Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 28 (всего у книги 91 страниц)
Упражнение 2. Настройка принудительной связи
Необходимо максимально ускорить процесс п о л у ч е н и я и з м е н е н и й г р у п п о в о й
политики всеми системами, и вы принимаете р е ш е н и е о т к о н ф и г у р и р о в а т ь
параметр Всегда ждать сеть при запуске и входе в с и с т е м у ( A l w a y s W a i t F o r
Network At Startup And Logon), описанный на з а н я т и и 1. А д м и н и с т р а т о р ы не
должны изменять эту политику; политика должна п р и н у д и т е л ь н о п р и м е н я т ь с я
ко всем системам.
1. В консоли управления групповой п о л и т и к о й G P M C щ е л к н и т е п р а в о й
кнопкой мыши домен contoso.com и в ы п о л н и т е к о м а н д у С о з д а т ь о б ъ е к т
G P O в этом домене и связать его ( C r e a t e A G P O In T h i s D o m a i n And Link
It Here).
2. Введите имя Принудительные политики домена и щ е л к н и т е О К .
3. Щелкните правой кнопкой мыши объект G P O и в ы п о л н и т е к о м а н д у И з м е -
нить (Edit).
Занятие 2
Управление областью действия групповой политики 2 7 5
4 . Разверните п а п к у К о н ф и г у р а ц и я п о л ь з о в а т е л я П о л и т и к и А д м и н и с т р а -
тнвные ш а б л о н ы С и с т е м а В х о д в с и с т е м у ( U s e r C o n f i g u r a t i o n P o l i c i e s
Administrative T e m p l a t e s S y s t e m L o g o n ) .
5. Дважды щ е л к н и т е п а р а м е т р п о л и т и к и В с е г д а ж д а т ь сеть п р и запуске и вхо-
д е в систему ( A l w a y s W a i t F o r N e t w o r k A t S t a r t u p A n d Logon).
6. Выберите о п ц и ю В к л ю ч е н ( E n a b l e d ) и щ е л к н и т е О К .
7 . Закройте р е д а к т о р G P M E .
8 . Щелкните п р а в о й к н о п к о й м ы п ш о б ъ е к т G P O П р и н у д и т е л ь н ы е п о л и т и к и
домена и у с т а н о в и т е ф л а ж о к П р и н у д и т е л ь н ы й ( E n f o r c e d ) .
9. Выберите п о д р а з д е л е н и е И н ж е н е р ы и п е р е й д и т е на в к л а д к у Наследование
групповой п о л и т и к и ( G r o u p P o l i c y I n h e r i t a n c e ) .
П р и н у д и т е л ь н о с в я з а н н ы й о б ъ е к т G P O б у д е т п р е в а л и р о в а т ь д а ж е над
объектами G P O , н е п о с р е д с т в е н н о с в я з а н н ы м и с п о д р а з д е л е н и е м И н ж е -
неры ( E n g i n e e r s ) . П а р а м е т р ы т а к и х о б ъ е к т о в G P O н е з а м е н я т параметров
п р и н у д и т е л ь н о с в я з а н н о г о о б ъ е к т а G P O .
Упражнение 3. Настройка фильтров безопасности
С о временем в ы о б н а р у ж и в а е т е , ч т о н е б о л ь ш о е ч и с л о п о л ь з о в а т е л е й н у ж н о
освободить о т п о л и т и к и т а й м а у т а э к р а н н о й заставки, к о н ф и г у р и р у е м о й объек-
том C O N T O S O С т а н д а р т ы . З а м е н а п а р а м е т р о в непрактична, и вы используете
фильтры б е з о п а с н о с т и д л я у п р а в л е н и я о б л а с т ь ю д е й с т в и я G P O .
1. Откройте о с н а с т к у A c t i v e D i r e c t o r y – п о л ь з о в а т е л и и компьютеры (Active
Directory U s e r s A n d C o m p u t e r s ) , с о з д а й т е п о д р а з д е л е н и е Группы, а в этом
п о д р а з д е л е н и и – г л о б а л ь н у ю г р у п п у б е з о п а с н о с т и с и м е н е м Исключе-
ния G P O _ C O N T O S O _ C T a H f l a p T b i .
2 . В к о н с о л и у п р а в л е н и я г р у п п о в о й п о л и т и к о й G P M C выберите контейнер
Объекты г р у п п о в о й п о л и т и к и ( G r o u p P o l i c y O b j e c t s ) .
3 . Щелкните п р а в о й к н о п к о й м ы ш и о б ъ е к т G P O П а р а м е т р ы п о л и т и к и ин-
женеров и в ы п о л н и т е к о м а н д у У д а л и т ь ( D e l e t e ) . П о д т в е р д и т ь удаление,
щелкнув Д а (Yes).
4. В контейнере О б ъ е к т ы г р у п п о в о й п о л и т и к и ( G r o u p Policy O b j e c t s ) выбе-
рите объект C O N T O S O С т а н д а р т ы .
5. Перейдите на в к л а д к у Д е л е г и р о в а н и е ( D e l e g a t i o n ) .
6 . Щелкните к н о п к у Д о п о л н и т е л ь н о ( A d v a n c e d ) .
7. В диалогом о к н е П а р а м е т р ы б е з о п а с н о с т и ( S e c u r i t y S e t t i n g s ) щ е л к н и т е
Добавить ( A d d ) .
8. Введите и м я г р у п п ы и щ е л к н и т е О К .
9. В списке р а з р е ш е н и й н а й д и т е р а з р е ш е н и е П р и м е н и т ь групповую политику
(Apply G r o u p P o l i c y ) и у с т а н о в и т е ф л а ж о к З а п р е т и т ь ( D e n y ) . З а т е м щел-
кните О К .
10. Для того ч т о б ы п о д т в е р д и т ь и з м е н е н и е , щ е л к н и т е к н о п к у Да (Yes).
276 Инфраструктура групповой политики
Глава 6
11. Просмотрите запись на вкладке Делегирование ( D e l e g a t i o n ) в с т о л б ц е Р а з -
решено (Allowed Permissions) группы И с к л ю ч е н и я G P O _ C O N T O S O _
Стандарты.
12. Перейдите на вкладку Область (Scope) и проанализируйте с е к ц и ю Ф и л ь т р ы
безопасности (Security Filtering).
По умолчанию в фильтрах безопасности нового G P O г р у п п а П р о ш е д ш и е
проверку (Authenticated Users) обладает р а з р е ш е н и е м П р и м е н и т ь г р у п п о -
вую политику (Apply Group Policy), чтобы все пользователи и к о м п ь ю т е р ы
в области действия G P O могли применять параметры этого G P O . Вы о т к о н -
фнгурнровалн группу с запретом чтения групповой п о л и т и к и ( D e n y Apply
Group Policy), который заменяет разрешение (Allow). Ч т о б ы о с в о б о д и т ь
пользователя от политики объекта C O N T O S O С т а н д а р т ы , м о ж н о п р о с т о
добавить его в группу.
Упражнение 4. Обработка замыкания политики
Недавно один из менеджеров по продажам Contoso, Ltd п о к а з а л п р е з е н т а ц и ю
важному клиенту на своем компьютере, на рабочем столе которого б ы л а н е п р и -
стойная картинка. Руководство Contoso, Ltd п о п р о с и л о в а с с д е л а т ь так, ч т о б ы
рабочие столы ноутбуков менеджеров по п р о д а ж а м не с о д е р ж а л и ф о н о в ы х
рисунков. Это необязательно делать для рабочих столов м е н е д ж е р о в , когда о н и
входят на настольные компьютеры в офисе. П о с к о л ь к у п а р а м е т р ы п о л и т и к и ,
управляющие фоновым рисунком рабочего стола, о т н о с я т с я к к о н ф и г у р а ц и и
пользователя, а вам нужно применить п а р а м е т р ы к н о у т б у к а м м е н е д ж е р о в
по продажам, требуется использовать обработку п о л и т и к и з а м ы к а н и я . К р о м е
того, объекты ноутбуков менеджеров по п р о д а ж а м р а с п р е д е л е н ы по н е с к о л ь -
ким подразделениям, и вы используете ф и л ь т р ы б е з о п а с н о с т и , к о т о р ы е объ-
ект GPO применит к группе, а не к подразделению н о у т б у к о в м е н е д ж е р о в по
продажам.
1. Откройте оснастку Active Directory – п о л ь з о в а т е л и и к о м п ь ю т е р ы ( A c t i v e
Directory Users And Computers) и в п о д р а з д е л е н и и Группы с о з д а й т е гло-
бальную группу безопасности с именем Н о у т б у к и отдела п р о д а ж . К р о м е
того, создайте подразделение Клиенты для объектов к о м п ь ю т е р о в к л и е н т о в .
2. В консоли управления групповой политикой G P M C щ е л к н и т е п р а в о й к н о п -
кой мыши контейнер Объекты групповой п о л и т и к и ( G r o u p P o l i c y O b j e c t s )
и выполните команду Создать (New).
3. В поле Имя (Name) введите имя Конфигурация ноутбуков отдела продаж
и щелкните ОК.
4. Щелкните правой кнопкой мыши G P O и в ы п о л н и т е к о м а н д у И з м е н и т ь
(Edit).
5. Разверните папку Конфигурация п о л ь з о в а т е л я П о л и т и к и А д м и н и с т р а -
тивные шаблоныРабочий столРабочий стол ( U s e r C o n f i g u r a t i o n P o l i c i e s
Administrative TemplatesDesktopDesktop).
6. Дважды щелкните параметр политики Ф о н о в ы е р и с у н к и р а б о ч е г о с т о л а
(Desktop Wallpaper).
Занятие 2
Управление областью действия групповой политики
2 7 7
7. Перейдите на в к л а д к у О б ъ я с н е н и е ( E x p l a i n ) и п р о ч и т а й т е текст объяснения.
8. Перейдите на в к л а д к у К о м м е н т а р и й ( C o m m e n t ) и в в е д и т е т е к с т Корпора-
тивные стандарты фоновых рисунков ноутбуков отдела продаж.
9. Перейдите на в к л а д к у П а р а м е т р ( S e t t i n g ) .
10. Щ е л к н и т е о п ц и ю В к л ю ч е н ( E n a b l e d ) .
11. В поле И м я ф о н о в о г о р и с у н к а ( W a l l p a p e r N a m e ) в в е д и т е путь c : w i n d o w s
w e b W a l l p a p e r s e r v e r . j p g . Щ е л к н и т е О К .
12. Разверните п а п к у К о н ф и г у р а ц и я к о м п ы о т е р а П о л и т и к и А д м и н и с т р а т и в н ы е
ш а б л о н ы С и с т е м а Г р у п п о в а я п о л и т и к а ( C o m p u t e r C o n f i g u r a t i o n P o l i c i e s
Administrative T e m p l a t e s S y s t e m G r o u p P o l i c y ) .
13. Дважды щ е л к н и т е п а р а м е т р п о л и т и к и Р е ж и м о б р а б о т к и з а м ы к а н и я поль-
зовательской г р у п п о в о й п о л и т и к и ( U s e r G r o u p P o l i c y L o o p b a c k Processing
Mode).
U. Щ е л к н и т е о п ц и ю В к л ю ч е н ( E n a b l e d ) и в р а с к р ы в а ю щ е м с я с п и с к е Р е ж и м
( M o d e ) в ы б е р и т е р е ж и м С л и я н и е ( M e r g e ) .
15. Щ е л к н и т е О К и з а к р о й т е р е д а к т о р G P M E .
16. В консоли у п р а в л е н и я г р у п п о в о й п о л и т и к о й G P M C выберите в контейнере
Объекты г р у п п о в о й п о л и т и к и ( G r o u p Policy O b j e c t s ) объект Конфигурация
ноутбуков о т д е л а п р о д а ж .
17. Н а в к л а д к е О б л а с т ь ( S c o p e ) в с е к ц и и Ф и л ь т р ы б е з о п а с н о с т и ( S e c u r i t y
Filtering) в ы б е р и т е г р у п п у П р о ш е д ш и е п р о в е р к у ( A u t h e n t i c a t e d Users)
и щ е л к н и т е к н о п к у У д а л и т ь ( R e m o v e ) . П о д т в е р д и т ь удаление, щелкнув.
18. В с е к ц и и Ф и л ь т р ы б е з о п а с н о с т и ( S e c u r i t y F i l t e r i n g ) щ е л к н и т е Д о б а в и т ь
(Add).
19. Введите и м я г р у п п ы Ноутбуки отдела продаж и щ е л к н и т е О К .
20. Щ е л к н и т е п р а в о й к н о п к о й м ы ш и п о д р а з д е л е н и е К л и е н т ы и в ы п о л н и т е
команду С в я з а т ь с у щ е с т в у ю щ и й о б ъ е к т G P O ( L i n k A n Existing G P O ) .
21. Выберите о б ъ е к т г р у п п о в о й п о л и т и к и К о н ф и г у р а ц и я н о у т б у к о в отдела
продаж и щ е л к н и т е О К .
Вы п о л у ч и л и о б ъ е к т G P O с ф и л ь т р о м , к о т о р ы й п р и м е н я е т с я т о л ь к о к объ-
ектам в г р у п п е Н о у т б у к и о т д е л а п р о д а ж . Вы м о ж е т е д о б а в и т ь в эту группу
объекты к о м п ь ю т е р о в д л я о т д е л а п р о д а ж , ч т о б ы э т и н о у т б у к и подпадали
под область д е й с т в и я G P O . О б ъ е к т G P O к о н ф и г у р и р у е т н а ноутбуке обра-
ботку з а м ы к а н и я п о л и т и к и в р е ж и м е с л и я н и я ( M e r g e ) . Когда пользователь
входит н а т а к о й н о у т б у к , п р и м е н я ю т с я п о л ь з о в а т е л ь с к и е п а р а м е т р ы кон-
фигурации, а з а т е м к к о м п ь ю т е р у п р и м е н я ю т с я п а р а м е т р ы к о н ф и г у р а ц и и
пользователя в о б ъ е к т а х G P O , п о д о б л а с т ь д е й с т в и я к о т о р о г о подпадает
компьютер, в к л ю ч а я о б ъ е к т К о н ф и г у р а ц и я н о у т б у к о в о т д е л а продаж.
Резюме
• Н а ч а л ь н а я о б л а с т ь д е й с т в и я о б ъ е к т а г р у п п о в о й п о л и т и к и ( G P O ) устанав-
ливается п о с р е д с т в о м с в я з е й G P O . О б ъ е к т G P O м о ж н о с в я з а т ь с о д н и м
2 7 8 Инфраструктура групповой политики
Глава 6
или несколькими сайтами, доменами и подразделениями. Область действия
GPO корректируется с помощью фильтров безопасности и W M I .
• Клиентские расширения CSE применяют о б ъ е к т ы G P O в с л е д у ю щ е м по-
рядке: локальные GPO; объекты G P O , связанные с сайтом, где пользователь
или компьютер входит в домен; объекты G P O , с в я з а н н ы е с д о м е н о м поль-
зователя или компьютера; объекты G P O , с в я з а н н ы е с п о д р а з д е л е н и я м и .
Результатом такого принципа применения п а р а м е т р о в п о л и т и к и я в л я е т с я
наследование политики.
м Наследование политики можно блокировать с п о м о щ ь ю о п ц и и Б л о к и р о в а т ь
наследование (Block Inheritance) домена и л и п о д р а з д е л е н и я .
• Объект G P O можно связать принудительно. П а р а м е т р ы в п р и н у д и т е л ь н о
связанных G P O применяются к компьютерам и п о л ь з о в а т е л я м в области
действия GPO, даже если для них задано блокирование н а с л е д о в а н и я поли-
тики. Кроме того, параметры политики в п р и н у д и т е л ь н о с в я з а н н о м объекте
GPO имеют приоритет и заменяют параметры к о н ф и г у р а ц и и .
• С помощью фильтров безопасности можно указать группы, к к о т о р ы м будет
применяться объект GPO, или группы, и с к л ю ч е н н ы е из о б л а с т и д е й с т в и я
GPO. Фильтрацию G P O можно в ы п о л н я т ь т о л ь к о д л я г л о б а л ь н ы х групп
безопасности.
• В стандартном процессе обработки п о л и т и к и п р и о б н о в л е н и и п о л и т и к и
пользователя (при входе в систему и к а ж д ы е п о с л е д у ю щ и е 9 0 – 1 2 0 м и н )
система применяет параметры политики к о н ф и г у р а ц и и п о л ь з о в а т е л я из
объектов GPO, в область действия которых в к л ю ч е н п о л ь з о в а т е л ь .
ш Режим обработки замыкания политики изменяет п р и н ц и п п р и м е н е н и я объ-
ектов GPO во время обновления политики пользователя. В р е ж и м е с л и я н и я
(Merge) после применения параметров из объектов G P O , в область действия
которых включен пользователь, система и с п о л ь з у е т п а р а м е т р ы п о л и т и к и
из объектов GPO, в область действия к о т о р ы х п о п а д а е т к о м п ь ю т е р . Э т и
параметры заменяют конфликтующие параметры из о б ъ е к т о в G P O пользо-
вателя. В режиме замены (Replace) обработки з а м ы к а н и я п о л и т и к и вместо
пользовательских параметров к о н ф и г у р а ц и и и з о б ъ е к т о в G P O вошедшего
пользователя применяются только параметры к о н ф и г у р а ц и и пользователя
из объектов GPO, в область действия к о т о р ы х в к л ю ч е н к о м п ь ю т е р .
Закрепление материала
Для проверки знаний, полученных на з а н я т и и 2, и с п о л ь з у й т е п р и в е д е н н ы е
ниже вопросы, которые есть и на сопроводительном к о м п а к т – д и с к е .
ПРИМЕЧАНИЕ Ответы
Ответы на эти вопросы с пояснениями, почему тот или иной вариант ответа является
правильным или неправильным, вы найдете в разделе «Ответы» в конце книги.
1. Вам нужно развернуть объект G P O с именем N o r t h w i n d Lockdown, который
применяет конфигурацию ко всем п о л ь з о в а т е л я м в к о м п а н и и Northwind
Занятие 3
Поддержка групповой политики 2 7 9
T r a d e r s . О д н а к о э т и п а р а м е т р ы н е д о л ж н ы п р и м е н я т ь с я к членам группы
А д м и н и с т р а т о р ы д о м е н а ( D o m a i n A d m i n s ) . К а к в ы п о л н и т ь эту задачу?
1 А . С в я з а т ь о б ъ е к т N o r t h w i n d L o c k d o w n с д о м е н о м , а зате м щ е л к н у т ь доме н
I п р а в о й к н о п к о й м ы ш и и в ы п о л н и т ь к о м а н д у Б л о к и р о в а т ь наследование
( B l o c k I n h e r i t a n c e ) .
Б. С в я з а т ь о б ъ е к т N o r t h w i n d L o c k d o w n с д о м е н о м , щ е л к н у т ь правой кноп-
к о й м ы ш и п о д р а з д е л е н и е , с о д е р ж а щ е е у ч е т н ы е з а п и с и всех пользова-
т е л е й г р у п п ы А д м и н и с т р а т о р ы д о м е н а ( D o m a i n Admins), и в ы п о л н и т ь
к о м а н д у Б л о к и р о в а т ь н а с л е д о в а н и е ( B l o c k I n h e r i t a n c e ) .
В. С в я з а т ь о б ъ е к т N o r t h w i n d L o c k d o w n с д о м е н о м , а з а т е м д л я группы
А д м и н и с т р а т о р ы д о м е н а з а п р е т и т ь п р и м е н е н и е г р у п п о в о й п о л и т и к и
( D e n y A p p l y G r o u p P o l i c y ) .
Г. С в я з а т ь N o r t h w i n d L o c k d o w n с д о м е н о м , а з а т е м о т к о н ф и г у р и р о в а т ь
ф и л ь т р ы б е з о п а с н о с т и д л я п р и м е н е н и я G P O к г р у п п е П о л ь з о в а т е л и
д о м е н а ( D o m a i n U s e r s ) .
2 . В а м н у ж н о с о з д а т ь с т а н д а р т н у ю б л о к и р о в к у рабочего стола д л я пользо-
в а т е л е й , к о г д а о н и в х о д я т па к о м п ь ю т е р ы в к о н ф е р е н ц – з а л а х и учебных
а у д и т о р и я х к о м п а н и и . В ы с о з д а л и о б ъ е к т G P O с и м е н е м Public C o m p u -
t e r C o n f i g u r a t i o n и о г р а н и ч е н и я м и р а б о ч е г о стола, о п р е д е л е н н ы м и в у з л е
К о н ф и г у р а ц и я п о л ь з о в а т е л я ( U s e r C o n f i g u r a t i o n ) . К а к и е д о п о л н и т е л ь н ы е
д е й с т в и я н у ж н о в ы п о л н и т ь ? ( У к а ж и т е в с е в а р и а н т ы . К а ж д ы й п р а в и л ь н ы й
ответ я в л я е т с я л и ш ь ч а с т ь ю п о л н о г о р е ш е н и я . )
A . В к л ю ч и т ь п а р а м е т р п о л и т и к и Р е ж и м о б р а б о т к и з а м ы к а н и я пользова-
т е л ь с к о й г р у п п о в о й п о л и т и к и ( U s e r G r o u p Policy Loopback Processing
M o d e ) .
Б . С в я з а т ь G P O с п о д р а з д е л е н и е м , с о д е р ж а щ и м у ч е т н ы е записи пользо-
в а т е л е й .
B. Б л о к и р о в а т ь н а с л е д о в а н и е в п о д р а з д е л е н и и , содержащем компьютеры
к о н ф е р е н ц – з а л а и у ч е б н ы х а у д и т о р и й .
Г. С в я з а т ь G P O с п о д р а з д е л е н и е м , с о д е р ж а щ и м к о м п ь ю т е р ы конференц-
з а л а и у ч е б н ы х а у д и т о р и й .
Занятие 3. Поддержка групповой политики
Б ы в а е т так, ч т о п р и м е н е н и е г р у п п о в о й п о л и т и к и д о в о л ь н о сложно анализиро-
вать с у ч е т о м в з а и м о д е й с т в и я м н о ж е с т в а п а р а м е т р о в во множестве объектов
G P O , о б л а с т ь д е й с т в и я к о т о р ы х о п р е д е л е н а с п о м о щ ь ю р а з л и ч н ы х методов. Вы
д о л ж н ы б ы т ь г о т о в ы э ф ф е к т и в н о о ц е н и т ь и у с т р а н и т ь н е п о л а д к и р е а л и з а ц и и
г р у п п о в о й п о л и т и к и , ч т о б ы и д е н т и ф и ц и р о в а т ь п о т е н ц и а л ь н ы е п р о б л е м ы еще
до того, к а к о н и п р и в е д у т к н е о б р а т и м ы м п о с л е д с т в и я м . К о р п о р а ц и я Microsoft
п р е д о с т а в л я е т д в а с р е д с т в а , н е о б х о д и м ы е д л я п о д д е р ж к и групповой п о л и т и к и :
Р е з у л ь т и р у ю щ и й н а б о р п о л и т и к R S O P ( R e s u l t a n t Set o f Policy) и о п е р а ц и о н -
ные ж у р н а л ы г р у п п о в о й п о л и т и к и . Н а этом з а н я т и и м ы обсудим и с п о л ь з о в а н и е
этих с р е д с т в д л я у с т р а н е н и я н е п о л а д о к и п о д д е р ж к и г р у п п о в о й п о л и т и к и .
280 Инфраструктура групповой политики
Глава 6
Изучив материал этого занятия, вы сможете:
S Анализировать набор объектов GPO, применяемых к пользователю или ком– '
пыотеру.
S Предварительно моделировать влияние групповой политики или изменений
Active Directory и результирующей политике.
S Локализовать журналы, содержащие события групповой политики.
Продолжительность занятия – около 30 мин.
Результирующая политика
На занятии 2 мы говорили, что пользователь или компьютер может быть вклю-
чен в область действия множества объектов GPO. С учетом наследования,
фильтров и исключения групповой политики становится довольно сложно
определить применяемые параметры политики. Результирующая политика
RSoP (Resultant Set of Policy) представляет сетевой результат применения
объектов GPO к пользователю или компьютеру с учетом связей G P O , исклю-
чений (например, принудительная связь или блокирование наследования),
а также фильтров безопасности и WMI. Результирующая политика RSoP также
представляет коллекцию инструментов, с помощью которых можно оценивать,
моделировать и устранять неполадки применения параметров групповой по-
литики. Результирующая политика RSoP запрашивает локальный или удален-
ный компьютер и извлекает точные параметры, примененные к компьютеру
и любому пользователю, который вошел на компьютер. Политика R S o P также
может моделировать параметры политики, которые планируется применять к
пользователю или компьютеру в различных сценариях, включая перемещение
объекта между подразделениями или сайтами или изменение членства объекта
в группах. С такими возможностями инструменты RSoP позволяют управлять
конфликтами политик и устранять их.
В Windows Server 2008 включены следующие инструменты для выполнения
анализа RSoP:
• Мастер результатов групповой политики (Group Policy Results Wizard);
• Мастер моделирования групповой политики ( Group Policy Modeling Wizard);
• утилита Gpresult.exe.
Генерирование отчетов RSoP с помощью мастера результатов
групповой политики
Для анализа общего результата применения объектов G P O и параметров поли-
тики к пользователю и компьютеру организации в консоль Управление груп-
повой политикой (Group Policy Management) включен Мастер результатов
групповой политики (Group Policy Results Wizard), предназначенный д л я того,
чтобы точно определять параметры применяемой к пользователю или компью-
теру политики и причины применения тех или иных параметров.
Мастер результатов групповой политики может просматривать данные
поставщика WM1 на локальном или удаленном компьютере W i n d o w Vista,
Windows ХР, Windows Server 2003 и Windows Server 2008. Поставщик W M I
Занятие 3
Поддержка групповой политики 2 8 1
'может создать о т ч е т п о в с е м п р и м е н я е м ы м п а р а м е т р а м г р у п п о в о й п о л и т и к и
в системе. О н о п р е д е л я е т , к о г д а в ы п о л н я л а с ь о б р а б о т к а , к а к и е о б ъ е к т ы G P O
были п р и м е н е н ы , о ш и б к и , п а р а м е т р ы п о л и т и к и ц их п р и о р и т е т , а т а к ж е объ-
екты G P O , к о т о р ы е з а д а ю т э т и п а р а м е т р ы .
Д л я того ч т о б ы з а п у с т и т ь м а с т е р р е з у л ь т а т о в г р у п п о в о й п о л и т и к и , следует
выполнить н е с к о л ь к о т р е б о в а н и й .
• Вы д о л ж н ы о б л а д а т ь а д м и н и с т р а т и в н ы м и п р и в и л е г и я м и на конечном ком-
пьютере.
• Н а к о н е ч н о м к о м п ь ю т е р е д о л ж н а б ы т ь у с т а н о в л е н а с и с т е м а н е н и ж е Win-
dows ХР. М а с т е р р е з у л ь т а т о в г р у п п о в о й п о л и т и к и н е м о ж е т п о л у ч и т ь до-
ступ к с и с т е м а м W i n d o w s 2 0 0 0 .
• Н е о б х о д и м д о с т у п к W M I н а к о н е ч н о м к о м п ь ю т е р е . Э т о означает, что
к о м п ь ю т е р д о л ж е н б ы т ь в к л ю ч е н , п о д с о е д и н е н к сети и доступен на портах
135 и 445.
ПРИМЕЧАНИЕ Удаленное администрирование клиентских компьютеров
Выполнение анализа R S o P с п о м о щ ь ю Мастера результатов групповой полити-
ки (Group Policy Results W i z a r d ) я в л я е т с я лишь одним примеров удаленного вы-
полнения административных задач. В Windows ХР SP2, Windows Vista и Windows
Server 2008 включен брандмауэр, запрещающий незатребованные входящие подклю-
чения даже от членов группы Администраторы (Administrators). Групповая политика
обеспечивает простой способ в к л ю ч е н и я удаленного администрирования. В папке
Конфигурация к о м п ы о т е р а П о л и т и к и А д м и н и с т р а т и в н ы е шаблоныСетьСетевые
подключенияБрандмауэр W i n d o w s П p o ф и л ь домена (Computer Configuration
PoliciesAdministrative T e m p l a t e s N e t w o r k N e t w o r k ConnectionsWindows Firewall
Domain Profile) есть п а р а м е т р п о л и т и к и Брандмауэр Windows: Разрешить исклю-
чение для входящих сообщений удаленного администрирования (Windows Firewall:
Allow Inbound Remote Administration Exception). Включив этот параметр политики,
вы можете указать IP-адреса и л и подсети, из которых будут приниматься пакеты
удаленного администрирования. К а к и в случае со всеми параметрами политики,
прочитайте объяснение на вкладке Объяснение (Explain) и проверьте в лабораторной
среде действие политики, п р е ж д е чем развернуть ее на предприятии.
• Н а к о н е ч н о м к о м п ь ю т е р е д о л ж н а б ы т ь з а п у щ е н а с л у ж б а W M I .
« Если в ы х о т и т е п р о а н а л и з и р о в а т ь р е з у л ь т и р у ю щ у ю п о л и т и к у R S o P д л я
конкретного п о л ь з о в а т е л я , э т о т п о л ь з о в а т е л ь д о л ж е н хотя б ы раз в о й т и н а
данный к о м п ь ю т е р . Э т о т р е б о в а н и е не о т н о с и т с я к т е к у щ е м у пользователю,
вошедшему н а к о м п ь ю т е р .
После в ы п о л н е н и я в с е х э т и х т р е б о в а н и й з а п у с т и т е а н а л и з RSoP. В консоли
управления г р у п п о в о й п о л и т и к о й G P M C щ е л к н и т е п р а в о й к н о п к о й м ы ш и эле-
мент Результаты г р у п п о в о й п о л и т и к и ( G r o u p Policy R e s u l t s ) и в ы п о л н и т е ко-
манду Мастер р е з у л ь т а т о в г р у п п о в о й п о л и т и к и ( G r o u p Policy Results Wizard).
Мастер п р е д л о ж и т в ы б р а т ь к о м п ь ю т е р . З а т е м он п о д к л ю ч и т с я к п о с т а в щ и к у
WMI на этом к о м п ь ю т е р е и о т о б р а з и т с п и с о к п о л ь з о в а т е л е й , к о т о р ы е входили
на него. Вы м о ж е т е в ы б р а т ь о д н о г о из п о л ь з о в а т е л е й и л и п р о п у с т и т ь а н а л и з
RSoP политик к о н ф и г у р а ц и и п о л ь з о в а т е л я .
2 8 2 Инфраструктура групповой политики Глава 6
Мастер выводит подробный отчет RSoP в динамическом формате HTML.'
Если включена конфигурация усиленной безопасности Internet Explorer ESCi
будет предложено разрешить консоли отображать динамическое содержимое.
Каждую секцию отчета можно развернуть или свернуть с помощью ссылки
Показать (Show) и Скрыть (Hide) либо двойным щелчком заголовка секции.
Отчет состоит из трех вкладок.
• Сводка (Summary') Отображается состояние обработки групповой по-
литики в последнем обновлении, а также информация о системе, объек-
тах GPO, членстве в группах безопасности при применении групповой
политики, проанализированные фильтры W M I и состояние клиентских
расширений (компонентов) CSE.
• Параметры (Settings) На этой вкладке выведен результирующий набор
параметров политики, примененных к компьютеру или пользователю. Здесь
точно указаны действия, примененные к пользователю в результате реали-
зации групповой политики. Хотя здесь представлено очень много данных,
некоторая информация все же не отображается – например, параметры
политики IPsec, беспроводных сетей и дисковых квот.
• События политики (Policy Events) Отображаются события групповой
политики из журналов событий конечного компьютера.
После генерирования отчета RSoP с помощью Мастера результатов груп-
повой политики (Group Policy Results Wizard) щелкните отчет правой кнопкой
мыши и заново запустите запрос, затем распечатайте отчет либо сохраните
его в файле XML или HTML, поддерживающем динамическое развертывание
и свертывание секций. Оба типа файлов можно открыть с помощью Internet
Explorer, а отчет RSoP переместить из консоли G P M C . В деретзе консоли в
папке Результаты групповой политики (Group Policy Results) щелкните пра-
вой кнопкой мыши узел самого отчета и выполните команду Дополнительные
параметры (Advanced View). В открывшемся окне отчет RSoP отображается
в виде оснастки RSoP, где можно просмотреть все примененные параметры,
включая политики IPsec, беспроводных сетей и дисковых квот.
Генерирование отчетов RSoP с помощью утилиты Gpresult.exe
Команда Gpresult представляет собой версию мастера результатов групповой
политики в командной строке. Эта утилита обращается к тому же провайдеру
WMI, генерирует такую же информацию и даже позволяет создавать такие же
графические отчеты. Утилита Gpresult.exe запускается в Windows Vista, Win-
dows ХР, Windows Server 2003 и Windows Server 2008. В Windows 2000 включе-
на команда Gpresult, генерирующая ограниченный отчёт обработки групповой
политики, однако она не предлагает таких возможностей, как в последующих
версиях Windows.
При запуске команды Gpresult применяются следующие опции.
• /s имя_компъютера Указывает имя или IP-адрес удаленной системы.
Если в качестве имени компьютера использовать символ точки (.) или не
указать опцию /в, анализ RSoP будет выполнен на локальном компьютере.
Занятие 3
Поддержка групповой политики 2 8 3
• /scope [user | computer] Отображает анализ RSoP для параметров поль-
зователя или компьютера. Если пропустить опцию /scope, будет выполнен
анализ RSoP как пользовательских, так и компьютерных параметров по-
литики.
• /user 1шя_пользователя Указывает и м я пользователя, для которого отоб-
ражаются данные а н а л и з а RSoP.
• /г Отображает сводку д а н н ы х RSoP.
• /v Отображает п о д р о б н ы е сведения R S o P с четкой информацией.
• /г Отображает м а к с и м а л ь н о подробную информацию, в том числе све-
дения обо всех п а р а м е т р а х п о л и т и к и , примененных к системе. Нередко
этот параметр отображает намного больше информации, чем требуется для
устранения т и п и ч н ы х н е п о л а д о к групповой политики.
• /и domainnonb3oeamenb/р пароль Запускает команду с учетными дан-
ными из группы а д м и н и с т р а т о р о в удаленной системы. Без этих учетных
данных команда Gpresult з а п у с к а е т с я с использованием учетных данных
текущего вошедшего п о л ь з о в а т е л я , который запускает команду.
м 1/х | /h] имя_файла С о х р а н я е т о т ч е т ы соответственно в формате
XML и H T M L . Э т и о п ц и и д о с т у п н ы в Windows Vista SP1 и Windows Ser-
ver 2008.
Контрольный в о п р о с
м Вам н у ж н о в ы п о л н и т ь а н а л и з R S o P удаленной системы. Какие два
инструмента м о ж н о и с п о л ь з о в а т ь для выполнения этой задачи?
Ответ на к о н т р о л ь н ы й в о п р о с
• Мастер результатов групповой политики (Group Policy Results Wizard)
и утилиту Gresult.exe.
Устранение н е п о л а д о к г р у п п о в о й п о л и т и к и с помощью мастера результатов
групповой п о л и т и к и и у т и л и т ы Gpresult.exe
Нередко прежде чем и с п р а в и т ь н е п о л а д к и групповой политики, необходимо
