Лекція 24. Об'єкти групової політики
Групова політика — це набір правил, відповідно до яких відбувається налаштування робочого середовища Windows. Групові політики створюються в домені та реплікуються в межах домену. Об'єкт групової політики (Group Policy Object, GPO) складається з двох фізично розділених складових: контейнера групової політики (Group Policy Container, GPC) та шаблону групової політики (Group Policy Template, GPT). Ці два компоненти містять в собі всю інформацію про параметри робочого середовища, що входять до складу об'єкта групової політики. Продумане застосування об'єктів GPO до елементів каталогу Active Directory дозволяє створювати ефективне та легко кероване комп'ютерне робоче середовище на базі ОС Windows. Політики застосовуються зверху вниз ієрархією каталогу Active Directory.
24.1. Створення групових політик
За умовчанням в ієрархії каталогу Active Directory створюються дві групові політики з надзвичайно виразними іменами:
- Default Domain Policy (політика домену за промовчанням),
- Default Domain Controller's Policy (політика контролера домену за замовчуванням).
Перша з них призначається домену, а друга — контейнеру, до складу якого входить контролер домену. Якщо ви бажаєте створити свій власний об'єкт GPO, ви повинні володіти необхідними повноваженнями. За замовчуванням правом створення нових GPO володіють групи Enterprise Administrators (Адміністратор підприємства) і Domain Administrators (Адміністратори домену). Щоб створити новий об'єкт групової політики, необхідно виконати такі дії:
Переконайтеся в тому, що ви підключилися до системи з використанням облікового запису, що належить до однієї з груп: Domain Administrators (Адміністратори домену) або Enterprise Administrators (Адміністратори підприємства).
Переконайтеся в тому, що в системі, до якої ви підключилися, встановлені засоби адміністрування, необхідні для роботи з груповими політиками. Зокрема, вам буде потрібна оснастка Active Directory Users and Computers (Active Directory — користувачі та комп'ютери). Цьому оснащенню відповідає файл dsa.msc.
Відкрийте консоль Active Directory Users and Computers (Active Directory — користувачі та комп'ютери) і перейдіть до контейнера OU, щодо якого ви маєте намір застосувати політику.
Правою кнопкою миші клацніть на контейнері OU, з'явиться меню для вибору пункт Properties (Властивості) і перейдіть на вкладку GPO.
Щоб створити новий об'єкт GPO і призначити його поточному контейнера, клацніть на кнопці New (Новий).
У списку посилань на об'єкти GPO з'явиться нова позиція, рядок імені якої буде знаходитися в режимі редагування. Дайте новому об'єктові GPO змістовне ім'я.
Створена вами політика є лише заготовкою. Її вміст формується на основі адміністративних шаблонів, що містяться в папці SysVol контролера домену, на якому був створений GPO. Ці шаблони можна розширити і модифіковати відповідно до потреб вашої організації. До існуючих компонентів об'єкта GPO можна додати створені вами розширення. Наприклад, за допомогою групової політики можна керувати налаштуваннями прикладних програм.
Після створення GPO слід модифікувати значення параметрів цього об'єкта таким чином, щоб налаштувати визначену груповою політикою конфігурацію робочого середовища. На вкладці Group Policy (Групова політика) клацніть на кнопці Edit (Редагувати). При цьому запуститься редактор групової політики, за допомогою якого ви зможете модифіковані конфігурацію комп'ютерів та користувачів, яка визначається політикою. Список посилань на об'єкти GPO, відображений на сторінці властивостей контейнеру OU, містить посилання на об'єкти GPO, розташовані в каталозі Active Directory. Зміни, що вносяться до будь-якого з об'єктів GPO, можуть вплинути на поведінку багатьох об'єктів каталогу Active Directory. Щоб визначити, стосовно яких саме контейнерів OU будуть застосовані зроблені вами зміни, відкрийте діалогове вікно властивостей того GPO, що Вас цікавить і перейдіть на вкладку Links (посилання). Щоб отримати список контейнерів, з якими пов'язана дана політика, користуйтесь кнопкою Find.
24.2. Засоби адміністрування
Утиліти групи Administrative Tools (Адміністрування) входять до комплекту поставки операційних систем Server, Advanced Server і Datacenter Server. Файл, необхідний для встановлення цих утиліт, називається adminpak.msi і розташовується в каталозі i386 на установчому компакт-диску або в підкаталозі WINNT\SYSTEM32\ операційної системи. Цей 15-мегабайтний файл встановлює всі необхідні оснастки та реєструє бібліотеки DLL, необхідні для роботи засобів адміністрування.
24.3. Застосування групових політик
Працюючи з груповими політиками, слід враховувати, що:
- об'єкти GPO застосовуються щодо контейнерів, а не «замикаючих» об'єктів;
- один контейнер може бути пов'язаний з кількома об'єктами GPO;
- об'єкти GPO, пов'язані з одним і тим же контейнером, застосовуються до цього контейнеру в тому порядку, в якому вони були призначені;
- об'єкт GPO включає в себе дві складові: параметри, пов'язані з комп'ютерами, і параметри, пов'язані з користувачами;
- опрацювання будь-якої з цих складових можна вимкнути;
- спадкування об'єктів GPO можна блокувати;
- спадкування об'єктів GPO можна форсувати;
- застосування об'єктів GPO можна фільтрувати за допомогою списків ACL.
24.4. Розв'язування конфлікту двох політик
Уявіть, що деякий параметр (наприклад, logon banner — графічна заставка при підключенні) визначено як у політиці Р3, так і в політиці P1. При цьому значення параметру, задане в політиці Р3, відрізняється від значення, заданого в політиці Р1. Яке значення буде присвоєно параметру у результаті застосування обох цих політик? У подібній ситуації параметру об'єкта присвоюється значення, отримане з GPO, який знаходиться до об'єкта ближче всього. Таким чином, в розглянутій ситуації параметру logon banner буде присвоєно значення, взяте з політики Р1.
24.5. Застосування декількох політик відносно одного контейнера
Уявіть що політики Р4 і Р5, в яких визначаються значення найрізноманітніших параметрів, застосовані до контейнеру Acct. У розділі конфігурації комп'ютера політики Р4 членам глобальної групи Accounting (бухгалтерія) дозволяється локально підключатися до будь-якого комп'ютера в контейнері Acct, а також у всіх підконтейнерах цього контейнера. А в розділі конфігурації комп'ютера політики Р5 права групі Accounting (бухгалтерія) не призначаються. У списку політик, який відображається на сторінці Group Policy (Групова політика) у вікні властивостей контролера домену, політика Р5 розташовується в верхній частині списку — вище політики Р4. Політики, зазначені в цьому списку, застосовуються до об'єкта в порядку знизу вгору. Іншими словами, політики, розташовані в нижній частині списку, застосовуються в першу чергу, після чого застосовуються політики, розташовані вище за списком. Таким чином, при обробці розглянутого набору політик відносно контейнера Acct спочатку буде застосована політика Р4, а потім політика Р5. Отже, після обробки набору політик параметр прав на локальне підключення до системи буде містити значення з політики Р5. Таким чином, члени глобальної групи Accounting (бухгалтерія) не будуть мати право локального підключення до комп'ютерів контейнера Acct і його підконтейнерів. Щоб змінити порядок обробки політик, слід скористатися кнопками Up (Вгору) і Down (Вниз) в правому нижньому куті вкладки Group Policy (Групова політика).
Windows 2000 дозволяє блокувати застосування деяких розділів об'єкта GPO. Якщо політика застосовується щодо контейнера не повністю, а тільки частково, загальний час підключення користувача до системи зменшується. Чим менша кількість параметрів GPO слід застосувати у відношенні того чи іншого об'єкта, тим швидше виконується обробка відповідної політики. Відключення оброблення деяких розділів політики можна здійснити окремо для кожного з об'єктів GPO. Для цього слід виконати такі дії:
Відкрийте оснастку Active Directory — Users and Computers (Active Directory — користувачі і комп'ютери). Виділіть контейнер, що Вас цікавить, відкрийте вікно властивостей цього контейнера і перейдіть на вкладку Group Policy (Групова політика).
Виберіть об'єкт GPO, який ви маєте намір модифікувати.
Клацніть на кнопці Properties (Властивості).
Тут ви можете блокувати застосування щодо контейнера параметрів політики, що відносяться до конфігурації комп'ютера або до конфігурації користувача.
Після того як ви зазначили, застосування якого із розділів GPO повинно бути блоковано, на екрані з'явиться повідомлення про те, що значення параметрів, модифікованих завдяки даній політиці, будуть відновлені в початковий стан. Наприклад, якщо блокувати застосування параметрів GPO, що відносяться до конфігурації користувача, то конфігурація всіх користувачів, щодо яких діє дана політика, буде відновлена в стан, в якому вона була до застосування даної політики. На відміну від Windows 2000 операційна система NT 4.0 виконувала очищення політик некоректно. У зв'язку з цим в NT 4.0 навіть після скасування політики параметри об'єктів зберігали значення, присвоєні їм в процесі застосування скасованої політики.
Блокування застосування одного з розділів політики налаштовується для конкретного об'єкта GPO і діє відносно всіх контейнерів, для яких призначений цей GPO.
24.6. Управління користувацькими документами і кешуванням на стороні клієнта
Групова політика дозволяє перенаправляти деякі користувальницькі каталоги таким чином, щоб при зверненні до них користувач насправді звертався до мережевих каталогів або певних місць локальної файлової системи. Набір папок, які можна перенаправити таким чином, включає в себе:
- Application data,
- Desktop (Робочий стіл),
- My Documents (Мої документи),
- My Pictures (Мої малюнки),
- Start Menu (Головне меню).
Механізм перенаправлення користувача тек є частиною технології IntelliMirror, мета якої — забезпечити доступ до робочих файлів і конфігураційної інформації незалежно від того, яку робочу станцію користувач використовує для роботи. Як наслідок, технологія Intellimirror забезпечує збереження користувальницьких файлів і конфігураційних даних у разі, якщо робоча станція користувача виходить з ладу. Перенаправлення каталогів налаштовується в розділі User Configuration (конфігурація користувача) → Windows Settings (параметри Windows) → Folder Redirection (перенаправлення папок) об'єкта групової політики. У цьому розділі відображаються всі раніше перелічені папки. Щоб перенаправити одну з цих папок в нове місце, правою кнопкою миші клацніть на її імені та в меню оберіть пункт Properties (Властивості).
На вкладці Target (Ціль) ви можете вибрати один з трьох варіантів перенаправлення користувацької папки.
No administrative policy specified (адміністративна політика не призначена).
Basic (базовий). Перенаправляє папку в нове місце незалежно від того, до якої групи належить користувач. Нове місце повинно бути вказано з використанням формату UNC. При вказівці нового місця можна використовувати такі змінні, як %username%. Таким чином, для різних користувачів папка може бути перенаправлена в різні каталоги, проте всі ці каталоги повинні розташовуватися в одній і тій же мережевий папці загального доступу.
Advanced (ускладнений). Для різних груп користувачів можна вказати різні місця розташування папки. Для різних груп можна вказати різні UNC-імена. Відповідні папки можуть розташовуватися на різних серверах.