Групповая политика является мощным средством управления конфигурацией компьютеров в сети. Реализация групповой политики может представлять собой очень сложный процесс, и некорректная реализация может значительно повлиять на рабочее окружение всех пользователей в организации. В данной статье описаны рекомендуемые методики проектирования и реализации групповой политики в сети.
При разработке стратегии групповой политики важно учесть количество реализуемых объектов GPO. Поскольку все параметры политики доступны в каждом объекте GPO, теоретически все требуемые параметры можно отконфигурировать в одном GPO. Вы также можете развернуть отдельный GPO для каждого параметра, который нужно настроить. Практически в любом случае оптимальное количество объектов GPO находится между этими крайностями и не существует универсального решения на все случаи. В процессе загрузки клиентского компьютера и входа пользователя все соответствующие объекты GPO должны быть обработаны и применены к локальному компьютеру. Поэтому при уменьшении количества объектов GPO обычно повышается скорость загрузки компьютера и входа пользователя. Однако контролировать и документировать лишь несколько объектов GPO, выполняющих множество различных задач, намного сложнее. Кроме того, объекты GPO с небольшим числом параметров легче многократно использовать в различных подразделениях. В целом объекты GPO рекомендуется использовать лишь для настройки одной группы параметров. Например, вы можете использовать один GPO для назначения параметров безопасности, один GPO — для назначения административных шаблонов и еще один объект GPO — для установки пакета программного обеспечения.
Важную роль играет также размещение развертываемых объектов политики. Обычно объекты GPO можно развернуть в структуре подразделения, а затем с помощью фильтров безопасности и блокирования наследования применить параметры политики к соответствующим пользователям и компьютерам. Вы также можете связать большинство объектов GPO с дочерними контейнерами в иерархии, чтобы применять каждую политику в соответствующей точке иерархии и избежать создания сложной конфигурации наследования. В большинстве случаев используется комбинация всех этих методов. Если некоторые параметры политики нужно применять ко всем пользователям в домене, назначайте эти параметры на максимально возможном уровне. С понижением уровня иерархии, параметры политики становятся все более специфичными.
Устранение неполадок групповой политики представляет собой довольно сложный процесс по причине обширного набора используемых компонентов. Тем не менее большинство неполадок могут возникать по таким причинам.
- Состояние GPO и ссылки GPO. Убедитесь, что объект GPO или ссылка GPO не отключены и эта ссылка связана с контейнером соответствующего сайта, домена или подразделения. Кроме того, не забывайте, что в процессе обновления выполняется обработка лишь измененных объектов GPO.
- Расположение объекта пользователя или компьютера. Убедитесь, что объект пользователя или компьютера находится в контейнере, с которым связан GPO.
- Неполадки репликации. Если объект GPO только что создан, некоторые контроллеры доменов могут не успеть получить реплицированные данные шаблона GPT и контейнера GPC. Если репликация папки SYSVOL выполняется некорректно, то наверняка придется устранить неполадки репликации DFS и FRS.
- Наследование GPO. Наследование параметров групповой политики для конкретного пользователя можно проверить с помощью компонента Group Policy Results. Чтобы обработка объектов GPO выполнялась должным образом, дважды проверьте блокировку и принудительное включение наследования.
- Фильтры безопасности. Дважды проверьте фильтры безопасности GPO. Помните, что по умолчанию в фильтр добавлена группа Authenticated Users (Прошедшие проверку), включающая стандартных пользователей, компьютеры и администраторов. Для обеспечения корректной обработки следует модифицировать пользователя или группы в фильтре.
- Медленное подключение или обработка замыкания. Иногда может понадобиться определить, возникает ли неполадка по той причине, что компьютер интерпретирует подключение как медленное. Помните, что при использовании медленных подключений выполняется обработка не всех клиентских расширений CSE групповой политики. Кроме того, следует определить, работает ли компьютер в режиме обработки замыкания (Loop-back). Для выяснения обоих вопросов используется инструмент Group Policy Results, сфокусированный на проблемном компьютере.
- Сетевые подключения. Чтобы получить список объектов GPO и выполнять корректную обработку параметров групповой политики, все компьютеры должны иметь возможность связываться с контроллером домена Active Directory. Для поиска контроллера домена в сетевой среде нужно применять DNS. Убедитесь, что сетевая инфраструктура работает должным образом и время синхронизируется на всех компьютерах, поскольку синхронизация времени может являться причиной неполадок обработки групповой политики (а также многих других проблем сетевых подключений).