355 500 произведений, 25 200 авторов.

Электронная библиотека книг » Dan Holme » Настройка Active Directory. Windows Server 2008 » Текст книги (страница 27)
Настройка Active Directory. Windows Server 2008
  • Текст добавлен: 8 октября 2016, 16:34

Текст книги "Настройка Active Directory. Windows Server 2008"


Автор книги: Dan Holme


Соавторы: Danielle Ruest,Nelson Ruest

Жанр:

   

ОС и Сети


сообщить о нарушении

Текущая страница: 27 (всего у книги 91 страниц)

компьютерам с о п р е д е л е н н о й о п е р а ц и о н н о й с и с т е м о й и п а к е т о м обновлений

(например, W i n d o w s Х Р S P 3 ) . Д а л е е п р и в е д е н п р и м е р запроса W M I д л я иден-

тификации т а к и х с и с т е м :

Select * FROM Win32_0peratingSystem WHERE Caption="Microsoft

Windows XP Professional" AND CSDVersion="Service Pack 3"

Когда к л и е н т г р у п п о в о й п о л и т и к и о ц е н и в а е т з а г р у ж е н н ы е объекты G P O ,

чтобы о п р е д е л и т ь , к а к и е и з н и х н у ж н о о б р а б о т а т ь с п о м о щ ь ю к л и е н т с к и х

расширений C S E , о н в ы п о л н я е т з а п р о с в л о к а л ь н о й с и с т е м е . Е с л и система

Юзак.3399

2 6 6 Инфраструктура групповой политики

Глава 6

соответствует критерию запроса, то результатом будет л о г и ч е с к о е з н а ч е н и е

True и расширение CSE выполнит обработку G P O .

Инструментарий W M I извлекает пространства имен, где есть к л а с с ы , ко-

торые можно запрашивать. Многие полезные классы, включая Win32 _Operating

System, находятся в классе rootCIMv2.

Чтобы создать фильтр W M I , в консоли у п р а в л е н и я г р у п п о в о й п о л и т и к о й

GPMC щелкните правой кнопкой мыши узел Ф и л ь т р ы W M I ( W M I F i l t e r s ) и

выполните команду Создать (New). Введите имя и о п и с а н и е д л я ф и л ь т р а , а за-

тем щелкните кнопку Добавить (Add). В поле Пространство и м е н ( N a m e s p a c e )

укажите именное пространство для запроса. В поле З а п р о с ( Q u e r y ) в в е д и т е

запрос п щелкните ОК.

Чтобы фильтровать G P O с помощью фильтра W M I , о т к р о й т е в к л а д к у О б -

ласть (Scope) объекта GPO, щелкните раскрывающийся с п и с о к ф и л ь т р о в W M I

и выберите фильтр WMI. Объект G P O фильтруется л и ш ь с п о м о щ ь ю одного

фильтра WMI, однако он может содержать к о м п л е к с н ы й з а п р о с с м н о ж е с т -

венным критерием. Таким образом, с одним или н е с к о л ь к и м и о б ъ е к т а м и G P O

можно связать один фильтр W M I . Вкладка (General) ф и л ь т р а W M I ( р и с . 6 – 1 5 )

отображает объекты GPO, использующие ф и л ь т р W M I .

а Кенам» Действ* Ы& Осн> Слрмк« j

W i n d o w s Х Р S P 2

Лес.

Лес con

co ton cm

n

Овщхв | Оемгиосоан* |

fVn>

, •

, )

• CC

C N

C T

N O

T S

O O

S Корпорвпвид

O

я

Корпорвпвид бснхмоос

я

п й ж * * * ' Изменил., |

A?

A

? CO

C N

O T

N C

T S

C O

S Стандарт

O

ы

Стандарт

>v' C*f»Jt

C*f»J Domari

Domar РЫсу

РЫс

К i

К l D

o

D m

o *

m »

* i

» Corbcierj

Просгрвистзо имвч | Запрос j j

£ m

£

j Gro«*

Gro«

•с–» С м . ; 5* «С! – " C M VAHEFS

ffi :

AJ

A Tel

CsjfcCA-'MicroscftV^ndc*? X? P»cfewic<«aT ДШ

ffi X T«t

X

l

. SCCv'treioo" Servie» Рас* 3* |

ft Аопморлгоои

£ Кадр

£

ы

Кадр

Объемы GPO. ж п о г ь э я о ш и о « м л ы р WMI

ffi

ff '<&

'< Сервер

&

ы

Сервер

С Фипыром V/MI cBSi^ioi елвдющм объекты GPO

It , О б ъ я т ы группово

ы

й

группово попит

й

а

GPO • 1

, tw/wrpw

tw/wrp

w WM

W 1

M

Программное оСвсг«ч»ме

f

Г

А Д

Г О

Д А

О *

А V

* SP

V

2

SP

Е Hs^vwt

Е

объекты

объект группово

ы

м

группово П

О

П Л

О Н

Л И

Н

ffi .'jj Ойть>

Ойть

•г, Моаеарова»

•г,

« груглсвои

груглсво mnawa

Pej»*iaiM груттовон

груттово полт»;

н

я

<1

< 1 >1

г " ~ " " ' Г" ! * J

Рис. 6-15. Фильтр WMI

Следует отметить три важных нюанса, с в я з а н н ы х с и с п о л ь з о в а н и е м ф и л ь -

тров W M I . Во-первых, нужно хорошо знать синтаксис W Q L з а п р о с о в W M I .

С помощью ключевых слов WMI filter и WMI query в И н т е р н е т е м о ж н о н а й т и

много примеров с описаниями запросов.

Занятие 2

Управление областью действия групповой политики 2 6 7

К СВЕДЕНИЮ Примеры фильтров WMI

Примеры фильтров W M I м о ж н о н а й т и по адресу http://technet2.microsoft.com/

Wind0wsserver/en/library/a16cffa4-83b3-430b-b826-9bf81c0d39a71033.mspx?mfr-true.

Набор средств разработки программного обеспечения S D K для Инструментария

управления Windows ( W M I ) находится по адресу http://msdn2.microsoft.com/en-us/

library/aa394582.aspx.

Во-вторых, п р и и с п о л ь з о в а н и и ф и л ь т р о в W M I м о ж е т с н и з и т ь с я скорость

обработки г р у п п о в о й п о л и т и к и . П о с к о л ь к у к л и е н т г р у п п о в о й п о л и т и к и дол-

жен при о ч е р е д н о й о б р а б о т к е п о л и т и к и в ы п о л н я т ь з а п р о с W M I , к а ж д ы е

90-120 мин п р о и з в о д и т е л ь н о с т ь с и с т е м ы с н и ж а е т с я . С у ч е т о м производитель-

ности с о в р е м е н н ы х к о м п ь ю т е р о в э т о в л и я н и е м о ж е т б ы т ь н е з н а ч и т е л ь н ы м .

Тем не менее п е р е д р а з в е р т ы в а н и е м в п р о и з в о д с т в е н н о й среде всегда нужно

тестировать в л и я н и е ф и л ь т р о в W M I н а п р о и з в о д и т е л ь н о с т ь .

В-третьих, к о м п ь ю т е р ы W i n d o w s 2 0 0 0 н е о б р а б а т ы в а ю т ф и л ь т р ы W M I .

Если объект G P O ф и л ь т р у е т с я с п о м о щ ь ю ф и л ь т р а W M I , система Windows 2000

игнорирует ф и л ь т р и в ы п о л н я е т о б р а б о т к у G P O , к а к если б ы результатом н а

запрос фильтра б ы л о з н а ч е н и е true.

СОВЕТ К ЭКЗАМЕНУ

Хотя на сертификационном экзамене в р я д ли придется определять запросы WQL,

вы должны знать основные ф у н к ц и и з а п р о с о в W M I , описанные в этом разделе.

Помните, что системы W i n d o w s 2000 будут применять параметры в объектах GPO с

фильтрами WMI, поскольку W i n d o w s 2000 игнорирует фильтрацию W M I во время

обработки политики.

Включение и отключение объектов и узлов GPO

Вы можете з а п р е т и т ь о б р а б о т к у п а р а м е т р о в в у з л а х К о н ф и г у р а ц и я компьютера

(Computer C o n f i g u r a t i o n ) и К о н ф и г у р а ц и я п о л ь з о в а т е л я ( U s e r Configuration)

в о время о б н о в л е н и я п о л и т и к и , и з м е н и в с о с т о я н и е объекта G P O . Н а вкладке

Таблица ( D e t a i l s ) о б ъ е к т а G P O ( р и с . 6 – 1 6 ) щ е л к н и т е р а с к р ы в а ю щ и й с я список

Состояние G P O ( G P O S t a t u s ) и в ы б е р и т е о д н у и з с л е д у ю щ и х опций.

• В к л ю ч е н о ( E n a b l e d ) В о в р е м я о б н о в л е н и я п о л и т и к и о б р а б а т ы в а ю т с я

параметры к о н ф и г у р а ц и и к о м п ь ю т е р а и п о л ь з о в а т е л я .

• Все п а р а м е т р ы о т к л ю ч е н ы ( A l l S e t t i n g s D i s a b l e d ) К л и е н т с к и е расши-

рения C S E н е б у д у т в ы п о л н я т ь о б р а б о т к у о б ъ е к т а G P O .

в П а р а м е т р ы к о н ф и г у р а ц и и к о м п ь ю т е р а о т к л ю ч е н ы ( C o m p u t e r C o n f i g u r a -

tion S e t t i n g s D i s a b l e d ) В о в р е м я о б н о в л е н и я п о л и т и к и к о м п ь ю т е р а при-

меняются п а р а м е т р ы к о н ф и г у р а ц и и к о м п ь ю т е р а в объекте G P O . В процессе

обновления п о л и т и к и п о л ь з о в а т е л я о б р а б о т к а G P O н е в ы п о л н я е т с я .

• Параметры к о н ф и г у р а ц и и п о л ь з о в а т е л я о т к л ю ч е н ы ( U s e r C o n f i g u r a t i o n

Settings D i s a b l e d ) В о в р е м я о б н о в л е н и я п о л и т и к п о л ь з о в а т е л я б у д у т

2 6 8 Инфраструктура групповой политики

Глава 6

применяться параметры к о н ф и г у р а ц и и п о л ь з о в а т е л я в о б ъ е к т е G P O . В про-

цессе обновления п о л и т и к и к о м п ь ю т е р а о б р а б о т к а о б ъ е к т а G P O в ы п о л -

няться не будет.

А Ко*®/*. Дейп»* Вия Ою-С Охиок!»

j

* D

Упоадеям гр>ахвой пс-пткон

К о н ф и г у р а ц и я с т а н д а р т н ы х п о л ь з о в а т е л е й

А ontwo.com

В. & Донен*

Область Т«вл*я j Параметрн ] Демгкровэмна j

is Jy contceo.com

Домен oootojocem

••i CONTOSO Кэдоратганл» безопзсносп

CONTOSO Ст^двдт»

Впзйвпеи Аамиялстретер* дом«ие домен?

«V Defadt Oom»i f>afcv

ffi 58 Ooman Confrolerj

Создан 29.10.20083:04.54

Ш 33 Test

Изменен. 2Э.10.2008 13:43:40

it. jQ Tetll

!£ l) Аапмжтратора,

S S L ™ w . 0 ^ : .

КоиФ»»'>Раич1 crtm^x-»опьзс«т<

компьютера

6i .5.1 Юменты

У^иапвиьЛмд. :{1EA>7686-001C45A£-BEOS-B340A2032351}

& ju Севе»

£ Ui,' Объекты групповой ломтики

Состоя»» GPO" j Параметры мямаигдодои компьютера о

К ,."у Лиътрь vwfl

–j MM»«t хр SP2

Комментарий

5 3 объекте: гр«пг>;в>'( гомти

ffi Lj| Сайты

Молеасое»** групповой погитиш

Ц« Результаты футовой политжл

кт~-г : " . >

Рис. 6-16. Вкладка Таблица (Details) обьекта GPO

Состояние G P O можно к о н ф и г у р и р о в а т ь д л я о п т и м и з а ц и и о б р а б о т к и по-

литики. Если G P O содержит, к п р и м е р у , т о л ь к о п а р а м е т р ы к о н ф и г у р а ц и и

пользователя, следует указать д л я этого о б ъ е к т а с о с т о я н и е П а р а м е т р ы к о н ф и -

гурации компьютера о т к л ю ч е н ы ( C o m p u t e r C o n f i g u r a t i o n S e t t i n g s D i s a b l e d ) ,

чтобы клиент групповой п о л и т и к и н е в ы п о л н я л о б р а б о т к у G P O в о в р е м я об-

новления политики компьютера. П о с к о л ь к у э т о т G P O н е с о д е р ж и т п а р а м е т р ы

компьютера, нет необходимости в его о б р а б о т к е , т а к ч т о т а к и м о б р а з о м м о ж н о

сэкономить ресурсы процессора.

ПРИМЕЧАНИЕ Использование отключенных объектов GPO

для восстановления после аварийного отказа

Определите в GPO конфигурацию, которая будет применена в чрезвычайных об-

стоятельствах, при нарушении безопасности или в других а в а р и й н ы х ситуациях,

и свяжите этот GPO для применения к соответствующим пользователям и компью– I

терам. Затем отключите GPO. Когда возникнет необходимость в развертывании

аварийной конфигурации, включите объект G P O .

Нацеливание настройки

Новый узел Настройка (Preferences) в W i n d o w s S e r v e r 2 0 0 8 с о д е р ж и т в с т р о е н -

ный механизм области действия, к о т о р ы й н а з ы в а е т с я нацеливанием па уровень

элемента. В один о б ъ е к т G P O м о ж н о в к л ю ч и т ь м н о г о н а с т р о е к , и к а ж д у ю

настройку можно нацеливать и л и ф и л ь т р о в а т ь . Н а п р и м е р , в ы с о з д а й т е о д и н

объект G P O с настройкой, у к а з ы в а ю щ е й с в о й с т в а п а п к и д л я и н ж е н е р о в , и е щ е

Занятие 2

Управление областью действия групповой политики 2 6 9

одной настройкой, у к а з ы в а ю щ е й свойства папки д л я отдела продаж. Вы можете

н а ц е л и т ь э т и э л е м е н т ы с п о м о щ ь ю г р у п п ы безопасности или подразделения,

а к р о м е того, и с п о л ь з о в а т ь б о л е е д е с я т к а д р у г и х критериев, включая характе-

р и с т и к и о б о р у д о в а н и я и сети, в р е м я и дату, запросы L D A P и многое другое.

ПРИМЕЧАНИЕ Нацеливание настроек в объекте GPO

В одном объекте G P O можно нацелить множество настроек, не используя для этого

несколько объектов G P O . При использовании традиционных политики часто тре-

буется множество объектов G P O , отфильтрованных по отдельным группам, чтобы

можно было варьировать параметры конфигурации.

А н а л о г и ч н о ф и л ь т р а м W M I н а ц е л и в а н и е настроек требует, чтобы клиент-

ское р а с ш и р е н и е C S E в ы п о л н и л о з а п р о с и определило, следует ли применять

параметры в н а с т р о й к е . Н а ц е л и в а н и е на уровень элемента потенциально влияет

на п р о и з в о д и т е л ь н о с т ь – в ч а с т н о с т и , п р и использовании таких опций, как

L D A P – з а п р о с ы , к о т о р ы е о т п р а в л я ю т запрос на контроллер домена для обра-

ботки и о ж и д а ю т р е з у л ь т а т . П р и п р о е к т и р о в а н и и инфраструктуры групповой

п о л и т и к и н у ж н о н а й т и о п т и м а л ь н о е с о о т в е т с т в и е между преимуществами

у п р а в л е н и я к о н ф и г у р а ц и е й с п о м о щ ь ю н а ц е л и в а н и я на уровень элемента

и в л и я н и е м на п р о и з в о д и т е л ь н о с т ь .

Обработка групповой политики

Далее мы б л и ж е о з н а к о м и м с я с к о н ц е п ц и я м и , компонентами и областью дейс-

т в и я г р у п п о в о й п о л и т и к и . Г р у п п о в а я п о л и т и к а применяет конфигурацию,

о п р е д е л е н н у ю о б ъ е к т а м и G P O , о б ъ е к т ы G P O применяются в определенном

п о р я д к е ( с а й т , д о м е н , п о д р а з д е л е н и е ) , объекты G P O , примененные позже,

з а м е н я ю т п а р а м е т р ы , п р и м е н е н н ы е ранее, и поэтому имеют более высокий

п р и о р и т е т . Д а л е е о п и с а н а п о с л е д о в а т е л ь н о с т ь применения параметров объ-

ектов G P O в д о м е н е к к о м п ь ю т е р у и л и пользователю.

1. З а п у с к а е т с я к о м п ь ю т е р и запускается сеть. Запускается служба удаленного

в ы з о в а п р о ц е д у р R P C S S ( R e m o t e Procedure Call System Service) и множес-

т в е н н ы й п о с т а в щ и к у н и в е р с а л ь н ы х имен M U P (Multiple Universal Naming

C o n v e n t i o n P r o v i d e r ) . З а п у с к а е т с я к л и е н т групповой политики.

.2. К л и е н т г р у п п о в о й п о л и т и к и п о л у ч а е т упорядоченный список объектов

G P O , в о б л а с т ь д е й с т в и я к о т о р ы х входит компьютер.

О б ъ е к т ы G P O о б р а б а т ы в а ю т с я так, как они указаны в списке (по умолча-

нию: л о к а л ь н ы е G P O , з а т е м G P O сайта, домена и подразделения).

А. Л о к а л ь н ы е о б ъ е к т ы G P O К а ж д ы й компьютер Windows Server 12003,

W i n d o w s ХР и W i n d o w s 2000 с о д е р ж и т по одному локальному объекту

G P O . К о м п ь ю т е р ы W i n d o w s Vista и Windows Server 2008 содержат мно-

ж е с т в о л о к а л ь н ы х о б ъ е к т о в G P O . Приоритет локального G P O описан

в р а з д е л е « Л о к а л ь н ы е о б ъ е к т ы G P O » (занятие 1).

Б. О б ъ е к т ы G P O с а й т о в Д а л е е в упорядоченный список добавляются

все о б ъ е к т ы G P O , с в я з а н н ы е с сайтом. Если с сайтом (доменом или

п о д р а з д е л е н и е м ) с в я з а н о много объектов G P O , порядок их добавления

270

Инфраструктура групповой политики

Глава 6

в список определяется порядком ссылок, отконфнгурнропапным на вклад-

ке Область (Scope). Самый высокий п р и о р и т е т имеет G P O , к о т о р ы й

указан в списке с минимальным номером (1), п о э т о м у он д о б а в л я е т с я

в конец списка. Таким образом, он будет о б р а б о т а н п о с л е д н и м , а его

параметры заменят параметры ранее п р и м е н е н н ы х о б ъ е к т о в G P O .

В. Объекты G P O домена Порядок добавления в с п и с о к м н о ж е с т в а с в я -

занных объектов G P O определяется п о р я д к о м с с ы л о к .

ПРИМЕЧАНИЕ Связанные с доменом политики не наследуются дочерним доменом

Каждый домен поддерживает индивидуальные ссылки политики. Однако компьюте-

ры в нескольких дочерних доменах могут подпадать под область действия объекта

GPO, связанного с сайтом.

Г. Объекты G P O подразделений О б ъ е к т ы G P O , с в я з а н н ы е с п е р в ы м

подразделением в иерархии Active Directory, д о б а в л я ю т с я в у п о р я -

доченный список перед объектами G P O , с в я з а н н ы м и с его д о ч е р н и м

подразделением, н т. д. В конце списка д о б а в л я ю т с я о б ъ е к т ы G P O ,

связанные с подразделением, содержащим о б ъ е к т к о м п ь ю т е р а . Е с л и с

подразделением связаны несколько г р у п п о в ы х п о л и т и к , о н и д о б а в л я -

ются в порядке ссылок.

Д. Принудительно связанные о б ъ е к т ы G P O О н и д о б а в л я ю т с я в к о н е ц

упорядоченного списка, так что их параметры п р и м е н я ю т с я в к о н ц е про-

цесса обработки и таким образом з а м е н я ю т п а р а м е т р ы о б ъ е к т о в G P O ,

ранее перечисленных в списке и уже обработанных. О т м е т и м , что п р и -

нудительно связанные объекты G P O д о б а в л я ю т с я в с п и с о к в о б р а т н о м

порядке: подразделение, домен, а затем сайт. Э т о следует у ч и т ы в а т ь п р и

применении корпоративных политик безопасности в о б ъ е к т е G P O , к о -

торый принудительно связан с доменом. Этот объект G P O у к а з ы в а е т с я

в конце упорядоченного списка и применяется п о с л е д н и м , в р е з у л ь т а т е

чего его параметры получают приоритет.

3. Выполняется синхронная обработка объектов G P O в п о р я д к е , у к а з а н н о м

в списке. Это означает, что вначале выполняется обработка п а р а м е т р о в в л о -

кальных объектах GPO, после чего обрабатываются о б ъ е к т ы G P O , с в я з а н -

ные с сайтом, доменом и подразделениями, с о д е р ж а щ и м и п о л ь з о в а т е л я и л и

компьютер. Объекты GPO, связанные с подразделением, н е п о с р е д с т в е н н ы м

членом которого является пользователь или к о м п ь ю т е р , о б р а б а т ы в а ю т с я

последними, после чего выполняется обработка п р и н у д и т е л ь н о с в я з а н н ы х

объектов GPO.

При обработке каждого объекта G P O система определяет, с л е д у е т ли п р и -

менять параметры на основе состояния объектов G P O у з л а к о м п ь ю т е р а

(включены или отключены), а также обладает ли к о м п ь ю т е р р а з р е ш е н и е м

на чтение групповой политики (Allow G r o u p Policy). Е с л и к G P O п р и м е -

няется фильтр W M I и на компьютере установлена с и с т е м а не н и ж е W i n -

dows ХР, выполняется запрос, указанный в фильтре.

Занятие 2

Управление областью действия групповой политики

2 7 1

А. Если к системе н у ж н о п р и м е н и т ь о б ъ е к т G P O , к л и е н т с к и е расширения

CSE переключаются в р е ж и м о б р а б о т к и параметров G P O . Параметры по-

литики в объектах G P O з а м е н я т п о л и т и к и ранее п р и м е н е н н ы х объектов

G P O в соответствии с о п р е д е л е н н ы м и п р а в и л а м и ,

• Если п а р а м е т р п о л и т и к и о т к о н ф и г у р и р о в а н ( в к л ю ч е н и л и отключен)

в объекте G P O , с в я з а н н о м с р о д и т е л ь с к и м контейнером, и этот же пара-

метр не задан ( N o t C o n f i g u r e d ) в о б ъ е к т а х G P O , связанных с дочерним

контейнером, то в р е з у л ь т и р у ю щ е м н а б о р е п о л и т и к пользователей и

компьютеров д о ч е р н е г о к о н т е й н е р а будет включен параметр полити-

ки родительского к о н т е й н е р а . Е с л и д л я дочернего контейнера откон-

ф и г у р и р о в а н а о п ц и я б л о к и р о в а н и я н а с л е д о в а н и я (Block Inheritance),

р о д и т е л ь с к и й п а р а м е т р не будет унаследован. Исключением из этого

правила я в л я е т с я п р и н у д и т е л ь н а я ( E n f o r c e d ) связь G P O .

• Если п а р а м е т р п о л и т и к и о т к о н ф и г у р и р о в а н (включен или отключен)

в объекте G P O р о д и т е л ь с к о г о к о н т е й н е р а и этот же параметр откон-

фигурирован в о б ъ е к т а х G P O , с в я з а н н ы х с дочерним контейнером, то

параметр д о ч е р н е г о к о н т е й н е р а з а м е н и т параметр, унаследованный от

родительского к о н т е й н е р а . Е с л и с в я з ь G P O родительского контейне-

ра в к л ю ч е н а п р и н у д и т е л ь н о ( E n f o r c e d ) , приоритет получит параметр

родителя.

• Если п а р а м е т р п о л и т и к и не з а д а н ни в родительском контейнере, ни

в дочернем, то п р и м е н я е т с я параметр, полученный в результате обра-

ботки л о к а л ь н ы х о б ъ е к т о в G P O . Е с л и в л о к а л ь н ы х G P O этот пара-

метр т а к ж е не з а д а й , п р и м е н я е т с я параметр конфигурации Windows

по у м о л ч а н и ю .

5. Когда п о л ь з о в а т е л ь в х о д и т в систему, д л я пользовательских параметров

повторно в ы п о л н я ю т с я ш а г и 2 – 4 . К л и е н т получает упорядоченный спи-

сок объектов G P O , в о б л а с т ь д е й с т в и я к о т о р ы х попадает пользователь,

выполняет с и н х р о н н ы й а н а л и з к а ж д о г о G P O и передает объекты G P O ,

которые н у ж н о п р и м е н и т ь , в с о о т в е т с т в у ю щ и е клиентские расширения

для обработки. Э т о т ш а г м о ж н о м о д и ф и ц и р о в а т ь с помощью опции Режим

обработки з а м ы к а н и я п о л и т и к и п о л ь з о в а т е л я (User Loopback Group Policy

Processing). О б р а б о т к а п о л и т и к и loopback описана в следующем подразделе.

ПРИМЕЧАНИЕ Параметры политики конфигурации компьютера и пользователя

Большинство параметров политики связаны с узлом Конфигурация компьютера

(Computer Configuration) и Конфигурация пользователя (User Configuration). Хотя

во многих ситуациях параметры в узле конфигурации компьютера заменяют пара-

метры в узле конфигурации пользователя, всегда читайте объяснение параметра

политики, чтобы четко понять принцип его использования и результат.

6. Каждые 90—120 мин после запуска компьютера выполняется обновление по-

литики компьютера, а д л я п а р а м е т р о в компьютера повторяются шаги 2 – 4 .

7, Каждый 9 0 ^ 1 2 0 мин после входа пользователя выполняется обновление по-

литики пользователя, а д л я параметров пользователя повторяются шаги 2 – 4 .

272 Инфраструктура групповой политики

Глава 6

ПРИМЕЧАНИЕ Немедленное применение параметров

Хотя большинство параметров используются во время фонового обновления поли-

тики, некоторые клиентские расширения CSE не задействуют параметр до следу-

ющего запуска или входа пользователя. Например, новые добавленные политики

сценариев запуска н входа не применяются до следующего запуска компьютера

или входа пользователя. Установка программного обеспечения, описанная в главе 7,

выполняется при следующем запуске, если установка программ задана в парамет-

рах конфигурации компьютера. Изменения политик перенаправления папки будут

применены при следующем входе пользователя.

Обработка замыкания политики

По умолчанию параметры пользователя и з в л е к а ю т с я из о б ъ е к т о в G P O , в об-

ласть действия которых включен объект п о л ь з о в а т е л я в Active Directory. Н е -

зависимо от компьютера, на который входит п о л ь з о в а т е л ь , р е з у л ь т и р у ю щ и й

набор политик, определяющих среду пользователя, о с т а е т с я н е и з м е н н ы м . Тем

не менее в некоторых ситуациях может потребоваться к о н ф и г у р и р о в а т ь сре-

ду пользователя в зависимости от компьютера, на к о т о р о м он в х о д и т в д о -

мен. Например, вы можете блокировать и с т а н д а р т и з и р о в а т ь р а б о ч и е с т о л ы

пользователей, которые входят на компьютеры в п л о т н о у п р а в л я е м ы х средах,

таких как конференц-залы, зоны приема, л а б о р а т о р и и , а у д и т о р и и и к и о с к и .

Представим сценарий, в котором нужно о т к о н ф и г у р и р о в а т ь с т а н д а р т н о е к о р -

поративное визуальное оформление рабочего стола W i n d o w s на в с е х к о м п ь ю -

терах в конфереиц-залах и других общественных местах о ф и с а . К а к и м о б р а з о м

централизованно управлять такой конфигурацией с п о м о щ ь ю г р у п п о в о й п о л и -

тики? Параметры политики, к о н ф и г у р и р у ю щ и е о ф о р м л е н и е р а б о ч е г о стола,

находятся в узле Конфигурация пользователя ( U s e r C o n f i g u r a t i o n ) о б ъ е к т а

групповой политики. Поэтому по умолчанию эти п а р а м е т р ы п р и м е н я ю т с я к

пользователям независимо от компьютера, на к о т о р о м о н и в х о д я т в д о м е н .

Обработка политики по умолчанию не позволяет п р и м е н и т ь п а р а м е т р ы п о л ь -

зователей к компьютерам, на которых пользователи в х о д я т в сеть. Д л я этого

используется обработка замыкания политики.

Обработка замыкания политики изменяет алгоритм, по у м о л ч а н и ю и с п о л ь -

зуемый клиентом групповой политики д л я п о л у ч е н и я у п о р я д о ч е н н о г о с п и с -

ка объектов GPO, которые нужно применить к к о н ф и г у р а ц и и п о л ь з о в а т е л я .

Вместо использования узла Конфигурация п о л ь з о в а т е л я ( U s e r C o n f i g u r a t i o n )

в объектах GPO, применяемых к пользователю, к о н ф и г у р а ц и ю п о л ь з о в а т е л е й

можно определять с помощью политик узла К о н ф и г у р а ц и я п о л ь з о в а т е л я объ-

ектов GPO, которые применяются к объекту компьютера.

Для политики Режим обработки з а м ы к а н и я п о л ь з о в а т е л ь с к о й г р у п п о в о й

политики (User Group Policy Loopback Processing M o d e ) в п а п к е К о н ф и г у р а -

ция компыотераПолитикиАдминистративные ш а б л о н ы С и с т е м а Г р у п п о в а я

политика (Computer ConfigurationPoliciesAdministrative T e m p l a t e s S y s t e m

Group Policy) редактора управления г р у п п о в ы м и п о л и т и к а м и G P M E м о ж н о

назначить опции Не задан (Not Configured), В к л ю ч е н ( E n a b l e d ) и О т к л ю ч е н

Занятие 2

Управление областью действия групповой политики

2 7 3

(Disabled). В к л ю ч и в э т у п о л и т и к у , в ы м о ж е т е з а д а т ь д л я нее р е ж и м З а м е н а

(Replace) и л и С л и я н и е ( M e r g e ) .

ш З а м е н а ( R e p l a c e ) П р и и с п о л ь з о в а н и и этого р е ж и м а с п и с о к объектов G P O

для п о л ь з о в а т е л я ( п о л у ч е н н ы й в р е з у л ь т а т е в ы п о л н е н и я шага 5, указанного

в п о д р а з д е л е « О б р а б о т к а г р у п п о в о й п о л и т и к и » ) п о л н о с т ь ю з а м е н я е т с я

списком G P O , п о л у ч е н н ы м д л я к о м п ь ю т е р а в о в р е м я его запуска ( ш а г 2).

К п о л ь з о в а т е л ю п р и м е н я ю т с я п а р а м е т р ы п о л и т и к в у з л е к о н ф и г у р а ц и и

п о л ь з о в а т е л я о б ъ е к т а G P O к о м п ь ю т е р а . Р е ж и м з а м е н ы у д о б н о и с п о л ь -

зовать в а у д и т о р и я х , где п о л ь з о в а т е л и д о л ж н ы р а б о т а т ь со стандартной

конфигурацией (в о т л и ч и е от п о л ь з о в а т е л е й в н е у п р а в л я е м ы х средах).

• С л и я н и е ( M e r g e ) П р и и с п о л ь з о в а н и и э т о г о р е ж и м а с п и с о к о б ъ е к т о в

G P O , п о л у ч е н н ы й д л я к о м п ь ю т е р а в о в р е м я его з а п у с к а ( ш а г 2 , подраздел

«Обработка г р у п п о в о й п о л и т и к и » ) , п р и к р е п л я е т с я к списку объектов G P O ,

п о л у ч е н н о м у д л я п о л ь з о в а т е л я п р и его в х о д е ( ш а г 5). П о с к о л ь к у список

G P O , п о л у ч е н н ы й д л я к о м п ь ю т е р а , п р и м е н я е т с я позже, п а р а м е т р ы объек-

тов G P O в с п и с к е д л я к о м п ь ю т е р а и м е ю т п р и о р и т е т и з а м е н я ю т парамет-

р ы G P O п о л ь з о в а т е л я . Э т о т р е ж и м у д о б н о и с п о л ь з о в а т ь д л я п р и м е н е н и я

дополнительных параметров к т и п и ч н о й к о н ф и г у р а ц и и пользователя. Н а -

пример, в ы м о ж е т е р а з р е ш и т ь п о л ь з о в а т е л ю п о л у ч а т ь свою т и п и ч н у ю кон-

ф и г у р а ц и ю п р и в х о д е на к о м п ь ю т е р в к о н ф е р е н ц – з а л е и л и области приема,

однако п р и э т о м з а м е н и т ь о б о и с т а н д а р т н ы м и з о б р а ж е н и е м и отключить

о п р е д е л е н н ы е п р и л о ж е н и я и л и у с т р о й с т в а .

СОВЕТ К ЭКЗАМЕНУ

В темы сертификационного экзамена 7 0 – 6 4 0 могут быть включены вопросы, связан-

ные с областью действия групповой политики. Некоторые вопросы о технических

деталях параметра п о л и т и к и на самом деле предназначены для тестирования вашего

умения включать в область действия параметра политики соответствуюище системы.

Поэтому, получая вопросы о групповой политике, определите вначале, с чем связан

вопрос: с конкретным п а р а м е т р о м политики или с областью его действия.

Практические занятия. Настройка области действия

групповой политики

В п р е д л о ж е н н ы х у п р а ж н е н и я х вы п р о д о л ж и т е с ц е н а р и й , н а ч а т ы й с с о з д а н и я

и настройки GP О на з а н я т и и 1, и о п р е д е л и т е о б л а с т ь д е й с т в и я г р у п п о в о й

политики. Н о п р е ж д е н е о б х о д и м о в ы п о л н и т ь у п р а ж н е н и я з а н я т и я 1 .

Упражнение 1. Создание объекта GPO с приоритетным параметром политики

Представим, что в ы я в л я е т е с ь а д м и н и с т р а т о р о м д о м е н а contoso.com. О б ъ е к т

групповой п о л и т и к и C O N T O S O С т а н д а р т ы , с в я з а н н ы й с д о м е н о м , к о н ф и -

гурирует п а р а м е т р п о л и т и к и , к о т о р о м у т р е б у е т с я д е с я т и м и н у т н ы й т а й м а у т

экранной заставки. Н е к о е к р и т и ч е с к и в а ж н о е п р и л о ж е н и е , в ы п о л н я ю щ е е длин-

ный процесс в ы ч и с л е н и й , в ы л е т а е т п р и з а п у с к е э к р а н н о й з а с т а в к и , поэтому

инженер п о п р о с и л о т к л ю ч и т ь э к р а н н у ю з а с т а в к у д л я тех, кто е ж е д н е в н о ис-

пользует это п р и л о ж е н и е .

274 Инфраструктура групповой политики

Глава 6

1. Войдите на машину SERVER01 как администратор.

2. Откройте оснастку Active Directory – пользователи п к о м п ь ю т е р ы ( A c t i v e

Directory Users And Computers) и создайте п о д р а з д е л е н и е п е р в о г о у р о в н я

Кадры с дочерним подразделением И н ж е н е р ы .

3. Откройте консоль Управление групповой п о л и т и к о й ( G r o u p Policy M a n a -

gement).

4. Щелкните правой кнопкой мыши подразделение И н ж е н е р ы ( E n g i n e e r s )

и выполните команду Создать объект G P O в э т о м д о м е н е и с в я з а т ь его

(Create A GPO In This Domain, And Link It H e r e ) .

5. Введите имя Параметры политики инженеров и щ е л к н и т е О К .

6. Разверните подразделение Инженеры (Engineers), щ е л к н и т е п р а в о й к н о п -

кой мыши объект G P O и выполните команду И з м е н и т ь ( E d i t ) .

7. Разверните папку Конфигурация п о л ь з о в а т е л я П о л и т и к и А д м и н и с т р а т и в -

ные шаблоныПанель у п р а в л е н и я О к н о свойств э к р а н а ( U s e r C o n f i g u r a -

tionPoliciesAdministrative TemplatesControl P a n e l D i s p l a y ) .

8. Дважды щелкните параметр политики Таймаут э к р а н н о й з а с т а в к и ( S c r e e n

Saver Timeout).

9. Щелкните опцию Отключен (Disabled), а затем О К .

10. Закройте редактор G P M E .

11. В консоли управления групповой политикой G P M C в ы б е р и т е п о д р а з д е л е -

ние Инженеры (Engineers) и перейдите на вкладку Н а с л е д о в а н и е г р у п п о в о й

политики (Group Policy Inheritance).

12. Объект GPO Параметры политики инженеров д о л ж е н п р е в а л и р о в а т ь н а д

объектом групповой политики C O N T O S O С т а н д а р т ы .

Отконфнгурированный параметр, явно о т к л ю ч а ю щ и й э к р а н н у ю заставку,

заменит параметр в объекте групповой п о л и т и к и C O N T O S O С т а н д а р т ы .


    Ваша оценка произведения:

Популярные книги за неделю