Служба каталогов Active Directory

Групповые политики: назначение, состав, стандартные политики домена, порядок применения политик (локальные, сайт, домен, ОП), применение политик и права доступа, наследование и блокировка применения

Управление рабочими станциями, серверами, пользователями в большой организации — очень трудоемкая задача. Механизм Групповых политик ( Group Policy ) позволяет автоматизировать данный процесс управления. С помощью групповых политик ( ГП ) можно настраивать различные параметры компьютеров и пользовательской рабочей среды сразу в масштабах сайта AD, домена, организационного подразделения (детализацию настроек можно проводить вплоть до отдельного компьютера или пользователя). Настраивать можно широкий набор параметров — сценарии входа в систему и завершения сеанса работы в системе, параметры Рабочего стола и Панели управления, размещения личных папок пользователя, настройки безопасности системы (политики паролей, управления учетными записями, аудита доступа к сетевым ресурсам, управления сертификатами и т.д.), развертывания приложений и управления их жизненным циклом.

Каждый объект групповых политик ( GPO, Group Policy Object ) состоит из двух частей: контейнера групповых политик (GPC, Group Policy Container ) хранящегося в БД Active Directory, и шаблона групповых политик ( GPT, Group Policy Template ), хранящегося в файловой системе контроллера домена, в подпапках папки SYSVOL. Место, в котором хранятся шаблоны политик, — это папка %systemroot%\SYSVOL\sysvol\<имя домена>\Policies, и имя папки шаблона совпадает с глобальным уникальным идентификатором (GUID) объекта Групповая политика.

Каждый объект политик содержит два раздела: конфигурация компьютера и конфигурация пользователя. Параметры этих разделов применяются соответственно либо к настройкам компьютера, либо к настройкам среды пользователя.

Задание параметров групповых политик производится Редактором групповых политик, который можно открыть в консоли управления соответствующим объектом AD.

Каждый объект политик может быть привязан к тому или иному объекту AD — сайту, домену или организационному подразделению (а также к нескольким объектам одновременно).

Задание параметров групповых политик производится Редактором групповых политик, который можно открыть в консоли управления соответствующим объектом AD (" Active Directory – сайты и службы ", " Active Directory – пользователи и компьютеры ", локальная политика компьютера редактируется консолью gpedit.msc, запускаемой из командной строки). На рис. 6.47 показана закладка " Групповые политики " свойств домена world.ru. На данной закладке можно выполнить следующие действия:

• кнопка " Создать " — создать новый объект ГП;
• кнопка " Добавить " — привязать к данному объекту AD существующий объект ГП;
• кнопка " Изменить " — открыть редактор групповых политик для выбранного объекта ГП;
• кнопка " Параметры " — запретить перекрывание (поле " Не перекрывать ") параметров данной объекта ГП другими политиками или блокировку на более низком уровне иерархии AD или отключить (поле " Отключить ") данный объект ГП;
• кнопка " Удалить " — удалить совсем выбранный объект ГП или удалить привязку объекта ГП к данному уровню AD;
• кнопка " Свойства " — отключить компьютерный или пользовательский разделы политики или настроить разрешения на использование данного объекта ГП;
• поле " Блокировать наследование политики " — запретить применение политик, привязанных к более высоким уровням иерархии AD;
• кнопки " Вверх " и " Вниз " — управление порядком применения политик на данном уровне AD (политики, расположенные в списке выше, имеют более высокий приоритет).

Рис. 6.47.

При загрузке компьютера и аутентификации в домене к нему применяются компьютерные разделы всех привязанных политик. При входе пользователя в систему к пользователю применяется пользовательский раздел всех групповых политик. Политики, привязанные к некоторому уровню иерархии объектов AD (сайта, домена, подразделения) наследуются всеми объектами AD, находящимися на более низких уровнях. Порядок применения политик:

• локальная политика;
• политики сайта Active Directory;
• политики домена;
• политики организационных подразделений.

Если в процессе применения политик какие-либо параметры определяются в различных политиках, то действующими значениями параметров будут значения, определенные позднее.

Имеются следующие методы управления применением групповых политик (см. рис. 6.47):

• блокировка наследования политик на каком либо уровне иерархии AD;
• запрет блокировки конкретного объекта групповых политик;
• управление приоритетом применения политик на конкретном уровне AD (кнопками " Вверх " и " Вниз ");
• разрешение на применение политик (чтобы политики какого-либо объекта ГП применялись к пользователю или компьютеру, данный пользователь или компьютер должен иметь разрешения на этот объект ГП " Чтение " и " Применение групповой политики ").

Кроме применения политик в момент загрузки компьютера или входа пользователя в систему, каждый компьютер постоянно запрашивает обновленные политики на контроллерах домена, загружает их и применяет обновленные параметры (и к пользователю, и к компьютеру). Рабочие станции домена и простые серверы запрашивают обновления каждые 90 ± 30 минут, контроллеры домена обновляют свои политики каждые 5 минут. Обновить набор политик на компьютере можно принудительно из командной строки командой gpupdate (на компьютерах с системами Windows XP/2003) или командами " secedit /refreshpolicy machine_policy " и " secedit /refreshpolicy user_policy " (на компьютерах с системой Windows 2000).

На практических занятиях необходимо изучить работу редактора групповых политик, ознакомиться с набором параметров стандартных политик домена и выполнить задания по настройке рабочей среды пользователей с помощью групповых политик.

Управление приложениями

Рассмотрим немного подробнее использование групповых политик для развертывания приложений в сетях под управлением Active Directory.

Групповые политики могут использоваться для установки прикладных программ в масштабах всего домена или отдельного организационного подразделения.

Используются следующие способы управления установкой приложений:

• назначение приложений компьютерам (при данном способе приложение, назначенное компьютеру, автоматически устанавливается при загрузке компьютера);
• назначение приложений пользователям (приложение устанавливается при первом вызове данного приложения — при открытия ярлычка приложения или файла, соответствующего данному приложению);
• публикация приложений пользователям (название приложения добавляется к списку доступных для установки программ в окне " Установка и удаление программ " в Панели управления ).

С помощью политик можно управлять установкой приложений, которые устанавливаются с помощью компоненты Windows Installer, т.е. для них установочный пакет должен быть создан в формате файла с расширением " .msi ". Если приложение можно установить только с помощью установочной программы типа setup.exe или install.exe, то такие приложения могут быть опубликованы (но не назначены) после создания файла типа " .zap ", в котором заданны соответствующие параметры, необходимые для публикации средствами ГП.

Рассмотрим на примерах процессы назначения и публикации приложений.

Пример 1. Назначение пакета Group Policy Management Console (" Консоль управления групповыми политиками ") всем компьютерам домена world.ru.

1. Откроем закладку " Групповые политики " свойств домена. Создадим новый объект ГП с именем " GPMC " (рис. 6.48).
   

   
   Рис. 6.48.
2. Откроем редактор политик для политики GPMC, откроем " Конфигурация компьютера ", " Конфигурация программ ", на параметре " Установка программ " щелкнем правой кнопкой мыши и выберем " Создать — Пакет " (рис. 6.49):

Рис. 6.49.

3. Укажем сетевой путь к пакету " \\DC1\Soft\GPMC\gpmc.msi ". Выберем метод развертывания " Назначенный ", нажмем " ОК ". В окне редактора политик появится значение параметра (рис. 6.50):

Рис. 6.50.

4. При загрузке компьютера в домене в процессе применения политик будет установлен данный программный пакет (рис. 6.51):

Рис. 6.51.

Пример 2. Публикация пакета Microsoft Office 2003 всем пользователям домена world.ru.

1. Откроем закладку " Групповые политики " свойств домена. Создадим новый объект ГП с именем " MS Office 2003 ".
2. Откроем редактор политик для политики MS Office 2003, откроем " Конфигурация пользователя ", " Конфигурация программ ", на параметре " Установка программ " щелкнем правой кнопкой мыши и выберем " Создать — Пакет ".
3. Укажем сетевой путь к пакету " \\DC1\Soft\Office 2003\PRO11.msi ". Выберем метод развертывания " Публичный ", нажмем " ОК ".
4. После применения политик откроем Панель управления, выберем " Установка и удаление программ ", нажмем кнопку " Установка программ ", в окне доступных для установки программ появится название пакета " Microsoft Office 2003 " (рис. 6.52).

Рис. 6.52.