Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 27 (всего у книги 91 страниц)
компьютерам с о п р е д е л е н н о й о п е р а ц и о н н о й с и с т е м о й и п а к е т о м обновлений
(например, W i n d o w s Х Р S P 3 ) . Д а л е е п р и в е д е н п р и м е р запроса W M I д л я иден-
тификации т а к и х с и с т е м :
Select * FROM Win32_0peratingSystem WHERE Caption="Microsoft
Windows XP Professional" AND CSDVersion="Service Pack 3"
Когда к л и е н т г р у п п о в о й п о л и т и к и о ц е н и в а е т з а г р у ж е н н ы е объекты G P O ,
чтобы о п р е д е л и т ь , к а к и е и з н и х н у ж н о о б р а б о т а т ь с п о м о щ ь ю к л и е н т с к и х
расширений C S E , о н в ы п о л н я е т з а п р о с в л о к а л ь н о й с и с т е м е . Е с л и система
Юзак.3399
2 6 6 Инфраструктура групповой политики
Глава 6
соответствует критерию запроса, то результатом будет л о г и ч е с к о е з н а ч е н и е
True и расширение CSE выполнит обработку G P O .
Инструментарий W M I извлекает пространства имен, где есть к л а с с ы , ко-
торые можно запрашивать. Многие полезные классы, включая Win32 _Operating
System, находятся в классе rootCIMv2.
Чтобы создать фильтр W M I , в консоли у п р а в л е н и я г р у п п о в о й п о л и т и к о й
GPMC щелкните правой кнопкой мыши узел Ф и л ь т р ы W M I ( W M I F i l t e r s ) и
выполните команду Создать (New). Введите имя и о п и с а н и е д л я ф и л ь т р а , а за-
тем щелкните кнопку Добавить (Add). В поле Пространство и м е н ( N a m e s p a c e )
укажите именное пространство для запроса. В поле З а п р о с ( Q u e r y ) в в е д и т е
запрос п щелкните ОК.
Чтобы фильтровать G P O с помощью фильтра W M I , о т к р о й т е в к л а д к у О б -
ласть (Scope) объекта GPO, щелкните раскрывающийся с п и с о к ф и л ь т р о в W M I
и выберите фильтр WMI. Объект G P O фильтруется л и ш ь с п о м о щ ь ю одного
фильтра WMI, однако он может содержать к о м п л е к с н ы й з а п р о с с м н о ж е с т -
венным критерием. Таким образом, с одним или н е с к о л ь к и м и о б ъ е к т а м и G P O
можно связать один фильтр W M I . Вкладка (General) ф и л ь т р а W M I ( р и с . 6 – 1 5 )
отображает объекты GPO, использующие ф и л ь т р W M I .
а Кенам» Действ* Ы& Осн> Слрмк« j
W i n d o w s Х Р S P 2
Лес.
Лес con
co ton cm
n
Овщхв | Оемгиосоан* |
fVn>
, •
, )
• CC
C N
C T
N O
T S
O O
S Корпорвпвид
O
я
Корпорвпвид бснхмоос
я
п й ж * * * ' Изменил., |
A?
A
? CO
C N
O T
N C
T S
C O
S Стандарт
O
ы
Стандарт
>v' C*f»Jt
C*f»J Domari
Domar РЫсу
РЫс
К i
К l D
o
D m
o *
m »
* i
» Corbcierj
Просгрвистзо имвч | Запрос j j
£ m
£
j Gro«*
Gro«
•с–» С м . ; 5* «С! – " C M VAHEFS
ffi :
AJ
A Tel
CsjfcCA-'MicroscftV^ndc*? X? P»cfewic<«aT ДШ
ffi X T«t
X
l
. SCCv'treioo" Servie» Рас* 3* |
ft Аопморлгоои
£ Кадр
£
ы
Кадр
Объемы GPO. ж п о г ь э я о ш и о « м л ы р WMI
ffi
ff '<&
'< Сервер
&
ы
Сервер
С Фипыром V/MI cBSi^ioi елвдющм объекты GPO
It , О б ъ я т ы группово
ы
й
группово попит
й
а
GPO • 1
, tw/wrpw
tw/wrp
w WM
W 1
M
Программное оСвсг«ч»ме
f 'А
Г
А Д
Г О
Д А
О *
А V
* SP
V
2
SP
Е Hs^vwt
Е
объекты
объект группово
ы
м
группово П
О
П Л
О Н
Л И
Н
ffi .'jj Ойть>
Ойть
•г, Моаеарова»
•г,
« груглсвои
груглсво mnawa
Pej»*iaiM груттовон
груттово полт»;
н
я
<1
< 1 >1
г " ~ " " ' Г" ! * J
Рис. 6-15. Фильтр WMI
Следует отметить три важных нюанса, с в я з а н н ы х с и с п о л ь з о в а н и е м ф и л ь -
тров W M I . Во-первых, нужно хорошо знать синтаксис W Q L з а п р о с о в W M I .
С помощью ключевых слов WMI filter и WMI query в И н т е р н е т е м о ж н о н а й т и
много примеров с описаниями запросов.
Занятие 2
Управление областью действия групповой политики 2 6 7
К СВЕДЕНИЮ Примеры фильтров WMI
Примеры фильтров W M I м о ж н о н а й т и по адресу http://technet2.microsoft.com/
Wind0wsserver/en/library/a16cffa4-83b3-430b-b826-9bf81c0d39a71033.mspx?mfr-true.
Набор средств разработки программного обеспечения S D K для Инструментария
управления Windows ( W M I ) находится по адресу http://msdn2.microsoft.com/en-us/
library/aa394582.aspx.
Во-вторых, п р и и с п о л ь з о в а н и и ф и л ь т р о в W M I м о ж е т с н и з и т ь с я скорость
обработки г р у п п о в о й п о л и т и к и . П о с к о л ь к у к л и е н т г р у п п о в о й п о л и т и к и дол-
жен при о ч е р е д н о й о б р а б о т к е п о л и т и к и в ы п о л н я т ь з а п р о с W M I , к а ж д ы е
90-120 мин п р о и з в о д и т е л ь н о с т ь с и с т е м ы с н и ж а е т с я . С у ч е т о м производитель-
ности с о в р е м е н н ы х к о м п ь ю т е р о в э т о в л и я н и е м о ж е т б ы т ь н е з н а ч и т е л ь н ы м .
Тем не менее п е р е д р а з в е р т ы в а н и е м в п р о и з в о д с т в е н н о й среде всегда нужно
тестировать в л и я н и е ф и л ь т р о в W M I н а п р о и з в о д и т е л ь н о с т ь .
В-третьих, к о м п ь ю т е р ы W i n d o w s 2 0 0 0 н е о б р а б а т ы в а ю т ф и л ь т р ы W M I .
Если объект G P O ф и л ь т р у е т с я с п о м о щ ь ю ф и л ь т р а W M I , система Windows 2000
игнорирует ф и л ь т р и в ы п о л н я е т о б р а б о т к у G P O , к а к если б ы результатом н а
запрос фильтра б ы л о з н а ч е н и е true.
СОВЕТ К ЭКЗАМЕНУ
Хотя на сертификационном экзамене в р я д ли придется определять запросы WQL,
вы должны знать основные ф у н к ц и и з а п р о с о в W M I , описанные в этом разделе.
Помните, что системы W i n d o w s 2000 будут применять параметры в объектах GPO с
фильтрами WMI, поскольку W i n d o w s 2000 игнорирует фильтрацию W M I во время
обработки политики.
Включение и отключение объектов и узлов GPO
Вы можете з а п р е т и т ь о б р а б о т к у п а р а м е т р о в в у з л а х К о н ф и г у р а ц и я компьютера
(Computer C o n f i g u r a t i o n ) и К о н ф и г у р а ц и я п о л ь з о в а т е л я ( U s e r Configuration)
в о время о б н о в л е н и я п о л и т и к и , и з м е н и в с о с т о я н и е объекта G P O . Н а вкладке
Таблица ( D e t a i l s ) о б ъ е к т а G P O ( р и с . 6 – 1 6 ) щ е л к н и т е р а с к р ы в а ю щ и й с я список
Состояние G P O ( G P O S t a t u s ) и в ы б е р и т е о д н у и з с л е д у ю щ и х опций.
• В к л ю ч е н о ( E n a b l e d ) В о в р е м я о б н о в л е н и я п о л и т и к и о б р а б а т ы в а ю т с я
параметры к о н ф и г у р а ц и и к о м п ь ю т е р а и п о л ь з о в а т е л я .
• Все п а р а м е т р ы о т к л ю ч е н ы ( A l l S e t t i n g s D i s a b l e d ) К л и е н т с к и е расши-
рения C S E н е б у д у т в ы п о л н я т ь о б р а б о т к у о б ъ е к т а G P O .
в П а р а м е т р ы к о н ф и г у р а ц и и к о м п ь ю т е р а о т к л ю ч е н ы ( C o m p u t e r C o n f i g u r a -
tion S e t t i n g s D i s a b l e d ) В о в р е м я о б н о в л е н и я п о л и т и к и к о м п ь ю т е р а при-
меняются п а р а м е т р ы к о н ф и г у р а ц и и к о м п ь ю т е р а в объекте G P O . В процессе
обновления п о л и т и к и п о л ь з о в а т е л я о б р а б о т к а G P O н е в ы п о л н я е т с я .
• Параметры к о н ф и г у р а ц и и п о л ь з о в а т е л я о т к л ю ч е н ы ( U s e r C o n f i g u r a t i o n
Settings D i s a b l e d ) В о в р е м я о б н о в л е н и я п о л и т и к п о л ь з о в а т е л я б у д у т
2 6 8 Инфраструктура групповой политики
Глава 6
применяться параметры к о н ф и г у р а ц и и п о л ь з о в а т е л я в о б ъ е к т е G P O . В про-
цессе обновления п о л и т и к и к о м п ь ю т е р а о б р а б о т к а о б ъ е к т а G P O в ы п о л -
няться не будет.
А Ко*®/*. Дейп»* Вия Ою-С Охиок!»
j
* D
Упоадеям гр>ахвой пс-пткон
К о н ф и г у р а ц и я с т а н д а р т н ы х п о л ь з о в а т е л е й
А ontwo.com
В. & Донен*
Область Т«вл*я j Параметрн ] Демгкровэмна j
is Jy contceo.com
Домен oootojocem
••i CONTOSO Кэдоратганл» безопзсносп
CONTOSO Ст^двдт»
Впзйвпеи Аамиялстретер* дом«ие домен?
«V Defadt Oom»i f>afcv
ffi 58 Ooman Confrolerj
Создан 29.10.20083:04.54
Ш 33 Test
Изменен. 2Э.10.2008 13:43:40
it. jQ Tetll
!£ l) Аапмжтратора,
S S L ™ w . 0 ^ : .
КоиФ»»'>Раич1 crtm^x-»опьзс«т<
компьютера
6i .5.1 Юменты
У^иапвиьЛмд. :{1EA>7686-001C45A£-BEOS-B340A2032351}
& ju Севе»
£ Ui,' Объекты групповой ломтики
Состоя»» GPO" j Параметры мямаигдодои компьютера о
К ,."у Лиътрь vwfl
–j MM»«t хр SP2
Комментарий
5 3 объекте: гр«пг>;в>'( гомти
ffi Lj| Сайты
Молеасое»** групповой погитиш
Ц« Результаты футовой политжл
кт~-г : " . >
Рис. 6-16. Вкладка Таблица (Details) обьекта GPO
Состояние G P O можно к о н ф и г у р и р о в а т ь д л я о п т и м и з а ц и и о б р а б о т к и по-
литики. Если G P O содержит, к п р и м е р у , т о л ь к о п а р а м е т р ы к о н ф и г у р а ц и и
пользователя, следует указать д л я этого о б ъ е к т а с о с т о я н и е П а р а м е т р ы к о н ф и -
гурации компьютера о т к л ю ч е н ы ( C o m p u t e r C o n f i g u r a t i o n S e t t i n g s D i s a b l e d ) ,
чтобы клиент групповой п о л и т и к и н е в ы п о л н я л о б р а б о т к у G P O в о в р е м я об-
новления политики компьютера. П о с к о л ь к у э т о т G P O н е с о д е р ж и т п а р а м е т р ы
компьютера, нет необходимости в его о б р а б о т к е , т а к ч т о т а к и м о б р а з о м м о ж н о
сэкономить ресурсы процессора.
ПРИМЕЧАНИЕ Использование отключенных объектов GPO
для восстановления после аварийного отказа
Определите в GPO конфигурацию, которая будет применена в чрезвычайных об-
стоятельствах, при нарушении безопасности или в других а в а р и й н ы х ситуациях,
и свяжите этот GPO для применения к соответствующим пользователям и компью– I
терам. Затем отключите GPO. Когда возникнет необходимость в развертывании
аварийной конфигурации, включите объект G P O .
Нацеливание настройки
Новый узел Настройка (Preferences) в W i n d o w s S e r v e r 2 0 0 8 с о д е р ж и т в с т р о е н -
ный механизм области действия, к о т о р ы й н а з ы в а е т с я нацеливанием па уровень
элемента. В один о б ъ е к т G P O м о ж н о в к л ю ч и т ь м н о г о н а с т р о е к , и к а ж д у ю
настройку можно нацеливать и л и ф и л ь т р о в а т ь . Н а п р и м е р , в ы с о з д а й т е о д и н
объект G P O с настройкой, у к а з ы в а ю щ е й с в о й с т в а п а п к и д л я и н ж е н е р о в , и е щ е
Занятие 2
Управление областью действия групповой политики 2 6 9
одной настройкой, у к а з ы в а ю щ е й свойства папки д л я отдела продаж. Вы можете
н а ц е л и т ь э т и э л е м е н т ы с п о м о щ ь ю г р у п п ы безопасности или подразделения,
а к р о м е того, и с п о л ь з о в а т ь б о л е е д е с я т к а д р у г и х критериев, включая характе-
р и с т и к и о б о р у д о в а н и я и сети, в р е м я и дату, запросы L D A P и многое другое.
ПРИМЕЧАНИЕ Нацеливание настроек в объекте GPO
В одном объекте G P O можно нацелить множество настроек, не используя для этого
несколько объектов G P O . При использовании традиционных политики часто тре-
буется множество объектов G P O , отфильтрованных по отдельным группам, чтобы
можно было варьировать параметры конфигурации.
А н а л о г и ч н о ф и л ь т р а м W M I н а ц е л и в а н и е настроек требует, чтобы клиент-
ское р а с ш и р е н и е C S E в ы п о л н и л о з а п р о с и определило, следует ли применять
параметры в н а с т р о й к е . Н а ц е л и в а н и е на уровень элемента потенциально влияет
на п р о и з в о д и т е л ь н о с т ь – в ч а с т н о с т и , п р и использовании таких опций, как
L D A P – з а п р о с ы , к о т о р ы е о т п р а в л я ю т запрос на контроллер домена для обра-
ботки и о ж и д а ю т р е з у л ь т а т . П р и п р о е к т и р о в а н и и инфраструктуры групповой
п о л и т и к и н у ж н о н а й т и о п т и м а л ь н о е с о о т в е т с т в и е между преимуществами
у п р а в л е н и я к о н ф и г у р а ц и е й с п о м о щ ь ю н а ц е л и в а н и я на уровень элемента
и в л и я н и е м на п р о и з в о д и т е л ь н о с т ь .
Обработка групповой политики
Далее мы б л и ж е о з н а к о м и м с я с к о н ц е п ц и я м и , компонентами и областью дейс-
т в и я г р у п п о в о й п о л и т и к и . Г р у п п о в а я п о л и т и к а применяет конфигурацию,
о п р е д е л е н н у ю о б ъ е к т а м и G P O , о б ъ е к т ы G P O применяются в определенном
п о р я д к е ( с а й т , д о м е н , п о д р а з д е л е н и е ) , объекты G P O , примененные позже,
з а м е н я ю т п а р а м е т р ы , п р и м е н е н н ы е ранее, и поэтому имеют более высокий
п р и о р и т е т . Д а л е е о п и с а н а п о с л е д о в а т е л ь н о с т ь применения параметров объ-
ектов G P O в д о м е н е к к о м п ь ю т е р у и л и пользователю.
1. З а п у с к а е т с я к о м п ь ю т е р и запускается сеть. Запускается служба удаленного
в ы з о в а п р о ц е д у р R P C S S ( R e m o t e Procedure Call System Service) и множес-
т в е н н ы й п о с т а в щ и к у н и в е р с а л ь н ы х имен M U P (Multiple Universal Naming
C o n v e n t i o n P r o v i d e r ) . З а п у с к а е т с я к л и е н т групповой политики.
.2. К л и е н т г р у п п о в о й п о л и т и к и п о л у ч а е т упорядоченный список объектов
G P O , в о б л а с т ь д е й с т в и я к о т о р ы х входит компьютер.
О б ъ е к т ы G P O о б р а б а т ы в а ю т с я так, как они указаны в списке (по умолча-
нию: л о к а л ь н ы е G P O , з а т е м G P O сайта, домена и подразделения).
А. Л о к а л ь н ы е о б ъ е к т ы G P O К а ж д ы й компьютер Windows Server 12003,
W i n d o w s ХР и W i n d o w s 2000 с о д е р ж и т по одному локальному объекту
G P O . К о м п ь ю т е р ы W i n d o w s Vista и Windows Server 2008 содержат мно-
ж е с т в о л о к а л ь н ы х о б ъ е к т о в G P O . Приоритет локального G P O описан
в р а з д е л е « Л о к а л ь н ы е о б ъ е к т ы G P O » (занятие 1).
Б. О б ъ е к т ы G P O с а й т о в Д а л е е в упорядоченный список добавляются
все о б ъ е к т ы G P O , с в я з а н н ы е с сайтом. Если с сайтом (доменом или
п о д р а з д е л е н и е м ) с в я з а н о много объектов G P O , порядок их добавления
270
Инфраструктура групповой политики
Глава 6
в список определяется порядком ссылок, отконфнгурнропапным на вклад-
ке Область (Scope). Самый высокий п р и о р и т е т имеет G P O , к о т о р ы й
указан в списке с минимальным номером (1), п о э т о м у он д о б а в л я е т с я
в конец списка. Таким образом, он будет о б р а б о т а н п о с л е д н и м , а его
параметры заменят параметры ранее п р и м е н е н н ы х о б ъ е к т о в G P O .
В. Объекты G P O домена Порядок добавления в с п и с о к м н о ж е с т в а с в я -
занных объектов G P O определяется п о р я д к о м с с ы л о к .
ПРИМЕЧАНИЕ Связанные с доменом политики не наследуются дочерним доменом
Каждый домен поддерживает индивидуальные ссылки политики. Однако компьюте-
ры в нескольких дочерних доменах могут подпадать под область действия объекта
GPO, связанного с сайтом.
Г. Объекты G P O подразделений О б ъ е к т ы G P O , с в я з а н н ы е с п е р в ы м
подразделением в иерархии Active Directory, д о б а в л я ю т с я в у п о р я -
доченный список перед объектами G P O , с в я з а н н ы м и с его д о ч е р н и м
подразделением, н т. д. В конце списка д о б а в л я ю т с я о б ъ е к т ы G P O ,
связанные с подразделением, содержащим о б ъ е к т к о м п ь ю т е р а . Е с л и с
подразделением связаны несколько г р у п п о в ы х п о л и т и к , о н и д о б а в л я -
ются в порядке ссылок.
Д. Принудительно связанные о б ъ е к т ы G P O О н и д о б а в л я ю т с я в к о н е ц
упорядоченного списка, так что их параметры п р и м е н я ю т с я в к о н ц е про-
цесса обработки и таким образом з а м е н я ю т п а р а м е т р ы о б ъ е к т о в G P O ,
ранее перечисленных в списке и уже обработанных. О т м е т и м , что п р и -
нудительно связанные объекты G P O д о б а в л я ю т с я в с п и с о к в о б р а т н о м
порядке: подразделение, домен, а затем сайт. Э т о следует у ч и т ы в а т ь п р и
применении корпоративных политик безопасности в о б ъ е к т е G P O , к о -
торый принудительно связан с доменом. Этот объект G P O у к а з ы в а е т с я
в конце упорядоченного списка и применяется п о с л е д н и м , в р е з у л ь т а т е
чего его параметры получают приоритет.
3. Выполняется синхронная обработка объектов G P O в п о р я д к е , у к а з а н н о м
в списке. Это означает, что вначале выполняется обработка п а р а м е т р о в в л о -
кальных объектах GPO, после чего обрабатываются о б ъ е к т ы G P O , с в я з а н -
ные с сайтом, доменом и подразделениями, с о д е р ж а щ и м и п о л ь з о в а т е л я и л и
компьютер. Объекты GPO, связанные с подразделением, н е п о с р е д с т в е н н ы м
членом которого является пользователь или к о м п ь ю т е р , о б р а б а т ы в а ю т с я
последними, после чего выполняется обработка п р и н у д и т е л ь н о с в я з а н н ы х
объектов GPO.
При обработке каждого объекта G P O система определяет, с л е д у е т ли п р и -
менять параметры на основе состояния объектов G P O у з л а к о м п ь ю т е р а
(включены или отключены), а также обладает ли к о м п ь ю т е р р а з р е ш е н и е м
на чтение групповой политики (Allow G r o u p Policy). Е с л и к G P O п р и м е -
няется фильтр W M I и на компьютере установлена с и с т е м а не н и ж е W i n -
dows ХР, выполняется запрос, указанный в фильтре.
Занятие 2
Управление областью действия групповой политики
2 7 1
А. Если к системе н у ж н о п р и м е н и т ь о б ъ е к т G P O , к л и е н т с к и е расширения
CSE переключаются в р е ж и м о б р а б о т к и параметров G P O . Параметры по-
литики в объектах G P O з а м е н я т п о л и т и к и ранее п р и м е н е н н ы х объектов
G P O в соответствии с о п р е д е л е н н ы м и п р а в и л а м и ,
• Если п а р а м е т р п о л и т и к и о т к о н ф и г у р и р о в а н ( в к л ю ч е н и л и отключен)
в объекте G P O , с в я з а н н о м с р о д и т е л ь с к и м контейнером, и этот же пара-
метр не задан ( N o t C o n f i g u r e d ) в о б ъ е к т а х G P O , связанных с дочерним
контейнером, то в р е з у л ь т и р у ю щ е м н а б о р е п о л и т и к пользователей и
компьютеров д о ч е р н е г о к о н т е й н е р а будет включен параметр полити-
ки родительского к о н т е й н е р а . Е с л и д л я дочернего контейнера откон-
ф и г у р и р о в а н а о п ц и я б л о к и р о в а н и я н а с л е д о в а н и я (Block Inheritance),
р о д и т е л ь с к и й п а р а м е т р не будет унаследован. Исключением из этого
правила я в л я е т с я п р и н у д и т е л ь н а я ( E n f o r c e d ) связь G P O .
• Если п а р а м е т р п о л и т и к и о т к о н ф и г у р и р о в а н (включен или отключен)
в объекте G P O р о д и т е л ь с к о г о к о н т е й н е р а и этот же параметр откон-
фигурирован в о б ъ е к т а х G P O , с в я з а н н ы х с дочерним контейнером, то
параметр д о ч е р н е г о к о н т е й н е р а з а м е н и т параметр, унаследованный от
родительского к о н т е й н е р а . Е с л и с в я з ь G P O родительского контейне-
ра в к л ю ч е н а п р и н у д и т е л ь н о ( E n f o r c e d ) , приоритет получит параметр
родителя.
• Если п а р а м е т р п о л и т и к и не з а д а н ни в родительском контейнере, ни
в дочернем, то п р и м е н я е т с я параметр, полученный в результате обра-
ботки л о к а л ь н ы х о б ъ е к т о в G P O . Е с л и в л о к а л ь н ы х G P O этот пара-
метр т а к ж е не з а д а й , п р и м е н я е т с я параметр конфигурации Windows
по у м о л ч а н и ю .
5. Когда п о л ь з о в а т е л ь в х о д и т в систему, д л я пользовательских параметров
повторно в ы п о л н я ю т с я ш а г и 2 – 4 . К л и е н т получает упорядоченный спи-
сок объектов G P O , в о б л а с т ь д е й с т в и я к о т о р ы х попадает пользователь,
выполняет с и н х р о н н ы й а н а л и з к а ж д о г о G P O и передает объекты G P O ,
которые н у ж н о п р и м е н и т ь , в с о о т в е т с т в у ю щ и е клиентские расширения
для обработки. Э т о т ш а г м о ж н о м о д и ф и ц и р о в а т ь с помощью опции Режим
обработки з а м ы к а н и я п о л и т и к и п о л ь з о в а т е л я (User Loopback Group Policy
Processing). О б р а б о т к а п о л и т и к и loopback описана в следующем подразделе.
ПРИМЕЧАНИЕ Параметры политики конфигурации компьютера и пользователя
Большинство параметров политики связаны с узлом Конфигурация компьютера
(Computer Configuration) и Конфигурация пользователя (User Configuration). Хотя
во многих ситуациях параметры в узле конфигурации компьютера заменяют пара-
метры в узле конфигурации пользователя, всегда читайте объяснение параметра
политики, чтобы четко понять принцип его использования и результат.
6. Каждые 90—120 мин после запуска компьютера выполняется обновление по-
литики компьютера, а д л я п а р а м е т р о в компьютера повторяются шаги 2 – 4 .
7, Каждый 9 0 ^ 1 2 0 мин после входа пользователя выполняется обновление по-
литики пользователя, а д л я параметров пользователя повторяются шаги 2 – 4 .
272 Инфраструктура групповой политики
Глава 6
ПРИМЕЧАНИЕ Немедленное применение параметров
Хотя большинство параметров используются во время фонового обновления поли-
тики, некоторые клиентские расширения CSE не задействуют параметр до следу-
ющего запуска или входа пользователя. Например, новые добавленные политики
сценариев запуска н входа не применяются до следующего запуска компьютера
или входа пользователя. Установка программного обеспечения, описанная в главе 7,
выполняется при следующем запуске, если установка программ задана в парамет-
рах конфигурации компьютера. Изменения политик перенаправления папки будут
применены при следующем входе пользователя.
Обработка замыкания политики
По умолчанию параметры пользователя и з в л е к а ю т с я из о б ъ е к т о в G P O , в об-
ласть действия которых включен объект п о л ь з о в а т е л я в Active Directory. Н е -
зависимо от компьютера, на который входит п о л ь з о в а т е л ь , р е з у л ь т и р у ю щ и й
набор политик, определяющих среду пользователя, о с т а е т с я н е и з м е н н ы м . Тем
не менее в некоторых ситуациях может потребоваться к о н ф и г у р и р о в а т ь сре-
ду пользователя в зависимости от компьютера, на к о т о р о м он в х о д и т в д о -
мен. Например, вы можете блокировать и с т а н д а р т и з и р о в а т ь р а б о ч и е с т о л ы
пользователей, которые входят на компьютеры в п л о т н о у п р а в л я е м ы х средах,
таких как конференц-залы, зоны приема, л а б о р а т о р и и , а у д и т о р и и и к и о с к и .
Представим сценарий, в котором нужно о т к о н ф и г у р и р о в а т ь с т а н д а р т н о е к о р -
поративное визуальное оформление рабочего стола W i n d o w s на в с е х к о м п ь ю -
терах в конфереиц-залах и других общественных местах о ф и с а . К а к и м о б р а з о м
централизованно управлять такой конфигурацией с п о м о щ ь ю г р у п п о в о й п о л и -
тики? Параметры политики, к о н ф и г у р и р у ю щ и е о ф о р м л е н и е р а б о ч е г о стола,
находятся в узле Конфигурация пользователя ( U s e r C o n f i g u r a t i o n ) о б ъ е к т а
групповой политики. Поэтому по умолчанию эти п а р а м е т р ы п р и м е н я ю т с я к
пользователям независимо от компьютера, на к о т о р о м о н и в х о д я т в д о м е н .
Обработка политики по умолчанию не позволяет п р и м е н и т ь п а р а м е т р ы п о л ь -
зователей к компьютерам, на которых пользователи в х о д я т в сеть. Д л я этого
используется обработка замыкания политики.
Обработка замыкания политики изменяет алгоритм, по у м о л ч а н и ю и с п о л ь -
зуемый клиентом групповой политики д л я п о л у ч е н и я у п о р я д о ч е н н о г о с п и с -
ка объектов GPO, которые нужно применить к к о н ф и г у р а ц и и п о л ь з о в а т е л я .
Вместо использования узла Конфигурация п о л ь з о в а т е л я ( U s e r C o n f i g u r a t i o n )
в объектах GPO, применяемых к пользователю, к о н ф и г у р а ц и ю п о л ь з о в а т е л е й
можно определять с помощью политик узла К о н ф и г у р а ц и я п о л ь з о в а т е л я объ-
ектов GPO, которые применяются к объекту компьютера.
Для политики Режим обработки з а м ы к а н и я п о л ь з о в а т е л ь с к о й г р у п п о в о й
политики (User Group Policy Loopback Processing M o d e ) в п а п к е К о н ф и г у р а -
ция компыотераПолитикиАдминистративные ш а б л о н ы С и с т е м а Г р у п п о в а я
политика (Computer ConfigurationPoliciesAdministrative T e m p l a t e s S y s t e m
Group Policy) редактора управления г р у п п о в ы м и п о л и т и к а м и G P M E м о ж н о
назначить опции Не задан (Not Configured), В к л ю ч е н ( E n a b l e d ) и О т к л ю ч е н
Занятие 2
Управление областью действия групповой политики
2 7 3
(Disabled). В к л ю ч и в э т у п о л и т и к у , в ы м о ж е т е з а д а т ь д л я нее р е ж и м З а м е н а
(Replace) и л и С л и я н и е ( M e r g e ) .
ш З а м е н а ( R e p l a c e ) П р и и с п о л ь з о в а н и и этого р е ж и м а с п и с о к объектов G P O
для п о л ь з о в а т е л я ( п о л у ч е н н ы й в р е з у л ь т а т е в ы п о л н е н и я шага 5, указанного
в п о д р а з д е л е « О б р а б о т к а г р у п п о в о й п о л и т и к и » ) п о л н о с т ь ю з а м е н я е т с я
списком G P O , п о л у ч е н н ы м д л я к о м п ь ю т е р а в о в р е м я его запуска ( ш а г 2).
К п о л ь з о в а т е л ю п р и м е н я ю т с я п а р а м е т р ы п о л и т и к в у з л е к о н ф и г у р а ц и и
п о л ь з о в а т е л я о б ъ е к т а G P O к о м п ь ю т е р а . Р е ж и м з а м е н ы у д о б н о и с п о л ь -
зовать в а у д и т о р и я х , где п о л ь з о в а т е л и д о л ж н ы р а б о т а т ь со стандартной
конфигурацией (в о т л и ч и е от п о л ь з о в а т е л е й в н е у п р а в л я е м ы х средах).
• С л и я н и е ( M e r g e ) П р и и с п о л ь з о в а н и и э т о г о р е ж и м а с п и с о к о б ъ е к т о в
G P O , п о л у ч е н н ы й д л я к о м п ь ю т е р а в о в р е м я его з а п у с к а ( ш а г 2 , подраздел
«Обработка г р у п п о в о й п о л и т и к и » ) , п р и к р е п л я е т с я к списку объектов G P O ,
п о л у ч е н н о м у д л я п о л ь з о в а т е л я п р и его в х о д е ( ш а г 5). П о с к о л ь к у список
G P O , п о л у ч е н н ы й д л я к о м п ь ю т е р а , п р и м е н я е т с я позже, п а р а м е т р ы объек-
тов G P O в с п и с к е д л я к о м п ь ю т е р а и м е ю т п р и о р и т е т и з а м е н я ю т парамет-
р ы G P O п о л ь з о в а т е л я . Э т о т р е ж и м у д о б н о и с п о л ь з о в а т ь д л я п р и м е н е н и я
дополнительных параметров к т и п и ч н о й к о н ф и г у р а ц и и пользователя. Н а -
пример, в ы м о ж е т е р а з р е ш и т ь п о л ь з о в а т е л ю п о л у ч а т ь свою т и п и ч н у ю кон-
ф и г у р а ц и ю п р и в х о д е на к о м п ь ю т е р в к о н ф е р е н ц – з а л е и л и области приема,
однако п р и э т о м з а м е н и т ь о б о и с т а н д а р т н ы м и з о б р а ж е н и е м и отключить
о п р е д е л е н н ы е п р и л о ж е н и я и л и у с т р о й с т в а .
СОВЕТ К ЭКЗАМЕНУ
В темы сертификационного экзамена 7 0 – 6 4 0 могут быть включены вопросы, связан-
ные с областью действия групповой политики. Некоторые вопросы о технических
деталях параметра п о л и т и к и на самом деле предназначены для тестирования вашего
умения включать в область действия параметра политики соответствуюище системы.
Поэтому, получая вопросы о групповой политике, определите вначале, с чем связан
вопрос: с конкретным п а р а м е т р о м политики или с областью его действия.
Практические занятия. Настройка области действия
групповой политики
В п р е д л о ж е н н ы х у п р а ж н е н и я х вы п р о д о л ж и т е с ц е н а р и й , н а ч а т ы й с с о з д а н и я
и настройки GP О на з а н я т и и 1, и о п р е д е л и т е о б л а с т ь д е й с т в и я г р у п п о в о й
политики. Н о п р е ж д е н е о б х о д и м о в ы п о л н и т ь у п р а ж н е н и я з а н я т и я 1 .
Упражнение 1. Создание объекта GPO с приоритетным параметром политики
Представим, что в ы я в л я е т е с ь а д м и н и с т р а т о р о м д о м е н а contoso.com. О б ъ е к т
групповой п о л и т и к и C O N T O S O С т а н д а р т ы , с в я з а н н ы й с д о м е н о м , к о н ф и -
гурирует п а р а м е т р п о л и т и к и , к о т о р о м у т р е б у е т с я д е с я т и м и н у т н ы й т а й м а у т
экранной заставки. Н е к о е к р и т и ч е с к и в а ж н о е п р и л о ж е н и е , в ы п о л н я ю щ е е длин-
ный процесс в ы ч и с л е н и й , в ы л е т а е т п р и з а п у с к е э к р а н н о й з а с т а в к и , поэтому
инженер п о п р о с и л о т к л ю ч и т ь э к р а н н у ю з а с т а в к у д л я тех, кто е ж е д н е в н о ис-
пользует это п р и л о ж е н и е .
274 Инфраструктура групповой политики
Глава 6
1. Войдите на машину SERVER01 как администратор.
2. Откройте оснастку Active Directory – пользователи п к о м п ь ю т е р ы ( A c t i v e
Directory Users And Computers) и создайте п о д р а з д е л е н и е п е р в о г о у р о в н я
Кадры с дочерним подразделением И н ж е н е р ы .
3. Откройте консоль Управление групповой п о л и т и к о й ( G r o u p Policy M a n a -
gement).
4. Щелкните правой кнопкой мыши подразделение И н ж е н е р ы ( E n g i n e e r s )
и выполните команду Создать объект G P O в э т о м д о м е н е и с в я з а т ь его
(Create A GPO In This Domain, And Link It H e r e ) .
5. Введите имя Параметры политики инженеров и щ е л к н и т е О К .
6. Разверните подразделение Инженеры (Engineers), щ е л к н и т е п р а в о й к н о п -
кой мыши объект G P O и выполните команду И з м е н и т ь ( E d i t ) .
7. Разверните папку Конфигурация п о л ь з о в а т е л я П о л и т и к и А д м и н и с т р а т и в -
ные шаблоныПанель у п р а в л е н и я О к н о свойств э к р а н а ( U s e r C o n f i g u r a -
tionPoliciesAdministrative TemplatesControl P a n e l D i s p l a y ) .
8. Дважды щелкните параметр политики Таймаут э к р а н н о й з а с т а в к и ( S c r e e n
Saver Timeout).
9. Щелкните опцию Отключен (Disabled), а затем О К .
10. Закройте редактор G P M E .
11. В консоли управления групповой политикой G P M C в ы б е р и т е п о д р а з д е л е -
ние Инженеры (Engineers) и перейдите на вкладку Н а с л е д о в а н и е г р у п п о в о й
политики (Group Policy Inheritance).
12. Объект GPO Параметры политики инженеров д о л ж е н п р е в а л и р о в а т ь н а д
объектом групповой политики C O N T O S O С т а н д а р т ы .
Отконфнгурированный параметр, явно о т к л ю ч а ю щ и й э к р а н н у ю заставку,
заменит параметр в объекте групповой п о л и т и к и C O N T O S O С т а н д а р т ы .
