355 500 произведений, 25 200 авторов.

Электронная библиотека книг » Dan Holme » Настройка Active Directory. Windows Server 2008 » Текст книги (страница 28)
Настройка Active Directory. Windows Server 2008
  • Текст добавлен: 8 октября 2016, 16:34

Текст книги "Настройка Active Directory. Windows Server 2008"


Автор книги: Dan Holme


Соавторы: Danielle Ruest,Nelson Ruest

Жанр:

   

ОС и Сети


сообщить о нарушении

Текущая страница: 28 (всего у книги 91 страниц)

Упражнение 2. Настройка принудительной связи

Необходимо максимально ускорить процесс п о л у ч е н и я и з м е н е н и й г р у п п о в о й

политики всеми системами, и вы принимаете р е ш е н и е о т к о н ф и г у р и р о в а т ь

параметр Всегда ждать сеть при запуске и входе в с и с т е м у ( A l w a y s W a i t F o r

Network At Startup And Logon), описанный на з а н я т и и 1. А д м и н и с т р а т о р ы не

должны изменять эту политику; политика должна п р и н у д и т е л ь н о п р и м е н я т ь с я

ко всем системам.

1. В консоли управления групповой п о л и т и к о й G P M C щ е л к н и т е п р а в о й

кнопкой мыши домен contoso.com и в ы п о л н и т е к о м а н д у С о з д а т ь о б ъ е к т

G P O в этом домене и связать его ( C r e a t e A G P O In T h i s D o m a i n And Link

It Here).

2. Введите имя Принудительные политики домена и щ е л к н и т е О К .

3. Щелкните правой кнопкой мыши объект G P O и в ы п о л н и т е к о м а н д у И з м е -

нить (Edit).

Занятие 2

Управление областью действия групповой политики 2 7 5

4 . Разверните п а п к у К о н ф и г у р а ц и я п о л ь з о в а т е л я П о л и т и к и А д м и н и с т р а -

тнвные ш а б л о н ы С и с т е м а В х о д в с и с т е м у ( U s e r C o n f i g u r a t i o n P o l i c i e s

Administrative T e m p l a t e s S y s t e m L o g o n ) .

5. Дважды щ е л к н и т е п а р а м е т р п о л и т и к и В с е г д а ж д а т ь сеть п р и запуске и вхо-

д е в систему ( A l w a y s W a i t F o r N e t w o r k A t S t a r t u p A n d Logon).

6. Выберите о п ц и ю В к л ю ч е н ( E n a b l e d ) и щ е л к н и т е О К .

7 . Закройте р е д а к т о р G P M E .

8 . Щелкните п р а в о й к н о п к о й м ы п ш о б ъ е к т G P O П р и н у д и т е л ь н ы е п о л и т и к и

домена и у с т а н о в и т е ф л а ж о к П р и н у д и т е л ь н ы й ( E n f o r c e d ) .

9. Выберите п о д р а з д е л е н и е И н ж е н е р ы и п е р е й д и т е на в к л а д к у Наследование

групповой п о л и т и к и ( G r o u p P o l i c y I n h e r i t a n c e ) .

П р и н у д и т е л ь н о с в я з а н н ы й о б ъ е к т G P O б у д е т п р е в а л и р о в а т ь д а ж е над

объектами G P O , н е п о с р е д с т в е н н о с в я з а н н ы м и с п о д р а з д е л е н и е м И н ж е -

неры ( E n g i n e e r s ) . П а р а м е т р ы т а к и х о б ъ е к т о в G P O н е з а м е н я т параметров

п р и н у д и т е л ь н о с в я з а н н о г о о б ъ е к т а G P O .

Упражнение 3. Настройка фильтров безопасности

С о временем в ы о б н а р у ж и в а е т е , ч т о н е б о л ь ш о е ч и с л о п о л ь з о в а т е л е й н у ж н о

освободить о т п о л и т и к и т а й м а у т а э к р а н н о й заставки, к о н ф и г у р и р у е м о й объек-

том C O N T O S O С т а н д а р т ы . З а м е н а п а р а м е т р о в непрактична, и вы используете

фильтры б е з о п а с н о с т и д л я у п р а в л е н и я о б л а с т ь ю д е й с т в и я G P O .

1. Откройте о с н а с т к у A c t i v e D i r e c t o r y – п о л ь з о в а т е л и и компьютеры (Active

Directory U s e r s A n d C o m p u t e r s ) , с о з д а й т е п о д р а з д е л е н и е Группы, а в этом

п о д р а з д е л е н и и – г л о б а л ь н у ю г р у п п у б е з о п а с н о с т и с и м е н е м Исключе-

ния G P O _ C O N T O S O _ C T a H f l a p T b i .

2 . В к о н с о л и у п р а в л е н и я г р у п п о в о й п о л и т и к о й G P M C выберите контейнер

Объекты г р у п п о в о й п о л и т и к и ( G r o u p P o l i c y O b j e c t s ) .

3 . Щелкните п р а в о й к н о п к о й м ы ш и о б ъ е к т G P O П а р а м е т р ы п о л и т и к и ин-

женеров и в ы п о л н и т е к о м а н д у У д а л и т ь ( D e l e t e ) . П о д т в е р д и т ь удаление,

щелкнув Д а (Yes).

4. В контейнере О б ъ е к т ы г р у п п о в о й п о л и т и к и ( G r o u p Policy O b j e c t s ) выбе-

рите объект C O N T O S O С т а н д а р т ы .

5. Перейдите на в к л а д к у Д е л е г и р о в а н и е ( D e l e g a t i o n ) .

6 . Щелкните к н о п к у Д о п о л н и т е л ь н о ( A d v a n c e d ) .

7. В диалогом о к н е П а р а м е т р ы б е з о п а с н о с т и ( S e c u r i t y S e t t i n g s ) щ е л к н и т е

Добавить ( A d d ) .

8. Введите и м я г р у п п ы и щ е л к н и т е О К .

9. В списке р а з р е ш е н и й н а й д и т е р а з р е ш е н и е П р и м е н и т ь групповую политику

(Apply G r o u p P o l i c y ) и у с т а н о в и т е ф л а ж о к З а п р е т и т ь ( D e n y ) . З а т е м щел-

кните О К .

10. Для того ч т о б ы п о д т в е р д и т ь и з м е н е н и е , щ е л к н и т е к н о п к у Да (Yes).

276 Инфраструктура групповой политики

Глава 6

11. Просмотрите запись на вкладке Делегирование ( D e l e g a t i o n ) в с т о л б ц е Р а з -

решено (Allowed Permissions) группы И с к л ю ч е н и я G P O _ C O N T O S O _

Стандарты.

12. Перейдите на вкладку Область (Scope) и проанализируйте с е к ц и ю Ф и л ь т р ы

безопасности (Security Filtering).

По умолчанию в фильтрах безопасности нового G P O г р у п п а П р о ш е д ш и е

проверку (Authenticated Users) обладает р а з р е ш е н и е м П р и м е н и т ь г р у п п о -

вую политику (Apply Group Policy), чтобы все пользователи и к о м п ь ю т е р ы

в области действия G P O могли применять параметры этого G P O . Вы о т к о н -

фнгурнровалн группу с запретом чтения групповой п о л и т и к и ( D e n y Apply

Group Policy), который заменяет разрешение (Allow). Ч т о б ы о с в о б о д и т ь

пользователя от политики объекта C O N T O S O С т а н д а р т ы , м о ж н о п р о с т о

добавить его в группу.

Упражнение 4. Обработка замыкания политики

Недавно один из менеджеров по продажам Contoso, Ltd п о к а з а л п р е з е н т а ц и ю

важному клиенту на своем компьютере, на рабочем столе которого б ы л а н е п р и -

стойная картинка. Руководство Contoso, Ltd п о п р о с и л о в а с с д е л а т ь так, ч т о б ы

рабочие столы ноутбуков менеджеров по п р о д а ж а м не с о д е р ж а л и ф о н о в ы х

рисунков. Это необязательно делать для рабочих столов м е н е д ж е р о в , когда о н и

входят на настольные компьютеры в офисе. П о с к о л ь к у п а р а м е т р ы п о л и т и к и ,

управляющие фоновым рисунком рабочего стола, о т н о с я т с я к к о н ф и г у р а ц и и

пользователя, а вам нужно применить п а р а м е т р ы к н о у т б у к а м м е н е д ж е р о в

по продажам, требуется использовать обработку п о л и т и к и з а м ы к а н и я . К р о м е

того, объекты ноутбуков менеджеров по п р о д а ж а м р а с п р е д е л е н ы по н е с к о л ь -

ким подразделениям, и вы используете ф и л ь т р ы б е з о п а с н о с т и , к о т о р ы е объ-

ект GPO применит к группе, а не к подразделению н о у т б у к о в м е н е д ж е р о в по

продажам.

1. Откройте оснастку Active Directory – п о л ь з о в а т е л и и к о м п ь ю т е р ы ( A c t i v e

Directory Users And Computers) и в п о д р а з д е л е н и и Группы с о з д а й т е гло-

бальную группу безопасности с именем Н о у т б у к и отдела п р о д а ж . К р о м е

того, создайте подразделение Клиенты для объектов к о м п ь ю т е р о в к л и е н т о в .

2. В консоли управления групповой политикой G P M C щ е л к н и т е п р а в о й к н о п -

кой мыши контейнер Объекты групповой п о л и т и к и ( G r o u p P o l i c y O b j e c t s )

и выполните команду Создать (New).

3. В поле Имя (Name) введите имя Конфигурация ноутбуков отдела продаж

и щелкните ОК.

4. Щелкните правой кнопкой мыши G P O и в ы п о л н и т е к о м а н д у И з м е н и т ь

(Edit).

5. Разверните папку Конфигурация п о л ь з о в а т е л я П о л и т и к и А д м и н и с т р а -

тивные шаблоныРабочий столРабочий стол ( U s e r C o n f i g u r a t i o n P o l i c i e s

Administrative TemplatesDesktopDesktop).

6. Дважды щелкните параметр политики Ф о н о в ы е р и с у н к и р а б о ч е г о с т о л а

(Desktop Wallpaper).

Занятие 2

Управление областью действия групповой политики

2 7 7

7. Перейдите на в к л а д к у О б ъ я с н е н и е ( E x p l a i n ) и п р о ч и т а й т е текст объяснения.

8. Перейдите на в к л а д к у К о м м е н т а р и й ( C o m m e n t ) и в в е д и т е т е к с т Корпора-

тивные стандарты фоновых рисунков ноутбуков отдела продаж.

9. Перейдите на в к л а д к у П а р а м е т р ( S e t t i n g ) .

10. Щ е л к н и т е о п ц и ю В к л ю ч е н ( E n a b l e d ) .

11. В поле И м я ф о н о в о г о р и с у н к а ( W a l l p a p e r N a m e ) в в е д и т е путь c : w i n d o w s

w e b W a l l p a p e r s e r v e r . j p g . Щ е л к н и т е О К .

12. Разверните п а п к у К о н ф и г у р а ц и я к о м п ы о т е р а П о л и т и к и А д м и н и с т р а т и в н ы е

ш а б л о н ы С и с т е м а Г р у п п о в а я п о л и т и к а ( C o m p u t e r C o n f i g u r a t i o n P o l i c i e s

Administrative T e m p l a t e s S y s t e m G r o u p P o l i c y ) .

13. Дважды щ е л к н и т е п а р а м е т р п о л и т и к и Р е ж и м о б р а б о т к и з а м ы к а н и я поль-

зовательской г р у п п о в о й п о л и т и к и ( U s e r G r o u p P o l i c y L o o p b a c k Processing

Mode).

U. Щ е л к н и т е о п ц и ю В к л ю ч е н ( E n a b l e d ) и в р а с к р ы в а ю щ е м с я с п и с к е Р е ж и м

( M o d e ) в ы б е р и т е р е ж и м С л и я н и е ( M e r g e ) .

15. Щ е л к н и т е О К и з а к р о й т е р е д а к т о р G P M E .

16. В консоли у п р а в л е н и я г р у п п о в о й п о л и т и к о й G P M C выберите в контейнере

Объекты г р у п п о в о й п о л и т и к и ( G r o u p Policy O b j e c t s ) объект Конфигурация

ноутбуков о т д е л а п р о д а ж .

17. Н а в к л а д к е О б л а с т ь ( S c o p e ) в с е к ц и и Ф и л ь т р ы б е з о п а с н о с т и ( S e c u r i t y

Filtering) в ы б е р и т е г р у п п у П р о ш е д ш и е п р о в е р к у ( A u t h e n t i c a t e d Users)

и щ е л к н и т е к н о п к у У д а л и т ь ( R e m o v e ) . П о д т в е р д и т ь удаление, щелкнув.

18. В с е к ц и и Ф и л ь т р ы б е з о п а с н о с т и ( S e c u r i t y F i l t e r i n g ) щ е л к н и т е Д о б а в и т ь

(Add).

19. Введите и м я г р у п п ы Ноутбуки отдела продаж и щ е л к н и т е О К .

20. Щ е л к н и т е п р а в о й к н о п к о й м ы ш и п о д р а з д е л е н и е К л и е н т ы и в ы п о л н и т е

команду С в я з а т ь с у щ е с т в у ю щ и й о б ъ е к т G P O ( L i n k A n Existing G P O ) .

21. Выберите о б ъ е к т г р у п п о в о й п о л и т и к и К о н ф и г у р а ц и я н о у т б у к о в отдела

продаж и щ е л к н и т е О К .

Вы п о л у ч и л и о б ъ е к т G P O с ф и л ь т р о м , к о т о р ы й п р и м е н я е т с я т о л ь к о к объ-

ектам в г р у п п е Н о у т б у к и о т д е л а п р о д а ж . Вы м о ж е т е д о б а в и т ь в эту группу

объекты к о м п ь ю т е р о в д л я о т д е л а п р о д а ж , ч т о б ы э т и н о у т б у к и подпадали

под область д е й с т в и я G P O . О б ъ е к т G P O к о н ф и г у р и р у е т н а ноутбуке обра-

ботку з а м ы к а н и я п о л и т и к и в р е ж и м е с л и я н и я ( M e r g e ) . Когда пользователь

входит н а т а к о й н о у т б у к , п р и м е н я ю т с я п о л ь з о в а т е л ь с к и е п а р а м е т р ы кон-

фигурации, а з а т е м к к о м п ь ю т е р у п р и м е н я ю т с я п а р а м е т р ы к о н ф и г у р а ц и и

пользователя в о б ъ е к т а х G P O , п о д о б л а с т ь д е й с т в и я к о т о р о г о подпадает

компьютер, в к л ю ч а я о б ъ е к т К о н ф и г у р а ц и я н о у т б у к о в о т д е л а продаж.

Резюме

• Н а ч а л ь н а я о б л а с т ь д е й с т в и я о б ъ е к т а г р у п п о в о й п о л и т и к и ( G P O ) устанав-

ливается п о с р е д с т в о м с в я з е й G P O . О б ъ е к т G P O м о ж н о с в я з а т ь с о д н и м

2 7 8 Инфраструктура групповой политики

Глава 6

или несколькими сайтами, доменами и подразделениями. Область действия

GPO корректируется с помощью фильтров безопасности и W M I .

• Клиентские расширения CSE применяют о б ъ е к т ы G P O в с л е д у ю щ е м по-

рядке: локальные GPO; объекты G P O , связанные с сайтом, где пользователь

или компьютер входит в домен; объекты G P O , с в я з а н н ы е с д о м е н о м поль-

зователя или компьютера; объекты G P O , с в я з а н н ы е с п о д р а з д е л е н и я м и .

Результатом такого принципа применения п а р а м е т р о в п о л и т и к и я в л я е т с я

наследование политики.

м Наследование политики можно блокировать с п о м о щ ь ю о п ц и и Б л о к и р о в а т ь

наследование (Block Inheritance) домена и л и п о д р а з д е л е н и я .

• Объект G P O можно связать принудительно. П а р а м е т р ы в п р и н у д и т е л ь н о

связанных G P O применяются к компьютерам и п о л ь з о в а т е л я м в области

действия GPO, даже если для них задано блокирование н а с л е д о в а н и я поли-

тики. Кроме того, параметры политики в п р и н у д и т е л ь н о с в я з а н н о м объекте

GPO имеют приоритет и заменяют параметры к о н ф и г у р а ц и и .

• С помощью фильтров безопасности можно указать группы, к к о т о р ы м будет

применяться объект GPO, или группы, и с к л ю ч е н н ы е из о б л а с т и д е й с т в и я

GPO. Фильтрацию G P O можно в ы п о л н я т ь т о л ь к о д л я г л о б а л ь н ы х групп

безопасности.

• В стандартном процессе обработки п о л и т и к и п р и о б н о в л е н и и п о л и т и к и

пользователя (при входе в систему и к а ж д ы е п о с л е д у ю щ и е 9 0 – 1 2 0 м и н )

система применяет параметры политики к о н ф и г у р а ц и и п о л ь з о в а т е л я из

объектов GPO, в область действия которых в к л ю ч е н п о л ь з о в а т е л ь .

ш Режим обработки замыкания политики изменяет п р и н ц и п п р и м е н е н и я объ-

ектов GPO во время обновления политики пользователя. В р е ж и м е с л и я н и я

(Merge) после применения параметров из объектов G P O , в область действия

которых включен пользователь, система и с п о л ь з у е т п а р а м е т р ы п о л и т и к и

из объектов GPO, в область действия к о т о р ы х п о п а д а е т к о м п ь ю т е р . Э т и

параметры заменяют конфликтующие параметры из о б ъ е к т о в G P O пользо-

вателя. В режиме замены (Replace) обработки з а м ы к а н и я п о л и т и к и вместо

пользовательских параметров к о н ф и г у р а ц и и и з о б ъ е к т о в G P O вошедшего

пользователя применяются только параметры к о н ф и г у р а ц и и пользователя

из объектов GPO, в область действия к о т о р ы х в к л ю ч е н к о м п ь ю т е р .

Закрепление материала

Для проверки знаний, полученных на з а н я т и и 2, и с п о л ь з у й т е п р и в е д е н н ы е

ниже вопросы, которые есть и на сопроводительном к о м п а к т – д и с к е .

ПРИМЕЧАНИЕ Ответы

Ответы на эти вопросы с пояснениями, почему тот или иной вариант ответа является

правильным или неправильным, вы найдете в разделе «Ответы» в конце книги.

1. Вам нужно развернуть объект G P O с именем N o r t h w i n d Lockdown, который

применяет конфигурацию ко всем п о л ь з о в а т е л я м в к о м п а н и и Northwind

Занятие 3

Поддержка групповой политики 2 7 9

T r a d e r s . О д н а к о э т и п а р а м е т р ы н е д о л ж н ы п р и м е н я т ь с я к членам группы

А д м и н и с т р а т о р ы д о м е н а ( D o m a i n A d m i n s ) . К а к в ы п о л н и т ь эту задачу?

1 А . С в я з а т ь о б ъ е к т N o r t h w i n d L o c k d o w n с д о м е н о м , а зате м щ е л к н у т ь доме н

I п р а в о й к н о п к о й м ы ш и и в ы п о л н и т ь к о м а н д у Б л о к и р о в а т ь наследование

( B l o c k I n h e r i t a n c e ) .

Б. С в я з а т ь о б ъ е к т N o r t h w i n d L o c k d o w n с д о м е н о м , щ е л к н у т ь правой кноп-

к о й м ы ш и п о д р а з д е л е н и е , с о д е р ж а щ е е у ч е т н ы е з а п и с и всех пользова-

т е л е й г р у п п ы А д м и н и с т р а т о р ы д о м е н а ( D o m a i n Admins), и в ы п о л н и т ь

к о м а н д у Б л о к и р о в а т ь н а с л е д о в а н и е ( B l o c k I n h e r i t a n c e ) .

В. С в я з а т ь о б ъ е к т N o r t h w i n d L o c k d o w n с д о м е н о м , а з а т е м д л я группы

А д м и н и с т р а т о р ы д о м е н а з а п р е т и т ь п р и м е н е н и е г р у п п о в о й п о л и т и к и

( D e n y A p p l y G r o u p P o l i c y ) .

Г. С в я з а т ь N o r t h w i n d L o c k d o w n с д о м е н о м , а з а т е м о т к о н ф и г у р и р о в а т ь

ф и л ь т р ы б е з о п а с н о с т и д л я п р и м е н е н и я G P O к г р у п п е П о л ь з о в а т е л и

д о м е н а ( D o m a i n U s e r s ) .

2 . В а м н у ж н о с о з д а т ь с т а н д а р т н у ю б л о к и р о в к у рабочего стола д л я пользо-

в а т е л е й , к о г д а о н и в х о д я т па к о м п ь ю т е р ы в к о н ф е р е н ц – з а л а х и учебных

а у д и т о р и я х к о м п а н и и . В ы с о з д а л и о б ъ е к т G P O с и м е н е м Public C o m p u -

t e r C o n f i g u r a t i o n и о г р а н и ч е н и я м и р а б о ч е г о стола, о п р е д е л е н н ы м и в у з л е

К о н ф и г у р а ц и я п о л ь з о в а т е л я ( U s e r C o n f i g u r a t i o n ) . К а к и е д о п о л н и т е л ь н ы е

д е й с т в и я н у ж н о в ы п о л н и т ь ? ( У к а ж и т е в с е в а р и а н т ы . К а ж д ы й п р а в и л ь н ы й

ответ я в л я е т с я л и ш ь ч а с т ь ю п о л н о г о р е ш е н и я . )

A . В к л ю ч и т ь п а р а м е т р п о л и т и к и Р е ж и м о б р а б о т к и з а м ы к а н и я пользова-

т е л ь с к о й г р у п п о в о й п о л и т и к и ( U s e r G r o u p Policy Loopback Processing

M o d e ) .

Б . С в я з а т ь G P O с п о д р а з д е л е н и е м , с о д е р ж а щ и м у ч е т н ы е записи пользо-

в а т е л е й .

B. Б л о к и р о в а т ь н а с л е д о в а н и е в п о д р а з д е л е н и и , содержащем компьютеры

к о н ф е р е н ц – з а л а и у ч е б н ы х а у д и т о р и й .

Г. С в я з а т ь G P O с п о д р а з д е л е н и е м , с о д е р ж а щ и м к о м п ь ю т е р ы конференц-

з а л а и у ч е б н ы х а у д и т о р и й .

Занятие 3. Поддержка групповой политики

Б ы в а е т так, ч т о п р и м е н е н и е г р у п п о в о й п о л и т и к и д о в о л ь н о сложно анализиро-

вать с у ч е т о м в з а и м о д е й с т в и я м н о ж е с т в а п а р а м е т р о в во множестве объектов

G P O , о б л а с т ь д е й с т в и я к о т о р ы х о п р е д е л е н а с п о м о щ ь ю р а з л и ч н ы х методов. Вы

д о л ж н ы б ы т ь г о т о в ы э ф ф е к т и в н о о ц е н и т ь и у с т р а н и т ь н е п о л а д к и р е а л и з а ц и и

г р у п п о в о й п о л и т и к и , ч т о б ы и д е н т и ф и ц и р о в а т ь п о т е н ц и а л ь н ы е п р о б л е м ы еще

до того, к а к о н и п р и в е д у т к н е о б р а т и м ы м п о с л е д с т в и я м . К о р п о р а ц и я Microsoft

п р е д о с т а в л я е т д в а с р е д с т в а , н е о б х о д и м ы е д л я п о д д е р ж к и групповой п о л и т и к и :

Р е з у л ь т и р у ю щ и й н а б о р п о л и т и к R S O P ( R e s u l t a n t Set o f Policy) и о п е р а ц и о н -

ные ж у р н а л ы г р у п п о в о й п о л и т и к и . Н а этом з а н я т и и м ы обсудим и с п о л ь з о в а н и е

этих с р е д с т в д л я у с т р а н е н и я н е п о л а д о к и п о д д е р ж к и г р у п п о в о й п о л и т и к и .

280 Инфраструктура групповой политики

Глава 6

Изучив материал этого занятия, вы сможете:

S Анализировать набор объектов GPO, применяемых к пользователю или ком– '

пыотеру.

S Предварительно моделировать влияние групповой политики или изменений

Active Directory и результирующей политике.

S Локализовать журналы, содержащие события групповой политики.

Продолжительность занятия – около 30 мин.

Результирующая политика

На занятии 2 мы говорили, что пользователь или компьютер может быть вклю-

чен в область действия множества объектов GPO. С учетом наследования,

фильтров и исключения групповой политики становится довольно сложно

определить применяемые параметры политики. Результирующая политика

RSoP (Resultant Set of Policy) представляет сетевой результат применения

объектов GPO к пользователю или компьютеру с учетом связей G P O , исклю-

чений (например, принудительная связь или блокирование наследования),

а также фильтров безопасности и WMI. Результирующая политика RSoP также

представляет коллекцию инструментов, с помощью которых можно оценивать,

моделировать и устранять неполадки применения параметров групповой по-

литики. Результирующая политика RSoP запрашивает локальный или удален-

ный компьютер и извлекает точные параметры, примененные к компьютеру

и любому пользователю, который вошел на компьютер. Политика R S o P также

может моделировать параметры политики, которые планируется применять к

пользователю или компьютеру в различных сценариях, включая перемещение

объекта между подразделениями или сайтами или изменение членства объекта

в группах. С такими возможностями инструменты RSoP позволяют управлять

конфликтами политик и устранять их.

В Windows Server 2008 включены следующие инструменты для выполнения

анализа RSoP:

• Мастер результатов групповой политики (Group Policy Results Wizard);

• Мастер моделирования групповой политики ( Group Policy Modeling Wizard);

• утилита Gpresult.exe.

Генерирование отчетов RSoP с помощью мастера результатов

групповой политики

Для анализа общего результата применения объектов G P O и параметров поли-

тики к пользователю и компьютеру организации в консоль Управление груп-

повой политикой (Group Policy Management) включен Мастер результатов

групповой политики (Group Policy Results Wizard), предназначенный д л я того,

чтобы точно определять параметры применяемой к пользователю или компью-

теру политики и причины применения тех или иных параметров.

Мастер результатов групповой политики может просматривать данные

поставщика WM1 на локальном или удаленном компьютере W i n d o w Vista,

Windows ХР, Windows Server 2003 и Windows Server 2008. Поставщик W M I

Занятие 3

Поддержка групповой политики 2 8 1

'может создать о т ч е т п о в с е м п р и м е н я е м ы м п а р а м е т р а м г р у п п о в о й п о л и т и к и

в системе. О н о п р е д е л я е т , к о г д а в ы п о л н я л а с ь о б р а б о т к а , к а к и е о б ъ е к т ы G P O

были п р и м е н е н ы , о ш и б к и , п а р а м е т р ы п о л и т и к и ц их п р и о р и т е т , а т а к ж е объ-

екты G P O , к о т о р ы е з а д а ю т э т и п а р а м е т р ы .

Д л я того ч т о б ы з а п у с т и т ь м а с т е р р е з у л ь т а т о в г р у п п о в о й п о л и т и к и , следует

выполнить н е с к о л ь к о т р е б о в а н и й .

• Вы д о л ж н ы о б л а д а т ь а д м и н и с т р а т и в н ы м и п р и в и л е г и я м и на конечном ком-

пьютере.

• Н а к о н е ч н о м к о м п ь ю т е р е д о л ж н а б ы т ь у с т а н о в л е н а с и с т е м а н е н и ж е Win-

dows ХР. М а с т е р р е з у л ь т а т о в г р у п п о в о й п о л и т и к и н е м о ж е т п о л у ч и т ь до-

ступ к с и с т е м а м W i n d o w s 2 0 0 0 .

• Н е о б х о д и м д о с т у п к W M I н а к о н е ч н о м к о м п ь ю т е р е . Э т о означает, что

к о м п ь ю т е р д о л ж е н б ы т ь в к л ю ч е н , п о д с о е д и н е н к сети и доступен на портах

135 и 445.

ПРИМЕЧАНИЕ Удаленное администрирование клиентских компьютеров

Выполнение анализа R S o P с п о м о щ ь ю Мастера результатов групповой полити-

ки (Group Policy Results W i z a r d ) я в л я е т с я лишь одним примеров удаленного вы-

полнения административных задач. В Windows ХР SP2, Windows Vista и Windows

Server 2008 включен брандмауэр, запрещающий незатребованные входящие подклю-

чения даже от членов группы Администраторы (Administrators). Групповая политика

обеспечивает простой способ в к л ю ч е н и я удаленного администрирования. В папке

Конфигурация к о м п ы о т е р а П о л и т и к и А д м и н и с т р а т и в н ы е шаблоныСетьСетевые

подключенияБрандмауэр W i n d o w s П p o ф и л ь домена (Computer Configuration

PoliciesAdministrative T e m p l a t e s N e t w o r k N e t w o r k ConnectionsWindows Firewall

Domain Profile) есть п а р а м е т р п о л и т и к и Брандмауэр Windows: Разрешить исклю-

чение для входящих сообщений удаленного администрирования (Windows Firewall:

Allow Inbound Remote Administration Exception). Включив этот параметр политики,

вы можете указать IP-адреса и л и подсети, из которых будут приниматься пакеты

удаленного администрирования. К а к и в случае со всеми параметрами политики,

прочитайте объяснение на вкладке Объяснение (Explain) и проверьте в лабораторной

среде действие политики, п р е ж д е чем развернуть ее на предприятии.

• Н а к о н е ч н о м к о м п ь ю т е р е д о л ж н а б ы т ь з а п у щ е н а с л у ж б а W M I .

« Если в ы х о т и т е п р о а н а л и з и р о в а т ь р е з у л ь т и р у ю щ у ю п о л и т и к у R S o P д л я

конкретного п о л ь з о в а т е л я , э т о т п о л ь з о в а т е л ь д о л ж е н хотя б ы раз в о й т и н а

данный к о м п ь ю т е р . Э т о т р е б о в а н и е не о т н о с и т с я к т е к у щ е м у пользователю,

вошедшему н а к о м п ь ю т е р .

После в ы п о л н е н и я в с е х э т и х т р е б о в а н и й з а п у с т и т е а н а л и з RSoP. В консоли

управления г р у п п о в о й п о л и т и к о й G P M C щ е л к н и т е п р а в о й к н о п к о й м ы ш и эле-

мент Результаты г р у п п о в о й п о л и т и к и ( G r o u p Policy R e s u l t s ) и в ы п о л н и т е ко-

манду Мастер р е з у л ь т а т о в г р у п п о в о й п о л и т и к и ( G r o u p Policy Results Wizard).

Мастер п р е д л о ж и т в ы б р а т ь к о м п ь ю т е р . З а т е м он п о д к л ю ч и т с я к п о с т а в щ и к у

WMI на этом к о м п ь ю т е р е и о т о б р а з и т с п и с о к п о л ь з о в а т е л е й , к о т о р ы е входили

на него. Вы м о ж е т е в ы б р а т ь о д н о г о из п о л ь з о в а т е л е й и л и п р о п у с т и т ь а н а л и з

RSoP политик к о н ф и г у р а ц и и п о л ь з о в а т е л я .

2 8 2 Инфраструктура групповой политики Глава 6

Мастер выводит подробный отчет RSoP в динамическом формате HTML.'

Если включена конфигурация усиленной безопасности Internet Explorer ESCi

будет предложено разрешить консоли отображать динамическое содержимое.

Каждую секцию отчета можно развернуть или свернуть с помощью ссылки

Показать (Show) и Скрыть (Hide) либо двойным щелчком заголовка секции.

Отчет состоит из трех вкладок.

• Сводка (Summary') Отображается состояние обработки групповой по-

литики в последнем обновлении, а также информация о системе, объек-

тах GPO, членстве в группах безопасности при применении групповой

политики, проанализированные фильтры W M I и состояние клиентских

расширений (компонентов) CSE.

• Параметры (Settings) На этой вкладке выведен результирующий набор

параметров политики, примененных к компьютеру или пользователю. Здесь

точно указаны действия, примененные к пользователю в результате реали-

зации групповой политики. Хотя здесь представлено очень много данных,

некоторая информация все же не отображается – например, параметры

политики IPsec, беспроводных сетей и дисковых квот.

• События политики (Policy Events) Отображаются события групповой

политики из журналов событий конечного компьютера.

После генерирования отчета RSoP с помощью Мастера результатов груп-

повой политики (Group Policy Results Wizard) щелкните отчет правой кнопкой

мыши и заново запустите запрос, затем распечатайте отчет либо сохраните

его в файле XML или HTML, поддерживающем динамическое развертывание

и свертывание секций. Оба типа файлов можно открыть с помощью Internet

Explorer, а отчет RSoP переместить из консоли G P M C . В деретзе консоли в

папке Результаты групповой политики (Group Policy Results) щелкните пра-

вой кнопкой мыши узел самого отчета и выполните команду Дополнительные

параметры (Advanced View). В открывшемся окне отчет RSoP отображается

в виде оснастки RSoP, где можно просмотреть все примененные параметры,

включая политики IPsec, беспроводных сетей и дисковых квот.

Генерирование отчетов RSoP с помощью утилиты Gpresult.exe

Команда Gpresult представляет собой версию мастера результатов групповой

политики в командной строке. Эта утилита обращается к тому же провайдеру

WMI, генерирует такую же информацию и даже позволяет создавать такие же

графические отчеты. Утилита Gpresult.exe запускается в Windows Vista, Win-

dows ХР, Windows Server 2003 и Windows Server 2008. В Windows 2000 включе-

на команда Gpresult, генерирующая ограниченный отчёт обработки групповой

политики, однако она не предлагает таких возможностей, как в последующих

версиях Windows.

При запуске команды Gpresult применяются следующие опции.

• /s имя_компъютера Указывает имя или IP-адрес удаленной системы.

Если в качестве имени компьютера использовать символ точки (.) или не

указать опцию /в, анализ RSoP будет выполнен на локальном компьютере.

Занятие 3

Поддержка групповой политики 2 8 3

• /scope [user | computer] Отображает анализ RSoP для параметров поль-

зователя или компьютера. Если пропустить опцию /scope, будет выполнен

анализ RSoP как пользовательских, так и компьютерных параметров по-

литики.

• /user 1шя_пользователя Указывает и м я пользователя, для которого отоб-

ражаются данные а н а л и з а RSoP.

• /г Отображает сводку д а н н ы х RSoP.

• /v Отображает п о д р о б н ы е сведения R S o P с четкой информацией.

• /г Отображает м а к с и м а л ь н о подробную информацию, в том числе све-

дения обо всех п а р а м е т р а х п о л и т и к и , примененных к системе. Нередко

этот параметр отображает намного больше информации, чем требуется для

устранения т и п и ч н ы х н е п о л а д о к групповой политики.

• /и domainnonb3oeamenb/р пароль Запускает команду с учетными дан-

ными из группы а д м и н и с т р а т о р о в удаленной системы. Без этих учетных

данных команда Gpresult з а п у с к а е т с я с использованием учетных данных

текущего вошедшего п о л ь з о в а т е л я , который запускает команду.

м 1/х | /h] имя_файла С о х р а н я е т о т ч е т ы соответственно в формате

XML и H T M L . Э т и о п ц и и д о с т у п н ы в Windows Vista SP1 и Windows Ser-

ver 2008.

Контрольный в о п р о с

м Вам н у ж н о в ы п о л н и т ь а н а л и з R S o P удаленной системы. Какие два

инструмента м о ж н о и с п о л ь з о в а т ь для выполнения этой задачи?

Ответ на к о н т р о л ь н ы й в о п р о с

• Мастер результатов групповой политики (Group Policy Results Wizard)

и утилиту Gresult.exe.

Устранение н е п о л а д о к г р у п п о в о й п о л и т и к и с помощью мастера результатов

групповой п о л и т и к и и у т и л и т ы Gpresult.exe

Нередко прежде чем и с п р а в и т ь н е п о л а д к и групповой политики, необходимо


    Ваша оценка произведения:

Популярные книги за неделю