Использование групповых политик Active Directory
Domain Services.
Групповая политика в Windows Server предусматривает
много возможностей, позволяющих снизить стоимость управления компьютерными
системами. Параметры политик пользователей и компьютеров объединяются в группы,
которые используются на различных уровнях в иерархии Active Directory. С
помощью групповой политики параметр конфигурации можно применить к некоторым
или всем компьютерам и пользователям в организации. Еще в дни зарождения Active Directory групповая политика обеспечивала
управляемую компьютерную среду. Для многих организаций покупка компьютера -
лишь небольшая сумма из общих затрат, связанных с управлением и техническим
обслуживанием компьютера в течение его жизненного цикла. Начальная стоимость -
это затраты на персонал, обслуживающий компьютеры. Если все клиентские
компьютеры требуется администрировать вручную, стоимость их содержания быстро
превысит приемлемый уровень. Для решения этой проблемы следует отказаться от
администрирования компьютеров вручную и установить централизованную
автоматизированную систему администрирования конфигурации параметров
пользователей и компьютеров в среде.
Обзор групповой политики.
Групповая
политика в Windows Server предполагает широкие возможности управления
параметрами конфигурации компьютеров и пользователей в среде Active Directory.
В табл. 1 перечислены некоторые возможности групповой политики.
Таблица
1. Возможности конфигурации групповой политики в среде Active Directory
Принцип работы групповой политики.
Каждый компонент, описанный в
табл. 1, состоит из множества параметров групповой политики, которые
применяются к пользователям и компьютерам. Параметры политики конфигурируются
как объекты групповой политики GPO (Group Policy Objects) и привязаны к различным
уровням структуры Active Directory, таким как сайт, домен или подразделение
(OU). Иерархия Active Directory предоставляет возможность наследования
параметров групповой политики, привязанных к контейнерам более высокого уровня
(например, домену и контейнерам OU высшего уровня), контейнерами на более
низких уровнях. Вследствие этого используется более эффективный метод
применения параметров групповой политики ко всей среде.
При создании домена Active
Directory создаются и привязываются два объекта групповой политики: Default
Domain Policy и Default Domain Controllers Policy. Объект Default Domain Policy
привязан к уровню домена и позволяет назначать политики безопасности и паролей
для целого домена. Объект Default Domain Controllers Policy привязан к подразделению
Domain Controllers и позволяет конфигурировать параметры безопасности для
контроллеров домена. Помимо этих GPO по умолчанию можно создать много
дополнительных объектов GPO и привязать их к различным компонентам структуры
Active Directory.
Примечание.
He рекомендуется модифицировать объекты Default Domain Policy и Default Domain
Controllers Policy. Для того чтобы применить настраиваемые параметры политики,
каждый раз создавайте новые объекты GPO, а объекты GPO по умолчанию размещайте
первыми в списке приоритетов.
Помимо групповой политики
Active Directory, в локальных или независимых компьютерных средах также
используется локальный объект групповой политики LGPO (Local Group Policy
Object). Компьютеры Windows 2000, Windows XP и Windows Server 2003 содержа лишь
один объект LGPO, который влияет на всех пользователей, входящих на локальный
компьютер. В Windows 7 и Windows Server 2008 R2 также по умолчанию содержится
один объект LGPO, однако для расширения возможностей админис трирования и
безопасности независимых компьютеров, а также компьютеров в рабочей группе
можно использовать объекты LGPO пользователей.
Примечание. К компьютеру
всегда применяется только один объект LGPO, который также обрабатывается на
всех компьютерах, принадлежащих Active Directory. Однако LGPO имеет минимальный
приоритет и представляет первую применяемую политику. Параметры групповой
политики Active Directory часто заменяют параметры LGPO. Обработка LGPO на
компьютерах в домене отключается посредством консоли управления групповой
политикой. Для этого нужно активизировать политику Turn Off Local Group Policy
Objects Processing ( ыключение обработки локальных объектов групповой политики)
в папке Computer Configuration\ Policies\Administrative Templates\System\Group
Policy. Этот параметр влияет только на компьютеры Windows 7 и Windows Server
2008 R2 и др..
Рис. 1.
Применение объектов групповой политики в Active Directory
На рис. 1
продемонстрировано применение групповой политики объекта LGPO на различных
уровнях Active Directory.
1.
Включенный объект LGPO всегда обрабатывается первым на независимых компьютерах,
а также компьютерах в домене Active Directory.
2.
Обрабатываются объекты групповой политики на уровне сайта. На рис. 1 объект
GPO1 будет применен ко всем пользователям и компьютерам в доменах и
подразделениях конкретного узла. Если с политикой LPGO конфликтуют другие
параметры, то настройки политики в GPO1 заменят эти конфликтующие параметры.
3.
Выполняется обработка всех объектов GPO на уровне домена. Объекты GPO на уровне
домена влияют только на пользователей и компьютеры в этом конкретном домене.
Если с параметрами уровня домена конфликтуют настройки политики уровня сайта
или LGPO, приоритет получат параметры уровня домена. Все не конфликтующие
параметры будут унаследованы от объектов GPO более высокого уровня.
4.
Обработка всех объектов GPO на уровне подразделений. Объекты GPO на уровне
подразделений, как правило, влияют на пользователей и компьютеры в этом
подразделении (OU), а также наследуются всеми дочерними подразделениями. Если
возникает конфликт с параметрами уровня домена, сайта или LGPO, приоритет
получают параметры объекта GPO непосредственного подразделения (OU)
пользователя. Все неконфликтующие параметры будут унаследованы от объектов GPO
более высокого уровня.
Примечание.
Для того чтобы изменить порядок обработки в соответствии с требованиями,
администратор может использовать замену параметров и блокирование наследования.