Текст книги "Настройка Active Directory. Windows Server 2008"

Автор книги: Dan Holme

Соавторы: Danielle Ruest,Nelson Ruest
сообщить о нарушении

Текущая страница: 29 (всего у книги 91 страниц)

выполнить диагностику и у с т р а н и т ь другие неполадки, включая следующие:

• не применяются о б ъ е к т ы G P O ;

• результирующая п о л и т и к а к о м п ь ю т е р а или пользователя отличается от

ожидаемой.

Мастер результатов г р у п п о в о й п о л и т и к и и утилита Gpresult.exe позволяют

извлечь подробную и н ф о р м а ц и ю о неполадках обработки и применения груп-

повой политики. Помните, что д л я составления точного отчета эти средства

анализируют RSoP провайдера W M I . В отчете анализа RSoP часто указываются

объекты G P O с некорректной областью действия или ошибками обработки, не

позволяющими п р и м е н и т ь параметры G P O .

2 8 4 Инфраструктура групповой политики

Глава 6

Выполнение анализов «что-если» с помощью мастера моделирования

групповой политики

Если вы перемещаете компьютер или пользователя между сайтами, доменами

и подразделениями либо изменяете его членство в группах безопасности, будут

меняться объекты GPO, под область действия которых подпадает пользователь

или компьютер, и соответственно результирующая политика RSoP компьютера

или пользователя. Политика RSoP также изменяется в случае и с п о л ь з о в а н и я

медленного подключения или обработки замыкания политики, а т а к ж е при

изменении системной характеристики, на которую нацелен фильтр W M I .

Прежде чем внести какие-либо изменения, нужно оценить потенциальное

влияние политики RSoP на пользователя или компьютер. Мастер результатов

групповой политики (Group Policy Results Wizard) выполняет анализ R S o P

только уже примененных политик. Для прогнозирования п о л и т и к и и выпол-

нения анализов «что-если» (what-if)' используется Мастер м о д е л и р о в а н и я

групповой политики (Group Policy Modeling Wizard).

В консоли управления групповой политикой G P M C щелкните правой кноп-

кой узел Моделирование групповой политики (Group Policy Modeling) и вы-

полните команду Мастер моделирования групповой политики ( G r o u p Policy

Modeling Wizard). Моделирование выполняется путем э м у л я ц и и контроллера

домена, поэтому вначале нужно выбрать контроллер домена не н и ж е W i n d o w s

Server 2003. Локально входить на контроллер домена нет необходимости, од-

нако запрос моделирования будет выполняться на нем. Затем н у ж н о указать

параметры эмуляции:

• выбрать объект пользователя или компьютера д л я о ц е н к и и л и у к а з а т ь

подразделение, сайт либо домен для оценки;

• указать, следует ли имитировать медленное подключение;

• указать, следует ли выполнять обработку замыкаНия политики, и выбрать

для обработки режим Замена (Replace) или С л и я н и е (Merge);

• выбрать сайт для эмулирования;

• выбрать группы безопасности пользователя и компьютера;

• выбрать фильтры WMI для применения в эмуляции обработки п о л и т и к и

пользователя или компьютера.

После указания параметров эмуляции генерируется отчет, очень п о х о ж и й

на описанный выше отчет Результаты групповой политики ( G r o u p Policy Re-

sults). На вкладке Сводка (Summary) указаны объекты групповой п о л и т и к и ,

а вкладка Параметры (Settings) содержит параметры, которые будут применены

к пользователю или компьютеру. Чтобы сохранить отчет, щелкните его правой

кнопкой мыши и выполните команду Сохранить отчет (Save Report).

Анализ журналов событий политики

В Windows Vista и Windows Server 2008 устранение неполадок групповой по-

литики выполняется не только с помощью инструментов RSoP, но и путем

ведения журнала событий групповой политики. В журнале Система ( S y s t e m )

содержатся высокоуровневые данные о групповой политике, в к л ю ч а я ошиб-

Занятие 3

Поддержка групповой политики 285

ки клиента групповой п о л и т и к и , связанные с невозможностью подключения

к контроллеру домена и л и неправильного размещения объектов GPO. Журнал

Приложение (Application) захватывает события, записанные клиентскими рас-

ширениями CSE, н о в ы й ж у р н а л O p e r a t i o n a l групповой политики содержит

подробные сведения об обработке групповой политики. Д л я того чтобы най-

ти эти журналы, о т к р о й т е оснастку и л и консоль Просмотр событий (Event

Viewer). Журналы Система ( S y s t e m ) и П р и л о ж е н и е (Application) находятся

в узле Журналы W i n d o w s ( W i n d o w s Logs). Ж у р н а л Operational групповой

политики находится в папке M i c r o s o f t W i n d o w s G r o u p P o l i c y в узле журна-

лы приложений и с л у ж б (Applications And Services Logs). Этот журнал будет

доступен, только когда вы используете М а с т е р моделирования групповой по-

литики (Group Policy M o d e l i n g Wizard).

Практические занятия. Настройка области действия

групповой политики

В предложенных далее у п р а ж н е н и я х вы продолжите сценарий, начатый с со-

здания и настройки объектов G P O на з а н я т и я х 1 и 2: проанализируете RSoP,

выполните моделирование и п р о а н а л и з и р у е т е события политики в журналах

событий. Д л я в ы п о л н е н и я э т и х у п р а ж н е н и й следует прежде выполнить уп-

ражнения занятий 1 и 2.

Упражнение 1. И с п о л ь з о в а н и е м а с т е р а результатов групповой политики

В этом упражнении и с п о л ь з у е т с я мастер результатов групповой политики для

анализа результирующей п о л и т и к и R S o P на машине SERVER01 и проверяется

применение политик, с о з д а н н ы х на занятиях 1 и 2.

1. Войдите на м а ш и н у S E R V E R 0 1 как администратор.

2. Откройте окно к о м а н д н о й с т р о к и и введите команду gpupdate.exe /force /

boot, чтобы и н и ц и и р о в а т ь о б н о в л е н и е групповой политики. Подождите,

пока ие будет перезагружен компьютер. Запомните текущее время системы,

поскольку оно вам п о н а д о б и т с я в у п р а ж н е н и и 3.

3. Войдите на S E R V E R 0 1 как администратор и откройте консоль Управление

групповой п о л и т и к о й ( G r o u p Policy Management).

4. Разверните узел Л е с ( F o r e s t ) .

5. Щелкните п р а в о й к н о п к о й м ы ш и узел Результаты групповой политики

(Group Policy Results) и в ы п о л н и т е команду Мастер результатов групповой

политики ( G r o u p Policy Results Wizard).

6. Щелкните Д а л е е ( N e x t ) .

7. На странице Выбор компьютера ( C o m p u t e r Selection) выберите опцию Этот

компьютер (This C o m p u t e r ) и щ е л к н и т е Далее (Next).

8. На странице Выбор п о л ь з о в а т е л я ( U s e r Selection) выберите опцию Отоб-

ражать параметры п о л и т и к и п о л ь з о в а т е л я д л я (Display Policy Settings

For), затем выберите о п ц и ю Другого пользователя (Select A Specific User)

и пользователя C O N T O S O А д м и н и с т р а т о р (СОЫТОЗОАдмииистратор).

Щелкните Далее ( N e x t ) .

2 8 6 Инфраструктура групповой политики

Глава 6

9. На странице Сводка выбранных параметров (Summary Of Selections) про-

смотрите выбранные параметры и щелкните Далее (Next).

10. Щелкните Готово (Finish).

На панели сведении консоли появится отчет RSoP.

11. В верхней части отчета на вкладке Сводка (Summary) щелкните ссылку

Показать все (Show All).

12. Просмотрите сводку Результаты групповой политики (Group Policy Sum-

mary). Для конфигурации пользователя и компьютера идентифицируйте

время последнего обновления политики, а также просмотрите список при-

мененных и отклоненных объектов GPO. Идентифицируйте компоненты

(CSE-расширепия), которые использовались для обработки параметров

политики.

13. Перейдите па вкладку Параметры (Settings) и щелкните ссылку Показать

все (Show All) в верхней части страницы. Просмотрите примененные па-

раметры политики пользователя и компьютера и идентифицируйте G P O ,

из которого получены эти параметры.

14. Перейдите на вкладку События политики (Policy Events) и локализуйте

события, записанные в журналы при обновлении политики с помощью

команды Gpupdate.exe в шаге 2.

15. Перейдите на вкладку Сводка (Summary), щелкните страницу правой кноп-

кой мыши и выполните команду Сохранить отчет (Save Report). Сохраните

отчет в папке Документы (Documents) в виде файла H T M L с именем по

своему усмотрению.

16. Откройте отчет RSoP, сохраненный в папке Документы (Documents).

Упражнение 2. Использование утилиты Gpresult.exe

В этом упражнении выполняется анализ RSoP в окне командной строки с по-

мощью команды Gpresult.

1. Откройте окно командной строки.

2. Введите команду gpresult /г и нажмите клавишу Enter.

Отобразятся результаты сводки RSoP. Эта информация аналогична сведе-

ниям на вкладке Сводка (Summary) отчета RSoP, генерируемого мастером

результатов групповой политики.

3. Введите команду gpresult/V и нажмите клавишу Enter.

Будет создан более детальный отчет RSoP. В отчете перечислено множество

параметров групповой политики, применяемых клиентом.

А. Введите команду gpresult /г и нажмите Enter. Будет создан сверхподробный

отчет RSoP.

5. Введите команду gpresult/h:"%userprofile%DocumentsRSOP.html" и на-

жмите Enter.

Отчет RSoP будет сохранен в виде файла H T M L в вашей папке Документы

(Documents).

Занятие 3

Поддержка групповой политики 2 8 7

6. В папке документов о т к р о й т е сохраненный отчет RSoP. Сравните его ин-

формацию и ф о р м а т и р о в а н и е с отчетом RSoP, сохраненным в предыдущем

примере.

Упражнение 3. П р о с м о т р с о б ы т и й п о л и т и к и

При обновлении п о л и т и к и к л и е н т о м в ж у р н а л ы событий Windows записыва-

ются события политики. В ы п о л н я я это упражнение, вы локализуете и проана-

лизируете события, с в я з а н н ы е с групповой политикой.

1. В группе Администрирование (Administrative Tools) откройте консоль Про-

смотр событий ( E v e n t Viewer).

2. Разверните папку Ж у р н а л ы W i n d o w s (Windows Logs) и откройте журнал

Система (System).

3. Локализуйте с о б ы т и я с и с т о ч н и к о м GroupPolicy. Вы можете щелкнуть

ссылку Фильтровать т е к у щ и й ж у р н а л (Filter Current Log) на панели Дейс-

твия (Actions) и в р а с к р ы в а ю щ е м с я списке Источники событий (Event

Sources) выбрать и с т о ч н и к GroupPolicy.

4. Просмотрите и н ф о р м а ц и ю с о б ы т и й GroupPolicy.

5. В папке Ж у р н а л ы W i n d o w s ( W i n d o w s Logs) в дереве консоли щелкните

узел Приложение ( A p p l i c a t i o n ) .

6. Отсортируйте ж у р н а л П р и л о ж е н и е (Application) по столбцу Источник

(Source).

7. Просмотрите события групповой политики, внесенные в этот журнал. Какие

события связаны с п р и м е н е н и е м групповой политики и какие связаны с

действиями, которые в ы п о л н я ю т с я для управления групповой политикой?

8. В дереве к о н с о л и в п а п к е Ж у р н а л ы п р и л о ж е н и й и служб (Application

And Services Logs) р а з в е р н и т е ж у р н а л MicrosoftWindowsGroupPolicy

Operational.

9. Локализуйте первое событие, связанное с обновлением групповой полити-

ки, инициированном в у п р а ж н е н и и 1, где для этого использовалась команда

Gpupdate. П р о с м о т р и т е это с о б ы т и е и все последующие.

Упражнение 4. М о д е л и р о в а н и е г р у п п о в о й политики

В этом упражнении и с п о л ь з у е т с я мастер моделирования групповой политики

для оценки потенциального в л и я н и я параметров политики на пользователей

ноутбуков отдела продаж.

1. Откройте оснастку Active Directory – пользователи и компьютеры (Active

Directory Users And C o m p u t e r s ) .

2. В подразделении К а д р ы с о з д а й т е у ч е т н у ю запись пользователя Майк

Дансеглио.

3. Создайте в домене п о д р а з д е л е н и е Клиенты.

4. В подразделении Клиенты создайте учетную запись компьютера LAPTOPIOI.

5. Добавьте объект L A P T O P I O I и г р у п п у П о л ь з о в а т е л и домена (Domain

Users) в группу Н о у т б у к и . о т д е л а продаж.

2 8 8 Инфраструктура групповой политики

ГлаоаТГ

Существует с л е д у ю щ и й ф а к т : п р и о б ъ е д и н е н и и о б р а б о т к и з а м ы к а н и я

с фильтрацией г р у п п б е з о п а с н о с т и д л я п р и м е н е н и я п а р а м е т р о в п о л ь з о в а -

теля в о время о б н о в л е н и я п о л и т и к и и с п о л ь з у ю т с я у ч е т н ы е д а н н ы е к о м -

пьютера, чтобы о п р е д е л и т ь о б ъ е к т ы G P O в о б р а б о т к е з а м ы к а н и я , о д н а к о

для успешного п р и м е н е н и я G P O в о ш е д ш и й п о л ь з о в а т е л ь т а к ж е д о л ж е н

обладать разрешением н а п р и м е н е н и е г р у п п о в о й п о л и т и к и .

6. В консоли Управление г р у п п о в о й п о л и т и к о й ( G r o u p P o l i c y M a n a g e m e n t )

разверните узел Л е с ( F o r e s t ) .

7 . Щелкните правой к н о п к о й м ы ш и у з е л М о д е л и р о в а н и е г р у п п о в о й п о л и т и -

к и (Group Policy M o d e l i n g ) и в ы п о л н и т е к о м а н д у М а с т е р м о д е л и р о в а н и я

групповой п о л и т и к и ( G r o u p P o l i c y M o d e l i n g W i z a r d ) .

8. Щелкните Далее ( N e x t ) .

9 . Н а странице Выбор к о н т р о л л е р а д о м е н а ( D o m a i n C o n t r o l l e r S e l e c t i o n )

щелкните Далее (Next).

10. На странице Выбор к о м п ь ю т е р а и п о л ь з о в а т е л я ( U s e r A n d C o m p u t e r Se-

lection) щелкните в с е к ц и и с в е д е н и я о п о л ь з о в а т е л е ( U s e r I n f o r m a t i o n )

опцию Пользователь ( U s e r ) , щ е л к н и т е к н о п к у О б з о р ( B r o w s e ) и в ы б е р и т е

пользователя Майк Дансеглио.

11. В секции сведения о пользователе ( U s e r I n f o r m a t i o n ) щ е л к н и т е о п ц и ю К о м -

пьютер (Computer), щ е л к н и т е к н о п к у О б з о р ( B r o w s e ) и в ы б е р и т е о б ъ е к т

компьютера L A P T O P I O I .

12. Щелкните Далее (Next).

13. На странице Д о п о л н и т е л ь н ы е п а р а м е т р ы э м у л я ц и и ( A d v a n c e d S i m u l a t i o n

Options) установите ф л а ж о к О б р а б о т к а з а м ы к а н и я н а с е б я ( L o o p b a c k P r o -

cessing) и выберите р е ж и м О б ъ е д и н и т ь ( M e r g e ) .

Даже несмотря н а то, что о б ъ е к т г р у п п о в о й п о л и т и к и К о н ф и г у р а ц и я но-

утбуков отдела продаж у к а з ы в а е т о б р а б о т к у з а м ы к а н и я , в ы д о л ж н ы и н с -

труктировать мастер м о д е л и р о в а н и я г р у п п о в о й п о л и т и к и д л я в к л ю ч е н и я

обработки з а м ы к а н и я в э м у л я ц и ю .

14. Щелкните Далее (Next).

15. На странице Альтернативные пути-Active D i r e c t o r y ( A l t e r n a t e A c t i v e D i r e c -

tory Paths) щелкните Д а л е е ( N e x t ) .

16. Н а странице Группы б е з о п а с н о с т и п о л ь з о в а т е л я ( U s e r S e c u r i t y G r o u p s )

щелкните Далее (Next).

17. На странице Группы безопасности K 0 M n b i 0 T e p a ' ( C 0 m p u t e r S e c u r i t y G r o u p s )

щелкните Далее (Next).

18. Н а странице Ф и л ь т р ы W M I д л я п о л ь з о в а т е л е й ( W M I F i l t e r s F o r U s e r s )

щелкните Далее (Next).

19. Н а странице Фильтры W M I д л я к о м п ь ю т е р о в ( W M I F i l t e r s F o r C o m p u t e r s )

щелкните Далее (Next).

20. Просмотрите параметры на с т р а н и ц е С в о д к а в ы б р а н н ы х п а р а м е т р о в ( S u m -

mary Of Selections). Щ е л к н и т е Д а л е е ( N e x t ) , а з а т е м Готово ( F i n i s h ) .

Занятие 3

Поддержка групповой политики 2 8 9

Резюме

• О т ч е т ы R S o P г е н е р и р у ю т с я в интерфейсе Windows с помощью Мастера

результатов г р у п п о в о й п о л и т и к и ( G r o u p Policy Results Wizard), который

я в л я е т с я к о м п о н е н т о м консоли управления групповой политикой GPMC.

О т ч е т ы R S o P о т о б р а ж а ю т р е а л ь н ы е результаты обработки политики во

в р е м я последнего о б н о в л е н и я политики.

• О т ч е т ы R S o P г е н е р и р у ю т с я в окне командной строки с помощью утилиты

Gpresult.exe. С п о м о щ ь ю о п ц и и /scope можно генерировать отчет, который

будет с о д е р ж а т ь т о л ь к о п а р а м е т р ы компьютера или пользователя. С по-

мощью п е р е к л ю ч а т е л я / s команду Gpresult можно запустить для удаленной

системы.

• М а с т е р м о д е л и р о в а н и я групповой политики (Group Policy Modeling Wiz-

a r d ) п о з в о л я е т э м у л и р о в а т ь применение групповой политики для оценки

в о з м о ж н о г о в л и я н и я и з м е н е н и й в инфраструктуре групповой политики

и л и п е р е м е щ е н и я п о л ь з о в а т е л е й и компьютеров между подразделениями

и группами.

ш К о м п о н е н т ы г р у п п о в о й п о л и т и к и создают записи в журнале событий Win-

dows.

Закрепление материала

С л е д у ю щ и е в о п р о с ы м о ж н о использовать для проверки знаний, полученных

на з а н я т и и 3. Э т и в о п р о с ы содержатся на сопроводительном компакт-диске.

ПРИМЕЧАНИЕ Ответы

Ответы на эти вопросы с пояснениями, почему тот или иной вариант ответа является

правильным или неправильным, вы найдете в разделе «Ответы» в конце книги.

1. П о л ь з о в а т е л ь о б р а т и л с я с отдел справки организации и сообщил о про-

блемах, к о т о р ы е могут быть связаны с недавними изменениями групповой

п о л и т и к и . Вам н у ж н о проанализировать данные обработки групповой по-

л и т и к и в системе пользователя. Какие инструменты можно использовать

для удаленного сбора этой и н ф о р м а ц и и ? (Укажите все варианты.)

A. М а с т е р м о д е л и р о в а н и я групповой политики (Group Policy Modeling

Wizard).

Б. Мастер результатов групповой политики (Group Policy Results Wizard).

B. К о м а н д а Gpupdate.exe.

Г. Команда Gpresult.exe.

Д. Команда Msconfig.exe.

2. Вы работаете администратором в компании Contoso, Ltd. Домен contoso.com

содержит,пять'объектов G P O , связанных с доменом, один из которых кон-

фигурирует э к р а н н у ю заставку с парольной защитой и таймаут экранной

заставки в соответствии с требованиями корпоративной политики. Неко-

торые п о л ь з о в а т е л и жалуются, что их экранная заставка не запускается

2 9 0 Инфраструктура групповой политики

ГлаоаТГ

через 10 мин, как ожидалось. Какую н у ж н о в ы п о л н и т ь команду, ч т о б ы

определить применяемые объекты G P O ?

A. Gpresult.exe.

Б. Gpresult.exe -computer.

B. Gpresult -scope computer.

Г. Gpupdate.exe /Target:User.

Закрепление материала главы

Для того чтобы попрактиковаться и закрепить з н а н и я , п о л у ч е н н ы е п р и и з у ч е -

нии представленного в этой главе материала, вам н е о б х о д и м о :

• ознакомиться с резюме главы;

• повторить используемые в главе основные т е р м и н ы ;

• изучить сценарий, в котором описана р е а л ь н а я с и т у а ц и я , т р е б у ю щ а я п р и -

менения полученных знаний, и предложить свое решение;

• выполнить рекомендуемые упражнения;

• сдать пробный экзамен с помощью тестов.

Резюме

• Групповая политика позволяет централизованно у п р а в л я т ь к о н ф и г у р а ц и е й

в среде предприятия и изменять ее. .

• В объекте G P O можно конфигурировать т ы с я ч и п а р а м е т р о в п о л и т и к и .

По умолчанию они не заданы (Not Configured). Ч т о б ы п р и м е н и т ь т о т и л и

иной параметр, его нужно включить и л и о т к л ю ч и т ь .

• Область действия G P O для компьютеров и пользователей к о н ф и г у р и р у е т с я

с помощью различных механизмов, в к л ю ч а я с в я з и с с а й т а м и , д о м е н а м и и

подразделениями. Область действия объектов G P O м о ж н о т а к ж е ф и л ь т р о -

вать с помощью групп безопасности и фильтров W M I .

• Для поддержки групповой политики и устранения н е п о л а д о к и с п о л ь з у ю т с я

инструменты результирующей политики R S o P и ж у р н а л ы с о б ы т и й .

Основные термины

Запомните перечисленные далее термины, чтобы л у ч ш е п о н я т ь о п и с ы в а е м ы е

концепции. '

• Объект групповой политики G P O (Group P o l i c y O b j e c t ) К о л л е к ц и я

параметров политики, определяющих к о н ф и г у р а ц и ю .

• Параметр политики или политика К о н ф и г у р а ц и я и л й и з м е н е н и е в объ-

екте групповой политики.

• Результирующий набор политик R S o P (Resultant S e t of P o l i c i e s ) Сетевой

результат применения параметров групповой п о л и т и к и с у ч е т о м с в я з е й

областей действия объектов G P O , фильтров безопасности, ф и л ь т р о в W M I

и таких опций, как блокирование н а с л е д о в а н и я и п р и н у д и т е л ь н о е в к л ю -

чение связи GPO.

Практические задания 2 9 1

• Область действия В контексте групповой политики область действия охва-

тывает пользователей и к о м п ь ю т е р ы , к к о т о р ы м п р и м е н я е т с я объект G P O .

Сценарий. Реализация групповой политики

В следующем с ц е н а р и и вы п р и м е н и т е п о л у ч е н н ы е н а в ы к и реализации объек-

тов G P O , у п р а в л е н и я о б л а с т ь ю д е й с т в и я и п о д д е р ж к и групповой политики.

Ответы на в о п р о с ы м о ж н о н а й т и в р а з д е л е « О т в е т ы » в конце книги.

Вы являетесь а д м и н и с т р а т о р о м в к о м п а н и и N o r t h w i n d Traders, которая

внедряет новое п р и л о ж е н и е п л а н и р о в а н и я ресурсов предприятия E R P (Enter-

prise Resource P l a n n i n g ) и в э т о м п р о ц е с с е будет проводить много обучающих

сеансов. Н е о б х о д и м о н а с т р о и т ь к о м п ь ю т е р ы в учебных аудиториях и создать

единую согласованную среду д л я всех студентов, входящих в системы, напри-

мер задать ф о н о в ы й р и с у н о к рабочего стола, запретить пользователям получать

доступ к средствам р е д а к т и р о в а н и я р е е с т р а и о т к л ю ч и т ь политику экранной

заставки с п а р о л ь н о й з а щ и т о й , р е а л и з о в а н н о й объектом G P O , который связан

с доменом.

1. Где находятся п а р а м е т р ы п о л и т и к и , к о н ф и г у р и р у ю щ и е требуемую среду,

рабочего стола: в у з л е К о н ф и г у р а ц и я пользователя (User Configuration)

или К о н ф и г у р а ц и я к о м п ь ю т е р а ( C o m p u t e r Configuration) объекта G P O ?

2. Нужно ли после н а с т р о й к и п а р а м е т р о в связать G P O с подразделением,

содержащим у ч е т н ы е з а п и с и п о л ь з о в а т е л е й и л и учебных компьютеров?

3. Как п р и м е н и т ь все п а р а м е т р ы , когда пользователи входят на компьютеры

в учебных а у д и т о р и я х , и о т к л о н и т ь их п р и входе пользователей на свои

стандартные к о м п ь ю т е р ы ?

4. Какой параметр с л е д у е т о т к о н ф и г у р и р о в а т ь , чтобы отклонить использова-

ние политик, п р и м е н я е м ы х в с т а н д а р т н ы х ситуациях, д л я тех, кто входит

на учебные к о м п ь ю т е р ы ?

5. Можно ли сделать так, ч т о б ы п а р а м е т р ы д о м е н н ы х политик экранной за-

ставки не п р и м е н я л и с ь к к о м п ь ю т е р а м в учебных аудиториях?

Практические задания

Для успешной п о д г о т о в к и к с е р т и ф и к а ц и о н н ы м экзаменам выполните пред-

лагаемые у п р а ж н е н и я .

Создание и применение объектов групповой политики

В следующих у п р а ж н е н и я х вы о т к о н ф и г у р и р у е т е среду, реализованную в сце-

нарии, создадите п о д р а з д е л е н и е д л я к о м п ь ю т е р о в в у ч е б н ы х аудиториях,

отконфигурируете р а б о ч е е о к р у ж е н и е п о л ь з о в а т е л е й с помощью обработки

замыкания г р у п п о в о й п о л и т и к и и о т к л о н и т е п р и м е н е н и е политики домена

к учебным к о м п ь ю т е р а м . З а т е м п р о в е р и т е в ы п о л н е н н у ю работу с помощью

анализа RSoP.

• Упражнение 1 С о з д а й т е п о д р а з д е л е н и е Учебная аудитория, несколько

объектов к о м п ь ю т е р о в в э т о м п о д р а з д е л е н и и , затем глобальную группу

безопасности Учебные к о м п ь ю т е р ы и добавьте объекты компьютеров в эту

группу.

2 9 2 Инфраструктура групповой политики ГлаоаТГ

• Упражнение 2 Создайте объект г р у п п о в о й п о л и т и к и К о н ф и г у р а ц и я учеб-

ной аудитории. В этом G P O в к л ю ч и т е п о л и т и к у , з а п р е щ а ю щ у ю д о с т у п

к средствам р е д а к т и р о в а н и я ' р е е с т р а , и о т к о и ф и г у р и р у й т е с т а н д а р т н ы й

фоновый рисунок рабочего стола. О б а п а р а м е т р а н а х о д я т с я в к о н ф и г у р а ц и и

пользователя узла А д м и н и с т р а т и в н ы е ш а б л о н ы ( A d m i n i s t r a t i v e Templates).

Д л я и х поиска м о ж н о и с п о л ь з о в а т ь ф и л ь т р а ц и ю п о к л ю ч е в ы м с л о в а м .

В узле К о н ф и г у р а ц и я к о м п ь ю т е р а ( C o m p u t e r C o n f i g u r a t i o n ) л о к а л и з у й т е

параметр административных ш а б л о н о в , в к л ю ч а ю щ и й о б р а б о т к у з а м ы к а н и я

политики. Включите этот п а р а м е т р и п р и м е н и т е р е ж и м о б р а б о т к и з а м ы -

кания Замена (Replace).

• Упражнение 3 С в я ж и т е объект г р у п п о в о й п о л и т и к и К о н ф и г у р а ц и я учеб-

ной аудитории с подразделением У ч е б н а я а у д и т о р и я .

1 У п р а ж н е н и е 4 Н а з а н я т и и 1 в ы с о з д а л и о б ъ е к т г р у п п о в о й п о л и т и к и

C O N T O S O С т а н д а р т ы и о т к о н ф й г у р и р о в а л и е г о д л я р е а л и з а ц и и п а р а -

метров политики э к р а н н о й з а с т а в к и . Е с л и у в а с н е т э т о г о о б ъ е к т а G P O ,

выполните упражнение 1 з а н я т и я 1. На в к л а д к е Д е л е г и р о в а н и е ( D e l e g a t i o n )

объекта G P O запретите д л я г р у п п ы У ч е б н ы е к о м п ь ю т е р ы р а з р е ш е н и е П р и -

менить групповую п о л и т и к у ( A p p l y G r o u p P o l i c y ) ,

м Упражнение 5 С п о м о щ ь ю М а с т е р а м о д е л и р о в а н и я г р у п п о в о й п о л и т и к и

(Group Policy Modeling W i z a r d ) о ц е н и т е р е з у л ь т и р у ю щ у ю п о л и т и к у R S o P

для пользователя, к о т о р ы й в х о д и т н а о д и н и з к о м п ь ю т е р о в . В д о п о л н и -

тельных параметрах э м у л я ц и и м а с т е р а в ы б е р и т е о б р а б о т к у з а м ы к а н и я

с режимом замены (Replace).

Пробный экзамен

На прилагаемом к книге к о м п а к т – д и с к е п р е д с т а в л е н о н е с к о л ь к о в а р и а н т о в

тренировочных тестов. Проверка з н а н и й в ы п о л н я е т с я и л и т о л ь к о п о о д н о й т е м е

сертификационного экзамена 7 0 – 6 4 0 , и л и п о в с е м э к з а м е н а ц и о н н ы м т е м а м .

Тестирование можно организовать т а к и м о б р а з о м , ч т о б ы о и о п р о в о д и л о с ь к а к

экзамен, либо настроить на р е ж и м о б у ч е н и я . В п о с л е д н е м с л у ч а е вы с м о ж е т е

после каждого своего ответа н а в о п р о с п р о с м а т р и в а т ь п р а в и л ь н ы е о т в е т ы

и пояснения.

ПРИМЕЧАНИЕ Пробный экзамен

Подробнее о пробном экзамене рассказано во введении к – д а н н о й книге.

Г Л А В А 7

Параметры групповой политики

Занятие 1. Делегирование и поддержка компьютеров 294

Занятие 2. Управление параметрами безопасности 304

Занятие 3. Управление установкой программного обеспечения

с помощью групповой политики 328

Занятие 4. Аудит 342

С п о м о щ ь ю г р у п п о в о й п о л и т и к и можно управлять конфигурацией различных

компонентов и ф у н к ц и й Microsoft Windows. В предыдущей главе мы рассмотре-

ли п р и н ц и п н а с т р о й к и и н ф р а с т р у к т у р ы групповой политики, а в данной главе

поговорим о п р и м е н е н и и э т о й инфраструктуры для управления несколькими

т и п а м и к о н ф и г у р а ц и и , с в я з а н н ы м и с установкой и безопасностью програм-

много обеспечения. К р о м е того, мы расскажем об инструментах, с помощью

которых о п р е д е л я ю т с я параметры, конфигурируемые на основе ролей серве-

ра (в частности, о М а с т е р е н а с т р о й к и безопасности (Security Configuration

Wizard)), а в з а в е р ш е н и е – о настройке аудита файлов и папок, а также из-

менений Д о м е н н ы х с л у ж б Active Directory (Active Directory Domain Services,

A D DS).

Темы экзамена:

• Создание и п о д д е р ж к а объектов Active Directory.

• Создание и п р и м е н е н и е объектов групповой политики.

• Н а с т р о й к а ш а б л о н о в объектов групповой политики.

• Н а с т р о й к а п о л и т и к и аудита с помощью объектов групповой политики.

Прежде всего

Д л я в ы п о л н е н и я у п р а ж н е н и й данной главы требуется создать контроллер до-

мена S E R V E R 0 1 в домене contoso.com. Инструкции по установке содержатся

в главе 1.

'294 Параметры групповой политики

Глава 7

История из жизни

Дэн Холче

Мои клиенты часто просили провести «санитарную проверку» своих структур

Active Directory. При таких проверках выполняется анализ параметров групповой

политики с обсуждением ее преимуществ в управлении изменениями и конфи-

гурацией. Удивительно, но через восемь лет после введения групповой политики

многие организации до сих пор не используют все ее возможности, в частности

в области безопасности. Три занятия из четырех, представленных в этой главе,

посвящены взаимодействию между конфигурацией безопасности и групповой

политикой. С помощью групповой политики можно эффективно управлять такой

конфигурацией, как членство в группе Администраторы (Administrators) и назна-

чение пользовательских прав, режимы запуска и политик аудита. Информация

в данной главе не только поможет сдать сертификационный экзамен 7 0 – 6 4 0 , но

также позволит повысить уровень управляемости и бёзопасности всего предпри-

ятия, включая Active Directory. Последние восемь лет меня часто спрашивают о

том, как определить изменения, внесенные администраторами в Active Directory.

Теперь с помощью нового аудита Изменения службы каталогов (Directory Service

Changes) в Windows Server 2008 можно просто проверить журнал безопаснос-

ти. Даже если вы уже используете политику управления конфигурацией безо-

пасности, этот новый компонент вместе со значительно улучшенным Мастером

настройки безопасности (Security Configuration Wizard) выведет возможности

управления безопасностью на качественно новый уровень.

Занятие 1. Делегирование и поддержка компьютеров

Многие предприятия содержат персонал д л я п о д д е р ж к и к о н е ч н ы х п о л ь з о в а -

телей – так называемый отдел справки. С о т р у д н и к и этого о т д е л а у с т р а н я ю т

неполадки, настраивают конфигурацию, а т а к ж е в ы п о л н я ю т з а д а ч и п о д д е р ж к и

на клиентских компьютерах, для чего н е о б х о д и м ы а д м и н и с т р а т и в н ы е п р и в и -

легии. Поэтому учетным записям персонала п о д д е р ж к и д о л ж е н б ы т ь н а з н а ч е н

уровень привилегий локальной группы А д м и н и с т р а т о р ы ( A d m i n i s t r a t o r s ) на