Развертывание и администрирование сети с выделенным сервером на базе Windows Server 2003
vsit, Friday 13 October 2006 - 10:01:47
[newpage=Концепции групповой политики]
Занятие 10. Групповые политики.
Групповые политики - средства централизованного управления настройками компьютеров пользователей. Они могут применяться для управления параметрами рабочего стола пользователя и различных приложений, набором разрешенных приложений, системными привилегиями, параметрами системы безопасности, автоматической установкой программного обеспечения.
Обычно групповые политики используются для управления настройками компьютеров в домене, однако существует возможность работы с локальной политикой компьютера, что позволяет использовать часть возможностей групповых политик при администрировании отдельного компьютера.
Концепции групповой политики.
Групповые политики представляют собой набор параметров конфигурации компьютеров и окружения пользователя, хранящиеся в виде отдельных объектов. Политики применяются к компьютеру и пользователю во время загрузки компьютера и входа пользователя в систему соответственно. Каждый параметр политики вызывает определенные изменения в системном реестре Windows, таким образом, любое изменение, которое вы осуществляете на компьютере при помощи групповых политик, вы можете осуществить при помощи редактора реестра. Однако групповые политики предоставляют гораздо более гибкие и удобные средства для управления, снижая тем самым издержки на настройку компьютеров пользователей.
Объекты групповой политики.
Для определения параметров конфигурации для некоторой группы пользователей и/или компьютеров создаются объекты групповой политики (Group Policy Objects, GPO) - законченные наборы параметров политики. Каждый объект групповой политики хранится в каталоге Active Directory в контейнере групповой политики (Group Policy Container, GPC). Кроме того, объекты группой политики хранятся в виде структуры папок, называемой шаблоном групповой политики (Group Policy Template, GPT). Обычно в GPC хранятся редко изменяемые и небольшие по размеру параметры, а в GPT хранятся часто изменяемые параметры и большие массивы данных. Внутренняя структура контейнеров и шаблонов групповой политики скрыта от всех пользователей системы, даже от администратора.
Объекты групповой политики могут применяться на следующих уровнях иерархии домена Windows Server 2003:
- сайт;
- домен;
- организационное подразделение.
Несколько контейнеров Active Directory могут быть связаны с одним объектом групповой политики. В свою очередь, один контейнер Active Directory может быть связан с несколькими объектами групповой политики. Таким образом на компьютер в домене может распространяться действие неограниченного числа доменных объектов групповой политики, хранящихся в Active Directory.
Локальные объекты групповой политики
На каждом компьютере Windows имеется локальный объект групповой политики, который присутствует независимо от того, является ли компьютер членом домена Windows Server 2003 и есть ли сведения о нем в Active Directory. Однако параметры доменных объектов групповой политики могут перекрывать параметры локальных объектов, поэтому при работе компьютера в домене параметры локального объекта групповой политики меньше всего влияют на конфигурацию окружения пользователя.
По умолчанию в локальном объекте групповой политики определены только параметры безопасности.
Локальный объект групповой политики хранится в папке %systemroot%\system32\GroupPolicy. Все аутентифицированные пользователи компьютера имеют право на чтение и применение локальной политики, однако право ее изменения имеют только члены группы Администраторы.
Контейнеры групповой политики.
Контейнер групповой политики (GPC) является объектом каталога Active Directory, хранящим свойства объекта групповой политики. Для каждого параметра групповой политики хранится номер версии, позволяющий отслеживать и синхронизировать изменения как между GPC и GPT, так и между различными контроллерами домена и серверами глобального каталога. Также GPC хранит информацию об активности объекта групповой политики.
Также GPC содержит данные хранилища классов Windows Server 2003, используемое для централизованного развертывания приложений на компьютерах домена.
Контейнер групповой политики (также, как и GPT), содержит два основных подконтейнера, хранящих параметры групповой политики:
- Конфигурация компьютера - в этом контейнере собраны все параметры, действующие на всех пользователей компьютера. Параметры применяются только к объектам компьютеров, находящихся в контейнере с настроенной групповой политикой.
- Конфигурация пользователя - в этом контейнере собраны параметры, действующие только на отдельного пользователя компьютера. Параметры применяются только к объектам учетных записей пользователей, находящихся в контейнере с настроенной групповой политикой.
Шаблоны групповой политики.
Шаблоны групповой политики (GPT) хранятся в виде структуры папок в папке %systemroot%\SYSVOL\sysvol\имя_домена\Policies на контроллерах доменов. Помимо ряда параметров политики безопасности GPT содержит административные шаблоны, файлы сценариев и прочие файлы, связанные с объектами групповой политики.
В качестве имени папки, хранящей GPT, используется GUID объекта групповой политики. Например GPT политики домена test.fio.ru будет храниться в папке %systemroot%\SYSVOL\sysvol\test.fio.ru\Policies\{D40DE84C-BE18-4f64-A255-1AC30D46DFE7}.
Структура шаблонов групповой политики.
По умолчанию в GPT содержатся подкаталоги User (конфигурация пользователя) и Machine (конфигурация компьютера) и файл gpt.ini. По мере настройки объекта групповой политики в папке GPT появляются дополнительные файлы и папки.
В общем случае структура GPT содержит следующие папки:
Папка | Содержимое |
\Adm | Файлы административных шаблонов .adm , формируемые на основе информации в GPC и GPT. Эти файлы обрабатываются Windows Server 2003 для внесения изменений в реестр |
\User | Файл registry.pol с параметрами, заносимыми в реестр для пользователя |
\User\Applications | Файл оповещения .aas , используемые компонентом Windows Installer для публикации пакетов установки ПО для пользователя |
\User\Documents & Settings | Любые файлы, добавляемые на рабочий стол, в меню Пуск , папку Мои документы и другие папки профиля пользователя |
\User\Scripts\Logon | Сценарии входа и дополнительные файлы, используемые этими сценариями |
\User\Scripts\Logoff | Сценарии выхода и дополнительные файлы, используемые этими сценариями |
\Machine | Файл registry.pol с параметрами, заносимыми в реестр компьютера |
\Machine\Applications | Файл оповещения .aas , используемые компонентом Windows Installer для публикации пакетов установки ПО для всех пользователей компьютера |
\Machine\Documents & Settings | Любые файлы, добавляемые на рабочий стол, в меню Пуск , папку Мои документы и другие папки профиля всех пользователя компьютера |
\Machine\Microsoft\WindowsNT\SecEdit | Файл GptTmpl.ini , используемый редактором Security Editor |
\Machine\Scripts\Startup | Сценарии запуска и дополнительные файлы, используемые этими сценариями |
\Machine\Scripts\Shutdown | Сценарии выключения и дополнительные файлы, используемые этими сценариями |
Файл gpt.ini.
В корневой папке каждого GPT должен содержаться файл Gpt.ini , используемый для задания основных параметров объекта групповой политики. Файл является обычным текстовым файлом и может содержать следующие записи:
Запись | Описание |
Version | Номер текущей версии объекта групповой политики. При создании объекта групповой политики номер версии равен 0 и увеличивается на единицу при каждом изменении объекта групповой политики |
Disabled | Может принимать значения 0 или 1 и используется только для локальных объектов групповой политики, указывая активен локальный объект групповой политики или нет. В доменных объектах групповой политики этот параметр не используется, т.к. информация об активности объекта групповой политики хранится в каталоге Active Directory в GPC |
Файл registry.pol.
Файл является новой версией формата файлов .pol, использовавшихся редактором групповой политики Windows 9x и Windows NT. Будучи расположенным в папке User файл registry.pol применяется к дереву HKEY_CURRENT_USER системного реестра, а в папке Machine - к дереву HKEY_LOCAL_MACHINE.
Формат файла registry.pol , созданного редактором групповой политики Windows Server 2003, не совместим с форматом файлов редактора групповой политики Windows 9x и Windows NT. Поэтому этот файл не может быть использован для настройки параметров компьютеров под управлением Windows 9x и Windows NT. Аналогично, файлы registry.pol, созданные редактором групповой политики Windows 9x или Windows NT, не могут использоваться для настройки компьютеров под управлением Windows 2000 и более поздних версий Windows.
Используйте только редактор групповой политики Windows 2000 для изменения файла registry.pol! Не изменяйте его вручную или при помощи старых версий редактора групповой политики!
Порядок применения объектов групповой политики.
При загрузке компьютера осуществляется применение параметров компьютера из всех объектов групповой политики, под действие которых попадает компьютер. Параметры пользователя объектов групповой политики применяются в момент регистрации пользователя на локальном компьютере или в домене.
Всегда действует следующий порядок применения объектов групповой политики:
- Первым применяется объект локальной групповой политики. Обычно с помощью параметров этого объекта определяются фундаментальные настройки компьютера.
- Следующим применяется объект групповой политики сайта, в котором расположен компьютер. Обычно на уровне сайта определяются параметры, которые зависят от физического расположения компьютера.
- Потом применяется объект групповой политики домена, в котором зарегистрирован компьютер или пользователь.
- В последнюю очередь применяются объекты групповой политики организационных подразделений. Windows Server 2003 определяет в каком организационном подразделении находится объект пользователя или компьютера и строит список объектов групповой политики всех организационных подразделений по их иерархии до уровня домена. Сначала применяются объекты групповой политики организационных подразделений на более старшем уровне иерархии, потом - на более низких.
Параметры групповой политики.
Каждый параметр групповой политики характеризуется именем, которое используется Windows Server 2003 для обращения к параметру. В связи с этим вы не можете изменить имена параметров групповой политики.
Каждый параметр групповой политики может находиться в двух состояниях:
Настроенном (configured) - в объекте групповой политики указано значение параметра. Именно это значение будет использовано при применении политики, если, конечно, не будет переопределено в другом объекте групповой политики.
*Ненастроенном (not configured) - в объекте групповой политики не указано значение параметра. В этом случае действует значение параметра, заданного другим объектом групповой политики. Если ни в одном объекте групповой политики значение параметра не определено, действует текущее значение этого параметра, указанное в системном реестре или файле настроек соответствующего приложения.
Для отмены действия параметра групповой политики недостаточно переключить его значение в состояние не настроено. В этом случае будет действовать последнее значение параметра групповой политики, настроенное при предыдущей операции применения групповой политики. Для отмены действия параметра нужно сначала явно задать его значение по умолчанию и убедиться, что групповая политика применена ко всем необходимым пользователям и компьютерам. Только после этого можно переводить значение параметра в состояние не настроено.
Чтобы новая политика была применена ко всем необходимым пользователям и компьютерам, необходимо перезагрузить все компьютеры.
[newpage=Создание и назначение групповых политик]
Создание и назначение групповых политик.
Прежде чем объекты групповой политики могут быть использованы для управления параметрами компьютеров и окружения пользователей они должны быть созданы.
По умолчанию Windows уже имеет локальную политику безопасности, содержащую параметры, настроенные по умолчанию. Аналогично, в каждом домене Active Directory существует две настроенных групповых политики: политика домена и политика контроллеров домена. В домене вы можете создать любое необходимое количество дополнительных групповых политик.
Шаблоны локальных групповых политик.
Локальная групповая политика всегда присутствует на любом компьютере Windows 2000 (и более поздних версий) и не может быть создана по аналогии с доменными объектами групповой политики. Однако, вы имеете возможность применять шаблоны локальной групповой политики, полностью переопределяя параметры, определенные в ней по умолчанию.
Шаблоны политики безопасности содержат только определение параметров политики, связанных с безопасностью. Шаблоны не могут использоваться для настройки остальных параметров политики безопасности.
Работа с шаблонами групповых политик обычно выполняется в следующей последовательности:
- вы подготавливаете необходимые шаблоны безопасности;
- вы применяете шаблоны безопасности, используя утилиту secedit;
- вы перезагружаете политику безопасности, используя утилиту secedit.
Редактор шаблонов групповых политик.
Для редактирования шаблонов групповых политик используется оснастка консоли управления Шаблоны безопасности. Соответствующая консоль управления отсутствует, поэтому вы должны самостоятельно запустить Консоль управления Windows Server 2003 и добавить в нее соответствующую оснастку.
Для этого в меню Пуск выберите Выполнить и введите команду mmc. Запустится консоль управления, содержащая пустую консоль с именем Консоль1.
В меню Консоль щелкните Добавить или удалить оснастку. Появится окно добавления и удаления оснасток и расширений.
В нем щелкните кнопку Добавить, выберите оснастку Шаблоны безопасности, щелкните кнопку Добавить, после чего щелкните кнопку ОК. Оснастка будет добавлена в консоль.
Если вы планируете активно работать с редактором шаблонов, то, возможно, имеет смысл создать свою собственную консоль управления, содержащую все необходимые оснастки для управления групповыми политиками и шаблонами.
Редактор шаблонов безопасности отображает в дереве консоли все шаблоны безопасности, хранящиеся в папке %systemroot%\Security\Templates - по умолчанию все стандартные шаблоны Windows Server 2003 хранятся в этой папке. Если вы храните свои шаблоны в другой папке, ее тоже можно добавить в дерево консоли. Для этого выберите ветвь Шаблоны безопасности в дереве консоли и нажмите на ней правую кнопку мыши. Выберите пункт Новый путь для поиска шаблонов контекстного меню и укажите папку, в которой хранятся ваши шаблоны.
Каждый шаблон содержит параметры групповой политики безопасности, которая обычно доступна в ветви Конфигурация компьютера\Конфигурация Windows\Параметры безопасности. Изменение параметров групповой политики будет рассмотрено позже.
Стандартные шаблоны безопасности
Каждый компьютер Windows Server 2003 содержит стандартный набор шаблонов безопасности, которые используются в следующих случаях:
- для создания локальной групповой политики при установке Windows Server 2003 или повышения Windows Server 2003 до контроллера домена;
- для быстрой настройки политики безопасности на компьютерах;
- для создания собственных шаблонов безопасности, используемых для настройки политики безопасности в рабочих группах.
Список шаблонов и их краткое описание приводится ниже:
Шаблон | Редакция Windows 2000 | Описание |
basicdc | Server | Параметры безопасности по умолчанию для контроллеров домена. Не содержит специальных ограничений на файлы, папки и разделы реестра |
basicsv | Server | Параметры безопасности по умолчанию для серверов. Не содержит специальных ограничений на файлы, папки и разделы реестра |
basicwk | все | Параметры безопасности по умолчанию для рабочих станций. Не содержит специальных ограничений на файлы, папки и разделы реестра |
compatws | все | Содержит только настройки разрешений по умолчанию для файлов, папок и разделов реестра |
DC security | Server | Параметры безопасности по умолчанию, используемые при установке Active Directory на Windows Server 2003 |
hisecdc | Server | Содержит дополнительные параметры безопасности для контроллеров домена. Включает все параметры шаблона securedc |
hisecws | все | Содержит дополнительные параметры безопасности для рабочих станций. Вводит ограничения для группы опытных пользователей и сервера терминалов. Включает все параметры шаблона securews |
notssid | Server | Удаляет идентификатор безопасности пользователя сервера терминалов из всех разрешений и групп, блокируя тем самым этому пользователю доступ к компьютеру |
ocfiless | Server | Содержит дополнительные параметры безопасности для файлов необязательных компонентов |
ocfilesw | все | Содержит дополнительные параметры безопасности для файлов необязательных компонентов |
securedc | Server | Специальные разрешения для файлов, папок и реестра контроллера домена. Отключение "лишних" служб, защита прочих областей |
securews | все | Специальные разрешения для файлов, папок и реестра рабочей станции. Отключение "лишних" служб, защита прочих областей |
setup security | все | Параметры безопасности, задаваемые на любом компьютере Windows во время установки |
[newpage=Использование утилиты secedit]
Использование утилиты secedit.
Утилита secedit запускается из командной строки и служит для управления политикой безопасности, применяющейся к компьютеру. Ее основными задачами являются:
- анализ настроек безопасности системы;
- применение шаблонов безопасности;
- перезагрузка политики безопасности;
- экспорт политики безопасности в файл шаблона.
Для выполнения этих задач утилита вызывается с различными параметрами командной строки.
Анализ безопасности системы.
Для анализа безопасности системы используется следующий синтаксис командной строки утилиты secedit :
secedit /analyze /DB имя_файла [/CFG имя_файла][/LOG имя_файла][/verbose][/quiet]
Описание ключей утилиты secedit приведено в таблице.
Ключ | Описание |
/DB имя_файла | Полный путь к файлу базы данных по которой будет выполняться анализ политики безопасности. По умолчанию она хранится в файле %systemroot%\Security\Database\secedit.sdb . Если вы указываете несуществующий файл базы данных, то должен быть указан параметр /CFG |
/CFG имя_файла | Полный путь к файлу шаблона безопасности, который должен быть использован для создания или изменения файла базы данных. Может использоваться только совместно с параметром /DB . Если указан этот параметр, то сначала база данных будет создана или модифицирована с использованием указанного шаблона, после чего будет произведен анализ политики безопасности с использованием новой базы данных. Если параметр не указан, то используется уже существующий файл базы данных |
/LOG имя_файла | Полный путь к файлу журнала, создаваемому в процессе анализа политики безопасности. Если этот параметр не указан, то используется файл журнала по умолчанию |
/verbose | Выводит информацию о ходе анализа на экран |
/quiet | Не выводит никакой информации на экран и в файл журнала. Результаты анализа могут быть просмотрены в оснастке Анализ и настройка безопасности |
Настройка политики безопасности системы.
Для настройки политики безопасности системы используется следующий синтаксис командной строки утилиты secedit:
secedit /configure /DB имя_файла [/CFG имя_файла] [/overwrite] [/areas область1 область2 ...][/LOG имя_файла][/verbose][/quiet]
Описание ключей утилиты secedit приведено в таблице.
Ключ | Описание | ||||||||||||||
/DB имя_файла | Полный путь к файлу базы данных, которая будет использоваться для интеграции с локальной политикой безопасности. Если вы указываете несуществующий файл базы данных, то должен быть указан параметр /CFG | ||||||||||||||
/CFG имя_файла | Полный путь к файлу шаблона безопасности, который должен быть использован для создания или изменения файла базы данных. Может использоваться только совместно с параметром /DB | ||||||||||||||
/overwrite | Указывает, что применяемый шаблон базы данных должен перезаписать все параметры, определенные в файле базы данных, если он существует. Может использоваться только совместно с параметром /CFG | ||||||||||||||
/areas область1 область2 ... | Указывает контейнеры политики безопасности, которые должны быть применены к системе. Если параметр не указан, то применяются все контейнеры. Вы можете использовать следующие имена областей:
| ||||||||||||||
/LOG имя_файла | Полный путь к файлу журнала, создаваемому в процессе настройки политики безопасности. Если этот параметр не указан, то используется файл журнала по умолчанию | ||||||||||||||
/verbose | Выводит информацию о ходе настройки на экран | ||||||||||||||
/quiet | Не выводит никакой информации на экран и в файл журнала |
Перезагрузка политики безопасности.
Для перезагрузки политики безопасности системы путем применения всех объектов групповой политики используется следующий синтаксис командной строки утилиты secedit:
secedit /refreshpolicy {machine_policy | user_policy} [/enforce]
Описание ключей утилиты secedit приведено в таблице.
Ключ | Описание |
machine_policy | Перезагружает параметры, описанные в контейнерах Параметры компьютера всех объектов групповой политики, воздействующих на данный компьютер |
user_policy | Перезагружает параметры, описанные в контейнерах Параметры пользователя всех объектов групповой политики, воздействующих на данный компьютер |
/enforce | Осуществляет принудительную перезагрузку параметров политики безопасности даже если они не были изменены. Результаты перезагрузки политики безопасности вы сможете узнать в системном журнале Windows Server 2003 |
Экспорт политики безопасности.
Для экспорта политики безопасности системы в файл шаблона используется следующий синтаксис командной строки утилиты secedit:
secedit /export [/mergedPolicy] [/DB имя_файла] /CFG имя_файла [areas область1 область2 ...] [/LOG имя_файла] [/verbose] [/quiet]
Описание ключей утилиты secedit приведено в таблице.
Ключ | Описание |
/mergedPolicy | Указывает, что должны экспортироваться не только данные из указанной базы данных, но и результат применения к ней всех политик безопасности, действующих на компьютер |
/DB имя_файла | Полный путь к файлу базы данных, которая будет экспортироваться в шаблон. Если этот параметр не указан, то используется база данных локальной политики безопасности |
/CFG имя_файла | Полный путь к файлу шаблона безопасности, который будет создан в результате экспорта |
/areas область1 область2 ... | Указывает контейнеры политики безопасности, которые должны быть экспортированы. Если параметр не указан, то экспортируются все контейнеры. |
/LOG имя_файла | Полный путь к файлу журнала, создаваемому в процессе экспорта политики безопасности. Если этот параметр не указан, то используется файл журнала по умолчанию |
/verbose | Выводит информацию о ходе экспорта на экран |
/quiet | Не выводит никакой информации на экран и в файл журнала |
Проверка шаблона безопасности.
Для проверки файла шаблона безопасности на наличие ошибок перед его применением к компьютеру используется следующий синтаксис командной строки утилиты secedit:
secedit /validate имя_файла
Описание ключей утилиты secedit приведено в таблице.
Ключ | Описание |
имя_файла | Полный путь к файлу шаблона безопасности, который был создан при помощи оснастки Шаблоны безопасности или при экспорте политики безопасности |
[newpage=Создание доменных групповых политик]
Создание доменных групповых политик.
Доменные групповые политики могут создаваться при помощи консоли управления Active Directory - пользователи и компьютеры в любом контейнере, поддерживающем назначение групповых политик (сайт, домен, организационное подразделение).
Для запуска консоли управления Active Directory - пользователи и компьютеры необходимо в меню Пуск -> Администрирование щелкнуть Active Directory - пользователи и компьютеры. В дереве консоли управления найдите нужный контейнер, выберите его, нажмите на нем правую кнопку мыши и выберите пункт Свойства контекстного меню.
В окне свойств объекта перейдите на вкладку Групповая политика. На этой вкладке выводится список объектов групповой политики, связанных с выбранным контейнером. Для создания нового объекта групповой политики щелкните кнопку Создать и введите имя нового объекта. В качестве имени объекта групповой политики рекомендуется использовать термины, описывающие круг пользователей и компьютеры, которые попадут под действие групповой политики.
Щелкнув кнопку Изменить вы можете сразу начать редактирование параметров групповой политики.
Выбрав в списке групповую политику и щелкнув кнопку Параметры (Options), вы можете настроить параметры применения политики.
Установив флажок Не перекрывать, вы укажете, что никакая другая групповая политика ни в каком другом контейнере не сможет перекрыть параметры, определенные в этом объекте групповой политики. Этот флажок рекомендуется устанавливать в тех случаях, когда вы не хотите, чтобы администраторы отдельных контейнеров Active Directory могли переопределить, например, параметры политики безопасности.
Установив флажок Отключить, вы отключите объект групповой политики и его параметры не будут применяться ни к одному из контейнеров Active Directory. Рекомендуется отключать еще не настроенные или уже не использующиеся политики.
При помощи кнопки Свойства (Properties) на вкладке Групповая политика окна свойств контейнера Active Directory вы можете настроить свойства объекта групповой политики.
На вкладке Общие выводятся основные сведения об объекте групповой политики: дата создания и последнего изменения, номер редакции, домен, в котором хранится объект групповой политики и его GUID. Эти сведения могут помочь вам найти GPT, соответствующий объекту групповой политики, и определить время его последнего изменения.
Для повышения быстродействия при применении объектов групповой политики к компьютерам пользователей рекомендуется отключать те контейнеры групповой политики, которые не содержат настроенных параметров. Так, установив флажок Отключить параметры конфигурации компьютера, вы отключите применение всех параметров, хранящихся в контейнере Параметры компьютера данной групповой политики. Аналогично можно отключить параметры контейнера Параметры пользователя, установив флажок Отключить параметры конфигурации пользователя.
На вкладке Связи вы можете просмотреть список контейнеров Active Directory, к которым применяется данный объект групповой политики. Для этого в раскрывающемся списке Домен необходимо выбрать домен дерева, который вас интересует, и щелкнуть кнопку Найти. Все найденные контейнеры будут выведены в список в нижней части окна.
Назначение доменных политик безопасности.
Один и тот же объект групповой политики может быть связан с любым количеством контейнеров Active Directory. При использовании такого объекта групповой политики он создается в одном из контейнеров, после чего назначается во всех остальных контейнерах. Все операции по назначению политик безопасности выполняются с помощью консоли управления Active Directory - пользователи и компьютеры.
Для запуска консоли управления Active Directory - пользователи и компьютеры необходимо в меню Пуск -> Администрирование щелкнуть Active Directory - пользователи и компьютеры. В дереве консоли управления найдите нужный контейнер, выберите его, нажмите на нем правую кнопку мыши и выберите пункт Свойства контекстного меню.
В окне свойств объекта перейдите на вкладку Групповая политика. При использовании нескольких объектов групповой политики с одним контейнером Active Directory вы можете управлять порядком их применения, а, соответственно, и приоритетом политик. Для изменения порядка применения политик используются кнопки Вверх и Вниз. Политики, перечисленные в списке, применяются снизу вверх, то есть объект групповой политики, стоящий первым в списке имеет наивысший приоритет.
Для управления порядком применения объектов групповой политики вы также можете установить флажок Блокировать наследование политики (Block Policy inheritance), в этом случае, при применении объектов групповой политики для этого контейнера, все объекты групповой политики его родительских контейнеров будут игнорироваться. Это позволяет уменьшить размер объектов групповой политики и GPT, при необходимости отменить большинство параметров политики на некотором уровне.
Для добавления уже существующей групповой политики к контейнеру щелкните кнопку Добавить. Вы должны выбрать существующий объект групповой политики, расположенный в одном из контейнеров домена. Вы также можете просмотреть список всех объектов групповой политики, хранящихся в домене, перейдя на вкладку Все. Выбрав нужный объект групповой политики щелкните кнопку ОК.
[newpage=Настройка параметров групповых политик]
Настройка параметров групповых политик.
Настройка параметров групповой политики выполняется в уже существующих объектах локальной или доменной групповой политики при помощи редактора групповой политики.
Загрузка редактора групповой политики.
Для загрузки редактора групповой политики вы можете воспользоваться одним из трех приведенных ниже способов.
Способ 1. Запустите консоль управления Active Directory - пользователи и компьютеры. Для этого в меню Пуск -> Администрирование
щелкните Active Directory - пользователи и компьютеры. В дереве консоли управления найдите нужный контейнер, выберите его, нажмите на нем правую кнопку мыши и выберите пункт Свойства контекстного меню.
В появившемся окне свойств перейдите на вкладку Групповая политика. Выберите нужную политику в списке и щелкните кнопку Изменить. Будет запущен редактор групповой политики, в который будет загружена указанный вами объект групповой политики.
Способ 2. В меню Пуск выберите Выполнить и введите команду mmc. Запустится консоль управления, содержащая пустую консоль с именем Консоль1. В меню Консоль щелкните Добавить или удалить оснастку. Появится окно добавления и удаления оснасток и расширений. В нем щелкните кнопку Добавить, выберите оснастку Групповая политика и щелкните кнопку Добавить. Вам будет предложено открыть локальный объект групповой политики. Если вы хотите открыть другой объект групповой политики, то щелкните кнопку Обзор. Найдите нужный объект групповой политики, после чего щелкните кнопку ОК. Щелкните кнопку Готово, чтобы завершить выбор объекта групповой политики.
Способ 3. В меню Пуск выберите Выполнить и введите одну из следующих команд:
Команда | Описание |
gpedit.msc /gpcomputer: "server1.test.fio.ru" | Загружает в редактор групповой политики объект групповой политики домена, контроллером которого является компьютер server1 |
gpedit.msc /gpobject: "LDAP://CN={D40DE84C-BE18-4f64-A255-1AC30D46DFE7},CN=Policies,CN=System, DC=test,DC=fio,DC=ru" | Загружает в редактор групповой политики указанный объект групповой политики. Объект должен указываться при помощи полного LDAP-пути к объекту групповой политики в каталоге Active Directory |
[newpage=Использование редактора групповой политики]
Использование редактора групповой политики.
Независимо от способа запуска и открытого объекта групповой политики окно редактора групповой политики всегда выглядит одинаково:
Дерево консоли управления содержит два стандартных контейнера:
- Конфигурация компьютера - содержит параметры, настраиваемые для всех пользователей компьютера;
- Конфигурация пользователя - содержит параметры, настраиваемые для конкретного пользователя компьютера.
Каждый из этих контейнеров содержит следующие вложенные контейнеры:
- Конфигурация программ - параметры автоматической установки и назначения приложений пользователям компьютера;
- Конфигурация Windows - различные параметры операционной системы, в том числе политики безопасности, сценарии, перенаправление папок;
- Административные шаблоны - параметры настройки операционной системы и различных программных продуктов Microsoft (в основном Internet Explorer).
В свою очередь каждый из этих контейнеров может содержать любое количество вложенных контейнеров. Структура этих контейнеров определяется самой операционной системой и дополнительными программными продуктами, устанавливающими свои расширения для редактора групповых политик.
Вы не можете изменять структуру контейнеров объекта групповой политики, добавлять свои контейнеры, удалять или переименовывать уже существующие контейнеры. Также вы не можете добавлять, удалять или переименовывать параметры групповой политики, хранящиеся в этих контейнерах.
Для изменения значения любого параметра групповой политики вы должны найти необходимый контейнер в дереве консоли управления, выбрать нужный параметр в списке справа и дважды щелкнуть по нему левой кнопкой мыши. В появившемся окне вы можете настроить значение параметра.
Окно значения параметра обычно содержит флажок Определить следующий параметр политики в шаблоне или аналогичный, позволяющий отключить соответствующий параметр политики. Это хорошо видно на примере параметра Мин. длина пароля (Minimum password age).
Тем не менее, встречаются параметры, которые не имеют такого флажка. Для отключения такого параметра обычно необходимо задать пустое значение параметра или пустой список. Это хорошо видно на примере параметра Автозагрузка.
При настройке значений параметров групповой политики следует придерживаться следующих правил:
- не изменяйте значения параметров, область или принцип действия которых вам не известны;
- документируйте изменения, вносимые в объекты групповой политики - это позволит вам быстро определить, параметры какой политики приводят к некорректной работе Windows Server 2003.
Поинтересуйтесь значениями параметров, используемыми операционной системой для ненастроенных параметров политики, - не определяйте в групповой политике такие же значения параметров, как и используемые операционной системой по умолчанию. Это уменьшит размер объекта групповой политики и ускорит загрузку клиентских компьютеров.
Часто используемые контейнеры групповой политики.
Ниже представлен список и краткое описание наиболее часто используемых контейнеров групповой политики.
Контейнер | Описание |
Конфигурация компьютера\Конфигурация Windows\Сценарии (запуск/завершение) | Содержит параметры Автозагрузка и Завершение работы , предназначенные для указания файлов сценариев, которые выполняются при загрузке и выключении компьютера |
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Политики учетных записей\Политика паролей | Содержит параметры, задающие ограничения и правила использования паролей, такие как минимальная длина пароля и срок действия пароля |
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Политики учетных записей\Политика блокировки учетной записи | Содержит параметры, определяющие правила автоматической блокировки учетных записей при вводе неправильных паролей |
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Политика аудита | Содержит параметры, определяющие какие категории событий системы безопасности должны регистрироваться в журнале безопасности |
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя | Содержит параметры, определяющие привилегии пользователей, например, возможность пользователя регистрироваться на компьютере или останавливать системные службы |
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности | Содержит параметры, определяющие поведение системы безопасности, как при локальной работе пользователя, так и при взаимодействии компьютеров в сети |
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Журнал событий\Настройка протоколирования | Содержит параметры, определяющие правила ведения и размеры системных журналов Windows Server 2003 |
Конфигурация компьютера\Административные шаблоны\Система | Содержит параметры, определяющие поведение операционной системы при загрузке компьютера и регистрации пользователя |
Конфигурация компьютера\Административные шаблоны\Система\Вход в систему | Содержит параметры, определяющие поведение ОС при регистрации пользователя, например, правила обработки сценариев входа |
Конфигурация компьютера\Административные шаблоны\Сеть\Автономные файлы | Содержит параметры, определяющие возможность и правила работы пользователей с автономными файлами |
Конфигурация компьютера\Административные шаблоны\Принтеры | Содержит параметры, определяющие взаимодействие ОС с пользователем при работе с принтерами |
Конфигурация пользователя\Конфигурация Windows\Поддержка Internet Explorer\Пользовательский интерфейс обозревателя | Содержит параметры, настраивающие пользовательский интерфейс Internet Explorer |
Конфигурация пользователя\Конфигурация Windows\Поддержка Internet Explorer\Соединение | Содержит параметры, определяющие настройки подключения для Internet Explorer |
Конфигурация пользователя\Конфигурация Windows\Поддержка Internet Explorer\Адреса URL | Содержит параметры, определяющие различные адреса Интернета, используемые Internet Explorer |
Конфигурация пользователя\Конфигурация Windows\Поддержка Internet Explorer\Безопасность | Содержит параметры, определяющие зоны и настройки безопасности, используемые Internet Explorer |
Конфигурация пользователя\Конфигурация Windows\Поддержка Internet Explorer\Программы | Содержит параметры, определяющие программы, которые используются для просмотра и редактирования HTML, для работы с электронной почтой, календарем, контактами и т.п. |
Конфигурация пользователя\Конфигурация Windows\Сценарии (вход/выход из системы) | Содержит параметры Вход в систему и Выход из системы , предназначенные для указания файлов сценариев, которые выполняются при регистрации и завершении сеанса пользователя на компьютере |
Конфигурация пользователя\Конфигурация Windows\Перенаправление папки | Содержит параметры, определяющее местоположение основных папок профиля пользователя, в которых могут храниться файлы пользователя |
Конфигурация пользователя\Административные шаблоны\Компоненты Windows\Internet Explorer | Содержит параметры, определяющие настройки Internet Explorer, в основном блокирующие те или иные действия пользователя |
Конфигурация пользователя\Административные шаблоны\Компоненты Windows\Проводник | Содержит параметры, определяющие, а в основном, блокирующие те или иные действия пользователя |
Конфигурация пользователя\Административные шаблоны\Компоненты Windows\Консоль управления Microsoft | Содержит параметры, ограничивающие возможности пользователя при работе с консолью управления и системными оснастками Windows Server 2003 |
Конфигурация пользователя\Административные шаблоны\Панель задач и меню "Пуск" | Содержит параметры, определяющие внешний вид панели задач и меню Пуск , а также ограничивающие возможности пользователей по изменению их настроек |
Конфигурация пользователя\Административные шаблоны\Рабочий стол | Содержит параметры, определяющие внешний вид рабочего стола и ограничивающие возможности пользователей по изменению его настроек |
Конфигурация пользователя\Административные шаблоны\Рабочий стол\Active Desktop | Содержит параметры, определяющие элементы, размещаемые на рабочем столе, например, фоновый рисунок |
Конфигурация пользователя\Административные шаблоны\Панель управления | Содержит параметры, определяющие настройки и ограничения для основных компонентов Панели управления |
Конфигурация пользователя\Административные шаблоны\Сеть\Автономные файлы | Содержит параметры, определяющие возможность и правила работы пользователей с автономными файлами |
Конфигурация пользователя\Административные шаблоны\Система | Содержит параметры, в основном ограничивающие возможности пользователя по изменению параметров операционной системы и ее компонентов |
Конфигурация пользователя\Административные шаблоны\Система\Вход/выход из системы | Содержит параметры, определяющие поведение операционной системы при загрузке компьютера и регистрации пользователя, а также ограничивающие возможности пользователя при выполнении некоторых операций |
Описание остальных контейнеров и параметров групповой политике вы найдете в справочной системе Windows Server 2003 либо в руководствах пользователя к соответствующим компонентам Windows.
эта статья с Компьютерные сети и технологии
( http://xnets.ru/plugins/content/content.php?content.148 )