Единый интерфейс для разработки и управления объектами групповой политики
Концепция и средства работы с групповыми политиками Group Policy входят в список основных преимуществ Windows 2000. С появлением каждой новой версии Windows это становится все более очевидным. Возможность управлять параметрами огромного числа серверов и клиентов — жизненно важная задача в ситуации, когда один неверно настроенный компьютер в течение нескольких секунд может стать распространителем вирусов. К несчастью, в списке наиболее сложных инструментов Group Policy тоже стоит на одном из первых мест. Главный плюс Windows 2000 Group Policy — исключительно мощные возможности управления системой, основной же минус становится очевидным с того момента, когда администратор начинает работать с групповыми политиками в масштабах всей компании.
Вот почему консоль управления групповой политикой, Group Policy Management Console (GPMC), является неоценимым помощником администратора. GPMC — это новый бесплатный программный инструмент, реализованный в виде оснастки консоли Microsoft Management Console (MMC) для Windows Server 2003. Назначение GPMC — централизованное управление групповыми политиками.
Возможности GPMC
Список возможностей GPMC выглядит как перечень пожеланий администратора Group Policy. Для GPMC разработан новый графический интерфейс, который позволяет просматривать объекты Group Policy Object (GPO) во всем домене и даже в лесах интуитивно понятным образом. Теперь администратор может генерировать HTML-отчеты о произведенных установках GPO даже в том случае, когда право записи GPO отсутствует. К GPO теперь применимы операции резервирования и восстановления, GPO можно экспортировать, импортировать и даже выполнять при управлении несколькими доменами отображения на учетные записи других администраторов и указывать другие UNC-пути к ресурсам. В GPMC реализована функция предварительного просмотра результатов применения политик Resultant Set of Policies (RSoP). Для построения фильтров Windows Management Instrumentation (WMI) теперь можно использовать язык запросов Windows Management Instrumentation Query Language (WQL). Наконец, в GPMC заложены возможности поиска объектов групповых политик в рамках одного домена или во всех доменах леса.
Требования к установке
Говоря о GPMC, мы имеем в виду операционную систему Windows 2003. Хотя для работы GPMC не требуется самая последняя из выпущенных версий Windows, тем не менее в лицензионном соглашении сказано, что установить GPMC можно только в той сети, где работает по крайней мере одна копия Windows 2003. GPMC можно запустить в базовой конфигурации на Windows 2003 или на станции Windows XP Service Pack 1 (SP1) с установленным компонентом Windows .NET Framework. Когда GPMC разворачивается на XP, автоматически загружается обновление XP Quick Fix Engineering (QFE) Update Q326469, если оно еще не установлено. QFE обновляет библиотеку gpedit.dll для соответствия требованиям GPMC. GPMC не работает на 64-разрядных версиях Windows, поскольку пока еще не выпущена 64-разрядная версия Framework. GPMC и статьи, посвященные проблемам управления групповой политикой с использованием GPMC, доступны по адресу www.microsoft.com/windowsserver2003/gpmc.
Помимо обслуживания леса, Windows 2003 с помощью GPMC администратор может управлять лесами, состоящими из контроллеров доменов на базе Windows 2000. На Windows 2000 DC должен быть развернут как минимум SP2 (желательно — SP3). Дополнительные сведения об этом можно найти в статье Microsoft «Windows 2000 Domain Controllers Require SP3 or Later When Using Windows Server 2003 Administration Tools» по адресу http://support.microsoft.com//?kbid=325465. Чтобы воспользоваться функцией Group Policy Modeling, необходимо по крайней мере один из DC обновить до уровня Windows 2003. Нужно иметь в виду, что при редактировании GPO в лесу Windows 2000 на таких клиентах, как Windows 2003 или XP (так называемые uplevel-клиенты), важно помнить о некоторых тонкостях. Если редактирование Windows 2000 GPO ведется с uplevel-клиента, то более поздние настройки политики клиента автоматически и без предупреждения (это действие по умолчанию) заменят настройки GPO. Данная особенность GPMC описана в статье Microsoft «Upgrading Windows 2000 Group Policy for Windows XP» (http://support.microsoft.com//?kbid=307900). Для предотвращения нежелательного обновления GPO в рассматриваемом объекте требуется включить политику User Configuration/Administrative Templates/System/Group Policy/Turn off automatic update of ADM files.
Кроме того, можно непреднамеренно спровоцировать конфликт объектов политики, если сначала воспользоваться базовой версией XP для редактирования GPO, а затем выполнить обновление DC до Windows 2000 SP3. Происходит автоматическое обновление административных шаблонов на основе времени создания/модификации файла, и эти временные метки для только что установленного SP3 покажут, что данные файлы-шаблоны более свежие, чем на XP. В результате административные шаблоны Windows 2000 SP3 (более новые по временной метке) перезаписывают шаблоны XP Group Policy (более новые по коду), что может привести к разрушению административного шаблона. Превентивные меры и изменение ситуации, если она все-таки возникла, одинаковы: необходимо использовать клиентские станции Windows 2003, XP SP1 или Windows 2000 для редактирования объектов Windows 2000 GPO, поскольку временные метки названных операционных систем для административных шаблонов Group Policy — более поздние, чем временные метки шаблонов Windows 2000 SP3.
После установки GPMC соответствующий значок появляется в Administrative Tools — как Group Policy Management. Поскольку эта утилита является интегрированной оснасткой MMC, при желании можно настроить специализированную MMC-консоль GPMC путем добавления Group Policy Management с помощью меню Add/Remove Snap-in.
Интерфейс пользователя
На Экране 1 показана основная консоль GPMC. Как и для всех оснасток MMC, интерфейс пользователя состоит из двух областей: слева панель дерева консоли, справа — панель сведений. Дерево консоли показывает структуру Active Directory (AD) в виде, напоминающем оснастку MMC Active Directory Users and Computers. Если присмотреться внимательно, можно заметить несколько важных отличий. Первое состоит в том, что в структуру AD разрешается включать несколько лесов (на Экране 1 это corpvm.bigtex.net и deuby.net). Второе отличие — внутри каждого леса в GPMC представлены только те контейнеры, между которыми в лесу существуют связи GPO, это могут быть сайты, домены и организационные единицы (OU), в терминологии Microsoft это субъект управления — Scope Of Management (SOM). Третье отличие связано с тем, как в дереве консоли изображаются связи GPO и SOM. На Экране 1 соответствия между различными объектами групповых политик и контейнерами изображены в виде ярлыков или связей — обратите внимание на маленькую стрелку на значках. Объекты групповой политики не хранятся в тех контейнерах, для которых они создавались; они хранятся на уровне домена (находятся в контейнере Group Policy Objects) и связаны с соответствующим SOM.
|
Экран 1. Интерфейс GPMC |
Интерфейс GPMC поддерживает операции перетаскивания, как и традиционное контекстное меню для работы с GPO. Например, можно связать GPO с OU, выбрав нужный GPO в контейнере Group Policy Objects и перетащив его на OU контроллера домена. Большинство операций перетаскивания GPO сопровождается появлением окна с требованием подтвердить данное действие; такие виды операций могут иметь далеко идущие последствия при ошибочном связывании GPO не с тем контейнером из-за неточного позиционирования, что может нанести ущерб политике по умолчанию целого домена.
Описание DC GPO, заданное по умолчанию, выделено для домена amrvm.corpvm.bigtex.net в окне дерева консоли, так что в окне области сведений представлены подробные данные о выбранном объекте групповой политики. В панели сведений имеется четыре вкладки: область действия GPO, детальное описание параметров, настройки и делегирование GPO. На изучение того, с каким именно контейнером связан настроенный пользователем GPO в среде Windows 2000, могло бы уйти много времени. Вкладка Scope позволяет узнать это, один раз щелкнув мышкой.
Как показано на Экране 1, Default DC GPO не связан больше ни с каким другим сайтом, доменом или иным OU. Список Links представляет все связи GPO в одном месте интерфейса. Секция Security Filtering в окне сведений показывает, для каких пользователей или компьютеров данный GPO будет обрабатываться.
Вкладка Detail предоставляет информацию о GPO, которую раньше приходилось выуживать из самых разных мест. Сюда входят сведения о домене и владельце GPO, времени создания и модификации GPO, номерах версий пользователя и настройках компьютера в AD и SYSVOL, о глобальном уникальном идентификаторе (GUID) и о статусе GPO (включен/отключен).
Вкладка Settings позволяет просмотреть все настройки GPO в формате HTML — для этого больше не нужно лазить по всем закоулкам MMC Group Policy Editor (GPE). На вкладке показаны только действующие настройки для подключенных параметрических секций. Можно развернуть или свернуть каждую секцию, выбрав show или hide. Контекстное меню в любом месте отчета позволяет редактировать GPO (с помощью стандартной интегрированной оснастки MMC Group Policy Object Editor), вывести отчет на печать или сохранить его в HTML-файле.
На вкладке Delegation показано, у кого есть права на данный GPO. И опять же, здесь все гораздо проще и понятнее по сравнению с редактором ACL для объектов AD. Для любого представленного принципала безопасности существует всего пять комбинаций настроек: Read, Edit settings, Edit settings/delete/modify security, Read (from Security Filtering) и (если выбрать Advanced на вкладке Delegation и воспользоваться редактором разрешений непосредственно) Custom. Для субъекта безопасности, который обладает правом Read (from Security Filtering), накладываются фильтры безопасности, и для получения подробной информации о правах необходимо обратиться к вкладке Scope в секции Security Filtering.
Есть одна общая задача, в решении которой GPMC не сможет помочь администратору. Это запуск процедуры обновления политики. Данная процедура инициируется с помощью утилиты Gpupdate (для Windows 2003 и XP) или же Secedit (для Windows 2000). Чтобы запустить обновление Group Policy, следует открыть окно командной строки на станции клиента и запустить одну из названных выше утилит.
Работа с GPO
Один из разочаровывающих аспектов работы с объектами групповой политики в Windows 2000 состоит в том, что этими объектами невозможно манипулировать так же, как файлами. В отличие от объектов файловой системы или AD объекты групповой политики представляют собой гибридную конструкцию, уникальную для Windows 2000; каждому GPO соответствует некоторый компонент AD и компонент файловой системы. AD-компонент распределяется между репликами AD, а компонент файловой системы циркулирует по томам SYSVOL контроллеров домена через механизм File Replication Service (FRS). Это одна из причин, почему объектами GPO так непросто управлять. Можно создавать GPO, удалять их, редактировать параметры объекта Group Policy и настройки безопасности — и более ничего. Невозможно создать резервную копию GPO для надежного хранения, восстановить GPO при утере или порче информации, скопировать GPO для проверки выполненных настроек в тестовый лес. Однако теперь, при помощи GPMC, все перечисленные выше операции выполнить гораздо проще.
Операция Backup
Чтобы создать резервную копию GPO, нужно просто открыть контекстное меню объекта в окне дерева консоли и выбрать Backup. Прежде чем приступить к резервированию GPO, система предложит указать место хранения резервной копии и задать ее описание. Можно зарезервировать все GPO домена с помощью все того же контекстного меню, выбрав команду Back Up All. GPMC выводит на экран индикатор выполнения задания (см. Экран 2). Точно такое же контекстное меню предлагает утилита Manage Backups, в которой для указанного каталога перечисляются все хранящиеся в нем резервные копии GPO.
|
|
Экран 2. Резервное копирование всех GPO домена |
Операция Restore
При восстановлении сохраненного GPO настройки текущего GPO удаляются, и данное GPO переходит в состояние, соответствовавшее моменту создания резервной копии. Причины использования операции Restore очевидны — возврат GPO в работоспособное состояние или восстановление случайно удаленного GPO. При этом GPMC не восстанавливает связи данного GPO, если их уже успели удалить, но, поскольку GPO GUID остался прежним, работа через ранее существовавшие связи для восстановленного GPO будет протекать точно так же, как и для оригинального GPO.
Чтобы восстановить GPO, следует открыть в контейнере контекстное меню объекта групповой политики и выбрать Restore From Backup. Если GPO отсутствует (случайно удален), нужно открыть контекстное меню контейнера, выбрать Manage Backups и указать GPO, который необходимо восстановить. После этого можно будет просмотреть настройки интересующего GPO (в виде такого же отчета, который представлен на вкладке Settings) и убедиться, что GPO для восстановления выбран правильно.
Операции Copy и Import
С помощью операций Copy и Import настройки существующего GPO передаются в новый GPO. Целевой GPO при этом может находиться в том же домене, в другом домене или даже в соседнем лесу.
Между операциями Copy и Import имеются различия. Import требует, чтобы целевой GPO уже существовал до начала операции импортирования настроек, тогда как Copy сама создает целевой GPO. Операция Copy требует наличия трастовых отношений между исходным и целевым доменом, с тем чтобы операция копирования была выполнена за один прием, для Import в этом нет необходимости, поскольку работа проводится с резервной копией GPO. Если между доменами не заданы трастовые отношения, воспользоваться операцией Copy будет невозможно, придется создать резервную копию GPO где-либо в файловой системе, а затем импортировать резервную копию GPO в целевой домен.
Чтобы импортировать настройки GPO, следует открыть контекстное меню целевого GP и выбрать Import Settings. Это действие запускает программу-мастер, которая предлагает сохранить существующую конфигурацию GPO, указать место хранения резервной копии GPO и восстановить настройки. Если исходный GPO ссылается на принципалы безопасности и определенные пути в формате UNC, мастер автоматически поможет воспользоваться таблицей миграции и задать отображение используемых принципалов безопасности и UNC на целевой GPO с учетом данных таблицы. Операция Copy предоставляет возможность разработать целый процесс управления изменением GPO, для чего желательно создать и протестировать GPO в отдельном домене или лесу доменов, а уже потом скопировать отлаженные GPO в производственный домен.
Миграционные таблицы
Копирование GPO внутри домена — это вполне очевидная операция, так как пользователи, компьютеры, группы и пути UNC, на которые ссылается GPO, доступны как исходному, так и целевому SOM. Копирование GPO между доменами в рамках одного леса — и тем более между доменами в разных лесах — операция более сложная, поскольку UNC-пути для каталогов переназначения или установки программ и принципалов безопасности (например, локальных групп домена), на которые имеются ссылки в настройках исходного GPO, могут оказаться недоступными в целевом GPO. Поскольку принципалы безопасности фигурируют в GPO под своими идентификаторами защиты (SID), простое копирование объекта групповой политики в целевой домен, в котором рассматриваемый SID не имеет никаких прав, приведет к появлению неразрешимого SID (Unresolved SID). В этом случае не только произойдет нарушение нормального функционирования GPO, но периодически в целевом домене в журнале Application Event Log начнут появляться сообщения об ошибках в компонентах SceCli и Userenv.
Положение можно исправить следующим образом. Нужно создать индивидуальное отображение между принципалами безопасности и UNC-путями исходного и целевого доменов. Например, если в домене TEST существует локальная группа под названием Test GPO Admins, то при копировании GPO в производственный домен PROD необходимо определиться, какую группу вместо Test GPO Admins следует иметь в виду в целевом домене. Группы Test GPO Admins, скорее всего, в домене PROD не существует, а создание новой локальной группы в производственном домене с таким же именем ни к чему не приведет, так как все равно идентификатор SID созданной группы будет отличаться от SID исходной группы Test GPO Admins. Но если создать таблицу, в которой установлено отображение TESTTest GPO Admins в PRODGPO Admins, GPMC автоматически заменит SID TESTTest GPO Admins на SID PRODGPO Admins и тогда GPO сможет нормально функционировать в целевом домене.
Специалисты Microsoft назвали эту таблицу миграционной. Приложение, с помощью которого создается миграционная таблица, называется Migration Table Editor (MTE) — mtedit.exe. MTE входит в состав операции Copy и Import, поэтому, когда система обнаруживает принципалы безопасности или пути UNC, в мастере появляется вариант запуска MTE. Редактор миграционной таблицы может быть запущен из панели дерева консоли контекстного меню контейнера GPO с помощью команды Open Migration Table Editor.
Пример операции копирования GPO
Давайте посмотрим, как выполнить копирование GPO из дочернего домена amrvm.bigtex.net в домен того же уровня gervm.bigtex.net. В исходном объекте групповой политики, CoolNewGPO, предоставлено право Capacity Planning для проведения анализа системной производительности, право Security для управления аудитом и работы с журналом Security log и Server Operations — для завершения работы системы в удаленном режиме. Для того чтобы скопировать данный GPO, требуется открыть контекстное меню CoolNewGPO в контейнере Group Policy Objects в домене AMRVM и выбрать Copy. Затем нужно открыть контекстное меню в контейнере Group Policy Objects в домене GERVM и выбрать Paste. Это приводит к запуску мастера Cross-Domain Copying Wizard, который помогает завершить операцию копирования. Необходимо быть внимательным и выполнять команду Paste только для целевого контейнера Group Policy Objects. Если случайно будет выбран другой контейнер, может оборваться связь исходного GPO с другими доменами. К счастью, в этом случае появляется окно с требованием подтвердить выполнение операций междоменной связи.
Если необходимо скопировать GPO между различными доменами, сначала требуется решить, нужно ли переносить разрешения исходного GPO или же воспользоваться для целевого GPO разрешениями по умолчанию. Например, мы принимаем, что в целевом GPO будут использоваться разрешения по умолчанию. Мастер Cross-Domain Copying Wizard анализирует, может ли для принципалов безопасности GPO-источника или UNC-путей понадобиться таблица миграции. Поскольку наш GPO содержит принципал безопасности, мастер предоставляет нам на выбор две возможности: скопировать принципалы безопасности из источника или построить таблицу миграции для перемещения исходных настроек в целевой домен. Так как мы заинтересованы в создании миграционной таблицы, нажимаем кнопку New для построения новой таблицы.
GPMC выдает для заполнения пустую миграционную таблицу. В меню File следует выбрать Tools, Populate from GPO. Это действие позволяет выбрать GPO-источник (хотя в самом начале операции Copy уже указано, какой именно GPO копируется) и заполнить таблицу миграции принципалами безопасности и UNC-информацией исходного GPO. Затем настает очередь выбора целевого домена, как показано на Экране 3.
|
|
Экран 3. Сопоставление GPO разных доменов |
Исходный домен, AMRVM, имеет три глобальные группы интересов: AMRVM Security Spooks, AMRVM Capacity Planning и Server Operations. Требуется задать отображение этих групп в группы целевого домена — GERVM Security Spooks, GERVM Capacity Planning и Server Operations. Следует открыть контекстное меню поля Destination Name в MTE и выбрать Browse. Запускается AD Object Picker. Затем нужно щелкнуть кнопку Locations, ввести целиком или частично имена целевых групп, щелкнуть Check Names и нажать Enter. Когда пользователь указывает объект и нажимает ОК, мастер заполняет поле Destination Name наименованиями групп в формате User Principal Name (UPN).
Поскольку группа Server Operations (не путать со встроенной группой Server Operators) и в исходном домене, и в целевом называется одинаково, необходимо открыть контекстное меню поля Destination Name и выбрать Set Destination, Map By Relative Name (см. Экран 3). Когда используется этот режим отображения, GPMC осуществляет поиск принципала безопасности в целевом домене, у которого точно такое же относительное имя, и заменяет в политике исходный принципал безопасности на его целевой аналог с таким же именем.
Теперь миграционная таблица заполнена, осталось выбрать File, Exit и подтвердить сохранение выполненных изменений. Мастер выводит отчет о внесенных в конфигурацию GPO изменениях и после нажатия кнопки Finish будет запущена операция Copy. Чтобы показать скопированные настройки GPO, следует выбрать в дереве консоли GPMC вновь созданный объект GPO и в области сведений перейти на вкладку Settings. Обратите внимание на изменения, которые произошли в установках GPO при переносе объекта групповой политики из домена AMRVM в домен GERVM.
Составление сценария
GPMC основывается на COM-интерфейсах (доступных для VBScript, Jscript и Visual Basic — VB), через которые в основном и осуществляется работа консоли. Для пользователей, недостаточно хорошо владеющих механизмом составления сценариев, группа разработчиков GPMC включила в состав этого приложения набор сценариев, расположенных в каталоге %programfiles%gpmcscripts. Эти сценарии в той же степени полезны в работе, что и графический интерфейс, поскольку с их помощью администраторы программным путем могут управлять объектами групповых политик (за исключением настроек GPO). Сценарии можно запускать в режиме планировщика заданий без вмешательства оператора.
С помощью сценариев администратор может создавать резервные копии отдельных или всех GPO домена, восстанавливать их в случае необходимости, копировать GPO, удалять их, создавать GPO в конфигурации по умолчанию, менять разрешения, импортировать один или несколько GPO в домен, а также генерировать отчеты о состоянии любого числа GPO домена. Еще 12 сценариев позволяют получить информацию об особенностях настроек Group Policy. Например, можно получить список всех GPO домена и подробное описание соответствующих конфигураций объектов групповых политик или же список всех GPO, у которых отсутствуют связи с сайтом, доменом или OU.
Два сценария демонстрируют возможности использования сценариев и XML: CreateXMLFromEnvironment.wsf собирает сведения об OU, GPO, связях GPO и настройках безопасности GPO в домене и сохраняет эту информацию в .xml-файле; CreateEnvironmentFromXML.wsf читает .xml-файл, созданный CreateXMLFromEnvironment.wsf, и строит объектную среду, основанную на сохраненной информации. С помощью этих сценариев можно быстро построить среду разработки или тестирования, которая точно воспроизводит производственную среду.
Результирующая политика (RSoP)
RSoP — одна из наиболее примечательных возможностей Windows 2003. Политики, которые воздействуют на конечных пользователей, зависят от большого числа переменных, в связи с чем работать с ними становится очень сложно. Теперь можно вычислить воздействие, которое произведет на пользователей набор различных GPO, связанных с несколькими сайтами и OU в домене. RSoP позволяет оценить эффект политики — на любой компьютер в иерархии AD или на любого пользователя — в результате воздействия всех GPO, которые влияют на данный компьютер или пользователя. В RSoP различают режим регистрации (logging mode) и режим планирования (planning mode). Регистрация RSoP позволяет установить, какие GPO предназначены для пользователя или компьютера и от каких GPO накладываются конкретные установки. Планирование RSoP дает возможность выполнить анализ типа что — если для оценки влияния отдельного GPO (или целой группы GPO) на пользователя или компьютер, который перемещается в другой OU или группу безопасности. Обратиться к RSoP можно и без применения GPMC. Регистрируясь на станции Windows 2003 или XP, всегда можно быстро определить эффективную политику для учетной записи пользователя, набрав в окне командной строки:
RSoP.msc
Отображение эффективных настроек — сущность режима регистрации. Чтобы запустить RSoP в режиме планирования, минуя GPMC, следует открыть MMC на сервере Windows 2003 и добавить оснастку RSoP. После этого можно реализовать сценарий что — если для своей политики.
Поскольку GPMC разрабатывалась как центральное приложение администрирования Group Policy, RSoP может быть запущена непосредственно из GPMC. В GPMC для режимов RSoP специалисты Microsoft используют другие термины — RSoP Logging Mode переименован в Group Policy Results, а RSoP Planning Mode теперь называется Group Policy Modeling.
Group Policy Results. Получить отчет Group Policy Results можно со станции клиента в домене Windows 2000, однако на клиенте в этом случае должна работать система Windows 2003 или XP, а у пользователя должны быть права локального администратора на той станции, информацию о которой он собирает. Чтобы запустить программу Group Policy Results Wizard, следует открыть контекстное меню для значка Group Policy Results в левой части оснастки GPMC и выбрать Group Policy Results Wizard. Мастер последовательно проведет вас через все необходимые шаги для вычисления эффективных настроек выбранного компьютера или пользователя. GPMC выведет в область сведений исчерпывающую информацию (см. Экран 4). Обратите внимание на три вкладки. Вкладка Summary показывает сводную информацию о конфигурации компьютера пользователя, вкладка Settings — эффективные установки, а Policy Events — сообщения в журнале событий, относящиеся к Group Policy.
|
|
Экран 4. Мастер Group Policy Results |
Group Policy Modeling. Group Policy Modeling позволяет моделировать воздействие нескольких GPO на пользователей или компьютеры без особых усилий, что обычно сопутствует решению задач, связанных с Group Policy. Используется вместе с функциями Copy и Import и применяется для разработки, тестирования и быстрого развертывания GPO в среде Windows 2000.
Как и в случае с Group Policy Results, необходимо запустить мастер из контекстного меню Group Policy Modeling в левой части GPMC. Чтобы значок стал доступен для работы, в лесу должен быть установлен по крайней мере один компьютер Windows 2003 DC. Дополнительную информацию о Group Policy Modeling и Group Policy Planning можно найти в статье http://www.microsoft.com/technet/prodtechnol/ windowsserver2003/proddocs/entserver/rspintro.asp (в ссылке под названием Resultant Set of Policy).
Незаменимый помощник администратора
GPMC предоставляет программный инструмент исключительных функциональных возможностей для разработки и управления GPO, консолидируя множество различных функций в едином интерфейсе. Однако GPMC не охватывает всех аспектов управления Group Policy (например, не занимается внесением изменений), поэтому без приложений независимых разработчиков все-таки не обойтись. Совмещение таких функций, как Copy, Import и Group Policy Modeling, позволяет разрабатывать и развертывать GPO намного быстрее и с большей степенью безопасности, чем в Windows 2000. GPMC играет настолько важную роль для Windows 2003 и Windows 2000, что Microsoft следовало бы включить эту утилиту в состав операционной системы, а не выпускать в виде отдельного дополнения.
Шон Дьюби— редактор журнала Windows & .NET Magazine, старший системный инженер компании Intel, специализирующийся на проектировании корпоративных сетей на базе Windows 2000. С ним можно связаться по электронной почте по адресу: spdeuby@winnetmag.com.
Прочитано:
4 828
Довольно большой опыт работы с доменом на базе Windows Server 2008 R2 приучил, что управлять групповыми политиками удобно через оснастку Group Policy Management, ее не надо устанавливать отдельно. Но по роду обязанностей столкнувшись с доменом на Server 2003 R2 положение, что данной оснастки нет ввело меня честно говоря в ступор, открывать каждый организационный юнит чтобы посмотреть есть ли на него политика и перебирать все настройки если дабы оценить что делает та или иная политика не совсем то с чем бы я хотел столкнуться. Поэтому в ходе чтения мануалов сайта Майкрософт натолкнулся на ссылку (http://www.microsoft.com/en-us/download/details.aspx?id=21895) по которой можно скачать данную оснастку и успешно ее использовать. Ниже я разберу все особенности с которыми мне пришлось столкнуться, чтобы данная оснастка заработала.
Запускаю: — gpmc.msi и в ответ получаю, что для запуска мне необходимо, чтобы в системе был пакет именуемый как .NET Framework
ниже привожу текст сообщения:
«Please install the Microsoft .NET Framework before installing Microsoft Group Policy Management Console with SP1”
Это нужно установить пакет: Microsoft .NET Framework 1.1 – устанавливается успешно, а после снова запускаем — gpmc.msi – далее следует указаниям установщика:
Next – I Agree – Next – Finish
после запускаем оснастку — Group Policy Management
Start – Control Panel – Administrative Tools – Group Policy Management
Вот теперь совсем другое дело, с помощью данной оснастки можно видеть какие групповые политики есть, каково их назначение, моделировать работу созданных, делать бекап и восстановление также как и на системе Windows Server 2008 R2 описанных на моем блоге. Результат достигнут, все работает, а пока все с уважением автор блога ekzorchik.
Microsoft GPMC (Group Policy Management Console)
The GPMC is one of Microsoft’s best new features in all of Windows Server. Within the GPMC is a rich variety of tools for creating, editing, observing, modeling and reporting on all aspects of Group Policy.
As an example, my old friend ‘Barking Eddie’ spent two week’s documenting all the Group Policies for one company, when I showed him the GPMC, he was crestfallen and said he could have done that same job in half an hour with GPMC.
- GPMC Introduction
- Getting Started with GPMC
- Gpupdate
- Gpresult
- Dcgpofix
- RSoP (Resultant Set of Policy)
- Add GPMC Windows Feature with PowerShell
‡
GPMC (Group Policy Management Console) Introduction
Microsoft designed the GPMC for Windows Server 2003. For this version get your copy of GPMC.msi as a download from Microsoft’s site. ForWindows Server 2008 GPMC you optain this MMC via ‘Add Features’.
The GPMC unifies Group Policy management across your Active Directory forest. Before the GPMC, administrators needed multiple tools to manage Group Policy; the Microsoft Active Directory Users and Computers, the Delegation Wizard, and the ACL Editor. Not only does the GPMC integrate the existing Group Policy tools, but also it brings the following exciting new capabilities:
- A user interface that makes it easier to create and edit each Group Policy.
- New WMI filtering means that you can apply policies to particular machine, or only if there is enough disk space.
- Interfaces to Backup, restore, import, and copy Group Policy Objects (GPOs).
- Simplified management of Group Policy-related security.
- Reporting for GPO settings and Resultant Set of Policy (RSoP) data.
Getting Started with Windows Server Group Policy Management Console
After I downloaded the GPMC from Microsoft’s site (or Added Feature), I installed the application by double clicking GPMC.msi. At first I carried on in my old ways. When I wanted to check a group policy I launched Active Directory Users and Computer and right-clicked the domain, properties, and thence to the Group Policy tab. (See Diagram.) 
However I soon found that you could add a GPMC snap-in to the MMC, and this is now my preferred method of accessing the GPMC. Right from you outset GPMC gives you the big picture. The GUI encourages you to survey the range of places to look for Group Policies, from the Forest at the top, through to the Domain and down to the Sites.
The OU Group Policies are hidden under the domain, note that OUs have a little book symbol that is absent from container objects such as Users, Builtin and Computers. What this means is that if you see the book symbol then you can create a Group Policy, whereas if all you see is a blank yellow folder, then you cannot create a Group Policy at that location. The GPMC also lists any Models or Policy Results.
Guy Recommends: A Free Trial of the Network Performance Monitor (NPM)
v12
v12SolarWinds’ Network Performance Monitor will help you discover what’s happening on your network. This utility will also guide you through troubleshooting; the dashboard will indicate whether the root cause is a broken link, faulty equipment or resource overload.
Perhaps the NPM’s best feature is the way it suggests solutions to network problems. Its second best feature is the ability to monitor the health of individual VMware virtual machines. If you are interested in troubleshooting, and creating network maps, then I recommend that you give this Network Performance Monitor a try.
Download your free trial of SolarWinds Network Performance Monitor.
Gpupdate
I am so pleased that Windows 2000’s Secedit has been superseded by Gpupdate on XP and later, the old Secedit syntax was horrendous. Mostly, I just run plain Gpupdate in a ‘Dos Box’, occasionally, I append the following switches:
/force reapplies all settings.
/target:computer or /target:user applies only the user or computer section of your policy. Normally I would use plain Gpupdate without the optional target switch.
/logoff Useful for settings that do not apply until the user logs on again.
/boot Handy for configurations which need the computer to restart.
N.B. /boot does not mean apply the settings every time the computer reboots.
Gpresult
While, I prefer the 2003 Group Policiy Management Console above, Gpresult is a handy command line utility to display the results of Group Policy. What I particularly like is the /user switch. Take the example where you are logged on as the administrator, but wish to test a user called Psycho’s settings. Rather than logoff then logon as that user, just type: gpresult /USER psycho. Do remember the /USER. This command would be a mistake: gpresult /psycho.
Guy Recommends: SolarWinds Engineer’s Toolset v10
Guy Recommends: SolarWinds Engineer’s Toolset v10This Engineer’s Toolset v10 provides a comprehensive console of 50 utilities for troubleshooting computer problems. Guy says it helps me monitor what’s occurring on the network, and each tool teaches me more about how the underlying system operates.
There are so many good gadgets; it’s like having free rein of a sweetshop. Thankfully the utilities are displayed logically: monitoring, network discovery, diagnostic, and Cisco tools. Try the SolarWinds Engineer’s Toolset now!
Download your fully functional trial copy of the Engineer’s Toolset v10
Dcgpofix
This handy command line utility restores the two default Group Policy objects to their original state (Domain and Domain Controllers). You find this ‘get out of jail card’ = dcGPOfix in the windowsrepair folder. However because the windows folder is in the ‘Path’ you can just run dcGPOfix in a ‘Dos Box.
Syntax and Switches
dcgpofix [/ignoreschema][/target: {domain | dc | both}]
Example: dcgpofix /target: GuyDom
Caution
This tool will restore the default domain policy and also the default domain controllers policy to their state just after installation. Naturally, when you run dcgpofix, you lose all changes made to these Group Policies.
By specifying the /ignoreschema parameter, you can enable Dcgpofix.exe to work with different versions of Active Directory. However, default policy objects might not be restored to their original state. To ensure compatibility, use the version of Dcgpofix.exe that is installed with the operating system.
Dsacls.exe
Here is a command-line tool for quering the security attributes. You can also employ Dsacls to change permissions and security attributes of Active Directory objects.
Think of Dsacls as the command-line equivalent of the Security tab in the Active Directory Users and Computers . It’s also handy to lock out Terminal Services end-users from files and folders on a Windows Server 2003 computer.
Guy Recommends: Permissions Analyzer – Free Active Directory Tool
I like thePermissions Monitor because it enables me to see quickly WHO has permissions to do WHAT. When you launch this tool it analyzes a users effective NTFS permissions for a specific file or folder, takes into account network share access, then displays the results in a nifty desktop dashboard!
Think of all the frustration that this free utility saves when you are troubleshooting authorization problems for users access to a resource. Give this permissions monitor a try – it’s free!
Download Permissions Analyser – Free Active Directory Tool
RSoP Snap-in (Resultant Set of Policy)
Microsoft provide a snap-in called RSoP for showing a given combination of policy settings. I find that if you install the GPMC, then you do not really do not need this RSoP. However, if you have Windows 2000 and no GPMC then the RSoP is intuitive to use and comes in two modes:
- Logging mode. In logging mode, the RSoP snap-in tracks the policies that you apply. In this mode, the tool shows the actual policies for a given user or computer.
- Planning mode. In planning mode, the snap-in indicates the set of policies that would be applied if you deployed the policy. You can perform what-if analyses on the user and computer; the domain, and organizational unit.
Changes to Group Policy Management Console in Windows Server 2008
The idea of Windows Server 2008 ‘Preferences’ the administrator establishes the very best first logon settings for the users. Thereafter, each individual can over-ride the ‘Suggestons’ without fear of having their new settings reversed by ‘big brother’.
Other benefits include the ability to set preferences for applications and registry settings which are outside the scope of traditional Group Policy templates. If you need fine-control over who starts with which setting lookout for: ‘Preference item-level targeting’.
Should Group Policy Preferences appear too slack, you can regain control through the ability to ‘refresh’ the users settings. However, by default, and in keeping with the whole spirit of preferences, the principle is to advise, but then let the user chose their own environment.
See more on Windows Server 2008 Group Policies.
Summary of Windows Server 2003 Group Policy Management Console
You can use Group Policy Management Console (GPMC) to manage Group Policy. Remember that you need Active Directory to make use of the GPMC. The traditional clients are running Windows XP while the servers are running Windows 2003.
See more User Group Policies for Windows
• Group Policy Overview • Group Policies • Control Policies • Desktop Policies
•Logon Script Group Policies • Administrative Template Policies •Group Policy Results
•Group Policy Management Console • Folder Redirection Windows Server 2003
If you like this page then please share it with your friends
Group Policies provide a powerful and flexible way to manage the user’s operating environment and to make sure that all kinds of functions are performed consistently. Although Group Policies management in Windows 2000 is good, the same function in Windows Server 2003 is even more powerful—and it includes a new management console that makes it easier to maintain this service.
Changes in Windows Server 2003
The biggest improvement to Group Policies in Windows Server 2003 is the introduction of the Group Policy Management Console (GPMC), which I’ll discuss in a minute. In addition, more than 200 new policy settings are included with the new operating system, resulting in more control over the Control Panel, Remote Assistance, network connections, profiles, and DNS, among other things.
Another significant improvement is the ability for Group Policies to be applied to machines that meet hardware specifications you set. This is possible because Group Policy reporting is tied to Windows Management Instrumentation (WMI). So, for instance, an administrator can push a policy to a machine that has a specified amount of hard drive space or that meets specific RAM requirements.
Introducing the Group Policy Management Console
Windows Server 2003’s GPMC centralizes all Group Policy management functions, including backup and restore of Group Policy objects, import and export capability of Group Policy objects, and resultant set of policy reporting. By combining functions from a number of tools, such as Active Directory Users And Computers, Active Directory Sites And Services, the Resultant Set Of Policy snap-in, and the Delegation Wizard, the GPMC eliminates the need to go to a bunch of locations to perform common tasks.
The GPMC can manage both Windows 2000 and Windows Server 2003 domain controllers, but the console must be installed on either Windows Server 2003 or Windows XP SP1. If it is installed on Windows XP SP1, Windows XP QFE Q326469 and the .NET Framework must also be installed.
Installation
The GPMC is available for download from Microsoft’s Group Policy site. The download is called gpmc.msi, and you can start the installation just by double-clicking the file. Installation is quick and easy, consisting of only a couple of screens, including a license agreement. After installation, you can launch the GPMC at Start | Administrative Tools | Group Policy Management. Figure A shows the GPMC window.
| Figure A |
 |
| The Group Policy Management Console |
Using the GPMC
Using the GPMC is easy, but you should have an understanding of how Group Policies work, lest you push out a policy that creates a problem. The left-hand window provides most of the navigation you need to modify parts of the Group Policy.
GPMC can manage multiple forests. To add a forest, right-click on Group Policy Management and select Add Forest from the shortcut menu. You’ll be prompted for the name of the forest.
Modify the default policy
The default policy can be modified by expanding the forest option and selecting Domains followed by the name of your domain. In my example, the domain is named, appropriately enough, example.com. Under the name of your domain, you’ll find an option for the Default Domain Policy. Click on this to view the details for this policy, as shown in Figure B.
| Figure B |
 |
| Overall details for the Default Domain Policy |
To edit the policy, right-click on it and choose Policy. This will launch the Group Policy Object Editor with the selectedobject as the target. Figure C shows an example.
| Figure C |
|
| The GPMC launches other Group Policy tools as needed. |
Instead of completely replacing other Group Policy tools, the GPMC supplements them by providing a single point of initial administration. When there is a better tool to perform a specific task, the GPMC launches it.
Filtering by system specifications
As I mentioned earlier, Group Policy is tied to WMI, which enables you to enforce a policy based on system hardware specifications. At the bottom of Figure B, notice the section labeled WMI Filtering. In that screen shot, no WMI filter is linked to the Group Policy object. And since this is a new domain, no WMI filters have been specified yet. To create one, right-click on WMI Filters in the left pane and select New from the shortcut menu. This will present you with a window on which you can specify the parameters required to create the new filter. In Figure D, I have provided a name and description for a new filter.
| Figure D |
 |
| Create a new WMI filter. |
To add a new WMI query, click the Add button. The resulting window asks for two pieces of information—the namespace to use and the query. Most WMI information is gleaned from the rootCIMv2 name space. To create a filter that targets Windows XP Professional machines, use the query Select * from Win32_OperatingSystem where Caption = “Microsoft Windows XP Professional” (Figure E). Click the Save button when you finish.
| Figure E |
 |
| A new WMI query |
To use the new filter with a GPO, click the down arrow in the WMI Filtering section of the Group Policy Object Details window and select it. As an example, I added my new filter to the default domain policy. Then, I clicked the option for the new filter in the left-hand window under WMI filters. In Figure F, you can see that this results in detailed information about that particular filter, including the query and the GPOs it’s linked to.
| Figure F |
|
| WMI filter details |
Resultant Set of Policy (RSoP)
Group Policies can be pretty complex and can confuse even the most experienced administrator. This is especially true when you’re trying to figure out what is going to happen when a number of policies are applied. Fortunately, the GPMC’s Group Policy Results Wizard makes this determination easier.
To start the wizard, right-click on Group Policy Results in the navigation pane and select Group Policy Results Wizard from the shortcut menu. The first screen, shown in Figure G, asks you to specify which computer the wizard should report on.
| Figure G |
 |
| Select the computer to use for the wizard. |
You can choose to limit the wizard results to a specific set of users, as shown in Figure H. For this example, I’ll report on the current user, which is Administrator.
| Figure H |
 |
| Select the users to report on. |
The last screen of the wizard, shown in Figure I, provides a summary of your selections. When complete, the results of the wizard are available under the Group Policy Results option in the navigation pane of the GPMC.
| Figure I |
|
| Results of the RSoP wizard |
You can see in Figure I that this wizard provides a comprehensive view of the specified user, indicating which GPOs are applied and the reasons that other GPOs might not be applied. For example, the Default Domain Policy is not applied because the WMI filter applying the policy to just Windows XP Pro machines failed, since the user is currently logged into a Windows Server 2003 machine instead.
A definite improvement over Windows 2000
The Group Policies console offers a great way to manage the rights of users in your organization, but their complexity and the number of tools they require can make them confusing and difficult to manage. New features for Group Policies in Windows Server 2003 domains, such as the ability to tie a Group Policy to a WMI filter, make managing policies much easier. The GPMC consolidates Group Policy maintenance into a single management entity and provides valuable tools, such as the Group Policy Results Wizard, that make group policies even more powerful than before.
Windows 2003 Group Policies allow the administrators to efficiently manage a group of people accessing a resource. Group policies can be used to control both the users and the computers.
They give better productivity to administrators and save their time by allowing them to manage all the users and computers centrally in just one go.
Group policies are of two types, Local Group Policy and Domain-based Group Policy. As the name suggests, Local Group Policies allow the local administrator to manage all the users of a computer to access the resources and features available on the computer. For example an administrator can remove the use of the Run command from the start menu. This will ensure that the users will not find Run command on that computer.
Domain-based Group Policies allow the domain / enterprise administrators to manage all the users and the computers of a domain / forest centrally. They can define the settings and the allowed actions for users and computers across sites, domains and OUs through group policies.
There are more than 2000 pre-created group policy settings available in Windows Server 2003 / Windows XP. A default group policy already exists. You only need to modify the values of different policy settings according to your specific requirements. You can create new group policies to meet your specific business requirements. Group policies allow you to implement:
Registry based settings: Allows you to create a policy to administer operating system components and applications.
Security settings: Allows you to set security options for users and computers to restrict them to run files based on path, hash, publisher criteria or URL zone.
Software restrictions: Allows you to create a policy that would restrict users running unwanted applications and protect computers against virus and hacking attacks.
Software distribution and installation: Allows you to either assign or publish software application to domain users centrally with the help of a group policy.
Roaming user profiles: Allows mobile users to see a familiar and consistent desktop environment on all the computers of the domain by storing their profile centrally on a server.
Internet Explorer maintenance: Allows administrators to manage the IE settings of the users’ computers in a domain by setting the security zones, privacy settings and other parameters centrally with the help of group policy.
Using Local Group Policy
Local Group Policies affect only the users who log in to the local machine but domain-based policies affect all the users of the domain. If you are creating domain-based policies then you can create policy at three levels: sites, domains and OUs. Besides, you have to make sure that each computer must belong to only one domain and only one site.
A Group Policy Object (GPO) is stored on a per domain basis. However, it can be associated with multiple domains, sites and OUs and a single domain, site or OU can have multiple GPOs. Besides this, any domain, site or OU can be associated with any GPO across domains.
When a GPO is defined it is inherited by all the objects under it and is applied in a cumulative fashion successively starting from local computer to site, domain and each nested OU. For example if a GPO is created at domain level then it will affect all the domain members and all the OUs beneath it.
After applying all the policies in hierarchy, the end result of the policy that takes effect on a user or a computer is called the Resultant Set of Policy (RSoP).
To use GPOs with greater precision, you can apply Windows Management Instrumentation (WMI) filters and Discretionary Access Control List (DACL) permissions. The WMI filters allow you to apply GPOs only to specific computers that meet a specific condition. For example, you can apply a GPO to all the computers that have more than 500 MB of free disk space. The DACL permissions allow you to apply GPOs based on the user’s membership in security groups.
Windows Server 2003 provides a GPMC (Group Policy Management Console) that allows you to manage group policy implementations centrally. It provides a unified view of local computer, sites, domains and OUs (organizational units). You can have the following tools in a single console:
- Active Directory Users and Computers
- Active Directory Sites and Services
- Resultant Set of Policy MMC snap-in
- ACL Editor
- Delegation Wizard
The screenshot below shows four tools in a single console.
A group policy can be configured for computers or users or both, as shown here:
The Group Policy editor can be run using the gpedit.msc command.
Both the policies are applied at the periodic refresh of Group Policies and can be used to specify the desktop settings, operating system behavior, user logon and logoff scripts, application settings, security settings, assigned and published applications options and folder redirection options.
Computer-related policies are applied when the computer is rebooted and User-related policies are applied when users log on to the computer.
Configuring a Local Group Policy
To configure a local group policy, you need to access the group policy editor. You can use Group Policy Editor by logging in as a local administrator from any member server of a domain or a workgroup server but not from a domain controller.
Sometimes this tool, or other Active directory tools that you need to manage group policy, does not appear in Administrative Tools. In that case you need to follow steps 1-10 given below to add Group Policy Editor tool in the console.
1. Click Start->Run and type mmc. The Console window appears, as shown below:
2. Select Add/remove Snap-in from the File menu.
The Add/Remove Snap-in window appears, as shown below:
3. Click Add.
4. The Add Standalone Snap-in window appears.
5. Select Group Policy Object Editor snap-in from the list.
6. Click Add and then click OK in Add/remove Snap-in window.
The Select Group Policy Object window appears, as shown below:
7. Keep the default value “Local Computer”
8. Click Finish.
The Local Computer Policy MMC appears, as shown below.
You can now set the Computer Configuration or User Configuration policies as desired. This example takes User Configuration setting.
9. Expand User Configuration node:
10. Expand Administrative Templates and then select the Start Menu and Taskbar node, as shown in Figure 7.
11. Double-click the settings for the policy that you want to modify from the right panel. In this example double-click Remove Run Menu from Start Menu.
The properties window of the setting appears as shown in the below screenshot:
12. Click Enabled to enable this setting.
Once you click on ‘OK‘, the local policy that you have applied will take effect and all the users who would log on to this computer will not be able to see the Run menu item of the Start menu.
This completes our Local Group Policy configuration section. Next section covers Domain Group Policies, that will help you configure and control user access throughout the Active Directory Domain.
Article Summary
Group Policies are an Administrator’s best friend. Group Policies can control every aspect of a user’s desktop, providing enhanced security measures and restricting access to specified resouces. Group policies can be applied to a local server, as shown on this article, or to a whole domain.
If you have found the article useful, we would really appreciate you sharing it with others by using the provided services on the top left corner of this article. Sharing our articles takes only a minute of your time and helps Firewall.cx reach more people through such services.
Back to Windows 2003 Server Section
It’s a four step process!. You can refer to my previous article if you want to understand about GPPs. In this post, I will take through the practical steps required for implementing Group Policy Preferences in a Windows 2003 Domain based environment. I am not going to talk about configuring any granular settings in GPPs but I will give you idea about introducing GPP infrastructure into your environment.
Step-1 : Install Group Policy Preference client side extensions(CSE) & XMLLite
GPP CSE: You need to deploy the GPP CSE package to all computers which are running with alteast Windows XP SP2/Windows 2003 SP1. This is to make your legacy operating systems understand the new GPP settings. Below are the download locations for GPP CSEs for different OS versions.
Similarly you need to install XMLLite Low lever parser on computers which are running with atleast Windows XP SP2 or Windows 2003 SP1. Download location is available here.
Step-2: Install a Windows Vista/Windows 7 Computer into your domain.
Configuration of GPPs is only possible through GPMC installed on Windows Vista/Windows 7 computer. Install one of these operating system on one computer in your network and add it to your domain.
Step-3: Install Remote Server Administration Tool kit
Based on the OS version(vista/Windows 7) your have installed, download appropriate RSAT and install it. After the installation, you need to enable the GPMC feature.
RSAT download links:
- Windows 7
- Windows Vista
Follow the below steps for enabling GPMC..
a) Go to Control Panel
b) Switch the view to “small icons” and select the “program and features” option from control panel. This opens below windows.
c) Select “Turn Features On or Off” option from above screen and you will ne presented to with a window to select the features.
d) Navigate to “Remote Server Administration Tools” node and select “Group Policy Management Tools” check box like shown below and click on OK.
e) This completes configuring the features
Step-4: Start Configuring GPPs
Now we are done with setup. Go Start-> Run -> type “gpmc.msc” on Windows 7/vista machine to bring up the GPMC management console. Now create a new GPO for desired OU and click on Edit. Now the GPO editor will contain two sections, “Policies” and “Preferences” under User and Computer settings. And need less to say that GPP settings can be configured from “Preferences” section.
