторы,

н а панели с в е д е н и й к о н с о л и G P M C о т о б р а ж а е т с я в к л а д к а Н а с л е д о в а н и е груп-

повой п о л и т и к и ( G r o u p P o l i c y I n h e r i t a n c e ) , о п р е д е л я ю щ а я п р и о р и т е т G P O для

этого п о д р а з д е л е н и я . К а к в и д и т е , с а м ы м в ы с о к и м п р и о р и т е т о м обладает G P O

260 Инфраструктура групповой политики

Глава 6

Корпоративная политика для администраторов. Все параметры в этом G P O ,

которые конфликтуют с параметрами в объекте групповой политики C O N T O S O

Стандарты, будут применены из объекта G P O администраторов. Поэтому

средства редактирования реестра смогут применять только пользователи в

подразделении Администраторы. Итак, приоритет по умолчанию гарантирует

применение политики, определенной ближе всего к пользователю или ком-

пьютеру.

Приоритет множества связанных объектов групповой политики

С подразделением, доменом или сайтом связывается множество объектов G P O .

В случае с множеством объектов групповой политики приоритет определяется

порядком ссылок. На рис. 6-10 с подразделением Кадры связаны два объекта

GPO. Объект с порядком ссылок 1 обладает более высоким приоритетом. Поэ-

тому параметры, включенные или отключенные в объекте G P O Конфигурация

опытных пользователей, будут иметь приоритет и заменят те же параметры

в объекте GPO Конфигурация стандартных пользователей.

Кедры

Ce«M~»«o3w-,wrpF*wsa*no™nw, j Ногми«л«е fp,moeofl roiwr»»., j Пегигсовэнж: j

СОПЫО.ОП

П

а

д

я

д

ж vt

I GPO

| j Сдаз

. ' С О К П Ж К т ж и * , ,

gjf Нет

' Wait Dow Рок)

Клттмия стодлрта» по/ъэоаат

• . №awi C c w o l c i

I £ Те*

. Test I

• . UMOUW,

в Cow»

• ; Объел ci гр>тжн

• r е>№й» «Hi

Рис. 6-10. Порядок ссылок объектов групповой политики

Блокирование наследования

Для того чтобы запретить наследование параметров политики, в редакторе

GPME щелкните домен правой кнопкой мыши и выполните команду Б л о к и -

ровать наследование (Block Inheritance). Эта опция является свойством домена

или подразделения и блокирует все параметры групповой политики из объектов

GPO, связанных с родителями в иерархии групповой политики. Например,

при блокировании наследования в подразделении применение объектов G P O

начинается с объектов GPO, непосредственно связанных с этим подразделе-

нием, а объекты GPO, связанные с подразделениями более высоких уровней,

доменом и сайтом, не применяются.

Блокирование рекомендуется использовать лишь изредка, поскольку оно

усложняет оценку приоритетов и наследования групповой политики. В разделе

«Модификация области GPO с помощью фильтров безопасности» описано,

как определить область действия GPO, чтобы она охватывала только поднабор

объектов или не применялась к нему. Кроме того, можно четко определить

область действия GPO, чтобы объект применялся только к конкретным поль-

зователям и компьютерам без необходимости в блокировании наследования.

Занятие 2 Управление областью действия групповой политики 261

Принудительное в к л ю ч е н и е связи G P O

Связь объекта G P O можно включить принудительно. Щелкните правой кнопкой

мыши связь G P O и в к о н т е к с т н о м меню (см. рис. 6-7) выберите команду При-

нудительный (Enforced). Е с л и в к л ю ч и т ь принудительную связь GPO, объект

получит наивысший приоритет, а п а р а м е т р ы п о л и т и к и в данном G P O будут

превалировать над всеми к о н ф л и к т у ю щ и м и параметрами из других объектов

GPO. Кроме того, п р и н у д и т е л ь н о в к л ю ч е н н а я связь будет применена ко всем

дочерним контейнерам, д а ж е если д л я них задано блокирование наследования.

В случае принудительного в к л ю ч е н и я с в я з и политика применяется ко всем

объектам в области д е й с т в и я . Таким образом, принудительные политики заме-

няют все к о н ф л и к т у ю щ и е п о л и т и к и и п р и м е н я ю т с я независимо от параметров

блокирования наследования.

На рис. 6-11 б л о к и р о в а н и е н а с л е д о в а н и я п о л и т и к и применено к подразде-

лению Клиенты ( C l i e n t s ) . В результате объект G P O 1, применяемый к сайту,

блокируется и не п р и м е н я е т с я к п о д р а з д е л е н и ю Клиенты (Clients), а объект

GPO 2, принудительно с в я з а н н ы й с доменом, применяется по-прежнему, да еще

и последним в п о р я д к е о б р а б о т к и , то есть его параметры заменят параметры

объектов G P O 6 и 7.

Порядок обработки объектов GPO для подразделения подрядчиков = 1,3,4, 5,2

Порядок обработки объектов GPO для подразделения ноутбуков = 6,7, 2

Рис. 6-11. Обработка политики с блокированием наследования

и принудительным включением

При настройке G P O , к о т о р ы й определяет конфигурацию, диктуемую кор-

поративной безопасностью IT и п о л и т и к а м и использования, необходимо бьггь

уверенным, что параметры не будут заменены параметрами из других объектов

262 Инфраструктура групповой политики

Глава 6

GPO. Для этого можно включить принудительную связь объекта G P O . На

рис. 6-12 показан именно такой сценарии. Конфигурация, диктуемая корпора-

тивной политикой, развертывается в объекте групповой политики C O N T O S O

Корпоративная безопасность и использование, который принудительно связан с

доменом contoso.com. Эта связь GPO помечена значком в виде висячего замка,

который обозначает принудительное включение связи. На вкладке Наследо-

вание групповой политики (Group Policy Inheritance) подразделения Кадры

указано, что этот объект GPO обладает более высоким приоритетом, чем даже

объекты GPO, непосредственно привязанные к подразделению Кадры.

Рис. 6-12. Приоритет обьекта GPO с принудительной связью

Чтобы оценить приоритет GPO, выберите п о д р а з д е л е н и е ( и л и д о м е н )

н перейдите на вкладку Наследование групповой политики ( G r o u p Policy In-

heritance), где отображается результирующий приоритет объектов G P O , связи

GPO, порядок ссылок, блокирование наследования и принудительное включе-

ние связей. Здесь не перечислены политики, связанные с сайтом, и не указана

фильтрация безопасности и WMI объекта GPO.

СОВЕТ К ЭКЗАМЕНУ

Хотя опции блокирования наследования и принудительного включения связей ре-

комендуется использовать в инфраструктуре групповой политики только по мере

крайней необходимости, на сертификационном экзамене 70-640 от вас потребуется

доскональное знание обеих опций.

Модификация области действия GPO

с помощью фильтров безопасности

Итак, вы уже знаете, как связать объект G P O с сайтом, доменом и л и подраз-

делением. Однако вам может потребоваться применять объекты G P O только

к определенным группам пользователей или компьютеров в области действия

GPO. Хотя объект GPO нельзя непосредственно связать с группой безопаснос-

ти, существует метод применения G P O к конкретным группам безопасности.

Политики в объекте GPO применяются только к пользователям с разреше-

ниями чтения (Allow Read) и применения групповой политики (Allow Apply

Group Policy) к GPO.

Занятие 2 Управление областью действия групповой политики 2 6 3

Каждый объект G P O располагает списком контроля доступа ACL (Access

Control List), который определяет разрешения доступа к G P O . Д л я применения

GPO к пользователю и л и компьютеру требуются два разрешения: чтение (Allow

Read) и применение групповой п о л и т и к и (Allow Apply Group Policy). Если под

область действия G P O подпадает компьютер, как в случае связывания G P O с

подразделением компьютера, однако этот компьютер не обладает разрешениями

на чтение и применение г р у п п о в о й п о л и т и к и , он не будет загружать и приме-

нять объект G P O . Поэтому, о т к о н ф и г у р и р о в а в соответствующие разрешения

для групп безопасности, вы сможете ф и л ь т р о в а т ь G P O , чтобы его параметры

применялись только к у к а з а н н ы м к о м п ь ю т е р а м и пользователям.

По умолчанию группа П р о ш е д ш и е проверку (Authenticated Users) обладает

правом применения г р у п п о в о й п о л и т и к и в каждом новом G P O . Это означает,

что по умолчанию все п о л ь з о в а т е л и и к о м п ь ю т е р ы подпадают под область

действия набора объектов G P O своего домена, сайта или подразделения неза-

висимо от других групп, ч л е н а м и к о т о р ы х они могут быть. Поэтому существует

два способа ф и л ь т р а ц и и о б л а с т и д е й с т в и я G P O .

• Удалите разрешение П р и м е н и т ь групповую политику (Apply Group Policy)

для этих групп, установив д л я р а з р е ш е н и я ф л а ж о к Запретить (Deny). Затем

определите группы, к к о т о р ы м н у ж н о п р и м е н и т ь объект G P O и назначить

разрешения на ч т е н и е и п р и м е н е н и е групповой политики для этих групп,

установив ф л а ж к и Р а з р е ш и т ь (Allow).

• Определите группы, к к о т о р ы м не д о л ж е н применяться объект GPO, и для

этих групп н а п р о т и в р а з р е ш е н и я П р и м е н и т ь групповую политику (Apply

Group Policy) у с т а н о в и т е ф л а ж о к З а п р е т и т ь (Deny). После этого пользо-

ватель или компьютер не будет п р и м е н я т ь параметры политики GPO, даже

если п о л ь з о в а т е л ь и л и к о м п ь ю т е р я в л я е т с я членом еще одной группы,

которой разрешено п р и м е н я т ь г р у п п о в у ю политику.

Фильтрация G P O для п р и м е н е н и я к к о н к р е т н ы м группам

Чтобы применить объект G P O к к о н к р е т н о й группе безопасности, выберите

GPO в контейнере О б ъ е к т ы г р у п п о в о й п о л и т и к и (Group Policy Objects) кон-

соли управления групповой п о л и т и к о й G P M C . В секции Фильтры безопаснос-

ти (Security Filtering) в ы б е р и т е группу П р о ш е д ш и е проверку (Authenticated

Users) и щелкните к н о п к у Удалить ( R e m o v e ) . Ч т о б ы подтвердить изменение,

щелкните ОК, а затем к н о п к у Д о б а в и т ь ( A d d ) . Выберите группу, к которой хо-

тите применить политику, и щ е л к н и т е О К . Таким образом, группа Прошедшие

проверку (Authenticated Users) не будет указана, зато будет указана конкретная

группа, к которой следует п р и м е н и т ь п о л и т и к у (рис. 6-13).

ПРИМЕЧАНИЕ Использование глобальных групп безопасности

для фильтрации объектов GPO

Объекты GPO можно фильтровать только с помощью глобальных групп безопас-

ности. Локальные группы безопасности в домене нельзя применять для фильтра-

ции GPO.

2 6 4 Инфраструктура групповой политики

Глава 6

• и п в к т – ' -

– Искать Деллвие Вчл &»«

Справка

• * В !Е'г

jh Ут**вле^« грутэеои noiwrv»-^

Конфигурация опытных п о л ь з о в а т е л е й

В ф: £o*et*«

Область | Твбпли | Параметры | Делег*«е <*«е |

В ф: £o*et*«

Связи

Е f

Е

i arteec . com

CONTOSO

CONTOS Кос»**

O

СОГГТВОСтапД

,/ ОеЫЮопапРс

С GPQ свихл-ч* спвц^едцив уам. И

Размещение ' | Лрж -, яите »ънкЛ Связь задействована

П/ть

SC Graxs

Я Кадры Нет

Да

cortow .

• „ Адммораторь

<1 1 н

Е л. ta ££ы

«Ьиыры беэопясмосщ

Гаозметы GPO метут лстеивгьс* только к группам

ям и ,

к пэ:

омпь ъзова

ютерам .

тел

£ .3 ; KlWOfTB

Им » – |

it „. Сесвкы

Е „•/ Обьехтъ групто

£f Томнчвска » посдерхка CONTOSOTej»w«KxaR поддержка )

' CONTOSO Ко

' CONTOSO Ст :

' OFAUFLDOMA

Добавиъ

геЫлОатл

| Удели п> | Свойства j

Кои$мгур*>

Кэ^гурЛ*

Объект GPO CBJUSH сз 0!«д>'К>л»»'фигьтэом WMI .

Корпсрвтиим

Корпсрвтии

Новей обьес»

| отсутствуем jJ , Of Ш 1

<1 1 >1

Рис. 6-13. Фильтры безопасности объекта групповой политики

Исключение конкретных групп с помощью фильтрации GPO

К сожалению, иа вкладке Область (Scope) объекта G P O нельзя исключать

конкретные группы. Чтобы запретить разрешение Применить групповую поли-

тику (Apply Group Policy), перейдите на вкладку Делегирование (Delegation)

и щелкните кнопку Дополнительно (Advanced). В диалоговом окне Параметры

безопасности (Security Settings) щелкните Добавить (Add), выберите группу,

которую хотите исключить из GPO, и щелкните ОК. Выбранная группа по

умолчанию получит разрешение чтения (Allow Read). Сбросьте этот флажок

и напротив разрешения Применить групповую политику (Apply Group Policy)

установите флажок Запретить (Deny). На рис. 6-14 запрещено разрешение

Применить групповую политику (Apply Group Policy) для группы Техническая

поддержка, которая таким образом исключается из области действия G P O .

Когда вы щелкните ОК в диалоговом окне Параметры безопасности (Se-

curity Settings), отобразится предупреждение о том, что заданный элемент

запрета имеет более высокий приоритет, чем элементы разрешения (поэтому

использовать элементы запрета рекомендуется только по мере крайней необ-

ходимости). Таким образом система Microsoft Windows напоминает, что про-

цесс исключения групп с помощью элемента запрета применения групповой

политики является более трудоемким, чем включение групп в секцию Фильтры

безопасности (Security Filtering) на вкладке Область (Scope).

ПРИМЕЧАНИЕ Элементы запрета разрешения не отображаются на вкладке Область

К сожалению, исключенные группы не отображаются в секции Фильтры безопас-

ности (Security Filtering) на вкладке Область (Scope). Это еще одна причина, по

которой элемент запрета (Deny) рекомендуется использовать как можно реже.

Занятие 2

Управление областью действия групповой политики

2 6 5

' *1

безопасность |

Группы или пользователи:

СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ

Прошедшие гроаерку

ft SYSTEM • _ Д

% Термическая поддержка f:ONTOSOTa>m«cKaa now

jU. Администраторы домена ? Х Ы Т 0 5 0 ' А и ^ м н и с т р а т о р ы T j

iJ I ± Г

Рзгрешення див Тоническая

подкржха

Раэреимтъ Запретить

Запись

•

•

Создать все дочерние объекты

•

•

Удалить все дочерние объекты

•

•

Применить групповую политику

•

и

Особые разрешения

•

•

Чтсбы зэаатъ особые разреи»*ия и|*1

параметр, нажмите "£Ъполмитегъмо'

Подробнее ой утравлении даст,лом i-i pa

Отмена

Пршетть

Рис. 6-14. Исключение группы из области действия объекта GPO

путем запрета применения групповой политики

Фильтры WMI

Инструментарий у п р а в л е н и я W i n d o w s ( W i n d o w s M a n a g e m e n t Instrumentation,

W M I ) п р е д с т а в л я е т с о б о й т е х н о л о г и ю и н ф р а с т р у к т у р ы управления, позволяю-

щую а д м и н и с т р а т о р а м о т с л е ж и в а т ь и к о н т р о л и р о в а т ь у п р а в л я е м ы е объекты в

сети. Запрос W M I м о ж е т ф и л ь т р о в а т ь с и с т е м ы н а основе характеристик, вклю-

чая объем о п е р а т и в н о й п а м я т и , ч а с т о т у п р о ц е с с о р а , е м к о с т ь диска, IP-адрес,

версию о п е р а ц и о н н о й с и с т е м ы , а т а к ж е у р о в е н ь п а к е т о в обновлений, установ-

ленные п р и л о ж е н и я и с в о й с т в а п р и н т е р о в . П о с к о л ь к у W M I отображает прак-

тически к а ж д о е с в о й с т в о к а ж д о г о о б ъ е к т а н а к о м п ь ю т е р е , с п и с о к атрибутов,

которые м о ж н о и с п о л ь з о в а т ь в з а п р о с е W M I , п р а к т и ч е с к и н е ограничен.

З а п р о с W M I п о з в о л я е т с о з д а т ь ф и л ь т р W M I , с п о м о щ ь ю которого мож-

н о ф и л ь т р о в а т ь о б ъ е к т G P O . П р и н ц и п ф и л ь т р а W M I п р о щ е всего п о н я т ь с

помощью п р и м е р о в . Г р у п п о в а я п о л и т и к а и с п о л ь з у е т с я д л я р а з в е р т ы в а н и я

программного о б е с п е ч е н и я и п а к е т о в о б н о в л е н и й , к а к о п и с а н о в главе 7. Д л я

развертывания п р и л о ж е н и я вы м о ж е т е с о з д а т ь о б ъ е к т G P O , а затем с помо-

щью фильтра W M I у к а з а т ь п о л и т и к у , к о т о р а я д о л ж н а п р и м е н я т ь с я только к