Что такое групповая политика?
Групповая политика дает администраторам возможность управления пользовательской и компьютерной средой.
Все компьютеры, работающие под управлением операционных систем Microsoft Windows® 2000, Windows XP или Windows Server 2003, могут принимать параметры групповой политики.
Все компьютеры, работающие под управлением операционных систем Microsoft Windows® 2000, Windows XP или Windows Server 2003, могут принимать параметры групповой политики.
Локальные параметры групповой политики можно использовать для управления локальным компьютером в изолированной среде или среде домена.
Служба каталогов Active Directory может использовать групповую политику для управления пользователями и компьютерами домена.
Служба каталогов Active Directory может использовать групповую политику для управления пользователями и компьютерами домена.
При использовании групповой политики можно задать состояние рабочей среды пользователя, а затем положиться на локальную операционную систему или службу Active Directory, чтобы сделать принудительными эти параметры групповой политики.
- Параметры групповой политики можно применить для всей организации или к определенным группам пользователей и компьютеров.
- Параметры групповой политики службы Active Directory хранятся в объектах групповой политики. Объекты групповой политики хранятся в папке Sysvol службы Active Directory.
- Параметры групповой политики локального компьютера хранятся на жестком диске в скрытой папке
%windir%/system32/GroupPolicy .
Административные шаблоны
В систему Windows включено несколько файлов шаблонов с расширением ADM. В этих файлах, называемых административными шаблонами, приводятся сведения о политике для элементов, находящихся в папке Административные шаблоны в дереве консоли в редакторе объектов групповой политики.
Административные шаблоны содержат параметры, основанные на реестре, которые доступны вКонфигурации компьютера и Конфигурации пользователя в редакторе объектов групповой политики.
Файл с расширением ADM состоит из иерархии категорий и подкатегорий, которые определяют, как проявляются параметры политики. Он содержит следующие сведения:
- пути реестра, соответствующие каждой настройке политики;
- параметры или ограничения значений, связанных с каждой настройкой политики;
- значение по умолчанию для многих настроек политики;
- объяснение функции каждой настройки политики;
- версии Windows, поддерживающие каждую настройку.
Порядок обработки объектов групповой политики
Объекты групповой политики обрабатываются в особом порядке:
- Групповая политика локального компьютера.
- Объекты групповой политики, привязанные к сайту.
- Объекты групповой политики, привязанные к домену.
- Объекты групповой политики, привязанные к подразделению.
Так как последняя примененная политика определяет среду компьютера и пользователя, порядок обработки является важным обстоятельством при построении стратегии групповой политики.
- Групповая политика локального компьютера.
Групповая политика локального компьютера всегда применяется в первую очередь. Локальные политики хранятся на жестком диске локального компьютера и применяются ко всем пользователям при входе пользователя в систему на этом компьютере. Локальные политики обычно выполняются в рабочей группе или в автономной среде. - Объекты групповой политики, привязанные к сайту.
Если компьютер является элементом леса Active Directory, то все объекты групповой политики, связанные с сайтом, будут применяться после политики локального компьютера. Сайты и домены не имеют физической взаимосвязи. Один сайт может содержать несколько доменов, а один домен может охватывать несколько сайтов. Так как объект групповой политики находится в папке Sysvolконтроллера домена, объект групповой политики, связанный с сайтом, может привести к применению объекта групповой политики в пределах домена, если сайт содержит несколько доменов. Это может привести к тому, что групповая политика не будет применена согласованно в одном домене, который охватывает несколько сайтов. Связывание объекта групповой политики с сайтом требует внимательного рассмотрения. - Объекты групповой политики, привязанные к домену.
После применения объектов групповой политики сайта будут применены все объекты групповой политики домена. Объект групповой политики домена уникален, так как он является единственным контейнером, в котором можно применить политики учетной записи домена. - Объекты групповой политики, привязанные к подразделению.
Объекты групповой политики можно связать с любым родительским или дочерним подразделением. Все объекты групповой политики, связанные с родительским или дочерним подразделением, применяются к учетным записям пользователя или компьютера. В первую очередь применяются объекты групповой политики, связанные с родительским подразделением, а затем объекты групповой политики, связанные с дочерним подразделением. В последнюю очередь применяются объекты групповой политики, связанные с непосредственным объектом контейнера.
Параметры конфигурации пользователя
Задать параметры групповой политики для пользователей и компьютеров можно с помощью узловКонфигурации компьютера и Конфигурации пользователя в оснастке Групповая политика.
Конфигурация пользователя
Настройка узла Конфигурация пользователя изменяет куст реестра HKEY_CURRENT_USER.
К настройкам групповой политики для пользователей относятся:
К настройкам групповой политики для пользователей относятся:
- настройки программного обеспечения;
- настройки Windows, настройки рабочего стола;
- настройки безопасности;
- настройки приложения;
- параметры перенаправления каталогов;
- сценарии входа и выхода пользователей из системы.
Настройки групповой политики, относящиеся к пользователю, запрашиваются тогда, когда пользователи входят в систему, а настройки, которые были изменены, применяются во время периодического цикла обновления. Параметры безопасности обновляются, по крайней мере, через каждые 16 часов независимо от того, были ли они изменены.
Параметры групповой политики, которые регулируют среду рабочего стола пользователя или осуществляют политики блокирования пользователей, содержатся в узле Конфигурация пользователя в редакторе объектов групповой политики.
Параметры групповой политики, которые регулируют среду рабочего стола пользователя или осуществляют политики блокирования пользователей, содержатся в узле Конфигурация пользователя в редакторе объектов групповой политики.
Конфигурация программ для конфигурации пользователя
Папка Конфигурация программ в узле Конфигурация пользователя содержит параметры программного обеспечения, которые применяются к пользователям независимо от того, с какого компьютера они осуществили вход в систему. В этой же папке содержатся параметры установки программного обеспечения.
Конфигурация Windows для конфигурации пользователя
Папка Конфигурация Windows в узле Конфигурации пользователя содержит настройки Windows, применяемые к пользователям независимо от того, с какого компьютера они осуществили вход в систему.
Папка Конфигурация Windows содержит следующие папки:
Папка Конфигурация Windows содержит следующие папки:
- Перенаправление папок;
- Параметры безопасности;
- Сценарии.
Параметры рабочего стола
В папку Административные шаблоны входят следующие папки:
- Компоненты Windows;
- Панель задач и меню Пуск;
- Рабочий стол;
- Панель управления;
- Общие папки;
- Сеть;
- Система.
Папка Административные шаблоны содержит параметры групповой политики, которые управляют пользовательской средой. Можно создать свои собственные файлы с расширением ADM или добавить существующие файлы, чтобы заставить групповую политику управлять любым аспектом пользовательской среды.
Конфигурация компьютера
Конфигурация компьютера изменяет куст реестра HKEY_LOCAL_MACHINE.
Параметры групповой политики для компьютеров управляют:
Параметры групповой политики для компьютеров управляют:
- поведением операционной системы;
- настройками безопасности;
- сценариями запуска и завершения работы компьютера;
- конфигурацией компонентов Windows;
- параметрами приложений, назначаемыми системой Windows и настройками приложения.
Параметры групповой политики, относящиеся к компьютеру, запрашиваются клиентским компьютером при инициализации операционной системы, а во время периодического цикла обновления применяются только те параметры, которые были изменены.
Параметры безопасности обновляются, по крайней мере, через каждые 16 часов независимо от того, были ли они изменены.
В общем, параметры групповой политики, относящиеся к компьютеру, имеют приоритет над конфликтующими настройками групповой политики, относящимися к пользователю.
Параметры безопасности обновляются, по крайней мере, через каждые 16 часов независимо от того, были ли они изменены.
В общем, параметры групповой политики, относящиеся к компьютеру, имеют приоритет над конфликтующими настройками групповой политики, относящимися к пользователю.
Конфигурация программ для конфигурации пользователя
Настройки групповой политики, которые регулируют среду рабочего стола всех пользователей компьютера или принудительно осуществляют политики безопасности для компьютеров сети, содержатся в узле Конфигурация компьютера в редакторе объектов групповой политики.
Папка Конфигурация программ в узле Конфигурация компьютера содержит настройки программного обеспечения. Программное обеспечение, назначенное компьютеру, будет установлено при перезагрузке компьютера и станет доступным для всех пользователей, которые входят в систему компьютера. Папка Конфигурация программ также содержит параметры установки программного обеспечения.
Папка Конфигурация программ в узле Конфигурация компьютера содержит настройки программного обеспечения. Программное обеспечение, назначенное компьютеру, будет установлено при перезагрузке компьютера и станет доступным для всех пользователей, которые входят в систему компьютера. Папка Конфигурация программ также содержит параметры установки программного обеспечения.
Конфигурация Windows для конфигурации пользователя
Папка Конфигурация Windows в узле Конфигурации пользователя содержит настройки Windows, применяемые ко всем пользователям, которые осуществляют вход в систему. В этой папке также находится следующее:
- параметры безопасности;
- параметры безопасности для конфигурации компьютера;
- сценарии.
Настройки безопасности доступны в папке Конфигурация Windows в узлах Конфигурации компьютера и Конфигурации пользователя в редакторе объектов групповой политики. Настройки безопасности – это правила, которые настраиваются на компьютере или на нескольких компьютерах и защищают ресурсы компьютера или сети. С помощью настроек безопасности можно определить политику безопасности подразделения, домена или сайта.
Административные шаблоны
Папка Административные шаблоны содержит следующие папки:
- Компоненты Windows;
- Система;
- Сеть;
- Принтер.
Эти папки содержат настройки, позволяющие управлять поведением операционной системы для всех компьютеров, на которые действует политика. Например, можно настроить функционирование службы терминалов или заполнить места поиска принтеров.
Групповая политика локального компьютера
Все компьютеры, работающие под управлением операционных систем Microsoft Windows 2000, Windows XP или Windows Server 2003, могут иметь локальные настройки групповой политики, применяемые к реестру локального компьютера.
Локальная оснастка Групповая политика похожа на редактор объектов групповой политики в службеActive Directory, но не идентична ему. Настройки, которые имеют дело с конфигурациями домена, не содержатся в локальной оснастке Групповая политика.
Локальная оснастка Групповая политика похожа на редактор объектов групповой политики в службеActive Directory, но не идентична ему. Настройки, которые имеют дело с конфигурациями домена, не содержатся в локальной оснастке Групповая политика.
Когда использовать и как установить локальную групповую политику?
В рабочей группе или в автономной ситуации единственным доступным способом управления средой пользователя и компьютера, при котором пользователи не могут изменить настройки, является использование локальных настроек групповой политики или непосредственный доступ к реестру. Непосредственная модификация реестра не рекомендуется.
Локальные политики могут использоваться в среде домена, но обычно не используются, потому что централизованная конфигурация групповой политики с помощью средства Active Directory является более эффективной по сравнению с конфигурацией каждого отдельного компьютера.
Чтобы установить локальную групповую политику, необходимо:
- создать пользовательскую консоль управления (MMC);
- добавить оснастку групповой политики;
- настроить оснастку, чтобы изменить настройки для локального компьютера.
Только администраторы могут установить локальную групповую политику.
Как изменить поведение локальной групповой политики?
Все настройки, установленные в локальной групповой политике, будут применены ко всем локальным пользователям или пользователям домена, которые в данный момент вошли в систему.
Это поведение можно изменить путем редактирования разрешений NTFS на скрытую папку%systemroot%\system32\GroupPolicy. Можно запретить разрешение на папку групповой политики тем пользователям и группам, на которые не должна воздействовать групповая политика. Например, имеется ограничительная политика, которая должна воздействовать на всех пользователей компьютера, за исключением администратора.
Для осуществления такой политики необходимо запретить администраторам доступ к папке групповой политики. Если администратору необходимо изменить политику позднее, то администратор должен вернуть разрешение учетной записи администратора, чтобы разрешить изменение.
Это поведение можно изменить путем редактирования разрешений NTFS на скрытую папку%systemroot%\system32\GroupPolicy. Можно запретить разрешение на папку групповой политики тем пользователям и группам, на которые не должна воздействовать групповая политика. Например, имеется ограничительная политика, которая должна воздействовать на всех пользователей компьютера, за исключением администратора.
Для осуществления такой политики необходимо запретить администраторам доступ к папке групповой политики. Если администратору необходимо изменить политику позднее, то администратор должен вернуть разрешение учетной записи администратора, чтобы разрешить изменение.
Папка Администрирование содержит значок оснастки Локальная политика безопасности. Эта оснастка является ссылкой на папку Параметры безопасности локальной групповой политики. Она позволяет администраторам быстро получить доступ к параметрам безопасности локального компьютера, не создавая пользовательскую консоль MMC.
Внедрение объектов групповой политики в домене
Применение групповой политики в домене позволяет сетевому администратору лучше управлять конфигурациями компьютеров в сети. Кроме того, групповая политика в операционной системе Windows Server 2003 позволяет создавать управляемую среду рабочего стола, которая настраивается для должностных обязанностей и степени опытности пользователя, что уменьшает требования к сетевой поддержке.
Средства, используемые для управления объектами групповой политики
- Редактор объектов групповой политики можно открыть в оснастке Active Directory – пользователи и компьютеры, чтобы управлять объектами групповой политики для доменов и подразделений. В диалоговом окне Свойства для домена или подразделения существует вкладкаГрупповая политика. На этой вкладке можно управлять объектами групповой политики для домена или подразделений.
- Редактор объектов групповой политики можно открыть в оснастке Active Directory – сайты и службы, чтобы управлять объектами групповой политики для сайтов. В диалоговом окнеСвойства существует вкладка Групповая политика. На этой вкладке можно управлять объектами групповой политики для сайта.
- Если установлена консоль управления групповой политикой (GPMC), то оснастки Active Directory – пользователи и компьютеры и Active Directory – сайты и службы замещаются кнопкой запуска консоли управления групповой политикой.
Консоль управления групповой политикой (GPMC)
Консоль управления групповой политикой – это дополнительное средство для управления групповой политикой. Консоль управления групповой политикой объединяет управление групповой политикой в организации.
В консоли управления групповой политикой сочетается функциональность нескольких компонентов в едином интерфейсе пользователя. Интерфейс пользователя построен так, чтобы соответствовать способу использования и управления групповой политикой. Он объединяет функциональность следующих средств, касающихся групповой политики, в единую оснастку консоли управления (MMC):
- Active Directory – пользователи и компьютеры;
- Active Directory – сайты и службы;
- Результирующая политика.
Консоль управления групповой политикой предоставляет ряд расширенных возможностей, которые были недоступны в предыдущих средствах групповой политики. С помощью консоли управления групповой политикой можно:
- создавать резервные копии и восстанавливать объекты групповой политики;
- копировать и импортировать объекты групповой политики;
- использовать фильтры инструментария управления Windows (WMI);
- сообщать данные объектов групповой политики и результирующей политики;
- выполнять поиск по объектам групповой политики.
Управление групповой политикой и средства управления групповой политикой по умолчанию
До появления Управления групповой политикой управление групповой политикой выполнялось с помощью различных средств на основе Windows, в том числе Active Directory – пользователи и компьютеры, Active Directory – сайты и службы и Результирующей политики.
Управление групповой политикой объединяет управление всеми основными задачами групповой политики в единое средство. Благодаря данному объединенному управлению функциональность групповой политики для всех остальных средств больше не требуется.
После установки консоли управления групповой политикой каждое средство службы каталоговActive Directory используется по своему предназначению, касающемуся управления каталогами, такому как создание объектов пользователя, компьютера и группы. Однако для выполнения всех задач, касающихся групповой политики, необходимо использовать консоль управления групповой политикой. После установки консоли управления групповой политикой функциональность групповой политики больше недоступна с помощью средств Active Directory.
Консоль управления групповой политикой
Консоль управления групповой политикой не заменяет редактор объектов групповой политики. Объекты управления групповой политикой необходимо редактировать все же с помощью редактора объектов групповой политики. Консоль управления групповой политикой интегрирует функциональность редактирования, обеспечивая непосредственный доступ к редактору объектов групповой политики.
Консоль управления групповой политикой не поставляется вместе с Windows Server 2003. Ее можно свободно загрузить с веб-узла Майкрософт.
Консоль управления групповой политикой можно использовать для управления групповой политикой в домене Windows 2000, но ее нельзя устанавливать на операционные системы Windows 2000 Server или Windows 2000 Professional. Ее можно устанавливать на компьютер с операционной системой Windows XP Professional, если на нем установлена платформа .NET Framework 1.1.
Связь объекта групповой политики
Все объекты групповой политики хранятся в контейнере Active Directory, называемом Объекты групповой политики.
Если объект групповой политики связан с сайтом, доменом или подразделением, то он также содержится в списке в контейнере Объекты групповой политики. В результате можно централизованно выполнять администрирование и развертывание объектов для нескольких доменов или подразделений.
Если объект групповой политики связан с сайтом, доменом или подразделением, то он также содержится в списке в контейнере Объекты групповой политики. В результате можно централизованно выполнять администрирование и развертывание объектов для нескольких доменов или подразделений.
Создание несвязанного и связанного объектов групповой политики
При создании объекта групповой политики в контейнере Объекты групповой политики объект групповой политики не развертывается на пользователях или компьютерах до тех пор, пока будет создана связь этого объекта групповой политики.
Несвязанный объект групповой политики можно создать с помощью консоли управления групповой политикой. Создание несвязанных объектов групповой политики возможно в большой организации, в которой одна группа создает объекты групповой политики, а другая группа связывает эти объекты с требуемым сайтом, доменом или подразделением. Члены группы Владельцы-создатели групповой политики могут создавать объекты групповой политики, но не могут их связывать.
При создании объекта групповой политики, связанного с сайтом, доменом или подразделением, на самом деле выполняются две отдельные операции: создание нового объекта групповой политики и привязка его к сайту, домену или подразделению.
При делегировании разрешений на привязку к сайту, подразделению или домену необходимо обладать разрешением Изменение на домен, подразделение или сайт, которые делегируются.
Несвязанный объект групповой политики можно создать с помощью консоли управления групповой политикой. Создание несвязанных объектов групповой политики возможно в большой организации, в которой одна группа создает объекты групповой политики, а другая группа связывает эти объекты с требуемым сайтом, доменом или подразделением. Члены группы Владельцы-создатели групповой политики могут создавать объекты групповой политики, но не могут их связывать.
При создании объекта групповой политики, связанного с сайтом, доменом или подразделением, на самом деле выполняются две отдельные операции: создание нового объекта групповой политики и привязка его к сайту, домену или подразделению.
При делегировании разрешений на привязку к сайту, подразделению или домену необходимо обладать разрешением Изменение на домен, подразделение или сайт, которые делегируются.
Привязка объектов групповой политики
По умолчанию необходимыми разрешениями на привязку объектов групповой политики к доменам и подразделениям обладают только члены групп Администраторы домена и Администраторы предприятия. Разрешениями на привязку объектов групповой политики к сайтам обладают только члены группы Администраторы предприятия.
Объект групповой политики нельзя связать с контейнерами по умолчанию в Active Directory. Например, контейнеры Пользователи или Компьютеры невозможно непосредственно связать с объектами групповой политики. Однако любой объект групповой политики, связанный с доменом, применяется к пользователям и компьютерам в этих контейнерах.
Объект групповой политики нельзя связать с контейнерами по умолчанию в Active Directory. Например, контейнеры Пользователи или Компьютеры невозможно непосредственно связать с объектами групповой политики. Однако любой объект групповой политики, связанный с доменом, применяется к пользователям и компьютерам в этих контейнерах.
Наследование параметров групповой политики в службе каталогов Active Directory
Порядок применения объектов групповой политики операционной системой Windows Server 2003 зависит от контейнера Active Directory, к которому привязаны объекты групповой политики. Объекты групповой политики в первую очередь применяются к сайту, затем к доменам и, наконец, к подразделениям в доменах.
Поток наследования
Дочерний контейнер наследует объекты групповой политики родительского контейнера. Это означает, что дочерний контейнер может обладать многими параметрами групповой политики, применимыми к его пользователям и компьютерам, не имея привязанного непосредственно к контейнеру объекта групповой политики. Однако не существует наследования политики между родительским и дочерним доменом, как между родительским и дочерним подразделением.
Порядок наследования
Объекты групповой политики кумулятивные, то есть они наследуются. Наследование групповой политики – это порядок, в котором операционная система Windows Server 2003 применяет объекты групповой политики.
Порядок применения и наследования объектов групповой политики определяет, какие именно параметры воздействуют на пользователей и компьютеры. Если существует несколько объектов групповой политики с конфликтующими значениями, то последний применявшийся объект групповой политики получает преимущество.
Возможно наличие нескольких объектов групповой политики, связанных с одними и теми же контейнерами. Например, может существовать три объекта групповой политики, связанных с одним доменом. Так как порядок применения объектов групповой политики может воздействовать на результирующие настройки групповой политики, существует приоритет настроек групповой политики для каждого контейнера.
Чтобы просмотреть объекты групповой политики, которые будут применены к членам сайта, домена или подразделения, просмотрите вкладку наследования в консоли управления групповой политикой. Элементы, перечисленные с меньшими числами приоритета, применяются последними, следовательно, они имеют приоритет.
Порядок применения и наследования объектов групповой политики определяет, какие именно параметры воздействуют на пользователей и компьютеры. Если существует несколько объектов групповой политики с конфликтующими значениями, то последний применявшийся объект групповой политики получает преимущество.
Возможно наличие нескольких объектов групповой политики, связанных с одними и теми же контейнерами. Например, может существовать три объекта групповой политики, связанных с одним доменом. Так как порядок применения объектов групповой политики может воздействовать на результирующие настройки групповой политики, существует приоритет настроек групповой политики для каждого контейнера.
Чтобы просмотреть объекты групповой политики, которые будут применены к членам сайта, домена или подразделения, просмотрите вкладку наследования в консоли управления групповой политикой. Элементы, перечисленные с меньшими числами приоритета, применяются последними, следовательно, они имеют приоритет.
Резервное копирование объектов групповой политики
Консоль управления групповой политикой поддерживает резервное копирование и восстановление объектов групповой политики. Это позволяет восстановить объекты групповой политики в случае потери или повреждения.
После создания резервной копии объектов групповой политики существует возможность импорта параметра в новый объект групповой политики, чтобы упростить создание политик, нуждающихся в подобных, но не идентичных параметрах.
Консоль управления групповой политикой позволяет создать резервные копии отдельных объектов групповой политики или всех объектов групповой политики с помощью одной операции. Необходимо только обеспечить место хранения резервной копии. В качестве местоположения резервной копии можно использовать любую локальную или сетевую папку.
Чтобы создать резервную копию отдельного объекта групповой политики, щелкните правой кнопкой мыши, выберите пункт Резервное копирование и укажите расположение.
Чтобы создать резервные копии всех политик, раскройте правой кнопкой мыши контекстное меню папкиОбъекты групповой политики, выберите пункт Все и укажите расположение.
Помните, что фильтры инструментария WMI и политики IPSec являются внешними для объекта групповой политики и их резервное копирование не производится при создании резервных копий объектов групповой политики.
После создания резервной копии объектов групповой политики существует возможность импорта параметра в новый объект групповой политики, чтобы упростить создание политик, нуждающихся в подобных, но не идентичных параметрах.
Консоль управления групповой политикой позволяет создать резервные копии отдельных объектов групповой политики или всех объектов групповой политики с помощью одной операции. Необходимо только обеспечить место хранения резервной копии. В качестве местоположения резервной копии можно использовать любую локальную или сетевую папку.
Чтобы создать резервную копию отдельного объекта групповой политики, щелкните правой кнопкой мыши, выберите пункт Резервное копирование и укажите расположение.
Чтобы создать резервные копии всех политик, раскройте правой кнопкой мыши контекстное меню папкиОбъекты групповой политики, выберите пункт Все и укажите расположение.
Помните, что фильтры инструментария WMI и политики IPSec являются внешними для объекта групповой политики и их резервное копирование не производится при создании резервных копий объектов групповой политики.
Восстановление объектов групповой политики
Резервные копии объектов групповой политики можно восстановить из расположения резервной копии в случае аварийного восстановления или поврежденного объекта групповой политики.
Порядок восстановления объекта групповой политики:
Порядок восстановления объекта групповой политики:
- щелкните правой кнопкой мыши контейнер Объекты групповой политики;
- выберите пункт Управление резервными копиями;
- выберите необходимый объект групповой политики;
- восстановите его.
Можно отредактировать представление, чтобы видеть только самую последнюю версию резервных копий, а можно просмотреть параметры до начала процесса восстановления объекта групповой политики.
Импорт объектов групповой политики
Если имеется резервная копия объекта групповой политики, то можно импортировать его параметры в новый или существующий объект групповой политики. Эта возможность полезна, если имеются подразделения с похожими требованиями. Например, можно создать один объект групповой политики, содержащий параметры компьютера и пользователя, являющиеся типичными для всех контейнеров. Эти параметры можно импортировать во многие другие объекты групповой политики и изменить, как требуется.
Мастер импорта параметров просматривает параметры в процессе импорта и проверяет наличие ссылок, таких как UNC-пути или Группы безопасности Windows, которые могут потребовать дополнительной настройки в назначении объекта групповой политики. Если мастер находит такие ссылки, то он подсказывает пользователю создать или найти таблицу миграций. Таблица миграций позволяет настроить все ссылки, которые нуждаются в изменениях в объекте групповой политики.
Импорт параметров в существующий объект групповой политики переопределит все текущие параметры.
Импорт параметров в существующий объект групповой политики переопределит все текущие параметры.
Атрибуты связи объекта групповой политики
Развертыванием групповой политики можно управлять с помощью ряда различных методов. Воздействие групповой политики можно изменить способами, описанными далее.
Связи объектов групповой политики можно включить, отключить, сделать принудительными и группировать. Эти параметры существенным образом влияют на учетные записи пользователя и компьютера в подразделении, к которому привязаны объекты групповой политики.
Связи объектов групповой политики можно включить, отключить, сделать принудительными и группировать. Эти параметры существенным образом влияют на учетные записи пользователя и компьютера в подразделении, к которому привязаны объекты групповой политики.
Параметр Принудительный
Параметр Принудительный является атрибутом связи объекта групповой политики, а не самим объектом групповой политики.
Если имеется объект групповой политики, связанный с несколькими контейнерами, то параметрПринудительный настраивается для каждого отдельного контейнера.
Если один и тот же объект групповой политики связан с чем-либо еще, параметр Принудительный не применяется для связи, пока она также не будет изменена.
Все параметры групповой политики, содержащиеся в объекте групповой политики, для связи которого установлен параметр Принудительный, применяются, даже если они конфликтуют с параметрами групповой политики, которые обрабатываются после них, или если наследование блокируется ниже в дереве Active Directory.
Параметр Принудительный следует включить только для ссылок на тот объект групповой политики, который представляет важнейшие правила для всей организации.
До установки средства Управление групповой политикой параметр Принудительный называетсяНе перекрывать в оснастке Active Directory – пользователи и компьютеры.
Если имеется объект групповой политики, связанный с несколькими контейнерами, то параметрПринудительный настраивается для каждого отдельного контейнера.
Если один и тот же объект групповой политики связан с чем-либо еще, параметр Принудительный не применяется для связи, пока она также не будет изменена.
Все параметры групповой политики, содержащиеся в объекте групповой политики, для связи которого установлен параметр Принудительный, применяются, даже если они конфликтуют с параметрами групповой политики, которые обрабатываются после них, или если наследование блокируется ниже в дереве Active Directory.
Параметр Принудительный следует включить только для ссылок на тот объект групповой политики, который представляет важнейшие правила для всей организации.
До установки средства Управление групповой политикой параметр Принудительный называетсяНе перекрывать в оснастке Active Directory – пользователи и компьютеры.
Параметры Включение и отключение связи
Другим атрибутом, который может использоваться при разрешении проблем, связанных с объектом групповой политики, является атрибут Связь включена. Можно отключить связь объекта групповой политики, сняв установку параметра Связь включена, а не удаляя связь объекта групповой политики. Отключение связи воздействует только на учетные записи пользователей и компьютеров в подразделении и во всех дочерних подразделениях. Воздействие на другие связи объекта групповой политики не оказывается. Например, можно временно отключить связь, чтобы проверить, вызывает ли она конфликт для одного подразделения, сохраняя при этом применение настроек для всех остальных подразделений.
Параметр Удален
При удалении связи объекта групповой политики сама политика физически не удаляется. Удаляется только связь. Чтобы удалить объект групповой политики из домена, необходимо удалить политику из контейнера объектов групповой политики.
Параметр Несколько ссылок
Если несколько объектов групповой политики связано с подразделением, то объекты групповой политики применяются в соответствии с приоритетом. Политика с наименьшим числом приоритета применяется последней.
Конфликтующие параметры будут перезаписаны политиками с наивысшим приоритетом (у которых число меньше). Если параметры групповой политики в объекте групповой политики вступают в конфликт, то последний применяемый параметр имеет преимущество.
Конфликтующие параметры будут перезаписаны политиками с наивысшим приоритетом (у которых число меньше). Если параметры групповой политики в объекте групповой политики вступают в конфликт, то последний применяемый параметр имеет преимущество.
Блокировка наследования объекта групповой политики
Можно предотвратить наследование объектов групповой политики дочерним контейнером от родительского контейнера, установив для дочернего контейнера параметр Блокировать наследование политики.
Зачем использовать блокирование наследования политики?
Включение параметра Блокировать наследование политики в дочернем контейнере предотвращает в контейнере наследование всех настроек групповой политики от всех объектов групповой политики. Это бывает полезным, если контейнер Active Directory требует уникальных настроек и необходимо гарантировать, что параметры групповой политики не наследуются. Например, можно использовать параметр Блокировать наследование политики, если администратор подразделения должен управлять всеми объектами групповой политики для данного контейнера.
При использовании параметра Блокировать наследование политики необходимо учесть следующее:
- невозможно отдельно выбрать блокируемые объекты групповой политики; параметр Блокировать наследование политики воздействует на все объекты групповой политики всех родительских контейнеров, кроме объектов групповой политики, настроенных с параметром Принудительный;
- параметр Блокировать наследование политики не блокирует наследование объектов, связанных с родительским контейнером, если связь настроена с параметром Принудительный.
Конфликт объектов групповой политики
Сложные сочетания объектов групповой политики иногда создают конфликты; эти конфликты могут потребовать внесения изменений в поведение наследования, заданное по умолчанию. Если параметр групповой политики задан для родительского подразделения и не задан для дочернего подразделения, то объекты дочернего подразделения наследуют этот параметр от родительского подразделения.
Когда параметры групповой политики заданы и для родительского, и для дочернего организационного подразделения, то применяются параметры для обоих подразделений. Если параметры групповой политики вступают в конфликт, то приоритет имеют параметры дочернего подразделения.
Например, параметр групповой политики родительского подразделения запрещает доступ к панели управления, а параметр групповой политики, применяемый для дочернего подразделения, разрешает доступ к панели управления. Пользователи в дочернем подразделении получат доступ к панели управления, потому что политика, связанная с дочерним подразделением, применяется последней.
Когда параметры групповой политики заданы и для родительского, и для дочернего организационного подразделения, то применяются параметры для обоих подразделений. Если параметры групповой политики вступают в конфликт, то приоритет имеют параметры дочернего подразделения.
Например, параметр групповой политики родительского подразделения запрещает доступ к панели управления, а параметр групповой политики, применяемый для дочернего подразделения, разрешает доступ к панели управления. Пользователи в дочернем подразделении получат доступ к панели управления, потому что политика, связанная с дочерним подразделением, применяется последней.
Фильтрация развертывания объектов групповой политики
По умолчанию все параметры групповой политики в объектах групповой политики, которые воздействуют на контейнер, применяются для всех пользователей и компьютеров в контейнере, что может привести к нежелательным результатам. Используя функцию фильтрации, можно задать, какие параметры применяются к пользователям и компьютерам в конкретном контейнере.
Разрешение для объектов групповой политики
Можно фильтровать развертывание объекта групповой политики, устанавливая разрешения на связь объекта групповой политики, чтобы задать доступ к разрешению Чтение или Запретить.
До применения параметров групповой политики к учетной записи пользователя или компьютера учетная запись должна обладать правами на чтение и на применение групповой политики для объекта групповой политики.
До применения параметров групповой политики к учетной записи пользователя или компьютера учетная запись должна обладать правами на чтение и на применение групповой политики для объекта групповой политики.
Разрешения по умолчанию для нового объекта групповой политики имеют следующие записи управления доступом:
- пользователи, прошедшие проверку подлинности, – разрешить чтение и разрешить применение групповой политики;
- администраторы домена, администраторы предприятия и СИСТЕМНЫЕ – разрешить чтение, разрешить запись, разрешить создание всех дочерних объектов, разрешить удаление всех дочерних объектов;
- создатель-владелец – особое разрешение на создание и изменение, но не применение дочерних объектов;
- контроллеры домена предприятия – разрешить чтение.
Методы фильтрации
Рекомендуется использовать следующие методы фильтрации доступа:
- Явный запрет.
Используйте этот метод, чтобы запретить доступ к групповой политике. Например, можно явно запретить разрешение на группу безопасности Администраторы, что предотвратит получение параметров объекта групповой политики администраторами подразделения. - даление пользователей, прошедших проверку подлинности.
Можно удалить группу пользователей, прошедших проверку подлинности, и добавить конкретных пользователей, группы или компьютеры, к которым применяются параметры объектов групповой политики.
Комментариев нет:
Отправить комментарий