Развертывание и администрирование сети с выделенным сервером на базе Windows Server 2003 на Friday 13 October 2006 от в Сетевые Операционные Системы ОС > ОС Windows
Занятие 10. Групповые политики.
Групповые политики - средства централизованного управления настройками компьютеров пользователей. Они могут применяться для управления параметрами рабочего стола пользователя и различных приложений, набором разрешенных приложений, системными привилегиями, параметрами системы безопасности, автоматической установкой программного обеспечения.
Обычно групповые политики используются для управления настройками компьютеров в домене, однако существует возможность работы с локальной политикой компьютера, что позволяет использовать часть возможностей групповых политик при администрировании отдельного компьютера.
Концепции групповой политики.
Групповые политики представляют собой набор параметров конфигурации компьютеров и окружения пользователя, хранящиеся в виде отдельных объектов. Политики применяются к компьютеру и пользователю во время загрузки компьютера и входа пользователя в систему соответственно. Каждый параметр политики вызывает определенные изменения в системном реестре Windows, таким образом, любое изменение, которое вы осуществляете на компьютере при помощи групповых политик, вы можете осуществить при помощи редактора реестра. Однако групповые политики предоставляют гораздо более гибкие и удобные средства для управления, снижая тем самым издержки на настройку компьютеров пользователей.
Объекты групповой политики.
Для определения параметров конфигурации для некоторой группы пользователей и/или компьютеров создаются объекты групповой политики (Group Policy Objects, GPO) - законченные наборы параметров политики. Каждый объект групповой политики хранится в каталоге Active Directory в контейнере групповой политики (Group Policy Container, GPC). Кроме того, объекты группой политики хранятся в виде структуры папок, называемой шаблоном групповой политики (Group Policy Template, GPT). Обычно в GPC хранятся редко изменяемые и небольшие по размеру параметры, а в GPT хранятся часто изменяемые параметры и большие массивы данных. Внутренняя структура контейнеров и шаблонов групповой политики скрыта от всех пользователей системы, даже от администратора.
Объекты групповой политики могут применяться на следующих уровнях иерархии домена Windows Server 2003:
сайт;
домен;
организационное подразделение.
Несколько контейнеров Active Directory могут быть связаны с одним объектом групповой политики. В свою очередь, один контейнер Active Directory может быть связан с несколькими объектами групповой политики. Таким образом на компьютер в домене может распространяться действие неограниченного числа доменных объектов групповой политики, хранящихся в Active Directory.
Локальные объекты групповой политики
На каждом компьютере Windows имеется локальный объект групповой политики, который присутствует независимо от того, является ли компьютер членом домена Windows Server 2003 и есть ли сведения о нем в Active Directory. Однако параметры доменных объектов групповой политики могут перекрывать параметры локальных объектов, поэтому при работе компьютера в домене параметры локального объекта групповой политики меньше всего влияют на конфигурацию окружения пользователя.
По умолчанию в локальном объекте групповой политики определены только параметры безопасности.
Локальный объект групповой политики хранится в папке %systemroot%\system32\GroupPolicy. Все аутентифицированные пользователи компьютера имеют право на чтение и применение локальной политики, однако право ее изменения имеют только члены группы Администраторы.
Контейнеры групповой политики.
Контейнер групповой политики (GPC) является объектом каталога Active Directory, хранящим свойства объекта групповой политики. Для каждого параметра групповой политики хранится номер версии, позволяющий отслеживать и синхронизировать изменения как между GPC и GPT, так и между различными контроллерами домена и серверами глобального каталога. Также GPC хранит информацию об активности объекта групповой политики.
Также GPC содержит данные хранилища классов Windows Server 2003, используемое для централизованного развертывания приложений на компьютерах домена.
Контейнер групповой политики (также, как и GPT), содержит два основных подконтейнера, хранящих параметры групповой политики:
Конфигурация компьютера - в этом контейнере собраны все параметры, действующие на всех пользователей компьютера. Параметры применяются только к объектам компьютеров, находящихся в контейнере с настроенной групповой политикой.
Конфигурация пользователя - в этом контейнере собраны параметры, действующие только на отдельного пользователя компьютера. Параметры применяются только к объектам учетных записей пользователей, находящихся в контейнере с настроенной групповой политикой.
Шаблоны групповой политики.
Шаблоны групповой политики (GPT) хранятся в виде структуры папок в папке %systemroot%\SYSVOL\sysvol\имя_домена\Policies на контроллерах доменов. Помимо ряда параметров политики безопасности GPT содержит административные шаблоны, файлы сценариев и прочие файлы, связанные с объектами групповой политики.
В качестве имени папки, хранящей GPT, используется GUID объекта групповой политики. Например GPT политики домена test.fio.ru будет храниться в папке %systemroot%\SYSVOL\sysvol\test.fio.ru\Policies\.
Структура шаблонов групповой политики.
По умолчанию в GPT содержатся подкаталоги User (конфигурация пользователя) и Machine (конфигурация компьютера) и файл gpt.ini. По мере настройки объекта групповой политики в папке GPT появляются дополнительные файлы и папки.
В общем случае структура GPT содержит следующие папки:
Папка
Содержимое
\Adm
Файлы административных шаблонов .adm , формируемые на основе информации в GPC и GPT. Эти файлы обрабатываются Windows Server 2003 для внесения изменений в реестр
\User
Файл registry.pol с параметрами, заносимыми в реестр для пользователя
\User\Applications
Файл оповещения .aas , используемые компонентом Windows Installer для публикации пакетов установки ПО для пользователя
\User\Documents & Settings
Любые файлы, добавляемые на рабочий стол, в меню Пуск , папку Мои документы и другие папки профиля пользователя
\User\Scripts\Logon
Сценарии входа и дополнительные файлы, используемые этими сценариями
\User\Scripts\Logoff
Сценарии выхода и дополнительные файлы, используемые этими сценариями
\Machine
Файл registry.pol с параметрами, заносимыми в реестр компьютера
\Machine\Applications
Файл оповещения .aas , используемые компонентом Windows Installer для публикации пакетов установки ПО для всех пользователей компьютера
\Machine\Documents & Settings
Любые файлы, добавляемые на рабочий стол, в меню Пуск , папку Мои документы и другие папки профиля всех пользователя компьютера
\Machine\Microsoft\WindowsNT\SecEdit
Файл GptTmpl.ini , используемый редактором Security Editor
\Machine\Scripts\Startup
Сценарии запуска и дополнительные файлы, используемые этими сценариями
\Machine\Scripts\Shutdown
Сценарии выключения и дополнительные файлы, используемые этими сценариями
Файл gpt.ini.
В корневой папке каждого GPT должен содержаться файл Gpt.ini , используемый для задания основных параметров объекта групповой политики. Файл является обычным текстовым файлом и может содержать следующие записи:
Запись
Описание
Version
Номер текущей версии объекта групповой политики. При создании объекта групповой политики номер версии равен 0 и увеличивается на единицу при каждом изменении объекта групповой политики
Disabled
Может принимать значения 0 или 1 и используется только для локальных объектов групповой политики, указывая активен локальный объект групповой политики или нет. В доменных объектах групповой политики этот параметр не используется, т.к. информация об активности объекта групповой политики хранится в каталоге Active Directory в GPC
Файл registry.pol.
Файл является новой версией формата файлов .pol, использовавшихся редактором групповой политики Windows 9x и Windows NT. Будучи расположенным в папке User файл registry.pol применяется к дереву HKEY_CURRENT_USER системного реестра, а в папке Machine - к дереву HKEY_LOCAL_MACHINE.
Формат файла registry.pol , созданного редактором групповой политики Windows Server 2003, не совместим с форматом файлов редактора групповой политики Windows 9x и Windows NT. Поэтому этот файл не может быть использован для настройки параметров компьютеров под управлением Windows 9x и Windows NT. Аналогично, файлы registry.pol, созданные редактором групповой политики Windows 9x или Windows NT, не могут использоваться для настройки компьютеров под управлением Windows 2000 и более поздних версий Windows. Используйте только редактор групповой политики Windows 2000 для изменения файла registry.pol! Не изменяйте его вручную или при помощи старых версий редактора групповой политики!
Порядок применения объектов групповой политики.
При загрузке компьютера осуществляется применение параметров компьютера из всех объектов групповой политики, под действие которых попадает компьютер. Параметры пользователя объектов групповой политики применяются в момент регистрации пользователя на локальном компьютере или в домене.
Всегда действует следующий порядок применения объектов групповой политики:
Первым применяется объект локальной групповой политики. Обычно с помощью параметров этого объекта определяются фундаментальные настройки компьютера.
Следующим применяется объект групповой политики сайта, в котором расположен компьютер. Обычно на уровне сайта определяются параметры, которые зависят от физического расположения компьютера.
Потом применяется объект групповой политики домена, в котором зарегистрирован компьютер или пользователь.
В последнюю очередь применяются объекты групповой политики организационных подразделений. Windows Server 2003 определяет в каком организационном подразделении находится объект пользователя или компьютера и строит список объектов групповой политики всех организационных подразделений по их иерархии до уровня домена. Сначала применяются объекты групповой политики организационных подразделений на более старшем уровне иерархии, потом - на более низких.
Параметры групповой политики.
Каждый параметр групповой политики характеризуется именем, которое используется Windows Server 2003 для обращения к параметру. В связи с этим вы не можете изменить имена параметров групповой политики. Каждый параметр групповой политики может находиться в двух состояниях:
Настроенном (configured) - в объекте групповой политики указано значение параметра. Именно это значение будет использовано при применении политики, если, конечно, не будет переопределено в другом объекте групповой политики. *Ненастроенном (not configured) - в объекте групповой политики не указано значение параметра. В этом случае действует значение параметра, заданного другим объектом групповой политики. Если ни в одном объекте групповой политики значение параметра не определено, действует текущее значение этого параметра, указанное в системном реестре или файле настроек соответствующего приложения.
Для отмены действия параметра групповой политики недостаточно переключить его значение в состояние не настроено. В этом случае будет действовать последнее значение параметра групповой политики, настроенное при предыдущей операции применения групповой политики. Для отмены действия параметра нужно сначала явно задать его значение по умолчанию и убедиться, что групповая политика применена ко всем необходимым пользователям и компьютерам. Только после этого можно переводить значение параметра в состояние не настроено. Чтобы новая политика была применена ко всем необходимым пользователям и компьютерам, необходимо перезагрузить все компьютеры.
