Управление групповой политикой в организации. Часть 1 – введение в работу с оснасткой GPMC
Введение
В любой организации системные администраторы обязаны обеспечить для пользователей и компьютеров своего предприятия безопасные настройки, которыми можно централизовано управлять и развертывать. Обычно в организациях вся конфигурация определяется, обновляется и распространяется непосредственно при помощи объектов групповой политики. Именно объекты групповой политики позволяют вам рационально управлять всей инфраструктурой вашего предприятия, начиная от незначительных подразделений и групп и заканчивая сайтами и доменами.
Групповые политики – это набор правил, обеспечивающих инфраструктуру, в которой администраторы локальных компьютеров и доменных служб Active Directory могут централизовано развертывать и управлять настройками пользователей и компьютеров в организации. Все настройки учетных записей, операционной системы, аудита, системного реестра, параметров безопасности, установки программного обеспечения и прочие параметры развертываются и обновляются в рамках домена при помощи параметров объектов групповой политики GPO (Group Policy Object).
В домене Active Directory все объекты групповой политики создаются и управляются при помощи административной оснастки консоли управления Microsoft – «Управление групповой политикой». Именно об использовании данной оснастки пойдет речь в текущей статье.
Групповая политика в Windows Server 2008 R2 предусматривает много возможностей, позволяющих снизить стоимость управления компьютерными системами. Параметры политик пользователей и компьютеров объединяются в группы, которые используются на различных уровнях в иерархии Active Directory. С помощью групповой политики параметры конфигурации можно применять к некоторым или ко всем компьютерам и пользователям в организации. Об управлении установкой программного обеспечения, перенаправлении папок, настройке параметров безопасности, последовательности применения параметров и о многом другом вы узнаете из следующих статей.
Оснастка «Управление групповой политикой»
Сама инфраструктура групповой политики основана на архитектуре «клиент – сервер» с компонентами клиента и сервера и включает в себя модуль групповой политики, представляющий собой основу для обработки общих функциональных параметров административных шаблонов, а также определенных компонентов, называемых расширениями клиентской стороны (Client-side extension, CSE). Расширения клиентской стороны интерпретируют параметры в объекты групповой политики и вносят соответствующие изменения в конфигурацию компьютера или пользователя. Такие расширения относятся ко всем основным категориям параметров политики. Другими словами, одно расширение клиентской стороны предназначено для установки программного обеспечения, другое применяет изменения безопасности, третье – обеспечивает автоматическую настройку компьютеров, подключенных к проводной сети и так далее.
Открытие оснастки и изменение пользовательского интерфейса
Оснастка «Управление групповой политикой» устанавливается на сервер вместе с ролью «Доменные службы Active Directory» (AD DS), но если у вас по какой-то причине не удается ее найти, то всегда данную оснастку можно заново установить. Для того чтобы повторно установить текущую оснастку, в «Диспетчере сервера», в узле «Сводка компонентов»
Также есть альтернативный способ установки данного компонента – использование командной строки и утилиты управления конфигурацией сервера. В командной строке, запущенной с правами администратора введите ServerManagerCmd -install gpmc. При желании вы можете вывести результат установки в xml файл, используя параметр –resultPath.
Для того чтобы открыть оснастку «Управление групповой политикой», выполните любое из следующих действий:
- Нажмите на кнопку «Пуск», выберите меню «Администрирование», а затем откройте «Управление групповой политикой»;
- Воспользуйтесь комбинацией клавиш Win+R для открытия диалога «Выполнить». В диалоговом окне «Выполнить», в поле «Открыть» введите gpmc.msc и нажмите на кнопку «ОК»;
- Нажмите на кнопку «Пуск» для открытия меню, в поле поиска введите
- Откройте «Консоль управления MMC». Для этого нажмите на кнопку «Пуск», в поле поиска введите mmc, а затем нажмите на кнопку «Enter». Откроется пустая консоль MMC. В меню «Консоль» выберите команду «Добавить или удалить оснастку» или воспользуйтесь комбинацией клавиш Ctrl+M. В диалоге «Добавление и удаление оснасток» выберите оснастку «Управление групповой политикой» и нажмите на кнопку «Добавить», а затем нажмите на кнопку «ОК».
На следующей иллюстрации изображена оснастка
Рис. 1. Оснастка «Управление групповой политикой»
Содержимое оснастки «Управление групповой политикой» предоставляет множество средств, предназначенных для обеспечения централизованного управления инфраструктурой организации. Но если вас не устраивает интерфейс данной оснастки, вы можете его изменить, используя функционал редактирования параметров пользовательского интерфейса. Для того чтобы изменить отображение некоторых элементов оснастки, откройте меню «Вид» и выберите команду
- Вкладка «Столбцы». На этой вкладке вы можете изменить отображение и порядок столбцов для основных таблиц текущей оснастки, а именно: «Наследование групповой политики», «Начальные объекты групповой политики», «Объекты групповой политики», «Связанные объекты групповой политики» и «Фильтры WMI». Вам достаточно просто выбрать из раскрывающегося списка редактируемую таблицу, в поле
- Вкладка «Отчет». Используя эту вкладку, вы можете изменить папку, которая используется по умолчанию для расположения ADM-файлов. Следует помнить, что изменения, которые проводятся на данной вкладке, будут распространяться только на устаревшие ADM-файлы, а расположение файлов ADMX, которые используются в операционных системах Windows Vista и Windows 7 останется без изменений. Если переключатель будет установлен на параметре «По умолчанию», то поиск файлов ADM изначально будет проводиться в папке Windows и в том случае, если файл не будет найден, консоль GPMC будет просматривать папку объектов групповой политики (GPO), находящуюся в папке Sysvol. Если установить переключатель на параметр «настраиваемое», то консоль GPMC изначально будет искать файлы adm в той папке, которая будет указана вами, а затем в расположениях по умолчанию. Настройки данной вкладки изображены ниже:
- Вкладка «Общие». На вкладке «Общие» настраиваются параметры, которые распространяются на отображение лесов и доменов только с двухсторонними отношениями доверия, отображения имени контроллеров домена, а также для отображения диалогового окна подтверждения для различия между объектами групповой политики и связи этих объектов. Эта вкладка отображена на следующей иллюстрации:
Создание и редактирование объектов групповой политики
Используя оснастку «Управление групповой политикой» вы можете создавать и редактировать объекты групповой политики, а также комментарии к ним для упрощения их мониторинга, удалять объекты групповых политик и проводить поиск среди существующих объектов. Рассмотрим подробно каждое из вышеперечисленных действий:
Создание объекта групповой политики с комментарием
Один или несколько параметров групповой политики, который применяется к одному или нескольким пользователям или компьютерам, обеспечивая конкретную конфигурацию, называется объектом групповой политики. Для того чтобы создать новый объект групповой политики, выполните следующие действия:
- В оснастке «Управление групповой политикой» разверните узел лес, домен, название вашего домена и выберите контейнер «Объекты групповой политики». Именно в этом контейнере будут храниться все объекты групповой политики, которые вы будете создавать;
- Щелкните правой кнопкой мыши на данном контейнере и из контекстного меню выберите команду «Создать», как изображено ниже:
- В диалоговом окне «Новый объект групповой политики» введите название объекта в поле «Имя», например, «Корпоративные требования» и нажмите на кнопку «ОК».
Редактирование объекта групповой политики
После того как объект групповой политики будет создан, для того чтобы настроить определенную конфигурацию данного объекта, вам нужно указать параметры групповой политики при помощи оснастки «Редактор управления групповыми политиками». Допустим, нужно отключить Windows Media Center, средство звукозаписи, а также ссылку «Игры» в меню «Пуск». Для этого выполните следующие действия:
- Выберите созданный ранее объект групповой политики, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Изменить»;
- Разверните узел Конфигурация пользователя/Политики/Административные шаблоны/Компоненты Windows/Windows Media Center;
- Откройте свойства параметра политики «Не запускать Windows Media Center» и установите переключатель на опцию «Включить». В поле комментарий введите свой комментарий, например, «В связи с корпоративными требованиями не разрешается данным пользователям использовать текущее приложение» и нажмите на кнопку «ОК».
- Повторите аналогичные действия для параметров политик «Запретить выполнение программы «Звукозапись»» и «Удалить ссылку «Игры» из меню «Пуск»» из узла Конфигурация пользователя/Политики/Административные шаблоны/Меню «Пуск» и панель задач.
- Закройте редактор управления групповыми политиками.
Также, если вы создаете много объектов групповых политик, для вас окажется удобной возможность добавления комментариев к самим объектам групповых политик. Для добавления комментария к GPO, выполните следующие действия:
- Выберите созданный ранее объект групповой политики, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Изменить»;
- В дереве консоли оснастки «Редактор управления групповыми политиками» нажмите правой кнопкой мыши на корневом узле и из контекстного меню выберите команду «Свойства»;
- В диалоговом окне «Свойства: имя объекта групповой политики» перейдите на вкладку «Комментарий» и введите примечание для вашего GPO, например, «Этот объект групповой политики запрещает указанным пользователям использовать мультимедийные приложения, а также игры в организации»;
- Нажмите на кнопку «ОК», а затем закройте оснастку «Редактор управления групповыми политиками».
Поиск объектов групповой политики
При развертывании групповых политик в организации у вас могут быть созданы десятки (а то и сотни) объектов групповых политик. Если в вашей организации есть только один домен, то обнаружить необходимый объект групповых политик много времени у вас не займет. Но как быть, если в лесу вашей организации развернуто несколько доменов? Для этого вам поможет функционал поиска объектов групповых политик. Для того чтобы найти существующий объект групповой политики, выполните следующие действия:- В дереве консоли оснастки «Управление групповой политикой» щелкните правой кнопкой мыши на вашем лесу (или если вы знаете, в каком домене нужно провести поиск объекта, то можете вызвать контекстное меню для конкретного домена) и из контекстного меню выберите команду «Найти»;
- В диалоговом окне «Поиск объектов групповой политики» в раскрывающемся списке «Искать объекты групповой политики в домене:» можете выбрать домен, для которого будет производиться поиск или оставить значение, используемое по умолчанию;
- В раскрывающемся списке «Элемент поиска», выберите тип объекта, для которого будет выполняться поиск. В этом случае нужно выбрать элемент «Имя объекта групповой политики»;
- Раскрывающийся список «Условие» позволяет выбрать условие для поиска. Доступные варианты «Содержит», «Не содержит» и «совпадает». При выборе условия «совпадает» вам нужно ввести точное название политики. В противном случае поиск закончится ошибкой;
- В поле «Значение» введите значение, которое будет использовано для фильтрации поиска. Если результаты предыдущего поиска были сохранены, то значение можно будет выбрать из раскрывающегося списка;
- Нажмите на кнопку «Добавить» для выбора условия поиска;
- По нажатию на кнопку «Найти» будут выведены все результаты, согласно условиям поиска. Результат изображен на следующей иллюстрации:
- Для того чтобы сразу перейти к оснастке «Редактор управления групповыми политиками» нажмите на кнопку «Изменить», для сохранения текущих результатов поиска нажмите на кнопку «Сохранить результаты» (результаты будут сохранены в указанной вами папке с расширением *.csv). По нажатию на кнопку «Очистить» результаты поиска будут очищены без сохранения, а для закрытия данного диалога нажмите на кнопку «Закрыть» или на клавишу Esc.
Удаление объекта групповой политики
При работе с объектами групповых политик вам когда-то понадобится удалить существующий объект GPO. Для этого выберите объект групповой политики и выполните одно из следующих действий:- Нажмите на клавишу Delete и в диалоговом окне «Управление групповой политикой» нажмите на кнопку «Да»;
- Нажмите на кнопку «Удалить» (в виде красного креста) на панели инструментов, а затем в диалоговом окне «Управление групповой политикой» нажмите на кнопку «Да»;
- Нажмите правой кнопкой мыши на объекте групповой политики и из контекстного меню выберите команду «Удалить». Затем в диалоговом окне «Управление групповой политикой» нажмите на кнопку «Да».
Заключение
В этой статье рассмотрены базовые принципы работы с оснасткой «Управление групповой политикой», предназначенной для создания и управления объектов групповых политик в домене Active Directory. Вы узнали о способах открытия данной оснастки и настройки пользовательского интерфейса, а также о том, как можно создавать и редактировать новые объекты групповых политик и их комментарии, выполнять поиск существующих объектов, а также о способах их удаления. В следующей статье я продолжу описание управления инфраструктурными единицами организации, используя оснастку «Управление групповой политикой».
Дата последнего редактирования текста: 2013-10-05T07:19:33+08:00
Управление групповыми политиками в организации. Часть 3
Введение
Из предыдущих частей данной статьи вы узнали о создании и привязке объектов групповых политик к подразделениям, доменам и сайтам организации при помощи оснастки «Управление групповой политикой». Вкратце было рассмотрено такое понятие, как приоритет объектов групповой политики. В этой статье мы ознакомимся с такими понятиями, как приоритеты, наследование и делегирование групповых политик. При управлении объектами групповых политик в организации, понимание наследования и делегирования групповых политик необходимо, так как именно при помощи данных средств вы можете указывать порядок обработки объектов GPO, и управлять разрешениями для объектов групповых политик, подразделений, пользователей, групп и пр.
Приоритеты объектов групповых политик и их наследование
Как известно, для управления настройками клиентских компьютеров и пользовательских учетных записей в организациях применяются объекты групповых политик. Объекты GPO могут быть привязаны к сайту организации, к домену или к подразделениям. Если объекты групповых политик были привязаны к сайту или домену, а также к подразделению, то для компьютеров и пользователей, которые размещены в данном подразделении, будут применяться объекты GPO, их подразделения, а также домена или сайта организации. Для того чтобы не было конфликтов параметров групповых политик, существуют приоритеты объектов GPO. Как было указано во второй части статьи, в консоли управления групповой политики, приоритеты объектов GPO отображаются в виде номера, причем, чем меньше значение объекта групповой политики, тем выше его приоритет. Объекты с самым высоким приоритетом имеют преимущества над остальными объектами. Параметры групповых политик унаследованы от верхнего уровня контейнеров до более низкого и, обычно, они применяются при включении компьютера и входа пользователем в систему в следующем порядке:
- Локальные объекты групповой политики. Эти политики применяются самыми первыми. Они расположены на локальном компьютере;
- Объекты групповой политики, назначенные на уровне сайта. После локальных объектов групповых политик применяются объекты групповой политики, которые расположены на сайте Active Directory.
- Объекты групповой политики, назначенные на уровне домена. Далее обрабатываются объекты групповой политики, которые расположены на уровне домена Active Directory.
- Объекты групповой политики, назначенные на уровне подразделения. Последними выполняются объекты GPO, которые расположены в подразделениях. Если были указаны параметры политик в объектах с более низкими приоритетами, которые отличаются от параметров в подразделениях, то в последнюю очередь применяются именно те политики, которые расположены на этом уровне. Если существуют дочерние подразделения, то приоритет таких подразделений будет превалировать над объектами GPO предшествующего подразделения.
При запуске компьютера и входе пользователя в систему, клиент групповой политики, прежде всего, анализирует расположение клиента в домене Active Directory и оценивает объекты групповых политик, в область действия которых попадает данный пользователь. Наследованием политики называется результат вышеуказанного применения объектов групповой политики.
Предположим, что в вашей организации к домену привязаны два объекта групповой политики и к подразделению «Группы» привязано три объекта. Изменить порядок приоритетов объектов GPO вы можете следующим образом:
- Откройте консоль «Управление групповой политикой»;
- В дереве консоли разверните узел «Управление групповой политикой», затем разверните узел леса, узел «Домены» и выберите свой домен, для которого будете изменять порядок приоритетов;
- На вкладке «Связанные объекты групповой политики» выделите объект, приоритет которого планируете изменить и нажмите на кнопку «Переместить связь вверх» для перемещения объекта на один уровень вверх или на кнопку «Переместить связь на первое место», соответственно для того, чтобы данному объекту GPO назначить наивысший приоритет;
Рис. 1. Изменение приоритета объекта групповой политики - Перейдите к контейнеру «Группы». В этом примере, непосредственно в данном контейнере расположены три объекта GPO, причем связь для одного из них отключена. Для проверки наследования групповой политики для этого контейнера, перейдите на вкладку «Наследование групповой политики», как показано ниже:
Рис. 2. Наследование групповой политики для контейнера «Группы» - Судя по предыдущей иллюстрации, с подразделением и доменом связывается множество объектов GPO, и самыми последними будут применяться параметры объекта GPO «Политика аудита», которая размещена в контейнере «Группы». В случае с множеством объектов групповой политики приоритет определяется порядком ссылок. Изменим порядок ссылок данного контейнера. Для этого перейдите на вкладку «Связанные объекты групповой политики» и переместите связь политики «Права для группы отладчиков» на первое место;
- Вернувшись на вкладку «Наследование групповой политики» вы обнаружите, что приоритет объектов GPO изменился.
При помощи консоли управления групповыми политиками вы можете запретить все наследования параметров политики для указанного домена или подразделения. Реализовать такой запрет можно при помощи команды «Блокировать наследования», которая блокирует все объекты групповой политики (GPO), связанные с сайтами, доменами или подразделениями родительского уровня от автоматического наследования на дочернем уровне. При блокировании наследования, скажем, подразделения, в этом подразделении применение политик будет начинаться непосредственно с данного подразделения. Но нужно учесть, что связи GPO, установленные принудительно невозможно заблокировать из родительского контейнера. Об использовании принудительных связей объектов групповых политик вы можете ознакомиться во второй части статьи «Управление групповыми политиками в организации». Узел с блокированным наследованием отображается в дереве консоли со значком синего круга с белым восклицательным знаком, как показано ниже:
Рис. 3. Подразделение с блокированным наследованием
Управление разрешениями
Обычно, в подразделениях Active Directory расположено несколько групп или пользователей. Как известно, объект групповой политики вы можете связывать только с подразделениями, доменами или сайтами. Но что же делать, если вам нужно в область действия объекта GPO привязать только одну или несколько групп? Для выполнения подобных операций вам нужно фильтровать объекты GPO, чтобы его параметры применялись только к указанным пользователям или компьютерам.
Для определения разрешения доступа, при создании объекта GPO, для каждого объекта групповой политики создается индивидуальный список контроля доступа (Access Control List — SCL). В списке ACL, для применения параметров групповых политик достаточно, чтобы было только два разрешения – «чтение» и «применение групповой политики». Областью действия по умолчанию для каждого объекта GPO является группа «Прошедшие проверку» и, в связи с тем, что в эту группу входят все пользователи, расположенные в указанном контейнере, именно все пользователи и попадут под область действия объектов групповых политик, что почти во всех случаях неприемлемо. Чтобы вы могли выбрать пользователей и группы, для которых будут применяться параметры объектов GPO, консоль управления групповыми политиками предоставляет средства фильтрации области действия GPO.
Для изменения области действия объекта GPO «Права для группы отладчиков», выполните следующие действия:
- В дереве консоли оснастки «Управление групповой политикой» выберите подразделение «Группы», к которой привязан объект «Права для группы отладчиков»;
- Перейдите на вкладку «Область» и в секции «Фильтры безопасности» выберите группу «Прошедшие проверку». Нажмите на кнопку «Удалить», как показано на следующей иллюстрации:
Рис. 4. Удаление группы «Прошедшие проверки» из области действия GPO - Нажмите на кнопку «Добавить» и в диалоговом окне поиска объекта выберите группу «Отладчики».
Делегирование разрешений
Убрав из вкладки «Область» группу «Прошедшие проверку», вы тем самым не исключаете все группы от области применения объекта групповых политик. Для создания запретов на применение параметров политик существует вкладка «Делегирование».
По определению, делегирование — это такая организация работы, при которой руководитель распределяет между подчиненными конкретные задания. То есть, другими словами, делегирование является управлением и в групповых политиках это понятие не является исключением. Консоль «Управление групповой политикой» позволяет применять делегирование для объектов групповой политики, контейнеров и доменов, фильтров WMI и начальных объектов групповой политики. В этой статье мы рассмотрим делегирование только для объектов групповых политик, подразделений и доменов, так как фильтры WMI и начальные объекты групповых политик будут рассматриваться в отдельных статьях.
Делегирование разрешений для объектов групповой политики
Для расширенного управления разрешениями групповых политик, выберите объект групповой политики и перейдите на вкладку «Делегирование». Как видно на следующей иллюстрации, объект групповой политики «Права для группы отладчиков» связан с пятью группами. Если вы выберите любую группу и нажмете на кнопку «Дополнительно», то сможете просмотреть разрешения для выбранной группы. В диалоговом окне «Параметры безопасности %Имя группы%» вы можете указать разрешения для каждой группы, включая группу СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ, которая не отображена на вкладке «Делегирование». Для того чтобы разрешить или запретить указанное разрешение для выбранной группы – установите флажок в нужном для вас столбце.
Рис. 5. Делегирование для объекта групповой политикой
Например, выбрав группу «Администраторы домена», вы можете обратить внимание на то, что помимо стандартного набора разрешений, для нее ее применяются «Особые разрешения». Чтобы узнать за что отвечают эти разрешения нажмите на кнопку «Дополнительно», в диалоговом окне «Дополнительные параметры безопасности» выберите еще раз эту группу и нажмите на кнопку «Изменить».
В диалоговом окне «Элемент разрешения» вы можете просмотреть все разрешения для объектов и свойств данной группы.
Рис. 6. Диалоговое окно «Элементы разрешения» для группы «Администраторы домена»
Также на вкладке «Делегирование» вы можете добавить новую группу или удалить существующую.
Делегирование разрешений для подразделений и доменов
Перейдя на вкладку «Делегирование» для подразделения или домена, вы сможете управлять разрешениями для связанных с данным контейнером объектов GPO, анализа моделирования групповых политик, а также для чтения результирующих данных групповой политики. Для того чтобы выбрать область разрешений, выберите контейнер, перейдите на вкладку «Делегирование» и в раскрывающемся списке «Разрешение», выберите необходимую область разрешений.
Анализ моделирования групповой политики. При помощи разрешений для этой области вы можете указать разрешения для групп, которые имеют отношение к использованию функционала «Моделирование групповой политики».
Рис. 7. Делегирование для анализа моделирования групповой политикой
Также как и с объектами групповой политики, вы можете добавлять новые группы, удалять существующие, а также просматривать и изменять любые разрешения для групп по нажатию на кнопку «Дополнительно». Необходимо учесть, что вы не можете делегировать разрешение на выполнение анализа групповой политики сайту. Об использовании мастера моделирования групповой политики вы узнаете в одной из следующих статей.
Связанные объекты GPO. Эта область разрешений предназначена для указания полномочий, которые распространяются на связанные объекты групповой политики. Здесь вы можете выполнять такие же действия, как в предыдущих случая, но нужно учесть тот факт, что у вас не получится удалить группы и пользователей, наследующих разрешения родительских контейнеров.
Чтение результирующих данных групповой политики. Сам по себе, функционал результирующей групповой политики (RSoP) предоставляет результат применения объектов GPO пользователю или компьютеру с учетом связей GPO, исключений, а также фильтров безопасности и WMI. Данный объект разрешений позволяет настроить разрешения для групп, имеющих доступ на использование данного функционала.
Заключение
В данной статье вы узнали о приоритетах, наследовании и делегировании объектов групповой политики. Подробным образом были рассмотрены приоритеты и порядок ссылок объектов групповых политик и их наследование. Вы узнали об управлении разрешениями областью действий объектов групповых политик при помощи секции «Фильтры безопасности» вкладами «Область» объектов групповых политик, а также о делегировании разрешений групповых политик. В последующих статьях вы узнаете о фильтрации WMI, начальных объектах групповых политик, моделировании групповой политики, результирующей политики и о многом другом.
Инструкция по работе с групповыми политиками Active Directory
В статье описана краткая информация о групповых политиках Active Directory и пример работы с ними на виртуальном сервере с операционной системой Windows Server.
Что такое групповые политики и зачем они нужны?
Групповая политика — это инструмент, доступный для администраторов, работающих с архитектурой Active Directory. Он позволяет централизованно управлять настройками на клиентских компьютерах и серверах, подключенных к домену, а также обеспечивает простой способ распространения программного обеспечения.
Групповые политики позволяют настраивать параметры для определенного набора пользователей или компьютеров внутри домена Active Directory. Также позволяют указать политики в одном месте для группы и применить к целевому набору пользователей.
Например, можно обеспечить применение стандартного набора настроек и конфигураций для групп пользователей или компьютеров в домене или по запросу. Во всех компаниях как правило есть различные отделы, например отдел системных администраторов, разработчиков, дизайнеров, каждому из отдела необходим свой стандартный набор программного обеспечения, их рабочие компьютеры должны быть сконфигурированы под специальные задачи и нужды. С помощью групповых политик можно создать наборы настроек для конкретных групп пользователей в домене. С помощью Active Directory GPO можно установить и управлять отдельными унифицированными наборами настроек, конкретно для дизайнеров или разработчиков.
Конфигурации для компьютеров или пользователей проще и эффективнее, т.к. расположены в одном месте и не требуют повтора на каждом компьютере.
Компоненты GPO
Существует два компонента групповых политик — серверный компонент и клиентский, т.е. данная структура относится к архитектуре “клиент-сервер”.
Серверный компонент — оснастка Microsoft Management Console (MMC), которая используется для указания настроек групповой политики. MMC может быть использована для создания политик для контроля и управления административными шаблонами и настройками безопасности (скрипты, установка ПО и прочее). Каждый из них называется расширением и в свою очередь каждый из них имеет дочернее расширение, которое разрешает добавление новых компонентов или обновление существующих без возможности затронуть или подвергнуть риску всю политику.
Клиентский компонент интерпретирует и применяет настройки групповой политики для компьютеров пользователей или целевым пользователям. Клиентские расширения — это компоненты, которые запущены на пользовательской системе и несут ответственность за интерпретацию обработки и применения в объекты групповой политики.
Для администрирования GPO используют Group Policy Management Console (GPMC) и Group Policy Management Editor.
Сценарии использования Active Directory GPO:
- Централизованная настройка пакета программ Microsoft Office.
- Централизованная настройка управлением питанием компьютеров.
- Настройка веб-браузеров и принтеров.
- Установка и обновление ПО.
- Применение определенных правил в зависимости от местоположения пользователя.
- Централизованные настройки безопасности.
- Перенаправление каталогов в пределах домена.
- Настройка прав доступа к приложениям и системным программам.
Оснастка Управление групповыми политиками
После установки роли Active Directory Domain Service (AD DS) на контроллер домена на сервере появится оснастка Group Policy Management. Для того, чтобы ее открыть нажмите комбинацию клавиш Win+R и в открывшемся окне введите:
gpmc.msc
Нажмите OK.
Если оснастку не удается открыть, то возможно по определенным причинам она не установлена. Установить ее можно через стандартное меню Add roles and features в диспетчере сервера, выбрав компонент Group Policy Management.
Оснастка выглядит следующим образом:
Создание объектов групповой политики
Для создания объекта групповой политики перейдите во вкладку Forest -> Domains -> <Ваш домен> -> Group Policy Objects. С помощью правой кнопки мыши откройте меню и выберете New.
В открывшемся окне в поле Name введите удобное для вас имя групповой политики.
После этого вы увидите созданный объект в списке.
Теперь необходимо настроить созданный объект под конкретные задачи. в качестве примера удалим ссылку Games из меню Start. Для это с помощью правой кнопки мыши откройте меню объекта и выберете пункт Edit.
В редакторе групповых политик перейдите по иерархии User Configuration -> Policies -> Administrative Templates -> Start Menu and Taskbar. Найдите опцию Remove Games link from Start Menu и в контекстном меню выберете пункт Edit.
В открывшемся окне отметьте Enable для включения правила и при необходимости напишите комментарий. Нажмите OK для сохранения изменений.
На этом создание объекта групповой политики закончено.
Поиск объектов групповой политики
Как правило в корпоративных средах большое количество объектов GPO, чтобы было проще найти нужный, оснастка обладает встроенным поиском. Для этого выберете ваш лес и в контекстном меню кликните Search.
Открывшееся окно поиска интуитивно понятно для работы. В первую очередь выберете конкретный домен для поиска, также можно производить поиск во всех доменах сразу. Далее выберете нужный пункт поиска, задайте условие и значение. В примере ниже производился поиск объектов групповой политики, в которых встречается слово Default.
Удаление объекта групповой политики
Если экземпляр GPO больше не нужен, его можно удалить. Выберете объект для удаления и с помощью правой кнопки мыши выберете опцию Delete.
P. S. Другие инструкции:
Ознакомиться с другими инструкциями вы можете на нашем сайте. А чтобы попробовать услугу — кликните на кнопку ниже.
Спасибо за Вашу оценку! К сожалению, проголосовать не получилось. Попробуйте позже
Групповая политика, расширенное управление групповыми политиками (AGPM) и Internet Explorer 11 (Internet Explorer 11 для ИТ-специалистов) — Internet Explorer
- Чтение занимает 2 мин
В этой статье
Важно!
15 июня 2022 г. настольное приложение Internet Explorer 11 будет снято с службы поддержки. Список того, что имеется в области, см. в faq. Те же приложения и сайты IE11, которые вы используете сегодня, можно открывать в Microsoft Edge в режиме Internet Explorer. Более подробную информацию см. здесь.
Расширенное управление групповыми политиками (AGPM) представляет лицензию надстройки, доступную для пакета Microsoft Desktop Optimization Pack (MDOP). Эта лицензия позволяет изменять модель управления и назначения ролей, что помогает оптимизировать управление групповой политикой и понизить риск крупномасштабных сбоев.
AGPM позволяет:
Изменение объектов групповой политики вне вашей рабочей среды. Объекты групповой политики хранятся во внешнем архиве в целях редактирования, проверки и утверждения. Затем при развертывании AGPM перемещает объекты групповой политики в рабочую среду.
Назначение ролей для сотрудников. Вы можете назначать сотрудникам или группам 3 роли.
Рецензент. Может просматривать и сравнивать объекты групповой политики в архиве. Эта роль не позволяет изменять или развертывать объекты групповой политики.
Редактор. Может просматривать, сравнивать, отмечать и снимать отметку и изменять объекты групповой политики в архиве. Эта роль позволяет также запрашивать развертывание объектов групповой политики.
Утверждающий. Может утверждать создание и развертывание объектов групповой политики в рабочей среде.
Управление жизненным циклом объектов групповой политики с помощью функций управления изменениями. С помощью функций управления доступными версиями, журнала и аудита вы сможете управлять своими объектами групповой политики, начиная от перемещения файлов в архиве и редактирования, и заканчивая развертыванием объектов групповой политики.
Примечание
Чтобы узнать больше о расширенном управлении групповыми политиками и получить лицензию, см. Документацию по расширенному управлению групповыми политиками (версия 4.0).
Инструкция по групповым политикам Active Drirectory
Групповые политики Windows являются неотъемлемой частью администрирования Windows-систем. Рассмотрим примеры работы с этим инструментом на VDS под управлением ОС семейства Windows Server.
Для чего необходимы групповые политики
Говоря простым языком, Групповая политика — это инструмент архитектуры Active Directory, который позволяет управлять настройками серверов и рабочих терминалов, подключенных к домену, централизованно. Также, с помощью групповых политик достаточно просто распространить программное обеспечение. Администратор может указать политики для группы в одном месте, а затем применить их к целевой группе пользователей.
Во многих компаниях, как правило, применяется деление на отделы: отдел кадров, бухгалтерия, юристы, отдел системного администрирования. Предположим, что каждому отделу необходим собственный минимальный набор программного обеспечения, а рабочие станции должны быть настроены для конкретных нужд и под конкретные задачи. Благодаря групповым политикам появляется возможность создать настройки для конкретных групп пользователей в домене. При помощи Active Directory GPO администратор может устанавливать и управлять стандартизированными наборами настроек, конкретно для бухгалтерии или отдела кадров.
Настроить рабочие места (компьютеров и пользователей) проще и эффективнее потому что расположены по тому что располагаются централизованно и требуют дублирования на каждом ПК.
Компоненты GPO
Выделяют два компонента групповых политик — клиентский и серверный, т.е. формируется структура “клиент-сервер”.
Серверный компонент представляет оснастка MMC (Microsoft Management Console), предназначенная для настройки групповой политики. MMC можно использовать для создания политик, а также для контроля и управления административными шаблонами, настройками безопасности (установка ПО, скрипты и т.п.). Обобщенное название “возможностей” называется расширением. Каждое расширение может иметь дочернее расширение, которое разрешает добавление новых или удаление старых компонентов, а также их обновление.
Клиентский компонент получает и применяет настройки групповой политики. Клиентские расширения являются компонентами запускаемыми на клиентской ОС, которые отвечают за интерпретацию и обработку объектов групповой политики.
Для администрирования GPO используют оснастки MMC — Group Policy Management Console (GPMC) и Group Policy Management Editor.
Сценарии использования Active Directory GPO:
- Централизованная настройка пакета программ Microsoft Office.
- Централизованная настройка управлением питанием компьютеров.
- Настройка веб-браузеров и принтеров.
- Установка и обновление ПО.
- Применение определенных правил в зависимости от местоположения пользователя.
- Централизованные настройки безопасности.
- Перенаправление каталогов в пределах домена.
- Настройка прав доступа к приложениям и системным программам.
Оснастка управления групповыми политиками
Сперва следует установить роль сервера Active Directory Domain Service (AD DS) на контроллер домена. После этого будет доступна оснастка Group Policy Management, для ее запуска вызываем окно “Выполнить” (Windows + R). В открывшемся окне вводим команду:
gpmc.msc
И нажимаем “OK”.
Возможно оснастка не сможет открыться т.к. не была установлена ранее. Исправим это.
Открываем диспетчер серверов и выбираем установку ролей и компонентов.
На этапе выбора типа установки, отметим параметр “Установка ролей и компонентов”. Кликаем по кнопке “Далее”.
Так как установка выполняется для текущего сервера — нажимаем “Далее”.
Установку серверных ролей пропускаем нажатием на кнопку “Далее”.
На этапе выбора компонентов отметим галкой “Управление групповой политикой”. Кликаем по кнопке “Далее”.
Завершаем установку компонентов как обычно.
Окно оснастки управления групповой политикой выглядит так:
Создание объектов групповой политики
Добавим новый объект групповой политики. В левой части, проследуем по пути: Лес → Домены → <Ваш Домен> → Объекты групповой политики.
В правой части окна, кликаем правой кнопкой мыши в свободном месте. В открывшемся контекстном меню, выбираем “Создать”.
В открывшемся окне, вводим имя новой политики. Нажимаем “OK”.
Добавленный объект появится в общем списке:
Настроим созданный объект
Для настройки нового объекта кликаем по нему правой кнопкой мыши. В контектстном меню выбираем “Изменить”.
Откроется окно редактора управления групповыми политиками. Займемся “полезным” делом — удалим папку со стандартными играми из меню Пуск. Для этого, в меню слева проследуем по пути Конфигурация пользователя Конфигурация пользователя → Политики → Административные шаблоны: получены определения политик (ADMX-файлы) с локального компьютера → Меню “Пуск” и панель задач.
В правой части окна найдем параметр “Удалить ссылку “Игры” из меню “Пуск””. Для удобства поиска можно воспользоваться сортировкой по имени, вверху окна.
Кликаем по этому параметру правой кнопкой мыши, выбираем “Изменить”.
В открывшемся окне изменим состояние на “Включено”. В поле комментария рекомендуем не игнорировать. Для завершения настройки нажимаем “OK”.
Создание объектов можно считать оконченным.
Поиск объектов
В корпоративных средах, как правило, создается большое количество объектов GPO. Хорошо было бы уметь находить нужный объект. У консоли есть данный функционал. Для этого, в левой части окна кликаем правой кнопкой мыши по лесу. В открывшемся меню выбираем “Найти…”
В открывшемся окне выбираем в каком домене выполнять поиск. Можно выполнить поиск и по всем доменам, но это может занять продолжительное время.
Попробуем найти созданный ранее объект.
В поле “Элемент поиска” из выпадающего списка выбираем “Имя объекта групповой политики”. В условии оставляем вариант “Содержит”. В “Значение“ указываем имя созданной ранее политики. Именно по этой причине следует создавать понятные имена политик. Нажимаем кнопку “Добавить”.
Критерии поиска заданы. нажимаем кнопку “Найти” и просматриваем результаты поиска.
Удаление объекта групповой политики
Если в объекте GPO пропадает необходимость, будет лучше его удалить. Кликаем по созданному объекту правой кнопкой мыши, в контекстном меню выбираем “Удалить”. Если уверены в своем решении, на вопрос подтверждения отвечаем “Да”.
Средняя оценка: 5.0 Оценили: 1
191028 Санкт-Петербург Литейный пр. , д. 26, Лит. А
+7 (812) 403-06-99 700 300 ООО «ИТГЛОБАЛКОМ ЛАБС»191028 Санкт-Петербург Литейный пр., д. 26, Лит. А
+7 (812) 403-06-99 700 300 ООО «ИТГЛОБАЛКОМ ЛАБС» 700 300Поиск объектов GPO без связей к организационным подразделениям
Обновлено 25.11.2019
Добрый день! Уважаемые системные администраторы и гости одного из крупнейших IT блогов России Pyztilistnik.org. В прошлый раз мы с вами разбирали проблему с размером токена MaxTokenSize и решили проблему с доступом на сервис IIS. В сегодняшней публикации я хотел бы вернуться к обсуждению одного из важнейших инструментов AD по массовому управлению инфраструктурой, к групповым политикам. Когда у вас организация не очень большая, то количество политик (Объектов GPO) может быть маленьким, но когда компания разрастается и ее структура Active Directory с организационными подразделениями становится заметной, вы можете столкнуться с ситуацией, что среди ваших объектов групповой политики есть те, которые ни к кому не присоединены и не используются. Может встать вопрос, о их необходимости, лично я всегда придерживаюсь правила, что не используется лучше удалить или убрать в архив. В сегодняшней статье я вас научу искать политики GPO, которые не имеют связей с OU и не используются в вашей инфраструктуре.
Постановка задачи
Научиться быстро находить ненужные групповые политики, которые не используются и не присоединены ни к одному организационному подразделению. В итоге мы сможем уменьшить количество GPO, уменьшить размер папки Sysvol, для больших организаций со слабыми каналами, уменьшение объема этой папки, уменьшит время репликации. На выходе получаем оптимизированную базу GPO объектов.
Методы поиска несвязанных объектов групповой политики
Объекты групповой политики (GPO) идеально подходят для настройки различных элементов конфигурации на большом количестве устройств в домене Active Directory. Один объект групповой политики может обеспечить изменение на всех устройствах в домене за несколько минут. Объекты групповой политики — отличный способ массового управления системами из одного места, но со временем вы можете получить сотни или даже тысячи таких объектов. Для оптимизации объектов GPO мы научимся использовать PowerShell для отображения привязки объектов групповой политики к подразделениям в Active Directory.
Несвязанные объекты групповой политики — это те объекты групповой политики, которые больше не применимы к компьютерам или пользователям. Поскольку объекты GPO должны быть связаны с одним или несколькими подразделениями для применения изменений конфигурации, объекты GPO, которые не связаны с одним подразделением, вообще не имеют никакого эффекта. Чтобы поддерживать Active Directory в чистоте, важно обнаруживать и удалять эти объекты групповой политики, если они больше не нужны. К сожалению, нет хорошего способа сделать это через консоль управления групповыми политиками, но мы можем реализовать это с помощью PowerShell и модуля Active Directory.
Когда вы откроете оснастку «управление групповой политикой», лучше всего, это сделать через окно «Выполнить» gpmc.msc и посмотрите список всех ваших объектов GPO, то обнаружите, что при выборе всего списка вы не видите столбца отображающего наличие линка с каким-то OU в AD. Обходить каждую политику не очень удобно и долго.
В моем примере есть десяток объектов GPO, визуально я вижу, что меня на уровне домена используются две политики «Default Domain Policy» и «Добавление прав DHCP». Давайте посмотрим какие атрибуты есть у них. Для этого запустите оболочку PowerShell и введите команду:
get-gpo -Name «Добавление прав DHCP»
Вы получите список атрибутов, которые есть у политики, к сожалению тут нет такого, который бы мог вам сказать, есть ли у него связь с организационным подразделением или сайтов Active Directory.
Чтобы получить нужную информацию, вам потребуется воспользоваться командлетом Get-GPOReport, но перед этим вы должны знать имя или GUID политики. Get-GPOReport — это командлет, который создает отчет в формате XML или HTML, он описывает свойства и параметры политики для определенного объекта групповой политики (GPO) или для всех объектов групповой политики в домене. Информация, сообщаемая для каждого объекта групповой политики, включает: сведения, ссылки, фильтрацию безопасности, фильтрацию инструментария управления Windows (WMI), делегирование, а также конфигурации компьютеров и пользователей.
Можно указать параметр «All» для создания отчета для каждого объекта групповой политики в домене или указать параметр «Имя» или «Guid» для создания отчета по объекту групповой политики. Вы также можете передать объекты GPO в этот командлет. Если вы указываете файл через параметр Path , отчет записывается в файл; в противном случае он выводится на дисплей.
Get-GPOReport -Guid 13EA95D5-1418-46A1-9009-038C79E80FFD -ReportType xml -Path C:\Scripts\gporeport.xmlили
Get-GPOReport -Guid 13EA95D5-1418-46A1-9009-038C79E80FFD -ReportType html -Path C:\Scripts\gporeport.html
В итоге в нужной папке у меня создались файлы отчета.
Вот так вот выглядит отчет в формате HTML, тут видно, что есть раздел «Ссылки» и в нем присутствует, что мой объект GPO присоединен к домену root по пути root.pyatilistnik.org.
Если посмотреть файл в формате XML, то тут будет интересный раздел <linksTo>, в котором так же будет присутствовать имя OU или домена куда прилинкована групповая политики, вы это увидите в поле <SOMName>. В поле <SOMPath> вы увидите путь, чуть ниже статус включена или нет.
Дополнительные сведения по Get-GPOReport https://docs.microsoft.com/en-us/powershell/module/grouppolicy/get-gporeport?view=win10-ps
Логично предположить, что если у самого объекта групповой политики нет атрибутов, которые бы имели информацию, к кому они присоединены, то нужно ее искать на объектах присоединения. В моем примере, это будет корень домена, но так же может быть и сайт или организационное подразделение. Откройте редактор атрибутов ADSIEdit или оснастку ADUC. Откройте свойства объекта, я это делаю через оснастку «Пользователи и компьютеры», которая имеет вкладку «Редактор атрибутов». Тут вам нужно найти атрибут gPLink.
gPLink — это атрибут, сортированный список параметров групповой политики. Каждый вариант является DWORD. Значение указывает на расположение GPC в Active Directory. GPLink — хранится в Active Directory на объекте, с которым связан объект групповой политики.
- Когда объект групповой политики связывается с подразделением, атрибут GPlink объекта подразделения обновляется
- Если объект групповой политики связан с доменом или объектом OU, GPLINK реплицируется по всему домену (с разделом домена).
- Если объект групповой политики связан с объектом сайта, он реплицируется по всему лесу (с разделом конфигурации). Когда объект групповой политики связывается с сайтом, атрибут GPLink объекта SITE OBJECT обновляется. Объект сайта хранится в «Configuration\Sites» — это важно, потому что, в отличие от раздела домена, все контроллеры домена в лесу имеют копию раздела конфигурации.
Вот строка из редактора атрибутов на нужном объекте, как видно содержится LDAP ссылка
[LDAP://cn={13EA95D5-1418-46A1-9009-038C79E80FFD},cn=policies,cn=system,DC=root,DC=pyatilistnik,DC=org;0]
GUID 13EA95D5-1418-46A1-9009-038C79E80FFD соответствует политике «Добавление прав DHCP».
Зная, о существовании атрибута gPLink и командлете Get-GPOReport, мы можем воспользоваться данной связкой, чтобы получить нужные нам данные. Предполагая, что вы подключены к компьютеру с Active Directory с соответствующими правами и у вас установлен модуль ActiveDirectory, вам сначала нужно найти все ссылки на объекты групповой политики в среде Active Directory. Для этого используйте Get-GPO командлет с параметром All.
Как только у вас есть все объекты групповой политики, назначенные для переменной $gpos, вы можете приступить к изучению каждой из них. Для этого вы будете использовать цикл foreach. Поскольку выходные объекты Get-Gpo не имеют свойства, позволяющего определить, с каким подразделением они связаны, вы вынуждены использовать другой вызываемый командлет Get-GPOReport. Используйте свойство ID для каждого представленного объекта $gpo.ID и передайте его командлету Get-GPOReport.
Так как вам нужно будет еще немного изучить вывод Get-GPOReport, обязательно выведите отчет в формате XML. Это позволяет легко ссылаться на свойства переменной $gpoReport. Обратите внимание, что я приведу $gpoReport к формату XML. Это позволит вам ссылаться на различные узлы внутри XML, а не анализировать его как строку.
foreach ($gpo in $gpos) {
[xml]$gpoReport = Get-GPOReport -Guid $gpo.ID -ReportType xml
}
Теперь у вас есть код для создания отчета о GPO XML для каждого объекта GPO. На этом этапе проверьте свойство GPO.LinksTo для каждого, $gpoReport, чтобы определить, является ли оно нулевым или нет. Если оно нулевое, то это означает, что OU не было связано с ним. Зная это, вы можете включать только те объекты групповой политики, которые не связаны с OU, с помощью простого условия if/then.
$gpos = Get-Gpo -All
foreach ($gpo in $gpos) {
[xml]$gpoReport = Get-GPOReport -Guid $gpo.ID -ReportType xml
if (-not $gpoReport.GPO.LinksTo) {
$gpo.DisplayName
}
}
Этот цикл foreach теперь проверяет каждый объект групповой политики в среде Active Directory, получает отчет в формате XML, проверяет соответствующее свойство в отчете XML и, если в этом свойстве не определено подразделение, выводит имя объекта групповой политики. Но это еще не все, вы можете пойти еще дальше и воспользоваться прекрасным скриптом gPLinkReport 1.2. Чтобы установить скрипт из интернета можете выполнить команду или скачать его у меня:
Install-Script -Name gPLinkReport
Хочу напомнить, что у вас должен быть загружен и установлен модуль PowerShell для Active Directory. Примеры выполнения команд со скриптом:
.\gPLinkReport.ps1 | Out-GridView (Выведет графическую таблицу)
.\gPLinkReport.ps1 | Export-Csv -Path .\GPLinkReport.csv -NoTypeInformation (Экспортирует данные в файл)
В итоге у вас получиться вот такая удобная таблица, вам будет интересен столбец «CannonicalName» и те групповые политики, кто не имеет никаких связей с объектами AD будут иметь статус _GPO_NOT_LINKED.
Вот такими методами мы легко выяснили, какие из групповых политик у вас просто простаивают, а какие нет. На этом у меня все, с вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.
оснастке управление групповой политикой — Управление групповыми политиками Active Directory (AD GPO) – Profile – Ask Imam
оснастке управление групповой политикой
Для просмотра нажмите на картинку
Читать далее
Смотреть видео
оснастке управление групповой политикой
Оснастка «Редактор локальной групповой политики». Часть 1
6.1. Управление с помощью групповых политик
Документация по устранению неполадок групповой политики для Windows Server
Редактор локальной групповой политики. Оснастка gpedit.msc
Настройка групповой политики на Windows Server 2016
Управление групповыми политиками Active Directory (AD GPO)
Управление групповой политикой в организации. Часть 1 – введение в работу с оснасткой GPMC
8 параметров групповой политики Windows, которые должен знать каждый администратор
Как открыть редактор локальной групповой политики в Windows 10.
Групповые политики Active Drirectory
Освежаем память
Здесь можно обойтись флюорокарбоном. Она должна быть максимально тонкой, но прочной и под рукой у вас всегда должен быть подсачек. Преимуществом такого способа прикрепления поводка является не только его простота, но и быстрота выполнения. К веревке крепится подвижное свинцовое кольцо. К морю чуть заметная тропа.
Дискуссия будет затруднена и в том случае, когда концептуальные каркасы, используемые различными ее участниками, имеют мало общего между собой, но она будет тем легче, чем больше будет область совпадения этих каркасов. Какая девушка не мечтает о красивой свадьбе.
Чтобы спастись, она должна разгадать секреты магических вещей, творящихся в заведении. Если не переборщили с красным перцем, то крылышки в духовке по данному рецепту понравятся и всем остальным. Отдельные модели укомплектованы контрольными манометрами. Мотор весьма надежный, компактный и не слишком тяжелый для своей мощности.
Берегите всех зверят внутри природы. Очень важно подобрать такую скорость проводки чтобы приманка почти всегда находилась в верхнем шаре воды и лишь иногда выпрыгивала на поверхность. После заброса снасти леску продеваем в специальное углубление под специальный ролик и отпускаете фрикцион катушки все.
Оснастка управления групповыми политиками. Сперва следует установить роль сервера Active Directory Domain Service (AD DS) на контроллер домена. После этого будет доступна оснастка Group Policy Management, для ее запуска вызываем окно “Выполнить” (Windows + R). В открывшемся окне вводим команду: Возможно оснастка не сможет открыться т. к. не была установлена ранее. На этапе выбора компонентов отметим галкой “Управление групповой политикой”. Кликаем по кнопке “Далее”. Завершаем установку компонентов как обычно. Окно оснастки управления групповой политикой выглядит так: Создание объектов групповой политики. Добавим новый объект групповой политики.
Для управления локальными объектами групповых политик в операционных системах Windows используется оснастка консоли управления «Редактор локальной групповой политики». При помощи данной оснастки вы можете настраивать большинство системных компонентов и приложений. Вы можете открыть данную оснастку несколькими способами: Нажмите на кнопку «Пуск» для открытия меню, в поле поиска введите Редактор локальной групповой политики и откройте приложение.
Пошаговая инструкция по управлению групповыми политиками Active Directory и пример работы с ними на виртуальном сервере 1cloud T2M19S. Как управлять групповыми политиками Active Directory (AD GPO) true В статье описана краткая информация о групповых политиках Active Directory и пример работы с ними на виртуальном сервере с операционной системой Windows Server. Виртуальный сервер на базе Windows. Оснастка выглядит следующим образом: Создание объектов групповой политики. Для создания объекта групповой политики перейдите во вкладку Forest -> Domains -> -> Group Policy Objects.
Оснастка «Управление групповой политикой» считается стандартным средством управления групповой политикой. Оснастка «Управление групповой политикой» устанавливается на сервер вместе с ролью «Доменные службы Active Directory» (AD DS), но если у вас по какой-то причине не удается ее найти, то всегда данную оснастку можно заново установить. Для того чтобы повторно установить текущую оснастку, в «Диспетчере сервера», в узле «Сводка компонентов» перейдите по ссылке «Добавить компонент». По завершению установки закройте мастер установки.
Изменять групповые политики можно с помощью Редактора локальной групповой политики. Политики для настройки панели управления, панели задач и др. Политики для настройки антивирусной защиты Рис.2 Создание ярлыка для оснастки Редактор локальной групповой политики.
Большинство параметров групповой политики хранятся в разделах реестра, связанных с групповыми политиками.
Выполнение скрипта PowerShell через GPO. Как сделать копию GPO политики. Установка и настройка Active Directory в Windows Server
В оснастке Управление групповой политикой назначаются политики к подразделениям, а благодаря иерархической структуре можно визуально понять к какой группе относятся какая-либо политика: Групповая политика изменяется в редакторе управления групповыми политиками – для этого требуется выбрать команду Изменить в меню Действия. Можно скопировать в нее параметры уже существующей по.
Управление групповой политикой — GPMC или AGPMУправление съемными устройствами с помощью групповой политикиПроблемы, связанные с применением объектов групповой политики к.
В оснастке Управление групповыми политиками четко видна иерархическая структура политик, с помощью которой удобно назначать («привязывать», создавать линк) политики к подразделениям. Можно воспользоваться специализированными интерфейсами, которые покажут, какие параметры политики реально заданы администратором (в отличие от параметров по умолчанию). При наличии разветвленной структуры групповых политик определить, какие параметры будут применены из создаваемой политики, крайне затруднительно.
В меню Файл выберите пункт Добавить или удалить оснастку. В открывшимся диалоговом окне, дважды кликните «Редактор объектов групповой политики» и нажмите кнопку «Готово» и «ОК». Открыть редактор локальной групповой политики в Windows 10 Home.
Они не имеют механизма централизованного развертывания и управления и, по сути, не являются групповыми политиками. Групповые политики доменов.
Server R2 Active Directory управление групповыми политиками,отсутствует оснастка Group Policy Management в домене Server R2. Вот теперь совсем другое дело, с помощью данной оснастки можно видеть какие групповые политики есть, каково их назначение, моделировать работу созданных, делать бекап и восстановление также как и на системе Windows Server R2 описанных на моем блоге.
Групповая политика имеет сотни опций для управления различными функциями Windows, и выше приведены лишь некоторые из наиболее полезных. Поэтому вам следует изучить редактор групповой политики и посмотреть, нет ли в нём скрытых жемчужин.
Взятую напрокат лодку можно использовать как для рыбалки, так и для развлечений. Помпа накручивается на бутылку с трансмиссионным маслом.
В первую очередь, он дал команду осмотреться в отсеках и обследовать наружную, видимую часть корабля. Однако чересчур яркий свет может спугнуть потенциальную добычу. Он пройдет через направляющее ушко, для плавности хода можно использовать дополнительный ролик. Как и все узлы вяжутся просто так приступим для наглядности буду использовать толстую веревку и вертлюжок довольно большого размера. Сливное отверстие находится немного ниже уровня палубы, этим обеспечивается максимально удобный слив воды.
За первый год службы он весь в шрамах, но так же ловит и ловит. Поймав морского ежа нужно сразу же остричь ядовитые иглы. Как хорошо один брат, занят, второй свободен, решаем попробовать поймать рыбу там, где недавно была удача.
Лицензирование деятельности по заготовке, переработке и реализации лома черных и цветных металлов. Ниткой этой я себя завяжу, с глаз дурных исчезну. Лентяем и неучам туда дороги нет. Оцените, насколько в целом информация об организациях, оказывающих услуги в сфере социального обслуживания доступна.
Закинув удочки в речку, старик и молодой мужчина молча уставились на поплавки. Так ка другая палка у меня на ремонте на рыбалку взял эту. Поэтому наиболее информативны испытания блесен непосредственно на водоеме. На проводочных поплавочных удилищах, рассчитанных на использование инерционных катушек, первое кольцо часто располагается очень близко к рукояти. Что залить в вазовскую механику.
Управление групповой политикой — 4 шага для управления объектами групповой политики — Управление платформой Microsoft — Блоги
Насколько критична групповая политика?
Ну, а что может случиться, если ваша политика блокировки изменится и хакерам будет разрешено неограниченное количество попыток угадать пароль пользователя? Что, если стандартные закладки на всех машинах ваших пользователей перенаправлялись на вредоносные сайты? Что, если вредоносное ПО будет загружено на все контроллеры вашего домена?
Все, что нужно, чтобы воплотить эти кошмары в реальность, — это один-единственный плохой параметр в вашей групповой политике. По правде говоря, не будет преувеличением сказать, что одно неправильное изменение одного параметра — намеренное или случайное — может легко привести к утечке данных со всеми сопутствующими расходами, плохим PR, штрафами за соблюдение нормативных требований и длительным ущербом репутации вашей организации.
Несмотря на то, что эффективное управление групповой политикой критически важно для надежной безопасности Active Directory, во многих организациях ему очень не уделяют внимания. Если в вашей компании это так, ознакомьтесь с этим четырехэтапным планом, чтобы взять ситуацию под контроль.
Краткий обзор возможностей групповой политики
Групповая политикаобеспечивает централизованное управление пользователями и компьютерами в любой среде Microsoft Active Directory. Каждая группа связанных параметров называется объектом групповой политики (GPO). Вот лишь несколько примеров буквально тысячи полезных вещей, которые вы можете сделать с ними:
- Не позволяйте пользователям выбирать слишком простые пароли.
- Заблокируйте учетную запись после ввода определенного количества неверных паролей.
- Запрещает неопознанным пользователям на удаленных компьютерах подключаться к общему сетевому ресурсу.
- Предоставьте всем бизнес-пользователям стандартный набор закладок, чтобы они могли легко связаться с вашей службой поддержки или получить доступ к другим важным ресурсам.
- Ограничить доступ к определенным папкам.
- Установите одно и то же программное обеспечение на все контроллеры домена (DC).
- Отключить командную строку на машинах пользователей.
- Обеспечьте своевременное применение обновлений Windows.
Не требуется большого воображения, чтобы увидеть, как можно злоупотреблять объектами групповой политики, чтобы обойти меры безопасности и получить доступ к конфиденциальным данным.Все, что вам нужно сделать, это подумать об обратной стороне каждой из этих политик, как я сделал в моих примерах в верхней части этого сообщения в блоге. Учитывая то, как объекты групповой политики распространяют изменения в течение нескольких минут (или даже секунд), устранение ущерба во многом похоже на вскрытие чашки.
Очевидно, что крайне важно держать под строгим контролем управление групповыми политиками и объекты групповой политики. Вот четыре необходимых шага.
Шаг 1. Просмотрите все настройки GPO.
Первый шаг — получить четкое представление о вашем текущем положении.Однако подведение итогов ваших GPO может оказаться сложной задачей; в некоторых средних и крупных организациях их сотни, а иногда и тысячи развернуты в широко распределенных средах. Тем не менее, важно понимать цель и эффект каждого объекта групповой политики — что он позволяет или не позволяет происходить в вашей ИТ-экосистеме? Параметры GPO могут управлять политиками паролей, сценариями запуска и завершения работы, установкой программного обеспечения, разрешениями для файлов и реестра и многим другим.
Как правило, объекты групповой политики должны быть целенаправленными. Их следует строго разделить на «объекты групповой политики параметров компьютера» и «объекты групповой политики параметров пользователя». Следует проявлять осторожность, чтобы избежать наличия объектов групповой политики, которые применяют пользовательские настройки только к пользователям на определенных компьютерах. Устанавливая четкую и хорошо структурированную групповую политику, вы уменьшаете как поверхность атаки, так и вероятность ошибок.
Шаг 2. Проверьте делегирование разрешений GPO.
Далее вам необходимо понять, кто имеет возможность создавать, изменять и удалять объекты групповой политики в вашей среде. Во-первых, сюда входят все администраторы домена и администраторы предприятия.Но большинство организаций делегируют разрешения GPO и многим другим администраторам. Например, может иметь смысл дать вашей группе серверов возможность управлять определенными объектами групповой политики, а группе настольных компьютеров — управлять другими.
Однако делегирование сопряжено с риском. Любой администратор может намеренно или случайно внести неправильные изменения в объекты групповой политики, на изменение которых у него есть разрешение. И злоумышленник, который скомпрометирует учетную запись одного из этих администраторов, может создать бэкдоры, запустить вредоносный код или добавить учетную запись домена в группу RDP — и это лишь некоторые из своих возможностей.
Чтобы контролировать, какие учетные записи могут изменять вашу групповую политику, вам необходимо реализовать регулярную аттестацию делегирования разрешений GPO.
Кроме того, важно ограничить разрешения для двух встроенных объектов групповой политики, политики домена по умолчанию и политики контроллеров домена по умолчанию. Они часто становятся целью злоумышленников, потому что по умолчанию в каждом домене AD используются один и тот же GUID, и они влияют на ВСЕ: права пользователей, локальные параметры безопасности, политику паролей, политику блокировки учетных записей, доступ к сети и безопасность и многое другое. Поскольку в этих объектах групповой политики назначено множество прав, злоумышленнику не нужно пытаться связать вредоносный объект групповой политики; они могут просто использовать один из этих двух существующих объектов групповой политики. Вот почему рекомендуется накладывать более строгие объекты групповой политики поверх этих объектов групповой политики по умолчанию, чтобы вы могли ограничить пути эскалации для администраторов, таких как операторы сервера, операторы резервного копирования и операторы печати.
Шаг 3. Проверьте связывание GPO.
GPO не действует, пока не будет связан с контейнером Active Directory, например сайтом, доменом или подразделением (OU).Определение того, где именно GPO необходимо для понимания воздействия политики. Например, если хакер компрометирует учетную запись создателя GPO для GPO, связанного с DC, то теперь этот злоумышленник владеет этим DC и может создавать и изменять GPO, чтобы разрешить установку вредоносного ПО.
Регулярно просматривая связывание GPO, вы можете уменьшить поверхность для атаки. Лучшие практики рекомендуют размещать ссылки как можно ближе к намеченной цели. Такой подход снижает сложность управления групповой политикой, ограничивает влияние случайных или злонамеренных изменений и снижает задержку, устраняя необходимость для каждого клиента фильтровать группу объектов групповой политики, чтобы определить, какие из них применимы.
Шаг 4. Внедрение управления изменениями на основе утверждения.
Собственные изменения GPO вступают в силу, как только окно закрывается — нет даже кнопки «Применить». Это угроза безопасности, которая также делает организации уязвимыми для простых административных ошибок, которые могут иметь разрушительные последствия. Поэтому очень важно внедрить процесс контроля изменений на основе утверждения.
В частности, вам необходимо настроить автоматический рабочий процесс утверждения, который позволяет разделить обязанности — человек, который фактически редактирует параметр GPO, должен отличаться от человека, который утверждает развертывание изменения GPO в производственной среде. Это может показаться очевидным, но это то, что необходимо формально решить и реализовать.
Дальнейшее понимание
Правильное управление объектами групповой политики и групповыми политиками имеет решающее значение. Чтобы помочь, Microsoft предлагает консоль управления групповой политикой (GPMC), бесплатный редактор групповой политики, который помогает с множеством задач, а также набор интерфейсов GPMC для программного доступа ко многим операциям. Однако у этих встроенных инструментов есть свои ограничения. Стороннее решение, такое как Quest GPOADmin, может значительно упростить и повысить эффективность управления групповыми политиками.
Если вы хотите вернуться к основам, обратитесь к нашей предыдущей публикации «Что такое групповая политика и как работают GPO». Более подробную информацию об управлении групповой политикой можно найти в этой статье Microsoft TechNet. Для получения дополнительной информации прочтите этот пост о скрытой настойчивости групповой политики от сертифицированного мастера Microsoft Шона Меткалфа или посмотрите доклад Рэнди Франклина Смита на конференции экспертов, в котором он делится своим опытом по защите Active Directory.
Групповая политика: что это такое и как работают GPO — Управление платформой Microsoft — Блоги
Групповая политика — критический элемент любой среды Microsoft Active Directory (AD).Но что это такое и как работает? Как злоумышленники могут его скомпрометировать и как вы можете защитить себя? Вот все самое важное, что вам нужно знать.
Обзор групповой политики
Групповая политика— это неотъемлемая функция, встроенная в Microsoft Active Directory. Его основная цель — дать ИТ-администраторам возможность централизованно управлять пользователями и компьютерами в домене AD. Сюда входят как бизнес-пользователи, так и привилегированные пользователи, такие как ИТ-администраторы, а также рабочие станции, серверы, контроллеры домена (DC) и другие машины.
Вот лишь несколько примеров многих полезных вещей, которые вы можете с ним делать:
- Установите и применяйте политики паролей, такие как требования к длине и сложности пароля, чтобы предотвратить атаки с подборами пароля.
- Предотвратите использование съемных носителей, которые являются вектором как для заражения вредоносным ПО, так и для кражи данных.
- Ограничьте доступ к командной строке, чтобы пользователи не могли запускать неавторизованный код, который может поставить под угрозу целостность или стабильность их машин или заразить вашу сеть.
- Разверните операционные системы и другое программное обеспечение на всех машинах Windows Server и других компьютерах, чтобы обеспечить стандартную среду во всем домене.
- Запрещает пользователям устанавливать новое программное обеспечение в своих системах, чтобы избежать проблем с безопасностью, производительностью и лицензированием.
- Добавляйте в браузеры пользователей часто используемые или рекомендуемые сайты, повышая производительность и помогая обеспечить их работу с точной информацией.
- Отключить проверку подлинности NTLM, которая слабее, чем более современная проверка подлинности Kerberos.
- Запретить Windows хранить хэши паролей LM, которые довольно легко взломать.
- Не позволяйте пользователям создавать файлы PST, которые могут стать кошмаром для резервного копирования, соответствия нормативным требованиям и электронного обнаружения.
- Запускать определенные сценарии при запуске или выключении компьютера, входе или выходе пользователя, например, сценарий, который выполняет очистку перед выключением компьютера или запускает важное бизнес-приложение при входе пользователя в систему.
Как видите, групповая политика невероятно эффективна и может принести огромную пользу.В частности, это позволяет организациям усилить безопасность, повысить эффективность ИТ и производительность бизнеса, а также сократить время простоя и расходы. Однако, как мы вскоре увидим, это также может быть гигантской уязвимостью, если не управлять ею должным образом.
Углубляемся в детали: GPOs
Теперь давайте посмотрим, как на самом деле работает групповая политика. Он состоит из набора политик, называемых объектами групповой политики (GPO). Перечисленные выше примеры — это лишь некоторые из наиболее распространенных объектов групповой политики, которые вы можете настроить для поддержки передовых практик ИТ.Microsoft предлагает буквально тысячи политик и настроек, которые вы можете использовать, которые подробно описаны в справочной таблице.
Два объекта групповой политики создаются автоматически при создании домена AD:
- Домен по умолчанию Pol icy — Устанавливает базовые параметры для всех пользователей и компьютеров в домене в трех ключевых областях: политика паролей, политика блокировки учетной записи и политика Kerberos.
- Политика контроллеров домена по умолчанию — Устанавливает базовые параметры безопасности и аудита для всех контроллеров домена в домене.
Чтобы вступить в силу, объект групповой политики необходимо применить (связать) с одним или несколькими контейнерами Active Directory, такими как сайт, домен или подразделение (OU). Например, вы можете использовать групповую политику, чтобы потребовать от всех пользователей в вашем домене Чикаго использовать более сложные пароли или запретить использование съемных носителей на всех компьютерах только в финансовом подразделении домена Чикаго.
Несмотря на то, что большинство организаций используют лишь небольшую часть политик, предоставляемых Microsoft, они могут легко получить сотни или тысячи объектов групповой политики, реализованных на протяжении многих лет для детального контроля различных аспектов своей ИТ-среды.
Обработка GPO (TL; DR: все может быстро усложниться)
Объект групповой политики не действует, пока он не связан с контейнером Active Directory, например сайтом, доменом или подразделением. Связывание объектов групповой политики с контейнерами позволяет применять настройки к широкой или узкой части ИТ-среды.
Однако это не простое индивидуальное соединение. Любой данный объект групповой политики может быть связан с несколькими контейнерами, и, наоборот, с любым заданным контейнером может быть связано несколько объектов групповой политики. Кроме того, контейнеры наследуют объекты групповой политики — например, объект групповой политики, связанный с подразделением, применяется ко всем пользователям и компьютерам в его дочерних подразделениях.Аналогичным образом, объект групповой политики, применяемый к OU, применяется не только ко всем пользователям и компьютерам в этом OU, но и по наследству ко всем пользователям и компьютерам в дочерних OU. Более того, вы даже можете связать сайт, домен или подразделение с GPO в другом доверенном домене. (Это не рекомендуется, но возможно!)
Если это вас не смущает, настройки различных объектов групповой политики могут перекрываться или даже конфликтовать. По умолчанию объекты групповой политики обрабатываются в следующем порядке, более поздние имеют приоритет над настройками более ранних:
- Локальный (индивидуальный компьютер)
- Участок
- Домен
- Организационная единица
Однако вы можете вмешаться и управлять тем, как объекты групповой политики применяются к определенному домену, сайту или подразделению, выполнив любое из следующих действий:
- Изменение порядка ссылок — Объект групповой политики с наименьшим порядком связи обрабатывается последним и, следовательно, имеет наивысший приоритет, перезаписывая настройки в более ранних объектах групповой политики в случае возникновения конфликтов.
- Блокировка наследования — По умолчанию дочерние подразделения наследуют все объекты групповой политики от родительского, но вы можете заблокировать это наследование.
- Принудительное использование ссылки GPO — По умолчанию параметры родительских подразделений перезаписываются любыми конфликтующими настройками в объектах групповой политики, связанных с дочерними подразделениями, но вы переопределяете это поведение, задав для ссылки GPO значение «Принудительно».
- Отключение ссылки GPO — По умолчанию обработка включена для всех ссылок GPO. Но вы можете предотвратить применение объекта групповой политики для конкретного контейнера, отключив ссылку на объект групповой политики для этого контейнера.
При всей этой сложности может быть чрезвычайно сложно понять, какие политики фактически применяются к конкретному пользователю или компьютеру, что известно как Результирующий набор политик (RSoP) . Microsoft предлагает инструмент командной строки под названием GPResult, который будет генерировать отчет RSoP. (Обратите внимание, что старый инструмент rsop.msc устарел.)
Управление групповой политикой и делегирование
Для управления групповыми политиками Microsoft предоставляет консоль управления групповыми политиками (GPMC).Используя этот бесплатный редактор групповой политики, ИТ-администраторы могут создавать, копировать, импортировать, создавать резервные копии и восстанавливать объекты групповой политики, а также составлять отчеты по ним. Microsoft также предлагает целый набор интерфейсов GPMC, которые можно использовать для программного доступа ко многим операциям, поддерживаемым консолью.
По умолчанию любой член группы администраторов домена может создавать и управлять объектами групповой политики. Кроме того, существует глобальная группа под названием «Владельцы-создатели групповых политик»; его члены могут создавать объекты групповой политики, но они могут изменять только созданные ими политики, если им специально не предоставлены разрешения на редактирование других объектов групповой политики.
Кроме того, вы можете делегировать разрешения для различных задач, таких как создание, редактирование и связывание определенных объектов групповой политики, дополнительным ИТ-администраторам. Делегирование — ценный инструмент; например, вероятно, имеет смысл предоставить группе, ответственной за управление вашими приложениями Microsoft Office, возможность редактировать объекты групповой политики, используемые для управления настройками Office на рабочем столе.
Однако делегирование часто быстро выходит из-под контроля; прежде чем вы осознаете это, у вас есть десятки и десятки людей с различными правами управления GPO.Кроме того, эти права часто делегируются на уровне домена, поэтому человек может обезьянничать не только с одним или двумя объектами групповой политики, но и со всеми объектами групповой политики для домена — даже теми, которые применяются к вашим контроллерам домена (сердце и мозг домена) или к весь домен (все).
Большая мощность, большой риск
Ценность групповой политики заключается в ее силе. Одним махом вы можете применить политики в домене или подразделении, которые значительно укрепят безопасность или улучшат производительность бизнеса.
Но эту силу также можно использовать ненадлежащим образом, намеренно или случайно.Действительно, одно неправильное изменение объекта групповой политики может привести к простою или нарушению безопасности. Помните все приведенные ранее примеры замечательных вещей, которые можно сделать с объектами групповой политики? Их легко развернуть, чтобы увидеть, как злоумышленник может использовать их. Например, хакер или злонамеренный администратор может изменить объект групповой политики на:
- Разрешить неограниченное количество попыток угадать пароль учетной записи.
- Позволяет использовать съемные носители для упрощения кражи данных.
- Разверните вредоносное ПО на всех машинах в домене.
- Заменить сайты, перечисленные в браузерах пользователей, вредоносными URL-адресами.
- Запускать вредоносный сценарий при запуске или завершении работы компьютера.
Более того, хакерам даже не нужно много навыков, чтобы взломать ваши объекты групповой политики. Все, что им нужно сделать, это получить учетную запись с необходимыми разрешениями для желаемого объекта групповой политики — и есть инструмент с открытым исходным кодом под названием BloodHound, который предоставит им список этих учетных записей. Несколько целевых фишинговых атак, и хакер контролирует объект групповой политики.(Два объекта групповой политики, о которых я упоминал ранее, политика домена по умолчанию и политика контроллеров домена по умолчанию, являются популярными целями, поскольку они создаются автоматически для каждого домена и контролируют важные параметры.)
Почему не работают собственные инструменты
К сожалению, собственные инструменты не позволяют легко поддерживать безопасность и контроль групповой политики. Во-первых, изменения, внесенные в объекты групповой политики, по умолчанию вступают в силу, как только окно закрывается — нет даже кнопки «Применить», которая дает администраторам возможность приостановить работу и выявить ошибки, прежде чем организация подвергнется разрушительному воздействию.
Более того, из-за того, как разрешения безопасности разрабатываются вокруг объектов групповой политики, любой администратор домена может изменять любой параметр безопасности объекта групповой политики — даже параметры, которые, как предполагается, не позволяют этому человеку выполнять определенные задачи. Например, администратор может отключить объект групповой политики, который не позволяет им входить в систему на определенном сервере, на котором размещены конфиденциальные данные, и копировать часть или весь этот ценный контент на свой компьютер.
Что еще хуже, изменения настроек GPO не отслеживаются в собственных журналах безопасности, не говоря уже о предупреждениях, поэтому невозможно отслеживать такие нарушения, даже если вы используете решение для управления информацией и событиями безопасности (SIEM).
Ключи к защите вашей групповой политики
Лучший способ минимизировать риск того, что ваши GPO будут неправильно обработаны, в то же время максимизируя вашу способность быстро обнаруживать вредоносное поведение, — это создать многоуровневую структуру безопасности, которая дополняет собственные инструменты. В частности, для защиты вашей групповой политики вам нужны проверенные решения, которые позволят вам:
- Разберитесь, у кого и к каким объектам GPO есть доступ
- Внедрение рабочих процессов на основе утверждения с соответствующим разделением обязанностей для контроля изменений в объектах групповой политики
- Отслеживание, мониторинг и оповещение об изменениях в объектах групповой политики
- Предотвратить изменение наиболее важных настроек GPO
- Быстро отменить нежелательные изменения в объектах групповой политики
В дополнение к этим важным уровням рассмотрите возможность полного исключения собственного делегирования и зарегистрируйте свои объекты групповой политики в инструменте администрирования на основе прокси.У вас больше не будет десятков администраторов, способных намеренно или случайно вносить неправильные изменения в ваши объекты групповой политики, и любой хакер, которому удастся украсть учетные данные администратора, по-прежнему не сможет изменить вашу групповую политику.
Консоль управления групповой политикойдля Windows Server 2016: объяснение и использование
Определение GPO
Представьте, что вы настраиваете несколько новых компьютеров Windows на своем рабочем месте. В операционной системе может быть много необходимых изменений, таких как установка программного обеспечения и настройка операционной системы (ОС), и выполнение этих процессов для более чем одного компьютера является довольно повторяющимся и неинтересным.
Выполнение всего вручную займет довольно много времени, поскольку вам может потребоваться многое изменить в зависимости от назначения компьютера в организации. Этот урок покажет вам лучший, более быстрый и простой способ управления несколькими компьютерами.
Вместо того, чтобы изменять параметры один за другим, можно использовать объекты групповой политики , чтобы указать различные изменения для компьютеров. Объекты групповой политики, также известные как групповые политики, в основном представляют собой наборы параметров Windows, управляемые консолью управления групповыми политиками. Они бывают двух видов: настройки компьютера и настройки пользователя — разница в том, что один применяется к самой системе, а другой — к каждому пользователю, который входит в систему на ПК. Объекты групповой политики основаны на организационной единице (OU), которая представляет собой совокупность компьютеров или пользователей (или того и другого), сгруппированных вместе. Под подразделениями можно управлять с помощью утилиты «Пользователи и компьютеры Active Directory» или самой консоли управления групповыми политиками.
Хотя вам все равно придется установить ОС, программное обеспечение и самостоятельно присоединить каждую машину к домену (групповые политики не могут сделать всего, за вас), экономия времени сделает объекты групповой политики весьма полезными.
Давайте перейдем к демонстрации того, как реализовать некоторые централизованные политики.
Создание объекта групповой политики с помощью GPMC
Консоль управления групповой политикой поставляется в комплекте с контроллером домена Active Directory, где фактически хранятся централизованные политики (в общем ресурсе SYSVOL домена). Для его использования также требуются учетные данные администратора домена. Запустите консоль управления групповой политикой с помощью команды gpmc.msc или из меню «Пуск» в папке «Инструменты администрирования Windows».
Вы также можете установить Инструменты удаленного администрирования сервера, чтобы включить GPMC (и другие утилиты администратора) на клиентском компьютере.
Создайте свой первый объект групповой политики, выполнив следующие действия и изображения.
- Выделите нужное подразделение и щелкните его правой кнопкой мыши. Затем нажмите «Создать объект групповой политики в этом домене и связать его здесь …», как показано ниже.
- Щелкните правой кнопкой мыши новый объект групповой политики и выберите «Изменить . ..», чтобы изменить параметры, которые будут применяться к компьютерам в этом подразделении.
- Откроется редактор GPMC. Здесь вы можете изменить настройки как пользователя, так и компьютера.
- Отключите функцию советов Windows. В редакторе перейдите к папке Cloud Content, как показано. Здесь вы можете редактировать любые настройки, представленные в этом окне, хотя на данный момент все они «Не настроены».
- Дважды щелкнув объект групповой политики или щелкнув правой кнопкой мыши и выбрав «Изменить». .. », откроется окно настройки. Здесь вы можете изменить статус объекта групповой политики и прочитать, что он делает. Давайте включим этот GPO.
- При выходе из редактора GPO для GPO устанавливается значение Enabled. Согласно описанию, установка для этого объекта групповой политики значения «Включено» отключит советы Windows.
Вот несколько примеров изменений, которые вы можете сделать с объектами групповой политики.Вы можете указать компьютеры в определенном OU, чтобы на рабочем столе было определенное фоновое изображение. Вы можете настроить домашнюю страницу браузера каждого компьютера для своей любимой поисковой системы, просто добавив для этого объект групповой политики в OU с каждым добавленным к нему компьютером. Вы даже можете установить индивидуальную блокировку бездействия или таймер смены пароля для защиты систем, если вы работаете в компании, заботящейся о безопасности. Все эти и многие другие примеры возможны с помощью консоли управления групповыми политиками.
Давайте теперь узнаем об использовании стартовых объектов групповой политики для быстрого и простого создания групповых политик, которые могут совместно использоваться разными подразделениями.
Стартовый GPO
Стартовый GPO — это шаблоны для использования в GPMC. Начальный шаблон GPO состоит из групповых политик, которые уже предварительно настроены в соответствии с какой-либо ситуацией или требованием. Когда новый объект групповой политики создается из стартового объекта групповой политики, новый объект групповой политики наследует эти измененные параметры.
Когда вы впервые активируете их, в папке Starter GPOs будут существовать только два шаблона, поэтому вам нужно будет создать больше самостоятельно. Начальные объекты групповой политики полезны в ситуациях, когда у вас есть несколько подразделений, которые должны совместно использовать некоторые параметры между собой.Вместо того, чтобы изменять одни и те же параметры в еще одном объекте групповой политики или связывать объект групповой политики с несколькими местами, что может вызвать проблемы с конфигурацией, когда объект групповой политики влияет на какого-либо пользователя или компьютер, для которого он не предназначен, вы можете использовать шаблонные объекты групповой политики, чтобы минимизировать эти проблемы и сделать конфигурация более компактная.
Создайте стартовый объект групповой политики, выполнив следующие действия и рисунки.
- Сначала перейдите в папку Starter GPO и включите их. Затем вы можете создать новые начальные объекты групповой политики, аналогично обычным объектам групповой политики.Чтобы создать стартовый объект групповой политики, щелкните правой кнопкой мыши и выберите вариант его создания.
- Откроется стартовый редактор GPO. Он похож на обычный редактор GPO, но вы можете изменить настройки только в разделе «Административные шаблоны».
- Давайте настроим некоторые параметры Проводника.Эти изменения будут скопированы во все объекты групповой политики, которые ссылаются на этот начальный объект групповой политики. Перейдите к местоположению проводника, как показано.
- После изменения некоторых настроек проводника файлов шаблон Starter GPO готов. Создайте новый объект групповой политики и укажите ссылку на начальный объект групповой политики, чтобы увидеть эффекты.
- Откройте новый объект групповой политики и перейдите в указанное ранее расположение проводника. Убедитесь, что настройки из шаблона применены, как показано в этом примере.
Как видите, стартовый объект групповой политики полезен для того, чтобы сделать централизованную конфигурацию более управляемой и понятной. Давайте перейдем к использованию фильтрации безопасности, чтобы контролировать, какие компьютеры и пользователи могут получить доступ к конкретному объекту групповой политики.
Фильтрация безопасности и объекты групповой политики
Фильтрация безопасности — это функция консоли управления групповыми политиками, которая позволяет вам контролировать, какие компьютеры, пользователи или группы могут загружать настройки из определенного объекта групповой политики. Это может быть полезно для многих целей, например, для предотвращения загрузки параметров пользователями, если они не входят в соответствующую группу, или для ограничения специализированных компьютерных объектов групповой политики определенной машиной без необходимости создавать целое подразделение только для этого одного устройства.
Управляйте фильтрацией безопасности, следуя этим шагам и изображениям.
- Сначала создайте новый объект групповой политики или отредактируйте существующий, затем выберите его, чтобы получить дополнительные параметры. Нажмите «Добавить …», чтобы добавить пользователя, группу или компьютер к фильтру безопасности объекта групповой политики. Давайте добавим нового пользователя для тестирования.
- Затем выберите требуемый принцип безопасности для добавления, затем подтвердите выбор, как показано ниже. Это добавит пользователя к фильтрации безопасности, что не повлияет на существующий принцип безопасности.
- Подтвердите, что новый принцип безопасности применен к GPO.
Краткое содержание урока
В этом уроке вы узнали, что такое консоль управления групповой политикой (GPMC) и как ее можно использовать для управления компьютером Windows и пользовательскими настройками для нескольких компьютеров, что позволяет сэкономить время и повысить производительность. .В частности:
- Консоль GPMC поставляется с доменом Windows и требует для правильной работы прав администратора домена. Его можно использовать непосредственно с контроллера домена или на клиентском компьютере с помощью пакета средств удаленного администрирования сервера.
- GPMC управляет объектами групповой политики (GPO), которые представляют собой набор параметров Windows, разделенных на параметры, применяемые к системам, и параметры, применяемые к пользователям, вошедшим в систему. Объекты групповой политики полагаются на организационных единиц (OU), которые представляют собой совокупность пользователей и / или компьютеров, к которым применяются эти объекты групповой политики.
- Начальные объекты групповой политики — это шаблоны групповых политик, которые пользователь может создать, а затем ссылаться на другие объекты групповой политики. Групповые политики, которые ссылаются на начальные объекты групповой политики, извлекают установленные изменения параметров из шаблона и позволяют пользователю управлять политиками подразделений с одинаковыми настройками без необходимости создавать несколько объектов групповой политики или связывать объекты групповой политики с более чем одним подразделением. Объекты GPO
- могут быть ограничены фильтром безопасности , который может указывать, что только определенные пользователи, группы или компьютеры могут получить к нему доступ. Фильтрация безопасности может использоваться для ограничения специализированных групповых политик определенным компьютером без необходимости создания отдельного подразделения для этого компьютера, помимо прочего.
Управление политиками — обзор
6.4.4 Усилия по стандартизации для управления политиками
Распространение архитектур поставщиков для управления политиками телекоммуникационных сетей побудило IETF разработать стандарты взаимодействия. Используя информационную модель ядра политики (PCIM), Мур и др.[27] начинают процесс стандартизации терминологии управления политиками и представлений политик управления сетью, чтобы обеспечить принятую основу для реализаций конкретных поставщиков.
В какой степени эти усилия по стандартизации могут быть применены к механизмам политик для управления ресурсами спектра для операций CR? Первоначальные реализации когнитивного радио обязательно будут сосредоточены на специфических для радиосвязи функциях, и по мере того, как технология окажется успешной, акцент будет распространяться на более крупные радиосети, а не на отдельные радиостанции. Домен политик IETF уже ориентирован на управление крупномасштабными телекоммуникационными сетями с целью помочь администраторам человеческих сетей определять машиночитаемые политики и архитектуры для автоматического управления сетевыми ресурсами. CR аналогичен конкретному сетевому устройству.
Snir et al. [28] предполагают физическую сетевую архитектуру, в которой PDP преобразует абстрактные конструкции политики в команды конфигурации для нескольких устройств (например, маршрутизатора, коммутатора или концентратора), где решения политики фактически применяются (т.е., PEP). Хотя могут быть убедительные аргументы в пользу архитектурного предположения, что один PDP обслуживает несколько PEP в случае высокоскоростной и высоконадежной сетевой архитектуры, для приложения CR это не так ясно. Stone et al. [18] отмечают, что основополагающее предположение PCIM состоит в том, что политики хранятся в централизованном репозитории, а PDP — это объект в сети, где решения политики принимаются с использованием информации, полученной из репозиториев политик. PEP требует стратегического решения о новом потоке трафика или аутентификации — например, «PEP отправит запрос на PDP, который может находиться на удаленном сервере.”
Moore et al. [27] указывают на то, что стандарт PCIM вписывается в общую структуру для представления, развертывания и управления политиками, которые разрабатываются рабочей группой IETF Policy Framework. На рисунке 6.1 связь между PDP и PEP имеет две характеристики: (1) она должна работать в режиме, близком к реальному времени для своевременного принятия решений, и (2) она задумана как диалог запроса-ответа. Для приложения CR из-за опасений по поводу надежности канала и пропускной способности первое предположение приемлемо только в том случае, если функции PDP и PEP размещены на радиоплатформе.Более того, структура запрос-ответ также очень естественна, учитывая преобладание в Интернете архитектур клиент-сервер и трехуровневой архитектуры транзакций баз данных. Фактически, два важных интернет-приложения для управления политиками включают управление доступом (то есть безопасность) и управление доступом (то есть QoS), и оба включают разрешение. Однако нет никаких оснований предполагать, что эта структура Интернета оптимальна для приложения CR, в котором функции PDP и PEP размещены совместно.
В PCIM управляемая политиками сеть моделируется как конечный автомат, в котором правила политики определяют, какие состояния устройства разрешены в любой момент времени.Каждое правило политики состоит из набора условий и набора действий. Условия политики — это конструкции, которые могут выбирать состояния в соответствии со сложными логическими выражениями. Действия политики — это поведение устройства, например выбор или запрет определенных диапазонов частот, полос пропускания, протоколов, кодирования или скорости передачи данных. Когда события приводят к определенным условиям, то определенные действия могут или должны выполняться устройством (в зависимости от того, являются ли действия обязательными или просто разрешенными для устройства).
Bemmel et al.[1] описывают эти правила политики как примеры правил «событие – условие – действие», с помощью которых изменения в системе или среде запускают адаптацию поведения системы. Такие системы называются управляемыми событиями, и многие языки программирования и среды поддерживают совместимые методы разработки программного обеспечения. Например, в архитектуре Microsoft Windows события — это в основном сообщения, которые маршрутизируются между процессами, называемыми обработчиками событий. К сожалению, если бы правила политики были закодированы таким знакомым образом, поведение компонента в основном было бы жестко запрограммировано при компиляции программы.Однако нам нужен более гибкий способ привязки действий к обработчикам событий во время выполнения — например, Java Remote Method Invocation (Java RMI) или Common Object Request Broker Architecture (CORBA).
PCIM определяет представления классов и абстрактные атрибуты для политик, но не алгоритмы или дизайн механизма политик. На рисунке 6.2 изображена онтология объектно-ориентированного проектирования классов политик в PCIM. Правила политики объединены в классы групп политик. Эти группы могут быть вложенными для представления иерархии политик.Хотя сохранение всех одинаковых атрибутов классов политик не особенно важно, подобная диаграмма классов будет подходящей для представления политик для CR.
Рисунок 6.2. Диаграмма UML для классов политик PCIM.
Одним из важных атрибутов правила политики является возможность связать «роль» для радио. Политика (например, присвоенные полосы частот) для наземных подвижных радиостанций (LMR) отличается от политики для управления воздушным движением (УВД). Мур и др. [27] подчеркивают, что вместо настройки — а затем необходимости обновления конфигурации — сотен или тысяч (или более) ресурсов в сети администратор политики назначает каждому ресурсу одну или несколько ролей, а затем определяет политики для каждая из этих ролей.Затем структура политики отвечает за настройку каждого из ресурсов, связанных с ролью, таким образом, чтобы он вел себя в соответствии с политиками, указанными для этой роли. Когда необходимо изменить поведение сети, администратор политики может выполнить одно обновление политики для роли, а структура политики обеспечит выполнение необходимых обновлений конфигурации для всех ресурсов, играющих эту роль.
Политики и политика группы | Computerworld
Групповые политики Windows 2000 управляют многими аспектами конфигурации рабочего стола (и сервера) в Active Directory — от фонового рисунка до распространения программного обеспечения и настроек безопасности.Microsoft взяла то, что раньше делалось, разными способами (сценарии, локальные настройки, пользовательские конфигурации, сторонние инструменты и т. Д.) И поместила все это в один интерфейс: консоль управления групповой политикой.
Политика политики
За прошедшие годы организациям пришлось разработать множество творческих способов управления настольными компьютерами. Внезапно все это разобрать и заменить групповыми политиками — непростая задача. Эта консолидация означает, что то, что часто делалось более чем одной группой, теперь может выполняться одной.И здесь могут начаться замешательство и конфликт.
Большинство моих клиентов знают, что им нужны групповые политики, но у них нет четкого представления о том, кто должен за них нести ответственность. Поскольку политики стирают грань между администрированием сервера и рабочего стола, помещая то, что традиционно было отдельными административными компонентами в один интерфейс Active Directory, организации, в которых есть отдельные группы или администраторы, отвечающие за каждый, могут в конечном итоге спорить о том, кто будет администрировать политики.
Я видел организации, в которых разные группы хотят контролировать групповые политики, и даже некоторые организации, в которых никто не хочет брать на себя ответственность. Проблема становится еще более острой, когда к тому, что происходит на рабочем столе, участвует несколько групп, таких как отдел кадров, маркетинг и безопасность. Как сетевой администратор, вы можете столкнуться с необходимостью удовлетворить множество различных и конкурирующих интересов.
Как избежать ошибок политики
Сделайте решения групповых политик частью вашей Windows 2000 (или.Net) план миграции. Если в вашей организации уже есть написанные политики, начните с сопоставления групповых политик с ними. Однако не стоит просто просматривать список доступных политик и выбирать то, что «хорошо выглядит». Это может привести к проблемам, если у вас нет поддержки со стороны других групп и вашего сообщества пользователей.
Не следует автоматически предполагать, что, поскольку все эти настройки могут быть выполнены через единый интерфейс, за них должен нести ответственность один человек или группа. Это может быть хорошо для некоторых организаций, но может привести к проблемам в более крупных организациях, где разные группы отвечают за разные аспекты рабочего стола пользователя.Чтобы избежать политической борьбы, соберите вместе представителей всех групп, которые могут иметь право голоса на раннем этапе процесса, и попросите их внести свой вклад.
Многие более крупные организации обычно распределяют обязанности между несколькими администраторами или группами по местоположению, функциям или бизнес-единицам. Они могут использовать Active Directory для разделения своих пользователей и компьютеров на контейнеры, называемые организационными единицами (OU). Затем отдельные лица или группы могут получить контроль над этими отдельными подразделениями, включая назначение групповых политик.Таким образом, административная нагрузка может быть разделена. Однако будьте осторожны — убедитесь, что эти администраторы знают, что берут на себя. Этот младший администратор, ответственный за местный офис в Топике, возможно, не так хорошо осведомлен, как она утверждает. Неправильно настроенная групповая политика может лишить пользователей возможности выполнять свою работу.
Настройка и поддержка групповых политик может оказаться сложной задачей при использовании инструментов, поставляемых с Windows 2000. Собственная консоль управления групповыми политиками Microsoft (GPMC), которая должна появиться в Windows Server 2003, может помочь упростить администрирование.Другие сторонние продукты предоставляют гораздо более мощные функции управления. Эти инструменты включают NetIQ’s «Администратор групповой политики» и FAZAM 2000 от FullArmor.
Групповые политики — это мощный инструмент, который может снизить общую стоимость владения, что было постоянной целью большинства организаций. Но требуется правильное планирование, чтобы избежать многих политических ловушек, которые могут сопровождать реализацию.
Луис Ботеро — технический архитектор Internosis.Он базируется в Арлингтоне, штат Вирджиния, и специализируется на разработке и внедрении Windows 2000, Active Directory и SMS. С ним можно связаться по адресу [email protected].
|
Copyright © 2003 IDG Communications, Inc.
Управление групповой политикой
Сначала убедитесь, что установлена функция Group Policy Management . Если нет, вам необходимо установить его, перейдите в: Управление -> Добавить роли и компоненты -> Установка на основе ролей или функций -> Выберите сервер -> Роли сервера (ничего) -> Функции: Управление групповой политикой.
Откройте Управление групповой политикой. Перейдите в: Диспетчер серверов -> Инструменты -> щелкните Управление групповой политикой
.- Чтобы создать правило для определенных компьютеров или пользователей, сначала необходимо создать новую организационную единицу (OU) в Active Directory:
- Щелкните правой кнопкой мыши домен -> Создать -> Организационная единица -> Создать новое подразделение (имя: DeptIT)
- Сделайте то же самое с вновь созданным DeptIT и создайте новое подразделение и назовите его: Компьютеры .
- Еще одно новое подразделение, назовите его: Пользователи
- Перейдите к исходным пользователям / компьютерам (контейнер) и выполните вырезание / вставку в новое подразделение (пользователи и компьютеры).
- После перемещения пользователей и компьютеров перейдите в Управление групповой политикой.
- Щелкните правой кнопкой мыши домен -> Создать -> Организационная единица -> Создать новое подразделение (имя: DeptIT)
- Вы увидите новое подразделение (имя: DeptIT) с пользователями / компьютерами.
- Если вы хотите иметь объект групповой политики для всех компьютеров, создайте новый объект групповой политики и свяжите его с компьютерами. Если вы хотите иметь новый объект групповой политики для всех пользователей, находящихся внутри DeptIT, создайте новый объект групповой политики и свяжите его с пользователями.
- Выберите имя для объекта групповой политики и нажмите OK.
- Вы увидите новый объект групповой политики, связанный с подразделением, которое вы выбрали для привязки. В этом случае новый объект групповой политики будет находиться внутри компьютеров.
- После создания объекта групповой политики необходимо создать для него правила. Щелкните имя правой кнопкой мыши и выберите «Изменить».
- После нажатия кнопки «Изменить» откроется новое окно «Редактор управления групповой политикой». В этом окне вы создадите правила для выбранного объекта групповой политики и нажмете «Изменить». Этот редактор имеет основные категории: Конфигурация компьютера и Конфигурация пользователя. Правила, которые вы создаете в Конфигурации компьютера, будут специфичными для компьютеров, а правила, которые вы создаете в Конфигурации пользователя, будут специфичными для пользователей.Правило, устанавливающее некоторые правила для брандмауэра, находится в конфигурации компьютера.
- Приоритет порядка групповой политики :
- GPO, связанный с OU — Внутри OU, когда у вас несколько GPO, приоритет будет Link Order (вы можете изменить порядок, щелкнув стрелки слева — вверх / вниз)
- GPO, связанный с доменом
- GPO, связанный с сайтом
- Местный GPO
- Политика с наименьшим значением порядка связи обрабатывается последней и, следовательно, имеет наивысший приоритет (объект групповой политики с порядком связи 1, будет запускаться после объекта групповой политики с порядком связи 2 и будет иметь наивысший приоритет, поскольку в нем будут внесены последние изменения в настройках компьютера / пользователя. ).
Пример : GPO с Link Order 1 потребует от пользователя смены пароля каждые 90 дней, а GPO с Link Order 2 потребует от пользователя менять пароль каждые 30 дней. После того, как оба будут запущены, пользователю потребуется менять пароль каждые 90 дней, поскольку это последний из запущенных и имеет наивысший приоритет.
- Наследование групповой политики основано на приоритете, объект групповой политики с наименьшим порядковым номером ссылки будет иметь наивысший приоритет с момента запуска последним.Вы можете изменить порядок, щелкнув стрелки (слева), когда вы находитесь в связанных объектах групповой политики (OU или Domain). Если вы не хотите наследовать от домена, просто щелкните правой кнопкой мыши на OU и выберите Block Inheritance, в этом случае будет отображаться и запускаться только GPO для OU. Если вы снова нажмете «Разблокировать наследование», вы увидите все объекты групповой политики на вкладке «Наследование групповой политики». Когда вы заблокируете наследование, вы увидите синий значок «!» перед названием этого OU.
- Можно принудительно применить объект групповой политики домена: щелкните правой кнопкой мыши имя объекта групповой политики -> Принудительно.Если принудительно, будет иметь наивысший приоритет, и даже если вы заблокируете наследование для подразделения, все равно будет отображаться и выполняться с наивысшим приоритетом. При принудительном применении перед именем отображается желтый замок. То же самое, когда есть несколько GPO в OU, если вы применяете GPO, будет иметь наивысший приоритет.
- Если ничего не заблокировано или принудительно, при переходе к наследованию групповой политики вы увидите объект групповой политики из подразделения (более высокий приоритет), а затем объект групповой политики из домена (самый низкий приоритет). Если вы применяете принудительно, объект групповой политики домена будет иметь более высокий приоритет, чем объект групповой политики из подразделения.
- А теперь заблокируем наследование и посмотрим на эффект.
- Теперь мы будем применять GPO из домена и увидим эффект.
- Попробуем отредактировать одну из Политик. Щелкните правой кнопкой мыши по имени и выберите «Изменить».
- Эта политика касается расширенных правил брандмауэра, вам нужно перейти: Конфигурация компьютера -> Политики -> Параметры Windows -> Параметры безопасности -> Брандмауэр Windows -> Правила для входящего / исходящего трафика.
- Щелкните правой кнопкой мыши (или дважды щелкните) правило и выберите «Свойства».
- Если вам нужно отключить или удалить правило, щелкните правило правой кнопкой мыши и выберите «Отключить правило» или «Удалить».
- Чтобы создать новое правило, щелкните правой кнопкой мыши Правила для входящих / исходящих подключений и выберите «Новое правило».
- После того, как вы изменили какую-либо политику, вам необходимо отправить обновления на компьютеры / пользователей. Щелкните правой кнопкой мыши подразделение и выберите «Обновление групповой политики».
- Чтобы обновить любые GPO, запустите CMD (запустите от имени администратора): gpupdate или gpupdate / force (обновит все политики)
- Чтобы просмотреть результаты GPO: gpresult / r
: Глава 10.Разработка групповых политик для всей организации :: Часть II: Разработка инфраструктуры Active Directory :: Active Directory :: Администрирование сервера :: eTutorials.org
В главе 8 мы описали дизайн Иерархия организационных единиц Active Directory. Мы также объяснили что другие элементы имеют отношение к этому дизайну. Видишь ли, есть две ключевые проблемы дизайна, которые влияют на структуру вашего Организационные подразделения: делегирование разрешений и GPO размещение.Если вы решили, что вашей Active Directory нужно управлять централизованно, а не распределенно, и что вы использовать только несколько объектов групповой политики, которые будут реализованы в основном в масштабах всего домена (а не многие объекты групповой политики во многих организационных подразделениях), ваша Структура организационного подразделения может быть практически любой, какой вы хотите быть. Не должно иметь большого значения, будете ли вы иметь 400 ветвей, отходящих от корня, или один контейнер с каждым предмет внутри него. Однако, если разрешения на определенные объекты действительно необходимы быть делегированным определенным группам администраторов, это сделает больше разумно структурировать организационные подразделения домена таким образом, чтобы облегчает это администрирование.Это не имеет так оно и есть, но это значительно упрощает использование организационной Единицы.
Например, если у нас есть 1000 пользователей и 10 менеджеров, каждый из которых управляет 100 пользователей, мы можем поместить 1000 пользователей в одну организационную единицу и дайте 10 администраторам разрешение изменять только их 100 пользователей. Это медленный и глупый способ системного администрирования. Было бы лучше создать 10 организационных единиц и поместить 100 пользователей в каждый, давая каждому администратору разрешение на его конкретные Организационная единица.В этом гораздо больше смысла, поскольку администратор можно очень легко изменить, легче сообщать о доступе, и поэтому на. Смысл и сокращение накладных расходов на управление — главные ключи здесь. Любое решение возможно; просто проще реализовать и поддерживать.
|
Те же фундаментальные факты применимы к GPO.Если вам понадобится применять несколько политик к нескольким группам пользователей, это дает больше смысла, и им будет легче управлять, если вы настроите несколько Организационные единицы. Однако это не всегда возможно, например, если структура организационной единицы, которую вы иметь в идеале конфликты с тем, что вам понадобится делегирование разрешений, которое снова конфликтует с тем, которое вы как для структурирования GPO.
10.3.1 Определение областей политики
Предположим, что в пределах вашего организации, вы напишете документ, описывающий ваш план для функций безопасности, которые вы хотите использовать в своей Active Directory среды и как именно эти функции будут реализованы.Часть этого документа будет относиться к другим функциям безопасности AD, таким как как Kerberos, брандмауэры, разрешения и т. д., но здесь нас беспокоят объекты групповой политики.
Сначала вам необходимо определить общие цели политики, которые вы хотите достичь. достичь с помощью объектов групповой политики. Нет необходимости заходить в точные сведения о каждом параметре GPO и его значении на данный момент. Вместо этого вы смотрите на такие предметы, как «Развернуть финансовые приложения» и «Ограничить настройки рабочего стола». Как ты определить каждую область общей политики, вы должны отметить, должна ли она применяется ко всем компьютерам или пользователям сайта, ко всем компьютерам или пользователям в одном домене или в подразделе пользователя и компьютера учетные записи.Если вы не уверены в некоторых позициях, поставьте предметы в более чем одной категории. Вы получаете такие предметы, как «Разверните финансовые приложения для бухгалтеров в Франция »и« Ограничить рабочий стол настройки в южной Европе ».
После того, как вы построили области общей политики, вам необходимо создать структуру организационной единицы, которая облегчает реализация этого дизайна политики. На этом этапе вы начинаете размещение компьютеров и пользователей в различных организационных единицах, принятие решений должны ли все объекты в каждом контейнере получить политику или вы ограничите приложение политикой через ACL.Есть количество вопросов, которые вы можете задать себе на этом этапе. Помогать с этим набор руководящих принципов следует примеру в следующем раздел.
В конечном итоге в документе нужно будет указать, какой именно объект групповой политики применяются настройки, какие группы вы настроите для ACL ограничения разрешений и структура организационного подразделения будет. Помогает объяснить обоснованность любых решений ты делаешь.
Чтобы сделать рекомендации более значимыми, мы покажем как можно структурировать дерево по-разному, используя реальный мир пример.
10.3.2 Как объекты групповой политики повлияли на структуру реальной организационной единицы
Лестерскому университету требовалась организационная Структура подразделения, представляющая его пользователей и компьютерную совокупность. В система, необходимая для того, чтобы пользователи из любого отдела могли перемещаться куда угодно в кампусе и войдите в систему. Учетные записи пользователей были довольно универсальными по всей системе, при этом основные различия связаны только с членство в определенных группах с указанием типа учетной записи пользователя были (сотрудники, студенты и т. д.).Главное отличие заключалось в два типа машин, которые мы обслуживаем в кампусе: устройства для персонала которые существуют в офисах ряда сотрудников, и открытые устройства, которые существуют в областях, известных как лаборатории на открытом воздухе, которые любой мог использовать. В то время как служебные машины всегда существуют внутри отдела, лаборатории существуют в определенных местах и зданиях повсюду университетский городок.
Наличие полного интернета и прямой доступ, мы необходимо было убедиться, что эти открытые клиентские устройства в безопасности, насколько это возможно.Эта безопасность должна была распространиться на всех пользователи, которые вошли в систему на машинах, будь то сотрудники или ученик. Однако мы также хотели убедиться, что учетные записи сотрудников не были заперты в собственных отделах. Другими словами, мы хотел, чтобы профили штатных пользователей были более заблокированы только в лабораториях на открытом воздухе и больше нигде.
Что касается политик, нам нужно было применить довольно много. В то время как конкретика здесь не важна, нам нужен был номер политик для применения в различных областях:
Площадь | Правила, применяемые к |
А | Все компьютеры и пользователи в домене |
В | Пользователи в определенных отделах |
С | Все клиенты (не серверы) |
D | Все клиенты открытой площадки |
E | Все сотрудники-клиенты |
Ф | Штатные клиенты в отдельных отделах |
G | Открытые клиенты в определенных лабораториях |
Исходя из этих требований, мы разработали дизайн.Это был длительный процесс, но мы постараемся разбить его так, чтобы он имеет смысл. Посмотрим на пользователей самих себя для начала.
Пользователи всегда были членами определенного отдела, и вот как университет был структурирован с точки зрения его бизнеса, так что казалось Логично назвать организационные единицы в честь университета отделы. Кстати, стоит добавить, что Лестерский университет нужен только один домен, корневой домен леса в одном лесу, за его организацию; Структура организационного подразделения была намного больше важнее, чем доменная структура в этом случае.Общий Структура организационного подразделения получилась примерно такой, как показано на Рисунок 10-12. Каждый отдел напрямую связан с корень домена с пользователями (представленными кружками) являясь потомками ведомственных контейнеров.
Рисунок 10-12. Структура OU для хранения пользовательских объектов
Затем нам потребовалась организационная единица. структура, которая представляла отдельные подразделения компьютеров, которые существовал на всей территории университета.Нет никаких необходимость предположить, что ваши компьютеры должны работать в одном Структура организационного подразделения в виде ваших пользователей и вот как мы подошли к концепции в Лестере. Изначально, исходя из областей политики, нам казалось разумным создать совершенно новое дерево клиентов, содержащее только машину учетные записи. В итоге эта иерархия выглядела так, как на рис. 10-13.
Рисунок 10-13. Структура OU для хранения компьютерных объектов
Здесь вы можете увидеть ветку исключительно для учетные записи компьютеров, с двумя дочерними, каждый из которых является лабораторией или сами ведомства.Обратите внимание, как ветвь штабной машины Дерево очень похоже на диаграмму структуры пользователя на рис. 10-12. Мы вернемся к этому через минута. А пока посмотрим, сможем ли мы успешно правильно применить политики к этой иерархии. Взгляните на рисунок 10-14; где политики показаны с использованием буквы обозначение из предыдущей таблицы. Этот экран выглядит очень загроможденным, но он просто отображает каждую область политики с указанием того, где область политики связана.Трапеция — это Microsoft символ для объекта групповой политики.
Рисунок 10-14. Объекты групповой политики, примененные ко всей структуре OU
Не все подразделения и лаборатории перечисленные на этом экране. В том же духе мы связали GPO только с некоторыми организационными подразделениями, поскольку это было бы так на самом деле. В конце концов, если каждый отдел или лаборатория если вы хотите получить политику, вы также можете связать объект групповой политики с родитель.
10.3.2.1 Преимущества разрушения структуры организационной единицы
Мы создали структуру, которая понятна и идеально представляет бизнес, которым мы работаем.Это хорошее достижение от такого дизайна. Следующий Шаг заключается в том, чтобы решить, будет ли проще управлять доменом, если мы объединили дублированные штатные организационные подразделения.
Взгляните на Рисунок 10-15. Это иерархия, если мы покончили со всеми организационными единицами машины персонала и положили компьютеры сотрудников непосредственно в ведомственную Организационную Единицы. Области политики A и B остаются неизменными. Область политики C должна применяться всем клиентам, поэтому мы не можем использовать Клиентов Организационной единицы больше нет.У нас есть два варианта: связать политику с домен и применить его ко всем организационным единицам, содержащим компьютеров под корневым каталогом или свяжите политику с каждой Организационной Блок под рут вручную. Последнее решение также требует от нас связать объект групповой политики с любыми новыми организационными подразделениями, которые мы создаем в рамках root, если они хотят получить политику.
Рисунок 10-15. Еще одно решение структуры OU
Первый вариант является более простым в управлении, поэтому давайте запустим его и свяжем область политики C с корень домена.К сожалению, это означает, что GPO будет применяться на любые компьютерные объекты в домене, включая организационные подразделения на которых мы храним серверы, такие как контроллеры домена Организационная единица, существующая в корне домена. Мы не хочу этого, поэтому единственный путь вперед — это заблокировать наследование политик в этих серверных организационных единицах. Ты может увидеть, к чему это идет сейчас. У нас есть не только заблокировали область политики C от наследования этими Организационными Юниты, содержащие серверы, мы также заблокировали другие политики, которые могут потребоваться в рамках области политики A.Мой единственное решение, чтобы исправить это, — использовать мою способность принудительно переопределить области политики A вниз по дереву. Вот и все о более простом решении. Мы теперь есть хотя бы один блок (для контроллеров домена Организационная единица) и политики из области A, имеющие приоритет над всеми блоками. вниз по дереву, чтобы убедиться, что они минуют блоки, которые мы только что установили. Хотя это решение, оно становится более очевидным. сложнее, чем предыдущий. Нет лучшего способ?
Да, используя группы безопасности.Забудь о блоки и наследование на данный момент и учтите, что вместо этого мы помещаем все компьютеры, которые не должны получить область политики C в системе безопасности группа. Затем мы можем отказать в разрешении Применить групповую политику для этого определенную группу безопасности, так что ни один член группы никогда не эта политика применима к ним. Это гораздо более простое решение. Тем не мение, это означает, что администраторы должны помнить, что если новый компьютер создан и не должен получать политику, он должен быть добавлен в группу.
Области политики D и G могут применяться, как и раньше. Область политики F применяется только к определенным организационным единицам, поэтому мы просто связываем F с различные отделы под корнем и продолжайте, как прежде. Однако у нас больше проблем с E. Опять же, варианты аналогичны. к предыдущему затруднительному положению: мы могли бы применить E к отделу Организационные подразделения индивидуально (не забывая делать это для каждого новый отдел, который мы создаем), мы можем применить политику к домену root и использовать переопределение наследования блока, как и раньше, или мы могли бы снова используйте группы.Использование групп кажется более простым, поэтому пойдем с этим вариантом. Если мы создадим группу для все служебные машины, мы можем просто дать группе разрешение на применить групповую политику к политике E в дополнение к удалению значения по умолчанию разрешение для прошедших проверку пользователей применять групповую политику. Теперь все пользователи не будут запускать политику по умолчанию, но участники группы штабных машин будет.
Это другое решение, которое теперь достигает той же цели. В решение, которое выбрал Лестер (первый дизайн), потребовало меньше группы и разрешили компьютер или расположение пользователя в иерархии, чтобы определять, какой были применены политики.Новое решение, которое мы только что обработанный, сворачивает древовидную структуру, но вместо этого делает более широкое использование групп, чтобы указать, какие политики следует применять.
На самом деле, это обычно правило: когда вы разрушаете конструкцию, в которой количество применяемых GPO, вам нужен больший контроль через группы или использование блочного наследования и переопределений.
10.3.2.2 Мост слишком далеко
Мы можем пойти еще дальше и удалить лабораторию организационное подразделение машин целиком.Это было бы вызывают те же проблемы с областью политики D, которые мы имели с E. более простое решение — добавить все лабораторные машины в группу и разрешить только члены этой группы имеют доступ к политике.
Вы можете продолжить таким же образом, удалив организационные подразделения и создавая больше групп, пока вы не закончите со всеми объектами в единая организационная единица в домене. В этот момент все Объекты групповой политики применяются к этой организационной единице, и вы контролируете доступ в организационные подразделения через группы.Приоритезация заказа то, что будет применено несколько GPO, может быть большим кошмаром в этой ситуации.
Мы надеемся, что вы видите, что для вас есть несколько вариантов при разработке структуры организационной единицы для объектов групповой политики. Это не имеет значения, какой метод вы выберете, так как пока ты им доволен. Организационная Структура подразделения, принятая в Лестере, требует меньшего обслуживания, потому что вам не нужно помещать объект в группу после создания; вы просто создаете его в том месте дерева, где он получать политики от.Это меньшая проблема с возможностями ADSI, поскольку код для привязки к родительскому group и добавить вновь созданный объект в эту группу всего два лишние строки.
Мы также создали несколько других организационных единиц для конкретных функции. Например, одна организационная единица содержит все группы. что мы когда-либо создавали. Таким образом, когда мы хотим найти группу, мы знаем где это. Мы также создали тестовую организационную единицу, чтобы может развертывать политики и проводить тестирование с пользователями и компьютерами внутри домена, не влияя на существующие настройки пользователя.
Может показаться, что Лестер не часто используют группы для управления доступом к объектам групповой политики, но это не так. Просто потому, что мы создали Структура организационного подразделения, понятная нам не означает, что мы не должны делать хорошее использование групп. Приведу несколько примеров. Оглядываться на рисунке 10-14. Политические области D и G на самом деле состоят из ряда совершенно разных и противоположных GPO, которые может повлиять на все лабораторные машины (D) или машины в определенных лабораториях (G).Один группа настроек полностью блокирует рабочие станции в этих лабораториях от доступа к жесткому диску и различным панелям управления и местам другие меры безопасности. Еще одна масса настроек служит для разблокировки машины целиком; другими словами, этот GPO является полным противоположно первому. Дополнительные наборы GPO позволяют нам поставить лабораторию в смесь двух состояний с блокировкой некоторых областей и остальные остаются разблокированными. Эти политики применяются по мере необходимости к конкретные организационные подразделения лаборатории, так что если все будут применяться в то же время это было бы полным фиаско.Вместо этого мы используем глобальные группы безопасности, по одной для доступа к каждому GPO, и сделать компьютеры из этой лаборатории члены каждой группы.
Для доступа к политикам переносим компьютеры из одной группы в другой. Если клиента нужно разблокировать полностью, мы его перемещаем в разблокированную группу и перезагрузитесь или дождитесь обновления политики. Точно так же, если пользователь из зоологии решит, что ему нужна его машина заблокированы, мы можем применить соответствующие GPO к зоологии Организационная единица, затем поместите эту машину в глобальную группу, которая разрешает доступ к GPO.
Если бы у нас была ситуация, когда клиент был заблокирован или не заблокированы, мы могли бы использовать только одну группу и заблокировать состояние по умолчанию, при этом членство в группе подразумевает разблокированный состояние или наоборот.
10.3.2.3 Режим обратной связи
Мы учли один важный аспект дизайна GPO Лестера до сих пор, петлевой режим. Лестеру необходимо использовать режим обратной связи, чтобы заблокировать оба сотрудников и студентов, пока они находятся в лабораторных условиях.Сделать это успешно требует, чтобы политики компьютера были отделены от пользовательские политики. Когда вы добавляете это требование к уравнению, оно имеет смысл держать лабораторную часть дерева отдельно в некоторых путь от другой части дерева. Это гарантирует, что пользователь разделы компьютерных политик не применяются ни к каким учетным записям пользователей кроме режима петли. И на рис. 10-12, и на рис. 10-13 есть конструкции, которые с радостью выполнят это требование.
10.3.3 Рекомендации по разработке объектов групповой политики
В этом разделе мы предоставляем рекомендации, которые помогут вам достичь двух важнейших целей проектирования:
Все политики следует применять быстро, чтобы пользователи не чувствовали себя значительное влияние из-за обработки политики.
Все политики должны быть максимально простыми в администрировании и обслуживании.
Имея в виду эти две концепции, давайте посмотрим в справочнике:
- Создавайте так, чтобы вам было комфортно с
Как показано в примере в последнем разделе, проще сделать большие проекты с учетом организационной единицы пользователя и компьютерные организационные структуры отдельно.Если ты хочешь сделать их вместе и иметь достаточно небольшую сеть, чтобы вы могли это сделать легко, это нормально. Если нет, попробуйте сначала делал.
- Максимально ограничьте количество применяемых политик
В идеальном мире это не имело бы значения. Но в реальном мире, чем больше у вас политик, тем больше обработки клиент должен делать в дополнение к его обычному входу в систему / загрузке, и для завершения процесса требуется больше времени.
Если у вас есть несколько политик, применяемых к объекту из одного и того же место на дереве, рассмотрите возможность свертывания их в один объект, так как это будет обрабатываться быстрее, чем несколько политик. Если количество политик, которые вы применяете во время входа в систему / загрузки, больше чем вы можете эффективно связаться с клиентом по сети или, что еще более важно, больше, чем вы можете заставить клиента обработать, вы необходимо рассмотреть возможность сокращения или отмены политики.Если вам нужно применять очень большой набор политик с множеством настроек, которые увеличивает время входа до пяти минут, но вы считаете, что это приемлемо для достичь такого уровня политики, это нормально.
Когда дело доходит до этого, только вы знаете, что вы можете принять, и вы вам нужно будет провести собственное тестирование в этой области, чтобы удовлетворить ваши ограничения. Если вам нужно, чтобы клиент вошел в систему менее чем через 4 секунд, вы должны работать в рамках этого ограничения. Microsoft любит рекомендуют не более 10 организационных единиц в глубину, чтобы убедиться, что вы не используете слишком много объектов групповой политики.Как известно, это не очень помогает. Наличие одного GPO, подающего заявку на сайт, по одному в домене и по одному в каждом из 5 организационных подразделений означает всего 7 GPO. Применение 10 на каждом уровне — 70. Итак дело не только в том, насколько глубоко вы вложили свой организационный Структура подразделения имеет значение, сколько политик вы можете подать заявку. Прискорбная часть, конечно же, в том, что всегда возвращается к тому, сколько настроек вы применяете в каждой политике.
Простой ответ заключается в том, что может применяться более быстрая машина с большим объемом оперативной памяти. больше политик за меньшее время, чем на более медленном ПК с меньшим объемом оперативной памяти; следовательно, для сети из разнородных клиентов вам нужно сделать тестирование в собственной сети, чтобы увидеть, насколько быстро применяются политики есть и какую полосу пропускания они занимают.Извините, но так оно и есть сейчас.
- Используйте группы безопасности для настройки доступа
Хотя вы можете настроить списки управления доступом, чтобы разрешить или запретить применение политики к отдельного пользователя или компьютера, имеет смысл использовать группы для делайте это, когда можете. Если вы используете группы, вы можете сохранить все доступ к политике в одном объекте, и это может сильно усложнить сложные системы. более управляемый.
- Ограничить использование блочного / принудительного наследования
Вы должны быть очень осторожны при блокировке наследования в локациях в дерево, если вы не уверены, что это правильный способ решить вашу проблему.Последствия простого блокирования наследование может быстро развиваться по спирали, если вы столкнетесь с областями политики, которые нужно переопределить блок. Ваша хорошо спроектированная система может стать довольно сложно поддерживать, если вы регулярно блокируете и отменяете. Этот не означает, что вы никогда не должны их использовать; просто будьте осторожны в их использовании.
- Свернуть структуру организационной единицы
При желании вы можете свернуть дизайн организационной единицы и больше использовать группы (или даже блокировать наследование / принудительное переопределение), чтобы управлять доступом к определенным политикам.Оба они абсолютно верны решения, и вы должны использовать то, что вам удобнее с участием. Помните аксиому о том, что чем больше вы разрушаете Структура организационного подразделения при сохранении или увеличении количество GPO, большая потребность в управлении через группы или блок наследование / принудительное переопределение.
- Избегайте использования междоменных ссылок GPO
Если вы связываете объекты групповой политики между доменами, весь набор Данные SYSVOL, а также информация об объекте сам должен переходить из исходного домена всякий раз, когда пользователь или компьютер должен получить к нему доступ.Итак, если у вас нет очень быстрых ссылок между двумя доменами с достаточно доступной пропускной способностью, вы должны вместо этого дублируйте функциональность GPO в целевом домене междоменного связывания, если контроллеры домена для каждого домена расположены в одной сети.
- Назначение приоритета объектам групповой политики
Помните, что можно назначать приоритеты приложениям из нескольких Объекты групповой политики на уровне сайта, домена или организационной единицы.Этот заказ применения политик позволяет добавлять полезные опции в инструментарий администратора. Например, если вы нужна группа пользователей, чтобы изменить определенные настройки, которые применяется по умолчанию как часть большего набора, создайте новый объект групповой политики с ACL для этой группы, которые применяются в списке приоритетов для отмены всех предыдущие настройки. Это решение позволяет отменить выбор предыдущих настроек без создания двух объектов групповой политики, один с настройками для все и один только для этой группы.Первое решение позволяет чтобы добавить параметры к основному объекту групповой политики и при этом сохранить их применимость к все, без необходимости добавлять их во второй GPO последнего решение. Приоритет GPO может быть очень полезным.
- Увеличить скорость обработки
Основные способы для увеличения скорости обработки нужно уменьшить количество объектов групповой политики, которые вы применяете, отключите компьютер или пользовательскую часть объекта групповой политики, если это не так. необходимо, или ограничьте использование наследования блоков, принудительного переопределения, междоменное связывание и режим обратной связи.Все это место лишнее обработка нагрузки на клиента до некоторой степени. Действительно серьезная ошибка было бы использовать их комбинации.
- Будьте осторожны с режимом обратной связи
Режим обратной связи — очень полезный инструмент, но это еще одна технология, которая подходить нужно осторожно. Как совершенно другой набор политики (режим замены) или очень большое количество политик (режим слияния) будут применены к вашим пользователям, а поскольку инструментов Результирующего набора политик (RSoP) не существует, поскольку мы напишите это, вам нужно очень внимательно следить за тем, чтобы политика полученный пользователем — это то, что вы ожидаете.
В большинстве случаев режим слияния с обратной связью требует значительных дополнительных затрат. вычислительная нагрузка на клиентский ПК и дополнительная пропускная способность в сети. Это не значит, что это бесполезно, но вы должны быть очень осведомлены о задержках, которые могут произойти после его введение. Режим замещения с обратной связью требует меньшей обработки нагрузки, но это все еще может быть проблемой. Если вы размышляете режим обратной петли, обеспечивающий адекватное стресс-тестирование воздействия на пользователя.
- Ограничить частоту обновления объектов групповой политики
Это относится к двум конкретным временам.Вам следует ограничить свои модификации объектов групповой политики, которые могут немедленно вызвать обновление политики для всех клиентов или пользователей, так как это может замедлить работу сеть и на клиенте. Лучше бы обновления сделать во время планового технического обслуживания систем. Вам также следует внимательно контролировать интервал обновления политики. Вы должны спросить себя, если вы действительно нужно обновлять политику каждые 10 минут, когда каждые 24 часа может быть достаточно.
- Тщательно протестируйте фильтры WMI
Если вы используете фильтры WMI, обязательно тщательно протестируйте запросы. перед выпуском в производство.Если вы используете неоптимизированный запрос или один, который очень ресурсоемкий, это может вызвать значительные задержки при обработке GPO. Создание простого скрипта или даже использование новый инструмент WMI под названием WMIC может помочь облегчить тестирование.
- Ограничить блокировку доменных GPO
Не стоит заблокировать доменные GPO, чтобы они могли использовать LGPO на клиенте домена без очень веских причин. Если вы все же решите применить LGPO только к клиент, вам нужно знать об издержках управления, потому что каждый клиент требует индивидуального управления.Если у вас 20 сирот клиентов, использующих LGPO, и вам нужно внести изменения, вам нужно внести это 20 раз, по одному разу на клиента. Вся концепция GPO заключалась в том, чтобы помощь централизованному управлению и администрированию распределенных ресурсы, нераспределенное управление распределенными ресурсами. Считать осторожно, прежде чем идти по этому пути.
- Использовать тестовые объекты групповой политики
Мы всегда рекомендуем создавать тестовые GPO и связывать их с веткой. тестовых организационных единиц, созданных для этой цели.Никакой GPO не должен когда-либо применяться к пользователям или компьютерам, если это не было полностью проверено. А с новыми инструментами, такими как GPMC или Resultant Set of Политики (более подробно описаны вкратце), намного проще оцените влияние GPO на вашу клиентскую базу.
- Выберите монолитные или сегментированные объекты групповой политики
Хотя мы бы рекомендовали сохранить аналогичные настройки или все настройки, относящиеся к конкретному объекту, в одном и том же объекте групповой политики, ничто не мешает вам иметь всего несколько огромных объектов групповой политики в качестве в отличие от ряда более мелких GPO.Если вы выберете монолитный подход, вы обрабатываете меньше GPO, что, очевидно, быстрее; тем не мение, делегирование не так просто из-за того, что политика содержит так множество настроек. Сегментированные объекты групповой политики упрощают делегирование, но могут повлиять на представление. Смешайте и сопоставьте два до уровня, который вы комфортно, и это работает для вашей сети.
10.3.4 Проектирование делегирования и управления изменениями
Теперь, когда вы разработали основанную на политике внедрения для вашей организации, вы должны решить, как вы сохранит жесткий контроль над объектами групповой политики после того, как вы начнете их развертывать.В частности, вам нужно подумать, кто будет управлять вашими объектами групповой политики и как вы будете контролировать широкомасштабные изменения, которые они могут делать.
10.3.4.1 Важность процедур контроля изменений
Лучший способ отслеживать объекты групповой политики в вашей организации — это серия процедур контроля изменений. Они хорошо работают, если ваш GPO администраторы являются администраторами домена или нет. Предлагаем файл например, документ Word с таблицами, электронная таблица или даже база данных в центральном месте для хранения данных по каждому объекту групповой политики, настройки что он применяется, независимо от того, применяется ли он к компьютерам и пользователям или к обоим, контейнеры в Active Directory, к которым он применяется, и так далее.Ты также следует добавить дополнительные столбцы / поля к данным для предлагающего исходный GPO и те люди, которые ратифицировали изменение. Если вы добавите эти поля / столбцы, каждый раз, когда делается новое изменение, оно добавляется предлагающий существующий набор данных. Тогда предлагающий или система автоматически связывается с остальными администраторами GPO и просит их рассмотреть и утвердить изменение набора данных. Обсуждения можно продолжить по электронной почте, если возникнут проблемы. предотвращение ратификации или если пункты нуждаются в разъяснении.Наконец-то, когда данные GPO ратифицированы всеми, они могут быть проверены на регрессию на тестовые системы, если это еще не было сделано, и затем реализован в Active Directory.
Потребности любого пользователя, компьютера или группы и прочтите, и примените групповую политику, чтобы применить политику. Active Directory поставляется с уже существующими разрешениями для объектов групповой политики. Эти являются:
Администраторы в последних двух группах также являются аутентифицированными пользователями и поэтому унаследуйте разрешение на чтение от этой группы. если ты не хотят, чтобы у администраторов были пользовательские части Объекты групповой политики, применяемые при входе в систему, установите для параметра Применить групповую политику значение Запретить для Администраторы домена, администраторы предприятия и, возможно, владелец-создатель. |
10.3.4.2 Разработка делегирования администрирования GPO
Есть три типа разрешений, которые можно рассмотреть здесь:
Разрешение, позволяющее группам пользователей связать политики с доменом или филиал организационного подразделения
Разрешение, позволяющее группам пользователей создавать объекты групповой политики
Разрешение, позволяющее группам пользователей изменять сами GPO
Делегирование ссылки может быть легко выполнено с помощью делегирования Мастер управления, который вы получаете, щелкнув правой кнопкой мыши Подразделение, домен или сайт в Active Directory и выбор Делегировать управление.Вы захотите использовать Задача «Управление ссылками групповой политики». Здесь вы фактически делегируете доступ для чтения и записи к Атрибут gPLink объекта групповой политики.
Другой атрибут GPO, который может быть делегирован таким образом, называется gPOptions. Как обсуждалось ранее и показано на Рисунке 10-10, это касается области блокировки. наследование. Если вам интересно, как эти атрибуты работают, настройте несколько объектов групповой политики в Active Directory. Затем используйте ADSI Edit из средств поддержки Windows для проверки атрибутов вновь созданные объекты групповой политики в этом месте:
LDAP: // CN = Политики, CN = Система, dc = windows, dc = mycorp, dc = com
Создание объектов групповой политики ограничено теми, которые указаны на боковой панели дефолт.Однако вы можете добавлять пользователей в создатель групповой политики. Группа безопасности владельцев, которая позволяет участникам создавать новые объекты групповой политики. Если член владельцев-создателей групповой политики создает GPO, этот пользователь назначается владельцем-создателем GPO и может продолжать Управляй этим. Создатель-владелец объекта групповой политики может управлять этим объектом, даже если Пользователь удаляется из всех групп, предоставляющих права на управление GPO.
|
Вы можете делегировать доступ на редактирование новым объектам групповой политики, если люди создавать эти объекты групповой политики — это те, кто будет их редактировать, помещая эти пользователи входят в группу владельцев-создателей групповой политики.Если вы также хотите делегировать доступ на редактирование большему количеству людей или объектам групповой политики, которыми является пользователь не Владелец-Создатель, используйте GPMC. Перейдите к групповой политике Папка объекта в домене, в котором нужно изменить объект групповой политики: содержится. Щелкните объект групповой политики, который хотите делегировать, и выберите Вкладка «Делегирование» на правой панели, как показано на рисунке 10-16. Нажмите кнопку «Добавить», чтобы открыть средство выбора объектов, которое позволяет вам выбирать, каких пользователей или группы вы хочу иметь доступ.Далее вам нужно будет выбрать разрешение, которое вы хотите предоставить. У вас есть три варианта:
Наконец, нажмите OK, и делегирование будет применено.
Рисунок 10-16. Делегирование GPO в GPMC
|
10.3.4.3 Создание настраиваемых объектов GPOE для администраторов
GPOE поставляется с серией разрешенные оснастки, которые обычные администраторы получают по умолчанию.Эти оснастки позволяют администраторам управлять всеми частями объекта групповой политики. Однако можно поставлять настраиваемые объекты GPOE, ориентированные только на один объект групповой политики и загружать только определенные разрешенные надстройки. Это позволяет вам заявить, что Группа 1 может управлять этой частью политики, а Группа 2, которая часть той же политики. Это очень полезный инструмент, который мы рекомендуем использовать при делегировании администрирования, но вы должны знать, что просто предоставление ограниченного инструмента определенным пользователям не остановит их от возможности манипулировать другими аспектами объекта групповой политики, если они открывают свой собственный GPOE и указать его на ту же политику.
Чтобы решить эту проблему, вернитесь к разделу, когда мы обсуждение раздела «Административные шаблоны (пользователь)», в частности Компоненты Windows Microsoft Management Консоль разрешена с ограничениями оснастки Раздел групповой политики.