Использование Group Policy для управления клиентскими и серверными машинами
Обработка и наследование при использовании Group Policy
Прежде чем объединять объекты GPO и связывать их со структурой Active Directory, вам нужно понять, как происходит обработка с помощью Group Policy и каким образом наследование в этой иерархической структуре влияет на выбор настроек, которые применяются к пользователям и компьютерам. На самом деле понимание обработки и наследования дает вам намного больше возможностей в управлении и делает Group Policy еще более гибким и целенаправленным средством.
Объекты GPO можно привязывать (по уровням) к сайтам, доменам или организационным единицам (OU); вы можете, например, используя GPMC, связать один GPO со всеми этими тремя уровнями или просто сохранить его и затем связывать его по отдельности с каждым из них в форме уникальных экземпляров GPO. Вы можете также связать в целях управления любое количество объектов GPO с одним сайтом, доменом или OU.
Объекты GPO обладают свойствами наследования в Active Directory и накопления. Они также влияют на все компьютеры и на всех пользователей в соответствующем контейнере Active Directory. На клиентских компьютерах Windows 2000, Windows XP Professional или Windows Server 2003 объекты GPO обрабатываются в следующем порядке.
- Локальный объект Group Policy (LGPO), конфигурируемый на уровне отдельной машины.
- GPO, присоединенные к сайтам.
- GPO, присоединенные к доменам.
- GPO, присоединенные к организационным единицам (OU).
Таким образом, первые настройки, применяемые при загрузке или входе, берутся из локального объекта (LGPO), который вы конфигурируете на уровне отдельной машины. Но зачем это нужно, если вы используете Group Policy? Это может потребоваться разве что для применения каких-то особых настроек к машине конкретного пользователя, например, начальника, которому требуется что-то, недоступное никому другому (и при этом нужно проследить, чтобы эта настройка не переопределялась следующими по порядку объектами GPO). После LGPO обрабатываются GPO, привязанные к сайтам, затем - к доменам, затем - к родительским OU и, наконец, к дочерним OU различных уровней внутри этих родительских OU.
Например, предположим, что вы присоединяете три объекта GPO - один к сайту (GPO1), один к домену в этом сайте (GPO2) и один к OU в этом домене (GPO3), - а также конфигурируете определенную машину с помощью LGPO. Чтобы сделать этот пример более интересным, предположим, что некоторые настройки конфигурируют компьютеры противоречивым образом (например, дают различные настройки рабочего стола или безопасности). При загрузке на клиентской машине сначала обрабатывается LGPO, затем - GPO1, затем - GPO2 и затем - GPO3. Все, что имеется в GPO3, получает приоритет по сравнению с тем, что обработано в GPO2, и затем по цепочке в GPO1 и в LGPO, поэтому вы должны внимательно следить за тем, что используется объектами GPO вашей организации, какие настройки могут оказаться конфликтными (т.е. переопределять ранее определенные настройки), а также должны тестировать новые GPO, прежде чем направлять их в эксплуатируемую среду. Если вы присоединяете несколько GPO к одной OU, то можете задать порядок обработки этих GPO, добавляя еще один уровень проверки.
Используйте средства Group Policy Modeling и Group Policy Results, описанные ниже в этой лекции, чтобы определить, имеются ли какие-то конфликты, когда выполняется привязка нового GPO.
Как вы можете ожидать, объекты GPO, присоединенные к определенному уровню иерархии Active Directory, не влияют на компьютерные и пользовательские учетные записи, которые находятся выше в этой иерархии. Например, если OU NYHR находится ниже OU New York Users и вы присоединяете какой-либо GPO к OU NYHR, то этот GPO не влияет на компьютерные и пользовательские объекты в OU New York Users.
Настройки GPO, присоединенного к сайту, распространяются на все домены (леса) в пределах этого сайта и наследуются всеми доменами и OU внутри этого сайта согласно иерархии Active Directory. Таким образом, репликация нового присоединенного GPO на каждый контроллер домена выполняется в соответствии с обычным расписанием репликации, поэтому вы можете наблюдать некоторую задержку, прежде чем будут полностью реализованы настройки GPO, присоединенного к сайту.
Настройки GPO, присоединенного к домену, распространяются на всех пользователей и все компьютеры в этом домене и наследуются всеми OU внутри этого домена. Если этот домен охватывает несколько сайтов, то репликация данного GPO на удаленные контроллеры домена происходит по расписанию межсайтовой репликации; по возможности старайтесь избегать этой ситуации. Очевидно, что присоединенные к домену объекты GPO не наследуются между доменами; но вы можете присоединять один GPO к нескольким доменам. Такие GPO применяются из исходного домена GPO к клиентским компьютерам в присоединенном домене при входе пользователя или при загрузке. В такой ситуации тоже старайтесь просто дублировать GPO в каждом домене и затем присоединяйте эти дубликаты внутри их локальных доменов.
Имеются два специальных объекта GPO, которые присоединяются к каждому домену, когда происходит установка первого контроллера домена и когда администратор выполняет первый вход. Это GPO Default Domain Policy (Политика домена по умолчанию) и GPO Default Domain Controller Policy (Политика контроллера домена по умолчанию). Эти GPO содержат политики Account Policy (Политика учетных записей), Password Policy (Политика паролей), Account Lockout Policy (Политика блокировки паролей) и Kerberos Policy, которые реализуются контроллерами домена. Не изменяйте и не удаляйте эти GPO.
Настройки объекта GPO, присоединяемого к OU, применяются ко всем пользователям и компьютерам в этой OU и наследуются всеми пользователями и компьютерами в любых дочерних OU этой OU. Присоединение объектов GPO к организационным единицам действительно помогает применять настройки к конкретным группам, отделам организации или наборам пользователей, включаемых в контейнеры нижнего уровня Active Directory. Например, вы можете сгруппировать всех пользователей New York Human Resources в одну OU с именем NYHR (как в нашем предыдущем примере), которая подчинена родительской OU с именем New York Users. Присоединяя GPO с настройками, подходящими для группы, которая определяется этой OU, вы можете снабдить этих пользователей программным обеспечением, настройками безопасности и настройками рабочего стола, необходимыми для их работы, в то время как остальные пользователи домена получают присоединенный к этому домену объект GPO, в котором нет этого ПО или настроек рабочего стола.
Когда происходит обработка объектов GPO
Расширения Group Policy вызываются программой Winlogon при следующих событиях.
- Загрузка компьютера.Это происходит, когда обрабатывается часть Computer Configuration из GPO.
- Вход пользователя.Это происходит, когда обрабатывается часть User Configuration из GPO.
- Во время фонового обновления Group Policy.В это время обрабатываются обе части - Computer Configuration и User Configuration. Период между обновлениями составляет по умолчанию 90 минут с дополнительным (случайным) смещением 0-30 минут в обоих направлениях, чтобы противостоять тем, кто пытается нарушать налагаемые вами конфигурации, и чтобы не было одновременной загрузки объектов GPO многими компьютерами (вызывающей слишком большой объем трафика). Вы можете задавать фоновое обновление с интервалом от 0 (семь секунд) до 45 дней. Не задавайте слишком короткие интервалы обновления (кроме, может быть, тестирования в экспериментальных условиях), поскольку это вызывает слишком большой трафик. Не задавайте также слишком длинные интервалы обновления, поскольку пользователи могут изменить конфигурацию своих машин за это время, что лишает смысла ваше централизованное конфигурирование. По очевидным причинам расширения Folder Redirection (Перенаправление папок) и Software Installation (Установка ПО) не обрабатываются во время фонового обновления, а только при загрузке и входе.
- При запуске утилиты Gpudpate.exe. Это ручное обновление обеих частей GPO (Computer Configuration и User Configuration), например, при устранении проблем Group Policy или необходимости реализации новых настроек, не ожидая, когда будет выполнено фоновое обновление. Вы можете задавать для Gpupdate.exe ряд параметров, указывая, какие настройки нужно обновить и как их нужно обновить. Чтобы увидеть полный список параметров Gpupdate.exe, используйте ключ gpupdate /?. Если какие-либо расширения GPO содержат настройки, которые действуют только при загрузке компьютера (например, Folder Redirection и Software Installation), то происходит перезагрузка компьютеров, поэтому будьте аккуратны, задавая, когда и как использовать эту утилиту.
Фильтрация в Group Policy
Вы можете использовать фильтрацию в объекте GPO, чтобы он применялся только к членам определенных групп или чтобы управлять тем, как применяются объекты GPO. Используя иерархию обработки Active Directory и используя возможности Security Filtering и WMI Filtering, вы можете целенаправленно применять настройки GPO и управлять их поведением без необходимости создания и управления большим числом объектов GPO.
Security Filtering (Фильтрация субъектов безопасности)
Security Filtering используется, чтобы указывать, какие субъекты безопасности в присоединенном контейнере Active Directory получат настройки объекта GPO. Вы не можете применить Security Filtering к какой-либо одной настройке Group Policy, а только ко всему объекту GPO.
Для фильтрации GPO по группе безопасности добавьте группу в секции Security Filtering вкладки Scope (Область действия) в консоли GPMC. В поле Enter The Object Name To Select (Для выбора введите имя объекта) введите имя группы безопасности, пользователя или компьютера, которых хотите добавить к фильтру безопасности (Security Filter).
Подробнее об использовании Security Filtering см. в оперативной справке по GPMC.
WMI Filtering
WMI (Windows Management Instrumentation) Filtering используется для управления тем, где применяются объекты GPO. Вы можете присоединить GPO к одному фильтру WMI (WMI Filter), который оценивается на клиентском компьютере во время обработки GPO. Если фильтр WMI дает значение true, то применяется этот GPO. Фильтры WMI игнорируются машинами с Windows 2000 и более ранними операционными системами, поэтому объекты GPO всегда применяются к ним независимо от WMI Filtering. WMI может предоставлять вам такие данные о компьютере, как конфигурация оборудования, объем свободного пространства на диске, установленное ПО, пользовательские настройки, информация реестра и многое другое.
Вы можете использовать WMI Filtering только при наличии хотя бы одного контроллера домена Windows Server 2003. В противном случае вы не увидите секцию WMI Filtering во вкладке Scope для объектов GPO и элемента WMI Filtering под доменом в консоли GPMC.
Подробнее об использовании WMI Filtering см. в оперативной справке по GPMC.
Объекты Group Policy
Настройки Group Policy, которые вы создаете, содержатся в объекте Group Policy (GPO), который передает затем эти настройки пользователям и компьютерам в присоединенных контейнерах Active Directory. Объекты GPO хранятся на уровне домена. Информация, содержащаяся в GPO, хранится в контейнере Group Policy в Active Directory и в шаблоне Group Policy на томе Sysvol каждого контроллера домена. Каждое из этих хранилищ имеет свое расписание и метод репликации. Обязательно прочитайте оперативную справочную информацию по Group Policy, чтобы получить подробные сведения по устранению проблем, включая вопросы репликации.
Второй тип GPO - это LGPO (локальный GPO), который имеется на каждом компьютере, даже если вы не конфигурировали этот GPO. Объекты LGPO не присоединяются к каким-либо контейнерам Active Directory. Если у вас нет необходимости к какой-то особой конфигурации на конкретных компьютерах, то вы можете не затрагивать объекты LGPO. К тому же они дают намного меньше возможностей, чем объекты GPO.
По мере роста числа настроек и скриптов, которые содержат объекты GPO, они увеличиваются в размерах и используют более весомую долю пропускной способности сети. С ростом числа присоединяемых GPO доля используемой пропускной способности тоже увеличивается, хотя это менее существенно, чем увеличение количества настроек и скриптов, передаваемых каждым GPO. Объекты LGPO не влияют на пропускную способность сети.
Чтобы создать GPO с помощью бесплатной консоли GPMC, щелкните правой кнопкой на Group Policy Objects в домене, где вы хотите создать этот GPO, и затем выберите пункт New (Создать).
Редактирование объектов Group Policy
Вы можете легко создать или редактировать GPO, но не так-то просто определить, как конфигурировать все эти сотни опций. Открыв только что созданный GPO, вам нужно выбрать одну из этих настроек; если она находится в секции Administrative Templates (Административные шаблоны) данного GPO, то вы увидите описание этой настройки непосредственно в режиме расширенного представления GPOE Extended View. На рис. 13.1 показана оснастка GPOE, открытая так, чтобы можно было увидеть многие из имеющихся расширений. В данном случае пользователь щелкнул на System в Administrative Templates секции User Configuration и затем щелкнул правой кнопкой мыши на настройке Specify Windows installation file location (Задать местоположение файлов установки Windows), после чего можно выбрать пункт Properties.
Чтобы внести изменения в новый GPO, щелкните правой кнопкой на этом GPO в консоли GPMC, щелкните на кнопке Edit и затем используйте оснастку GPOE. Если вы не установили GPMC, то можете также запускать оснастку GPOE непосредственно из командной строки, набрав Gpedit.msc (после того, как вы добавили эту оснастку в Microsoft Management Console [MMC] с помощью средства Add/ Remove Snap-In [Добавление/Удаление оснастки]). После редактирования GPO ваши изменения применяются ко всем присоединенным контейнерам.
Чтобы редактировать GPO, у вас должны быть полномочия Edit (Редактирование) по этому GPO. Чтобы редактировать передаваемые в GPO настройки IPSec, вы должны быть администратором домена (Domain Administrator).
Чтобы задать какую-либо настройку в GPO, откройте окно Properties (дважды щелкните на этой настройке, щелкните на ссылке Properties в описании или щелкните правой кнопкой на этой настройке и выберите пункт Properties). Появится окно конфигурирования для этой настройки. В большинстве настроек предлагаются варианты выбора Not Configured (Не сконфигурирована), Enabled (Включена) и Disabled (Отключена), хотя некоторые настройки требуют ввода информации в текстовом поле или задания других деталей. Окно конфигурирования настройки содержит также текст Explain (Описание) для этой настройки, включая операционные системы или компоненты Windows, которые поддерживают эту настройку, то есть наиболее раннюю ОС или компонент Windows (например, версия Windows Media Player или Internet Explorer), которые поддерживают эту настройку. Напомню, что вы можете использовать объекты GPO, которые не поддерживаются на некоторых машинах, содержащихся в присоединенном сайте, домене или OU; они просто не распознают их и на них не влияют эти настройки.
Все это упаковывается в каждый объект GPO с помощью механизма под названием Group Policy. Теперь вы получите обзор этих возможностей.