Настройка gpo windows server 2008 r2

Данное руководство представляет собой пошаговую инструкцию по созданию и настройке локальной групповой политики, а также групповых политик на уровне доменов и подразделений в Windows Server 2008 R2.

Групповые политики – это набор правил, обеспечивающих инфраструктуру, в которой администраторы локальных компьютеров и доменных служб Active Directory могут централизовано развертывать и управлять настройками пользователей и компьютеров в организации. Все настройки учетных записей, операционной системы, аудита, системного реестра, параметров безопасности, установки программного обеспечения и прочие параметры развертываются и обновляются в рамках домена при помощи параметров объектов групповой политики GPO (Group Policy Object).

I. Область действия групповых политик

Все групповые политики имеют свою область действия (scope), которая определяет границы влияния политики. Области действия групповых политик условно можно разделить на четыре типа:

Локальные групповые политики

Групповые политики, применяемые к локальному компьютеру, или локальные групповые политики. Эти политики настраиваются в оснастке «Редактор локальных групповых политик» и применяются только к тому компьютеру, на котором они были настроены. Они не имеют механизма централизованного развертывания и управления и, по сути, не являются групповыми политиками.

Групповые политики доменов

Объекты групповых политик, применяемые к домену Active Directory (AD) и оказывающие влияние на все объекты, имеющие отношение к данному домену. Поскольку в рамках домена работает механизм наследования, то все политики, назначенные на домен, последовательно применяются и ко всем нижестоящим контейнерам.

Групповые политики подразделения

Политики, применяемые к подразделению (Organizational Unit policy, сокр. OU) и оказывающие влияние на все содержимое данного OU и дочерних OU (при их наличии).

Групповые политики сайтов

Сайты в AD используются для представления  физической структуры организации. Границы сайта определяются одной или несколькими IP-подсетями, которые объединены высокоскоростными каналами связи. В один сайт может входить несколько доменов и наоборот, один домен может содержать несколько сайтов. Объекты групповой политики, примененные к сайту AD, оказывают влияние на все содержимое этого сайта. Следовательно, групповая политика, связанная с сайтом, применяется ко всем пользователям и компьютерам сайта независимо от того, к какому домену они принадлежат.

II. Порядок применения и приоритет групповых политик

Порядок применения групповых политик напрямую зависит от их области действия. Первыми применяются Локальные политики, затем Групповые политики сайтов, затем отрабатывают Доменные политики и затем OU политики. Если на одну OU назначено несколько GPO, то они обрабатываются в том порядке, в котором были назначены (Link Order).

Приоритет GPO напрямую зависит от порядка их применения — чем позднее применяется политика, тем выше ее приоритет. При этом нижестоящие политики могут переопределять вышестоящие — например Локальная политика будет переопределена Доменной политикой сайта, Доменная политика — политикой OU, а политика вышестоящего OU — нижестоящими политиками OU.

III. Создание локальной групповой политики

1. Для создания локальной групповой политики зайдите на рабочую станцию, нажмите Пуск, в поле поиска введите Выполнить, затем, в поисковой выдаче, выберите Выполнить (Рис.1).

Рис.1

.

2. В открывшемся окне введите в поле gpedit.msc, затем нажмите OK (Рис.2).

Рис.2

.

3. В открывшемся окне Вы увидите две основные категории параметров групповой политики — параметры конфигурации компьютера и параметры конфигурации пользователя. Параметры конфигурации компьютера применяются к компьютеру в целом, то есть действуют в отношении всех пользователей, входящих в систему на данном компьютере, без различия, гости они, пользователи или администраторы. Параметры конфигурации пользователя действуют только в отношении конкретно заданных пользователей (Рис.3).

Рис.3

.

4. Выберите: Конфигурация пользователя > Административные шаблоны > Рабочий стол > Active Desktop. В правой колонке выберите Фоновые рисунки рабочего стола и нажмите Изменить (меню вызывается через правую кнопку мыши) (Рис.4).

Рис.4

.

5. В появившемся окне выберите пункт Включить, затем в поле Имя фонового рисунка введите путь к фоновому рисунку (прим. в данном примере это C:Green_Local.jpg), после чего нажмите Применить и ОК. Затем перезагрузите компьютер (Рис.5).

Рис.5

.

6. После перезагрузки компьютера Вы увидите, что политика отработала и фон рабочего изменился (Рис.6).

Рис.6

.

IV. Создание и настройка групповой политики на уровне домена

1. Для создания групповой политики на уровне домена зайдите на сервер, выберите Пуск > Администрирование > Управление групповой политикой (Рис.7).

Рис.7

.

2. Выберите домен (прим. в данном руководстве это example.local), через правую кнопку мыши вызовите меню, в котором выберите Создать объект групповой политики в этом домене и связать его… (Рис.8).

Рис.8

.

3. В появившемся окне выберите, в соответствующем поле, имя новой групповой политики (прим. в данном руководстве это GPO-1), затем нажмите ОК (Рис.9).

Рис.9

.

4. Выберите созданную групповую политику (прим. GPO-1), через правую кнопку мыши вызовите меню, в котором выберите Изменить (Рис.10).

Рис.10

.

5. Выберите: Конфигурация пользователя > Политики > Административные шаблоны > Рабочий стол > Active Desktop. В правой колонке выберите Фоновые рисунки рабочего стола и нажмите Изменить (меню вызывается через правую кнопку мыши) (Рис.11).

Рис.11

.

6. В появившемся окне выберите пункт Включить, затем в поле Имя фонового рисунка введите путь к фоновому рисунку (прим. в данном примере это C:Yellow_Domain_GPO-1.jpg), после чего нажмите Применить и ОК. Затем перезагрузите компьютер на котором ранее устанавливали локальную групповую политику (Рис.12).

Рис.12

.

7. После перезагрузки компьютера Вы увидите, что групповая политика домена отработала и фон рабочего стола на компьютере изменился (прим. на компьютере доменные политики успешно применились и переопределили настройки, задаваемые локальными политиками. Т.о. установленный локальной политикой зеленый фон был переопределён и, в соответствии с доменной политикой, стал жёлтым) (Рис.13).

Рис.13

.

V. Создание и настройка групповой политики на уровне подразделения

1. Для создания групповой политики на уровне подразделения (Organizational Unit policy, сокр. OU) зайдите на сервер, выберите Пуск > Администрирование > Управление групповой политикой (Рис.14).

Рис.14

.

2. Выберите домен (прим. в данном руководстве это example.local), через правую кнопку мыши вызовите меню, в котором выберите Создать подразделение (Рис.15).

Рис.15

.

3. В появившемся окне выберите, в соответствующем поле, имя нового подразделения (прим. в данном руководстве это OU-1), затем нажмите ОК (Рис.16).

Рис.16

.

4. Выберите созданное подразделение (прим. OU-1), через правую кнопку мыши вызовите меню, в котором выберите Создать объект групповой политики в этом домене и связать его… (Рис.17).

Рис.17

.

5. В появившемся окне выберите, в соответствующем поле, имя новой групповой политики (прим. в данном руководстве это GPO-2), затем нажмите ОК (Рис.18).

Рис.18

.

6. Выберите созданную групповую политику (прим. GPO-2), через правую кнопку мыши вызовите меню, в котором выберите Изменить (Рис.19).

Рис.19

.

7. Выберите: Конфигурация пользователя > Политики > Административные шаблоны > Рабочий стол > Active Desktop. В правой колонке выберите Фоновые рисунки рабочего стола и нажмите Изменить (меню вызывается через правую кнопку мыши) (Рис.20).

Рис.20

.

8. В появившемся окне выберите пункт Включить, затем в поле Имя фонового рисунка введите путь к фоновому рисунку (прим. в данном примере это Red_OU_OU-1_GPO-2.jpg), после чего нажмите Применить и ОК. Затем перезагрузите компьютер на котором ранее устанавливали локальную групповую политику (прим. на этом же компьютере она была переопределена доменной групповой политикой) (Рис.21).

Рис.21

.

9. После перезагрузки компьютера Вы увидите, что доменная политика (GPO-1) переопределена политикой (GPO-2), назначенной на OU. (Т.о. установленный локальной политикой зеленый фон был переопределён и, в соответствии с доменной политикой, стал жёлтым, после чего доменная политика была переопределена политикой OU и фон стал красным) (Рис.22).

Рис.22

.

VI. Наследование в групповых политиках

1. На все политики в домене распространяется наследование, т.е. политики, назначенные на родительский контейнер (домен или OU), последовательно применяются ко всем дочерним контейнерам. При необходимости это можно изменить, отключив наследование для отдельно взятого OU. Для этого необходимо перейти в управление групповой политикой (прим. Пуск > Администрирование > Управление групповой политикой), выбрать нужное OU (прим. в данном руководстве это OU-1), кликнуть на нем правой клавишей мыши и в контекстном меню отметить пункт Блокировать наследование. После этого для данного OU и его дочерних OU (при их наличии) отменяется воздействие всех вышестоящих политик (Рис.23).

Рис.23

.

VII. Форсирование применения групповых политик

1. Форсирование применения групповых политик применяется тогда, когда данная политика должна отработать независимо от остальных политик. Если политика форсирована, то, вне зависимости от своей области действия она получает наивысший приоритет. Это значит, что ее настройки не могут быть переопределены нижестоящими политиками, а также на нее не действует отмена наследования. Чтобы форсировать политику, необходимо перейти в управление групповой политикой (прим. Пуск > Администрирование > Управление групповой политикой), выбрать нужную политику (прим. в данном руководстве это GPO-1), кликнуть на ней правой клавишей мыши и в контекстном меню отметить пункт Принудительный (Рис.24).

Рис.24

.

 Надеемся, что данное руководство помогло Вам! 

.

Введение

В любой организации системные администраторы обязаны обеспечить для пользователей и компьютеров своего предприятия безопасные настройки, которыми можно централизовано управлять и развертывать. Обычно в организациях вся конфигурация определяется, обновляется и распространяется непосредственно при помощи объектов групповой политики. Именно объекты групповой политики позволяют вам рационально управлять всей инфраструктурой вашего предприятия, начиная от незначительных подразделений и групп и заканчивая сайтами и доменами.

Групповые политики – это набор правил, обеспечивающих инфраструктуру, в которой администраторы локальных компьютеров и доменных служб Active Directory могут централизовано развертывать и управлять настройками пользователей и компьютеров в организации. Все настройки учетных записей, операционной системы, аудита, системного реестра, параметров безопасности, установки программного обеспечения и прочие параметры развертываются и обновляются в рамках домена при помощи параметров объектов групповой политики GPO (Group Policy Object). Групповые политики являются компонентом операционной системы Windows и основываются на тысячах отдельных параметров политик, иначе говоря, политик, определяющих определённую конфигурацию для своего применения.

В домене Active Directory все объекты групповой политики создаются и управляются при помощи административной оснастки консоли управления Microsoft – «Управление групповой политикой». Именно об использовании данной оснастки пойдет речь в текущей статье.

Групповая политика в Windows Server 2008 R2 предусматривает много возможностей, позволяющих снизить стоимость управления компьютерными системами. Параметры политик пользователей и компьютеров объединяются в группы, которые используются на различных уровнях в иерархии Active Directory. С помощью групповой политики параметры конфигурации можно применять к некоторым или ко всем компьютерам и пользователям в организации. Об управлении установкой программного обеспечения, перенаправлении папок, настройке параметров безопасности, последовательности применения параметров и о многом другом вы узнаете из следующих статей.

Оснастка «Управление групповой политикой» представляет собой оснастку консоли управления Microsoft с поддержкой сценариев, предоставляющую административное средство управления групповой политикой в рамках предприятия. Оснастка «Управление групповой политикой» считается стандартным средством управления групповой политикой.

Сама инфраструктура групповой политики основана на архитектуре «клиент – сервер» с компонентами клиента и сервера и включает в себя модуль групповой политики, представляющий собой основу для обработки общих функциональных параметров административных шаблонов, а также определенных компонентов, называемых расширениями клиентской стороны (Client-side extension, CSE). Расширения клиентской стороны интерпретируют параметры в объекты групповой политики и вносят соответствующие изменения в конфигурацию компьютера или пользователя. Такие расширения относятся ко всем основным категориям параметров политики. Другими словами, одно расширение клиентской стороны предназначено для установки программного обеспечения, другое применяет изменения безопасности, третье – обеспечивает автоматическую настройку компьютеров, подключенных к проводной сети и так далее. Как, возможно, вы догадались, в разных версиях операционной системы присутствуют конкретные расширения клиентской стороны, причем, с каждой последующей версией Windows функционал групповой политики пополнялся новыми расширениями CSE. Например, с появлением операционной системы Windows Server 2008, функционал групповой политики пополнился более 20 расширениями клиентской стороны, при помощи которых возможно осуществление управления дополнительными параметрами, например, сопоставление дисков или изменение секций в свойствах *.ini-файлов, называемых предпочтениями групповой политики, которые в отличие от параметров групповой политики, предпочтения групповой политики не так строго привязываются к настройкам определенных компонентов системы. С появлением операционных систем Windows 7 и Windows Server 2008 R2 появилось расширение CSE AppLocker, при помощи которого можно указать, какие пользователи и группы в организации могут запускать определенные приложения в зависимости от уникальных идентификаторов файлов. Таких примеров можно привести много. Но необходимо помнить, что клиент групповой политики всегда извлекает объекты групповой политики из домена, включая настроенные вами расширения клиентской стороны для локального применения параметров. Параметры групповой политики определяют конкретную конфигурацию для применения. Некоторые параметры политики влияют только на пользователя независимо от того, с какого компьютера был выполнен вход в систему, а другие параметры влияют на компьютер, независимо от того, какой пользователь вошел в систему на этом компьютере. Такие параметры называются параметрами конфигурации пользователей и параметрами конфигурации компьютеров.

Открытие оснастки и изменение пользовательского интерфейса

Оснастка «Управление групповой политикой» устанавливается на сервер вместе с ролью «Доменные службы Active Directory» (AD DS), но если у вас по какой-то причине не удается ее найти, то всегда данную оснастку можно заново установить. Для того чтобы повторно установить текущую оснастку, в «Диспетчере сервера», в узле «Сводка компонентов» перейдите по ссылке «Добавить компонент». Выберите компонент «Управление групповой политикой» в диалоговом окне «Мастер добавления компонентов» и следуйте инструкциям мастера. По завершению установки закройте мастер установки.

Также есть альтернативный способ установки данного компонента – использование командной строки и утилиты управления конфигурацией сервера. В командной строке, запущенной с правами администратора введите ServerManagerCmd -install gpmc. При желании вы можете вывести результат установки в xml файл, используя параметр –resultPath.

Для того чтобы открыть оснастку «Управление групповой политикой», выполните любое из следующих действий:

• Нажмите на кнопку «Пуск», выберите меню «Администрирование», а затем откройте «Управление групповой политикой»;
• Воспользуйтесь комбинацией клавиш Win+R для открытия диалога «Выполнить». В диалоговом окне «Выполнить», в поле «Открыть» введите gpmc.msc и нажмите на кнопку «ОК»;
• Нажмите на кнопку «Пуск» для открытия меню, в поле поиска введите Управление групповой политикой и откройте приложение в найденных результатах;
• Откройте «Консоль управления MMC». Для этого нажмите на кнопку «Пуск», в поле поиска введите mmc, а затем нажмите на кнопку «Enter». Откроется пустая консоль MMC. В меню «Консоль» выберите команду «Добавить или удалить оснастку» или воспользуйтесь комбинацией клавиш Ctrl+M. В диалоге «Добавление и удаление оснасток» выберите оснастку «Управление групповой политикой» и нажмите на кнопку «Добавить», а затем нажмите на кнопку «ОК».

На следующей иллюстрации изображена оснастка «Управление групповой политикой»:

Рис. 1. Оснастка «Управление групповой политикой»

Содержимое оснастки «Управление групповой политикой» предоставляет множество средств, предназначенных для обеспечения централизованного управления инфраструктурой организации. Но если вас не устраивает интерфейс данной оснастки, вы можете его изменить, используя функционал редактирования параметров пользовательского интерфейса. Для того чтобы изменить отображение некоторых элементов оснастки, откройте меню «Вид» и выберите команду «Параметры». В диалоговом окне «Параметры» вы можете настроить элементы, параметры которых располагаются в следующих вкладках:

• Вкладка «Столбцы». На этой вкладке вы можете изменить отображение и порядок столбцов для основных таблиц текущей оснастки, а именно: «Наследование групповой политики», «Начальные объекты групповой политики», «Объекты групповой политики», «Связанные объекты групповой политики» и «Фильтры WMI». Вам достаточно просто выбрать из раскрывающегося списка редактируемую таблицу, в поле «Столбцы отображаются в следующем порядке» снять флажки с наименований лишних столбцов и установить их порядок, используя кнопки «Вверх» или «Вниз». Также вы можете изменять порядок столбцов непосредственно из таблицы, меняя их местами так, как вам удобно. Для того чтобы ваши изменения были сохранены при повторном открытии оснастки, в окне параметров установите флажок «Сохранять порядок и размеры изменяемых столбцов», как показано на следующей иллюстрации:
• Вкладка «Отчет». Используя эту вкладку, вы можете изменить папку, которая используется по умолчанию для расположения ADM-файлов. Следует помнить, что изменения, которые проводятся на данной вкладке, будут распространяться только на устаревшие ADM-файлы, а расположение файлов ADMX, которые используются в операционных системах Windows Vista и Windows 7 останется без изменений. Если переключатель будет установлен на параметре «По умолчанию», то поиск файлов ADM изначально будет проводиться в папке Windows и в том случае, если файл не будет найден, консоль GPMC будет просматривать папку объектов групповой политики (GPO), находящуюся в папке Sysvol. Если установить переключатель на параметр «настраиваемое», то консоль GPMC изначально будет искать файлы adm в той папке, которая будет указана вами, а затем в расположениях по умолчанию. Настройки данной вкладки изображены ниже:
• Вкладка «Общие». На вкладке «Общие» настраиваются параметры, которые распространяются на отображение лесов и доменов только с двухсторонними отношениями доверия, отображения имени контроллеров домена, а также для отображения диалогового окна подтверждения для различия между объектами групповой политики и связи этих объектов. Эта вкладка отображена на следующей иллюстрации:

Создание и редактирование объектов групповой политики

Используя оснастку «Управление групповой политикой» вы можете создавать и редактировать объекты групповой политики, а также комментарии к ним для упрощения их мониторинга, удалять объекты групповых политик и проводить поиск среди существующих объектов. Рассмотрим подробно каждое из вышеперечисленных действий:

Создание объекта групповой политики с комментарием

Один или несколько параметров групповой политики, который применяется к одному или нескольким пользователям или компьютерам, обеспечивая конкретную конфигурацию, называется объектом групповой политики. Для того чтобы создать новый объект групповой политики, выполните следующие действия:

1. В оснастке «Управление групповой политикой» разверните узел лес, домен, название вашего домена и выберите контейнер «Объекты групповой политики». Именно в этом контейнере будут храниться все объекты групповой политики, которые вы будете создавать;
2. Щелкните правой кнопкой мыши на данном контейнере и из контекстного меню выберите команду «Создать», как изображено ниже:
3. В диалоговом окне «Новый объект групповой политики» введите название объекта в поле «Имя», например, «Корпоративные требования» и нажмите на кнопку «ОК».

Редактирование объекта групповой политики

После того как объект групповой политики будет создан, для того чтобы настроить определенную конфигурацию данного объекта, вам нужно указать параметры групповой политики при помощи оснастки «Редактор управления групповыми политиками». Допустим, нужно отключить Windows Media Center, средство звукозаписи, а также ссылку «Игры» в меню «Пуск». Для этого выполните следующие действия:

1. Выберите созданный ранее объект групповой политики, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Изменить»;
2. Разверните узел Конфигурация пользователя/Политики/Административные шаблоны/Компоненты Windows/Windows Media Center;
3. Откройте свойства параметра политики «Не запускать Windows Media Center» и установите переключатель на опцию «Включить». В поле комментарий введите свой комментарий, например, «В связи с корпоративными требованиями не разрешается данным пользователям использовать текущее приложение» и нажмите на кнопку «ОК».
4. Повторите аналогичные действия для параметров политик «Запретить выполнение программы «Звукозапись»» и «Удалить ссылку «Игры» из меню «Пуск»» из узла Конфигурация пользователя/Политики/Административные шаблоны/Меню «Пуск» и панель задач.
5. Закройте редактор управления групповыми политиками.

Также, если вы создаете много объектов групповых политик, для вас окажется удобной возможность добавления комментариев к самим объектам групповых политик. Для добавления комментария к GPO, выполните следующие действия:

1. Выберите созданный ранее объект групповой политики, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Изменить»;
2. В дереве консоли оснастки «Редактор управления групповыми политиками» нажмите правой кнопкой мыши на корневом узле и из контекстного меню выберите команду «Свойства»;
3. В диалоговом окне «Свойства: имя объекта групповой политики» перейдите на вкладку «Комментарий» и введите примечание для вашего GPO, например, «Этот объект групповой политики запрещает указанным пользователям использовать мультимедийные приложения, а также игры в организации»;

Рис. 8. Добавление комментария для объекта групповой политики

1. Нажмите на кнопку «ОК», а затем закройте оснастку «Редактор управления групповыми политиками».

Поиск объектов групповой политики

При развертывании групповых политик в организации у вас могут быть созданы десятки (а то и сотни) объектов групповых политик. Если в вашей организации есть только один домен, то обнаружить необходимый объект групповых политик много времени у вас не займет. Но как быть, если в лесу вашей организации развернуто несколько доменов? Для этого вам поможет функционал поиска объектов групповых политик. Для того чтобы найти существующий объект групповой политики, выполните следующие действия:

1. В дереве консоли оснастки «Управление групповой политикой» щелкните правой кнопкой мыши на вашем лесу (или если вы знаете, в каком домене нужно провести поиск объекта, то можете вызвать контекстное меню для конкретного домена) и из контекстного меню выберите команду «Найти»;

Рис. 9. Поиск объекта групповой политики

1. В диалоговом окне «Поиск объектов групповой политики» в раскрывающемся списке «Искать объекты групповой политики в домене:» можете выбрать домен, для которого будет производиться поиск или оставить значение, используемое по умолчанию;

Рис. 10. Выбор домена для поиска GPO

1. В раскрывающемся списке «Элемент поиска», выберите тип объекта, для которого будет выполняться поиск. В этом случае нужно выбрать элемент «Имя объекта групповой политики»;
2. Раскрывающийся список «Условие» позволяет выбрать условие для поиска. Доступные варианты «Содержит», «Не содержит» и «совпадает». При выборе условия «совпадает» вам нужно ввести точное название политики. В противном случае поиск закончится ошибкой;
3. В поле «Значение» введите значение, которое будет использовано для фильтрации поиска. Если результаты предыдущего поиска были сохранены, то значение можно будет выбрать из раскрывающегося списка;
4. Нажмите на кнопку «Добавить» для выбора условия поиска;
5. По нажатию на кнопку «Найти» будут выведены все результаты, согласно условиям поиска. Результат изображен на следующей иллюстрации:

Рис. 11. Результаты поиска

1. Для того чтобы сразу перейти к оснастке «Редактор управления групповыми политиками» нажмите на кнопку «Изменить», для сохранения текущих результатов поиска нажмите на кнопку «Сохранить результаты» (результаты будут сохранены в указанной вами папке с расширением *.csv). По нажатию на кнопку «Очистить» результаты поиска будут очищены без сохранения, а для закрытия данного диалога нажмите на кнопку «Закрыть» или на клавишу Esc.

Удаление объекта групповой политики

При работе с объектами групповых политик вам когда-то понадобится удалить существующий объект GPO. Для этого выберите объект групповой политики и выполните одно из следующих действий:

• Нажмите на клавишу Delete и в диалоговом окне «Управление групповой политикой» нажмите на кнопку «Да»;
• Нажмите на кнопку «Удалить» (в виде красного креста) на панели инструментов, а затем в диалоговом окне «Управление групповой политикой» нажмите на кнопку «Да»;
• Нажмите правой кнопкой мыши на объекте групповой политики и из контекстного меню выберите команду «Удалить». Затем в диалоговом окне «Управление групповой политикой» нажмите на кнопку «Да».

Заключение

В этой статье рассмотрены базовые принципы работы с оснасткой «Управление групповой политикой», предназначенной для создания и управления объектов групповых политик в домене Active Directory. Вы узнали о способах открытия данной оснастки и настройки пользовательского интерфейса, а также о том, как можно создавать и редактировать новые объекты групповых политик и их комментарии, выполнять поиск существующих объектов, а также о способах их удаления. В следующей статье я продолжу описание управления инфраструктурными единицами организации, используя оснастку «Управление групповой политикой».

Вверсии Windows Server 2008 были реализованы предпочтения групповых политик — набор из более чем 20 расширений групповых политик, которые увеличивают диапазон настраиваемых параметров объекта групповой политики Group Policy object (GPO). После выхода в свет этой версии, полностью изменившей наши представления о работе с групповыми политиками, логично было предположить, что разработчики Windows Server 2008 R2 и Windows 7 включат в свои системы аналогичные новые функции групповых политик. К сожалению, практически все нововведения, которые вы увидите и о которых я буду рассказывать в статье, представляют собой инкрементные усовершенствования, а не революционные изменения.

Правда, надо сказать, что специалисты Microsoft все-таки внесли в Windows Server 2008 и Windows 7 одно принципиальное нововведение, сделав несколько пробных шагов в направлении автоматизации управления групповыми политиками с помощью PowerShell. А все остальные новшества в последней редакции Windows, по сути дела, сводятся к обновлениям существующих областей политик, к нескольким дополнительным компонентам Windows, связанным с управлением групповыми политиками, и к ряду усовершенствований, касающихся предпочтений групповых политик. Рассмотрим эти изменения более подробно.

Изменения в административных шаблонах

В системе Windows Vista появились важные изменения, касающиеся административных шаблонов, или политики реестра. В этой версии разработчики Microsoft реализовали новый формат ADMX и центральное хранилище Central Store. Формат ADMX обеспечил более качественную многоязыковую поддержку, а центральное хранилище позволило перенести старые файлы ADM из компонента SYSVOL каждого объекта GPO. В системах Server 2008 R2 и Windows 7 наиболее значительным изменением в данной области стало появление еще одной группы дополнительных настроек административных шаблонов (более 300). Эти настройки затрагивают целый ряд новых возможностей Server 2008 R2 и Windows 7 (таких, как политики, управляющие новыми элементами пользовательского интерфейса, специфичными для каждой платформы, см. экран 1). С полным списком параметров административных шаблонов и настроек политики безо­пасности в формате Excel можно ознакомиться в документе Microsoft Group Policy Settings Reference for Windows and Windows Server (www.microsoft.com/downloads/details.aspx? displaylang=en&FamilyID=18c90c80-8b0a-4906‑a4f5‑ff24cc2030 fb).

К более тонким модификациям административных шаблонов относится измененная схема ADMX, которая теперь поддерживает два новых типа значений реестра: REG_MULTI_SZ и REG_QWORD. Ранее изменять эти два типа значений с помощью административных шаблонов было невозможно. Администратору приходилось выбирать: предоставлять значения через сценарии реестра или переносить эти типы значений на клиентские системы с помощью расширений реестра в предпочтениях групповых политик. Теперь же эти типы поддерживаются с использованием синтаксиса ADMX, и администратор может создавать специальные шаблоны ADMX, совместимые с новыми типами.

Еще одно тонкое изменение в административных шаблонах — это усовершенствования в области пользовательского интерфейса. В системах Server 2008 и Vista специалисты Microsoft впервые применили концепцию «комментарии к настройкам административных шаблонов». При желании можно добавлять комментарии к каждой настройке политики. Эти комментарии, а также усовершенствованное диалоговое окно «Объяснение», предоставляющее справочные данные по каждой настройке, отображаются в виде трех отдельных вкладок в пользовательском интерфейсе редактора групповых политик Group Policy Editor (GPE). В процессе работы с ними необходимо переходить с одной вкладки на другую. В системах Server 2008 R2 и Windows 7 все три элемента представлены на одной панели, которая хорошо видна и легко редактируется, как показано на экране 2.

Поддержка PowerShell

Важное изменение в данном выпуске Windows, которое упоминалось ранее, это добавленная поддержка PowerShell внутри «вселенной» групповых политик. Разработчики Microsoft добавили средства поддержки выполнения сценариев PowerShell внутри политики сценариев, построенных на базе систем или на базе пользователей, и включили в комплект поставки набор из 25 составных команд PowerShell для версии PowerShell 2.0, обеспечивающих выполнение многих операций, которые можно производить внутри консоли GPMC (Group Policy Management Console). Начнем с описания средств поддержки политики новых сценариев.

Работая в редакторе GPE над созданием сценария запуска или сценария входа в систему, пользователь видит на экране новую вкладку. Как показано на экране 3, теперь можно в свою политику сценариев добавлять сценарии PowerShell и определять, должны ли эти сценарии выполняться до или после сценариев, не имеющих отношения к PowerShell. Но имейте в виду, что эти новые политики сценариев на базе PowerShell будут выполняться только на клиентах групповых политик Server 2008 R2 и Windows 7. Более ранние версии Windows не подходят.

Возможно, самое любопытное усовершенствование в области PowerShell — это набор составных команд внутри нового модуля групповых политик PowerShell 2.0. В этих командах инкапсулируются многие функции из демонстрационных сценариев GPMC, которые некогда поставлялись с этим инструментом. С помощью команд PowerShell можно выполнять связанные с групповыми политиками административные задачи, такие как создание новых объектов GPO или удаление существующих, связывание GPO с организационными единицами или доменами, а также переназначение прав GPO. На экране 4 представлен полный список составных команд, реализованных в новом модуле GroupPolicy, который входит в комплект поставки набора инструментов систем Server 2008 R2 и Windows 7.

Отметим, что использование модуля GroupPolicy возможно лишь в том случае, если вы работаете с версией PowerShell 2.0 на системе Server 2008 R2 или Windows 7. Чтобы дать пользователям возможность применять такого рода функции GPMC PowerShell на системах под управлением более ранних версий Windows, я создал набор команд GPMC для PowerShell 1.0. Их можно бесплатно загрузить на моем сайте по адресу www.sdmsoftware.com/freeware.

Рассмотрим пример, демонстрирующий возможности этих новых команд. Допустим, вы хотите создать объект GPO, наделить его правами доступа и осуществить привязку данного объекта внутри сценария PowerShell. Все эти задачи выполняет следующая однострочная команда, в которой используются три из числа новых составных команд, а также конвейер PowerShell:

new-gpo «Marketing IT GPO» |

Set-GPPermissions -TargetName

«Marketing Users» -TargetType Group

-PermissionLevel GPOEdit | new-gplink

-order 1‑Target «OU=Marketing,

DC=cpandl, DC=com»

В приведенном примере я использую три составные команды — New-GPO, Set-GPPermissions и New-GPLink. С их помощью я создаю объект групповой политики Marketing IT GPO. Я делаю это для модификации разрешений GPO, чтобы предоставить группе безопасности Marketing Users Active Directory (AD) права на редактирование данного GPO и осуществить привязку GPO к организационной единице Marketing OU в моем AD-домене cpandl.com. Все эти задачи выполняются в рамках одной команды с помощью функции конвейерной обработки, обеспечивающей передачу выходных данных предыдущей команды в последующую. PowerShell и модуль Group-Policy позволяют без труда выполнять сложные задачи управления групповыми политиками.

Модификация политики реестра с помощью PowerShell

Разработчики Microsoft заложили в модуль Group-Policy не только функции GPMC. Еще одно изменение — дополнительные базовые средства поддержки модификации небольшого подмножества параметров внутри объекта GPO. Но перед тем как приступить к описанию изменений, внесенных Microsoft, хочу дать небольшую справку. В настоящее время групповая политика дает возможность извлекать значения параметров реестра двумя способами. Основной способ управления параметрами реестра в групповой политике, которым мы располагали всегда, состоит в использовании политики административных шаблонов. С помощью файлов шаблонов ADM или ADMX административные шаблоны создают в редакторе GPE пользовательский интерфейс, который описывает, какими значениями реестра можно управлять посредством групповой политики; кроме того, они обеспечивают справочный текст, описывающий действие параметра политики. Когда вы определяете политики административных шаблонов в редакторе GPE, заданные параметры политики сохраняются в разделе SYSVOL GPO в файле registry.pol. В этом файле содержатся инструкции для значений реестра, которые предстоит развернуть в данном GPO.

Второй метод управления значениями реестра — с помощью расширений реестра в предпочтениях групповых политик. Этот метод отличается большей гибкостью, нежели политика административных шаблонов, и обеспечивает более тонкие средства выбора параметров, связанные с предпочтениями групповых политик. Оба метода позволяют управлять изменениями в реестре централизованно, причем каждый из них имеет свои сильные стороны.

В том, что касается совместимости со средой PowerShell, изменения, внесенные разработчиками Microsoft в системы Server 2008 R2 и Windows 7, сводятся к реализации возможности модифицировать настройки GPO для обоих методов манипулирования реестром. В первом случае для выполнения операций по считыванию и модификации соответствующего файла registry.pol, который используется политикой административных шаблонов с целью хранения своих настроек, вы можете применять команды Get-GPRegistryValue, Set-GPRegistryValue и Remove-GPRegistryValue. Преимущество использования этих команд с целью редактирования политики административных шаблонов состоит в том, что администратору не приходится создавать специальный файл ADM для ввода того или иного значения реестра. Для успешного выполнения этих команд файлы ADM и ADMX не нужны; вместо того, чтобы использовать их, вы получаете возможность принудительно отправлять значения реестра в базовый файл хранения. Таким образом можно быстро передать новое значение реестра объекту GPO.

Недостаток же рассматриваемого метода состоит в следующем. Коль скоро вы не применяете файлы ADM или ADMX для определения того, какие значения реестра используются в данный момент, вы должны знать соответствующий базовый раздел реестра и значение, которое собираетесь развернуть. Кроме того, если вы просматриваете GPO, использующий данный метод для настройки политики параметра реестра, и при этом файлы ADM или ADMX, представляющие данный параметр, отсутствуют, то в отчете о параметрах GPMC он будет показан как Extra Registry Settings. А если вы запустите редактор GPE, то не увидите значение реестра, которое принудительно передали в этот файл registry.pol. Разумеется, если вы будете невнимательно использовать данный метод, это легко может привести к путанице. Я не рекомендую применять данный подход при выполнении всех операций по внесению изменений в административный шаблон, но он может пригодиться в трудную минуту.

Второй метод работы с политикой реестра с использованием PowerShell обеспечивает возможность считывать и модифицировать настройки в расширении реестра Group Policy preferences. Для этих целей Microsoft разработала команды Set-GPPrefRegistryValue, Get-GPPrefRegistryValue и Remove-GPPrefRegistryValue. Эти три команды позволяют управлять настройками реестра новых Group Policy preferences (отметим, кстати, что упомянутые команды нельзя использовать для изменения существующей политики реестра Group Policy preferences). В качестве примера давайте рассмотрим, как можно с помощью этих команд добавить новое значение реестра к параметру реестра Group Policy preferences. Следующая команда примера вводит значение mouse beep в объект групповой политики Test:

Set-GPPrefRegistryValue -Name Test

-Context User -Action Create -Key

«HKEY_CURRENT_USERControl Panel

Mouse» -Valuename «Beep» -Value «Yes»

-Type «String»

Обратите внимание: чтобы успешно ввести параметр Group Policy preferences, в этом примере приходится указывать раздел реестра, valuename, значение и вводить их с клавиатуры. Однако эти команды не обеспечивают доступ к некоторым более развитым функциям внутри Group Policy preferences, например к элементам, которые отображаются на вкладке Common, а также к функции выбора на уровне элемента (средство детального нацеливания на параметры предпочтения). Однако составные команды представляют собой хорошую стартовую точку на пути к автоматизации групповых политик.

Стартовые объекты групповой политики — для чего они?

В системах Server 2008 и Vista корпорация Microsoft впервые реализовала идею стартовых объектов групповой политики — шаблонов GPO, на основе которых можно создавать реальные объекты групповой политики. Идея здравая, но механизм ее реализации проработан не был. Проблема стартовых GPO состоит в том, что они поддерживают только параметры политик административных шаблонов; возможности создаваемых пользователями шаблонов при этом жестко ограничиваются. Изменения, внесенные специалистами Microsoft в версии Server 2008 R2 и Windows 7, — лишь незначительное усовершенствование продуктов, выпускавшихся ранее. В сущности, теперь мы получаем возможность предварительно заполнять стартовые объекты групповой политики директивными настройками безопасности Windows Server 2008, Vista и Windows XP SP2, которые ранее задавались в инструментах, именуемых GPO Accelerators.

Разумеется, поскольку стартовые объекты групповой политики поддерживают только параметры административных шаблонов, а не параметры безопасности (главный фокус директивных параметров безопасности), от этих предварительно заполненных стартовых GPO мало проку. Но если вам нужно создавать шаблоны параметров административных шаблонов, которые вы впоследствии сможете повторно использовать для формирования реальных GPO, тогда стартовые GPO пригодятся.

Новые функции, способные взаимодействовать с политиками

Последняя группа изменений, о которых пойдет речь в этой статье, — это новые политики, предназначенные для поддержки новых функций, представленных в системах Server 2008 R2 и Windows 7. Почти все новые политики связаны с параметрами безопасности, однако наряду с этим несколько непринципиальных обновлений было сделано и в области Group Policy preferences. С них-то мы и начнем.

• Поддержка новых средств Power Plans для управления электропитанием, которые были реализованы в системе Vista. Сейчас они используются как дополнение к средствам Power Options и Power Schemes. Для функционирования средств Power Plans необходимо, чтобы получающий их клиент работал под управлением версии Windows не старше Vista.
• Обновленное средство Updated Scheduled Tasks preferences теперь совместимо с новейшей версией планировщика Task Scheduler, который входит в комплект поставки версии Server 2008 и более поздних, а также Windows Vista. Этот новый планировщик имеет намного больше настроек, чем Task Scheduler систем Windows 2003 и Windows XP. Кроме того, разработчики Microsoft добавили модуль Immediate Tasks для систем начиная с Vista, позволяющий формировать одноразовые плановые задания, которые выполняются по мере осуществления политики.
• Добавление в Internet Settings preferences программы Internet Explorer (IE) 8, что дает возможность настраивать параметры, специфичные для IE 8.

Новые политики безопасности

Важнейшее дополнение в области политик безопасности, базирующихся на групповых политиках, — это политики управления приложениями, или AppLocker. Данные политики хранятся в папке Computer ConfigurationWindows SettingsSecurity SettingsApplication Control Policies. По сути дела, это важное обновление старых политик ограниченного использования программ Software Restriction Policies (SRP), по сей день поддерживаемых в Server 2008 R2 и Windows 7, которые позволяют определять, какие приложения могут выполняться на системах Windows. AppLocker дает возможность формировать белые и черные списки приложений, чтобы в соответствии с рядом указанных критериев явным образом включать или исключать то или иное приложение либо набор приложений из числа выполняемых.

Важное различие между AppLocker и SRP состоит в том, что теперь в распоряжении администратора имеются более гибкие правила для определения приложений. Например, как показано на экране 5, вы можете создавать правила с использованием имени издателя программного продукта, названия приложения и данных о версии, содержащихся внутри файла.

Вы также можете создавать правила для управления выполнением сценария; в более ранних версиях Windows эта функция явным образом не поддерживалась. Кроме того, применительно к каждому созданному правилу можно принудительно обеспечивать выполнение правила или работать в режиме аудита. В этом режиме всякий раз, когда правило вступает в соприкосновение с тем или иным приложением, результат регистрируется на клиенте; такие действия, как блокировка или санкционирование выполнения, не предпринимаются. Подобным образом администратор может испытать правило в тестовом режиме перед тем, как применить его в производственной сети; это делается для того, чтобы исключить возможность «грубого обхождения» с ничего не подозревающим приложением. Единственный недостаток AppLocker в том, что эта программа функционирует только на клиентах Server 2008 R2 и Windows 7, так что использование ее под управлением более ранних версий Windows невозможно.

Усовершенствованная политика аудита

Еще одно связанное с безопасностью средство систем Server 2008 R2 и Windows 7 — гораздо более детально проработанная инфраструктура аудита. Если вы заглянете в папку Computer ConfigurationWindows SettingsSecurity Settings

Advanced Audit Policy Configuration, то увидите 10 различных категорий аудита, которые администратор может подстраивать и тем самым определять, какие именно типы событий будут генерировать аудит безопасности в системах Server 2008 R2 или Windows 7. Разумеется, такой новый уровень детализации реализуется только в упомянутых новейших версиях операционной системы, но то обстоятельство, что управлять им можно с помощью групповых политик, — это хороший знак.

Политики списков сетей

Последняя из новых политик безо­пасности, о которой я расскажу в этой статье, позволяет контролировать списки сетей. По умолчанию, когда системы Server 2008 R2, Windows 7 или Vista находят новые сети, будь то общедоступные беспроводные или корпоративные локальные сети, пользователю предлагается указать, к какому типу относится сеть (например, общедоступная, доменная, домашняя). Теперь с помощью политик списков сетей в разделе групповых политик можно предварительно задавать режим работы тех или иных сетей в определенных ситуациях, а также указывать, в какие зоны их следует переводить в случае обнаружения этих сетей пользователем.

Кроме того, вы можете управлять значками и именами сетей, предъявляемых пользователю. Единственный недостаток применения этой области политики для предварительной настройки беспроводных узлов доступа состоит в том, что требуется заранее знать имя такого узла, чтобы указать все разнообразные параметры. Тем не менее эта область политики все еще представляет собой удачное дополнение, позволяющее контролировать действия пользователей, которые часто переходят от одной сети к другой.

Политика разрешения имен

Эта последняя новая область политики, хотя, строго говоря, она не относится к категории политик безопасности (в редакторе GPE она размещается в папке Computer ConfigurationWindows SettingsName Resolution Policy), позволяет управлять расширениями безопасности DNS Security Extensions (DNSSEC) и настройками Microsoft Direct­Access DNS на основе имен доменов DNS. Так, вы можете указать, какие функции DNSSEC используются, когда данный клиент взаимодействует со своим сервером DNS, или какой сервер DNS либо сервер-посредник будет использовать клиент при подключении к вашей сети через Direct-Access. Эта функция используется не на всех предприятиях, но ее удобно иметь в групповых политиках в случае, когда вы развертываете систему Direct-Access для своих мобильных клиентов.

Не революция, а эволюция

Вне всякого сомнения, реализованные в системах Server 2008 R2 и Windows 7 усовершенствования в области групповых политик носят не революционный, а эволюционный характер. Возможно, следует сделать исключение для некоторых добавленных средств автоматизации управления средой PowerShell, но в остальном мы можем с полным основанием утверждать, что для сторонников групповых политик это весьма заурядная версия. Если мы хотим увидеть крупные архитектурные или функциональные усовершенствования, которых ждут — не дождутся пользователи этой появившейся более 10 лет назад технологии, нам придется запастись терпением.

Но если вы собираетесь развертывать систему Windows 7, имейте в виду, что в последней версии достаточно новых средств для того, чтобы облегчить вашу жизнь на этапе настройки клиентов. Настоятельно рекомендую всем, кто еще не приступил к использованию PowerShell, активно за это взяться и посмотреть, что вы сможете сделать с помощью групповых политик и данной новой технологии подготовки сценариев.

Даррен Мар-Элиа (darren@sdmsoftware.com) — внештатный редактор Windows IT Pro, главный инженер и основатель компании SDM Software. Ведет сайт, посвященный проблемам групповых политик (www.gpoguy.com) и является соавтором книги Microsoft Windows Group Policy Guide  

Групповые политики Active Drirectory

Групповые политики Windows являются неотъемлемой частью администрирования Windows-систем. Рассмотрим примеры работы с этим инструментом на VDS под управлением ОС семейства Windows Server.

Для чего необходимы групповые политики

Говоря простым языком, Групповая политика — это инструмент архитектуры Active Directory, который позволяет управлять настройками серверов и рабочих терминалов, подключенных к домену, централизованно. Также, с помощью групповых политик достаточно просто распространить программное обеспечение. Администратор может указать политики для группы в одном месте, а затем применить их к целевой группе пользователей.

Во многих компаниях, как правило, применяется деление на отделы: отдел кадров, бухгалтерия, юристы, отдел системного администрирования. Предположим, что каждому отделу необходим собственный минимальный набор программного обеспечения, а рабочие станции должны быть настроены для конкретных нужд и под конкретные задачи. Благодаря групповым политикам появляется возможность создать настройки для конкретных групп пользователей в домене. При помощи Active Directory GPO администратор может устанавливать и управлять стандартизированными наборами настроек, конкретно для бухгалтерии или отдела кадров.

Настроить рабочие места (компьютеров и пользователей) проще и эффективнее потому что расположены по тому что располагаются централизованно и требуют дублирования на каждом ПК.

Компоненты GPO

Выделяют два компонента групповых политик — клиентский и серверный, т.е. формируется структура “клиент-сервер”.

Серверный компонент представляет оснастка MMC (Microsoft Management Console), предназначенная для настройки групповой политики. MMC можно использовать для создания политик, а также для контроля и управления административными шаблонами, настройками безопасности (установка ПО, скрипты и т.п.). Обобщенное название “возможностей” называется расширением. Каждое расширение может иметь дочернее расширение, которое разрешает добавление новых или удаление старых компонентов, а также их обновление.

Клиентский компонент получает и применяет настройки групповой политики. Клиентские расширения являются компонентами запускаемыми на клиентской ОС, которые отвечают за интерпретацию и обработку объектов групповой политики.

Для администрирования GPO используют оснастки MMC — Group Policy Management Console (GPMC) и Group Policy Management Editor.

Сценарии использования Active Directory GPO:

• Централизованная настройка пакета программ Microsoft Office.
• Централизованная настройка управлением питанием компьютеров.
• Настройка веб-браузеров и принтеров.
• Установка и обновление ПО.
• Применение определенных правил в зависимости от местоположения пользователя.
• Централизованные настройки безопасности.
• Перенаправление каталогов в пределах домена.
• Настройка прав доступа к приложениям и системным программам.

Оснастка управления групповыми политиками

Сперва следует установить роль сервера Active Directory Domain Service (AD DS) на контроллер домена. После этого будет доступна оснастка Group Policy Management, для ее запуска вызываем окно “Выполнить” (Windows + R). В открывшемся окне вводим команду:

И нажимаем “OK”.

Возможно оснастка не сможет открыться т.к. не была установлена ранее. Исправим это.

Открываем диспетчер серверов и выбираем установку ролей и компонентов.

На этапе выбора типа установки, отметим параметр “Установка ролей и компонентов”. Кликаем по кнопке “Далее”.

Так как установка выполняется для текущего сервера — нажимаем “Далее”.

Установку серверных ролей пропускаем нажатием на кнопку “Далее”.

На этапе выбора компонентов отметим галкой “Управление групповой политикой”. Кликаем по кнопке “Далее”.

Завершаем установку компонентов как обычно.

Окно оснастки управления групповой политикой выглядит так:

Создание объектов групповой политики

Добавим новый объект групповой политики. В левой части, проследуем по пути: Лес → Домены → → Объекты групповой политики.

В правой части окна, кликаем правой кнопкой мыши в свободном месте. В открывшемся контекстном меню, выбираем “Создать”.

В открывшемся окне, вводим имя новой политики. Нажимаем “OK”.

Добавленный объект появится в общем списке:

Настроим созданный объект

Для настройки нового объекта кликаем по нему правой кнопкой мыши. В контектстном меню выбираем “Изменить”.

Откроется окно редактора управления групповыми политиками. Займемся “полезным” делом — удалим папку со стандартными играми из меню Пуск. Для этого, в меню слева проследуем по пути Конфигурация пользователя Конфигурация пользователя → Политики → Административные шаблоны: получены определения политик (ADMX-файлы) с локального компьютера → Меню “Пуск” и панель задач.

В правой части окна найдем параметр “Удалить ссылку “Игры” из меню “Пуск””. Для удобства поиска можно воспользоваться сортировкой по имени, вверху окна.

Кликаем по этому параметру правой кнопкой мыши, выбираем “Изменить”.

В открывшемся окне изменим состояние на “Включено”. В поле комментария рекомендуем не игнорировать. Для завершения настройки нажимаем “OK”.

Создание объектов можно считать оконченным.

Поиск объектов

В корпоративных средах, как правило, создается большое количество объектов GPO. Хорошо было бы уметь находить нужный объект. У консоли есть данный функционал. Для этого, в левой части окна кликаем правой кнопкой мыши по лесу. В открывшемся меню выбираем “Найти…”

В открывшемся окне выбираем в каком домене выполнять поиск. Можно выполнить поиск и по всем доменам, но это может занять продолжительное время.

Попробуем найти созданный ранее объект.

В поле “Элемент поиска” из выпадающего списка выбираем “Имя объекта групповой политики”. В условии оставляем вариант “Содержит”. В “Значение“ указываем имя созданной ранее политики. Именно по этой причине следует создавать понятные имена политик. Нажимаем кнопку “Добавить”.

Критерии поиска заданы. нажимаем кнопку “Найти” и просматриваем результаты поиска.

Удаление объекта групповой политики

Если в объекте GPO пропадает необходимость, будет лучше его удалить. Кликаем по созданному объекту правой кнопкой мыши, в контекстном меню выбираем “Удалить”. Если уверены в своем решении, на вопрос подтверждения отвечаем “Да”.

Источник

Управление групповыми политиками Active Directory (AD GPO)

В статье описана краткая информация о групповых политиках Active Directory и пример работы с ними на виртуальном сервере с операционной системой Windows Server.

Виртуальный сервер на базе Windows

• Лицензия включена в стоимость
• Тестирование 3-5 дней
• Безлимитный трафик

Что такое групповые политики и зачем они нужны?

Групповая политика — это инструмент, доступный для администраторов, работающих с архитектурой Active Directory. Он позволяет централизованно управлять настройками на клиентских компьютерах и серверах, подключенных к домену, а также обеспечивает простой способ распространения программного обеспечения.

Групповые политики позволяют настраивать параметры для определенного набора пользователей или компьютеров внутри домена Active Directory. Также позволяют указать политики в одном месте для группы и применить к целевому набору пользователей.

Например, можно обеспечить применение стандартного набора настроек и конфигураций для групп пользователей или компьютеров в домене или по запросу. Во всех компаниях как правило есть различные отделы, например отдел системных администраторов, разработчиков, дизайнеров, каждому из отдела необходим свой стандартный набор программного обеспечения, их рабочие компьютеры должны быть сконфигурированы под специальные задачи и нужды. С помощью групповых политик можно создать наборы настроек для конкретных групп пользователей в домене. С помощью Active Directory GPO можно установить и управлять отдельными унифицированными наборами настроек, конкретно для дизайнеров или разработчиков.

Конфигурации для компьютеров или пользователей проще и эффективнее, т.к. расположены в одном месте и не требуют повтора на каждом компьютере.

Компоненты GPO

Существует два компонента групповых политик — серверный компонент и клиентский, т.е. данная структура относится к архитектуре “клиент-сервер”.

Серверный компонент — оснастка Microsoft Management Console (MMC), которая используется для указания настроек групповой политики. MMC может быть использована для создания политик для контроля и управления административными шаблонами и настройками безопасности (скрипты, установка ПО и прочее). Каждый из них называется расширением и в свою очередь каждый из них имеет дочернее расширение, которое разрешает добавление новых компонентов или обновление существующих без возможности затронуть или подвергнуть риску всю политику.

Клиентский компонент интерпретирует и применяет настройки групповой политики для компьютеров пользователей или целевым пользователям. Клиентские расширения — это компоненты, которые запущены на пользовательской системе и несут ответственность за интерпретацию обработки и применения в объекты групповой политики.

Для администрирования GPO используют Group Policy Management Console (GPMC) и Group Policy Management Editor.

Сценарии использования Active Directory GPO:

• Централизованная настройка пакета программ Microsoft Office.
• Централизованная настройка управлением питанием компьютеров.
• Настройка веб-браузеров и принтеров.
• Установка и обновление ПО.
• Применение определенных правил в зависимости от местоположения пользователя.
• Централизованные настройки безопасности.
• Перенаправление каталогов в пределах домена.
• Настройка прав доступа к приложениям и системным программам.

Оснастка Управление групповыми политиками

После установки роли Active Directory Domain Service (AD DS) на контроллер домена на сервере появится оснастка Group Policy Management. Для того, чтобы ее открыть нажмите комбинацию клавиш Win+R и в открывшемся окне введите:

Если оснастку не удается открыть, то возможно по определенным причинам она не установлена. Установить ее можно через стандартное меню Add roles and features в диспетчере сервера, выбрав компонент Group Policy Management.

Оснастка выглядит следующим образом:

Создание объектов групповой политики

Для создания объекта групповой политики перейдите во вкладку Forest -> Domains -> -> Group Policy Objects. С помощью правой кнопки мыши откройте меню и выберете New.

В открывшемся окне в поле Name введите удобное для вас имя групповой политики.

После этого вы увидите созданный объект в списке.

Теперь необходимо настроить созданный объект под конкретные задачи. в качестве примера удалим ссылку Games из меню Start. Для это с помощью правой кнопки мыши откройте меню объекта и выберете пункт Edit.

В редакторе групповых политик перейдите по иерархии User Configuration -> Policies -> Administrative Templates -> Start Menu and Taskbar. Найдите опцию Remove Games link from Start Menu и в контекстном меню выберете пункт Edit.

В открывшемся окне отметьте Enable для включения правила и при необходимости напишите комментарий. Нажмите OK для сохранения изменений.

На этом создание объекта групповой политики закончено.

Поиск объектов групповой политики

Как правило в корпоративных средах большое количество объектов GPO, чтобы было проще найти нужный, оснастка обладает встроенным поиском. Для этого выберете ваш лес и в контекстном меню кликните Search.

Открывшееся окно поиска интуитивно понятно для работы. В первую очередь выберете конкретный домен для поиска, также можно производить поиск во всех доменах сразу. Далее выберете нужный пункт поиска, задайте условие и значение. В примере ниже производился поиск объектов групповой политики, в которых встречается слово Default.

Удаление объекта групповой политики

Если экземпляр GPO больше не нужен, его можно удалить. Выберете объект для удаления и с помощью правой кнопки мыши выберете опцию Delete.

Источник