Адміністрування комп'ютерних систем та мереж (Великий О.А.)

Групові політики є одними з найбільш ефективних способів управління комп'ютерною системою, побудованими на базі Windows-мереж. Групові політики використовують для посилення адміністрування, надаючи адміністраторам централізоване керування привілеями, правами та можливостями як користувачів, так і комп’ютерів мережі.

ЗА ДОПОМОГОЮ ПОЛІТИКИ МОЖЛИВО:

• призначати сценарії користувача та сценарії комп'ютера, що запускаються у вказаний час; 
• визначати політики параметрів пароля облікових записів, блокування користувачів; 
• розповсюджувати програмне забезпечення на комп'ютери мережі за допомогою публікації чи призначення; 
• виконувати набір безпеки для віддалених машин; 
• ввести контроль над доступом до windows-компонентів, системних ресурсів, мережевих ресурсів, утиліт панелі управління, робочого столу та екрану; 
• проводити налаштування щодо розподілу прав на доступ до файлів та папок; 
• налаштувати перенаправлення певних папок із профілю користувача.

Групові політики можна використовувати одночасно на кількох доменах, на окремих доменах, на підгрупах в домені, на окремих системах. Політики, що застосовуються до окремих систем, називають локальними груповими політиками. 

Такі політики зберігаються лише на локальному комп'ютері. Інші групові політики з'єднані в об'єкти та зберігаються у сховищі даних Active Directory. 

Керування групових політик є лише у професійних та серверних версіях Windows. 

Для кожної нової версії Windows вносили нові зміни до групової політики. У деяких випадках старі політики не застосовуються до нових версій Windows.

Зазвичай більшість політик прямо сумісні. Це означає, що, як правило, політики, надані в Windows Server 2003, можуть використовуватися на Windows 7 і пізніших, а також Windows Server 2008 і пізніших. Однак політики для Windows 8/10 та Windows Server 2012/2016 зазвичай не застосовуються до попередніх версій Windows. Для того, щоб дізнатися, які версії підтримує політика, можна відкрити вікно її властивостей – там подивитися в полі Вимога до версії або підтримується. У ньому вказано версії ОС, на яких ця політика працюватиме:

Редагування групових політик

Консоль редагування групової політики входить до складу сервера, її потрібно встановити в диспетчері сервера як додатковий компонент управління груповими політиками:

Після цього у складі програм меню Адміністрування з'являється завдання Управління груповими політиками.

В оснастці Управління групової політикою призначаються політики до підрозділів, а завдяки ієрархічній структурі можна візуально зрозуміти до якої групи належать будь-яка політика:

Групова політика змінюється у редакторі керування груповими політиками – для цього потрібно вибрати команду Змінити у меню Дії. Так само нову групову політику можна створити або з нуля, для цього вибираємо Об'єкти групової політики вибираємо команду Створити в меню Дія. Записуємо нове ім'я групової політики об'єкта після цього натискаємо ОК. Можна скопіювати параметри вже існуючої політики в залежності від необхідної задачі.

Щоб застосувати створену політику, потрібно встановити для неї зв'язок з відповідним об'єктом служби каталогів у оснащенні Управління груповою політикою:

Застосовану політику можна налаштувати за фільтром безпеки. У такий спосіб параметри даного об'єкта групової політики можна розділити лише для заданих груп, користувачів та комп'ютерів, що входять до домену:

РЕКОМЕНДАЦІЇ З ВИКОРИСТАННЯ ПОЛІТИК

Головне у тому, щоб не змінювати політику за умовчанням. Бо якщо в політиці виникне якась серйозна помилка, то повернення до початкового стану призведе до видалення не лише останніх налаштувань, а й усіх інших параметрів. Тому для адміністративних дій з управління системою створюйте нові політики, тоді для зміни налаштувань вам потрібно лише відключати/включати прив'язку політик до організаційної структури.

Обробка однієї політики з найбільшою кількістю призначених параметрів не відрізняється за часом від обробки кількох політик, у кожній з яких призначається лише частина цих параметрів. Тому зручніше створювати кілька політик, ніж включати всі зміни до однієї.

Не варто видаляти раніше створені групові політики – бажано просто вимкнути прив'язку їх від об'єкта служби каталогів. Вони можуть знадобитися надалі для аналізу у разі будь-яких проблем.