Краткий обзор групповых политик
Групповые политики Active Directory Windows Server 2003 обеспечивают мощные инструментальные средства, предназначенные для управления пользовательскими рабочими столами. В таблице 11-1 показано многое из того, что можно делать с помощью групповых политик.
Табл. 11-1. Опциигрупповыхполитик Опция конфигурации Объяснение
Инсталляция программ и управление | Используется для установки программного обеспечения на компьютерах и его обслуживания с помощью установки заплат или обновлений. Используется также для деинсталляции пакетов программ. Программное обеспечение может быть назначено и на пользователей, и на компьютеры. |
Сценарии | Используется для выполнения сценариев при запуске и выключении компьютера, а также при входе и выходе из системы. Сценарии могут быть файлами MS-DOS .bat или файлами Windows Script Host. |
Перенаправление папки | Используется для перенаправления некоторых частей рабочей среды пользователя, таких как My Documents (Мои документы), меню Start (Пуск) или Desktop (Рабочий стол), к сетевому ресурсу, на котором может быть сделана резервная копия. Это перенаправление прозрачно для пользователя. |
Конфигурация защиты | Используется для конфигурирования параметров настройки защиты. Некоторые из этих параметров, такие как политики паролей и учетных записей, должны быть сконфигурированы на уровне домена, остальные - на уровне любого контейнера. |
Административные шаблоны | Используется для создания административных шаблонов установки значений системного реестра, которые ограничивают модификации, выполняемые пользователями на своих компьютерах. |
Существует два типа групповых политик.
Первый тип— это локальная групповая политика на компьютере с системами Windows 2000, Windows XP и Windows Server 2003. Локальная групповая политика может быть только одна, и это единственная групповая политика, доступная на компьютере, не являющемся членом домена. Она применяется также на всех компьютерах, которые являются частью домена. Многие из локальных политик те же самые, что и групповые политики домена, но из-за того, что локальная групповая политика применяется первой, групповые политики Active Directory часто отменяют многие параметры ее настройки.
Примечание. Локальный объект групповой политики (GPO -Group Policy Object) хранится на локальном компьютере в папке %systemroot%\System32\GroupPolicy.
Второй тип групповой политики - э|го групповая политика Active Directory. Ее объекты хранятся в Active Directory, и каждая политика разными способами управляет компьютерами домена. Когда формируется домен Active Directory Windows Server 2003, создаются две групповые политики Active Directory: Default Domain Policy (Заданная по умолчанию политика домена) и Default Domain Controllers Policy (Заданная по умолчанию политика контроллеров домена). Default Domain Policy устанавливает политики учетных записей и паролей и используется для конфигурирования общих для домена параметров настройки. Политика Default Domain Controllers Policy применяется в организационных единицах (OU) контроллеров домена и используется для усиления некоторых параметров настройки защиты для контроллеров домена. В дополнение к этой политике можно создавать столько групповых политик, сколько потребуется, и связывать их с различными местами в структуре Active Directory. Групповые политики могут быть связаны с контейнером сайта, контейнером домена или любым контейнером OU вашей организации.
Все политики Active Directory имеют две группы параметров настройки. Первая группа параметров обращается к компьютерам, вторая - к учетным записям пользователя. Групповые политики могут применяться только к компьютерам и пользователям. Группы Active Directory используются для определения того, будет ли данная групповая политика применяться к определенному пользователю.
Объекты GPO, основанные на Active Directory, фактически состоят из двух различных объектов. Один из них — это объект контейнера групповой политики (GPC), к которому можно обратиться с помощью инструмента Active Directory Users And Computers через контейнер System (Система)\Policies (Политики). Если вы не видите системный контейнер, выберите Advanced Features (Дополнительные свойства) из меню View (Вид) (см. рис. 11-1). Объект GPC содержит следующую информацию.
- Информация о версии. Поддерживается как объектом GPC, так и шаблоном групповой политики (GPT - Group Policy Template) и используется для проверки синхронизации этих объектов.
- Список компонентов. Используется для указания того, параметры настройки какой групповой политики (компьютера, пользователя или обеих) сконфигурированы в этом объекте GPO.
- Информация о состояния. Используется для указания того, является ли объект GPO действующим, или он заблокирован.
Подробности, касающиеся объекта GPC, отражаются в свойствах объекта в инструменте ADSI Edit, но модифицировать их можно только через редактор групповой политики Group Policy Editor.
Рис. 11-1. Поиск объектов GPC в Active Directory
Совет. На рисунке 11-1 показано, что глобально уникальные идентификаторы (GUID), которые используются для идентификации объектов GPC в Active Directory, не всегда удобны. Для определения отображаемого имени каждого из GPC-объектов используйте утилиту ADSIedit.msc. Найдите GPC в Active Directory, используя ADSI Edit, а затем рассмотрите атрибут display Name.
Второй объект, который входит в групповую политику, — это объект GPT, содержащий большинство фактических параметров настройки для групповой политики и хранящийся в папке Sysvol на каждом контрол-
лере домена. Этот объект включает папки и информацию о содержимом (см. табл. 11-2).
Табл. 11-2. Содержаниешаблонагрупповойполитики
Место расположения | Содержание папки |
Adm | Содержит файлы .adm, использующиеся для конфигурирования административных шаблонов. |
Scripts | Содержит сценарии, назначенные с помощью групповых политик. |
User | Содержит параметры настройки системного реестра, применяемые политиками к данному пользователю. Параметры настройки хранятся в файле Registry.pol. |
User\Applications | Содержит сценарии рекламы приложений для всех приложений, развернутых для пользователей. |
Machine | Содержит все параметры настройки системного реестра, применяемые политикой к компьютеру. Параметры настройки хранятся в файле Registry.pol. |
Machine\ Applications | Содержит сценарии рекламы приложений для всех приложений, развернутых для компьютеров. |
{GUID} | Содержит файл Gpt.ini, в котором находится номер версии GPO. |
Оба GPO-компонента реплицируются на все контроллеры домена в домене. Объект каталога (GPC) реплицируется как часть обычной репликации Active Directory. Объект Sysvol (GPT) реплицируется службой репликации файлов (File Replication service - FRS).
Примечание. Если вы создали новый объект GPO или изменили существующий, политики должны реплицироваться на все контроллеры домена в домене. Используйте монитор репликации Replication Monitor для проверки статуса репликации. (Replication Monitor является инструментом Active Directory, который устанавливается, когда вы дважды щелкаете на файле Suptools.msi, расположенном в папке \Support\Tools на компакт-диске Windows Server 2003.) Откройте Replication Monitor и добавьте контроллеры домена к списку Monitored Servers (Кон-троллируемые серверы). Затем щелкните правой кнопкой мыши на имени контроллера домена и выберите Show Group Policy Object Status (Показать состояние объекта групповой политики). На рисунке 11-2 показано, как выглядит реплицируемая информация.
Рис. 11 -2. Просмотр статуса объекта групповой политики с помощью монитора репликации Replication Monitor