политики Група активна директория, блог на khlebalin Дмитрий

Един от тези дни там с колеги обсъдиха GPO, дойдох до заключението, че някои неща, които вече са започнали да се забравя. В тази връзка, аз реших да си спомни ...

GPO - това е общо име за набор от файлове, папки и записи в Active Directory базиран (ако вече не е местен обект), която съхранявате вашите предпочитания и да определи какви други настройки, които можете да промените чрез Group Policy. Създаване на политика, която действително създавате и променяте на GPO. Местна обект Group Policy се съхранява в% SystemRoot% на \ System32 \ GroupPolicy. GPO Active Directory се съхраняват на домейн контролера, и може да бъде свързан към сайт, домейн или OU (организационната единица, подразделение или организационна единица). Свързването обект определя неговия обхват. По подразбиране, домейна създава две GPOs: по подразбиране домейн политика и Default Domain Controller политика. Първият се определя от стандартните правила за пароли и акаунти в домейна. Вторият е свързан с администраторите на ОУ на домейни и увеличава настройките за сигурност на домейн контролери.

С цел да се създаде политика (която всъщност е да се създаде нов GPO), можете да отворите указателя обновява Компютри и изберете къде да се създаде нов обект. Създаване и свързване на GPO на сайта може да бъде само обект домейн или ОУ.

За създаване на GPO и да го свържете с, например, OU тестери като натиснете десния бутон на мишката върху този ОУ и в определени свойства контекстното меню. В прозореца със свойства на отворете раздела Group Policy и натиснете New.

Повечето от основните настройки са интуитивни (също има и описание, ако отворите раздела Extended), и ние няма да се спирам на всеки. Както се вижда от фиг. 3, GPO се състои от две секции: Компютърна конфигурация iUser конфигурация. първата част на настройките, използвани по време на багажника Windows за компютри, които са в съда и по-долу (ако не е премахната наследство), и не зависи от това кой потребител е влязъл. втората част на настройките се прилагат по време на влизане на потребител.

При стартиране на компютъра, да се появят следните действия:

политики Група се прилагат при процеса на стартиране OC и когато потребителят влиза в системата. След това те се прилага на всеки 90 минути, с отклонение от 30 минути, за да се избегне претоварване на домейн контролера в случай на едновременна заявка на голям брой клиенти. За DCs актуализация интервал е 5 минути. Променете това поведение може да бъде под Компютърна конфигурация \ Административен \ System \ Group Policy. GPO може да действа само в обекти "компютърни" и "потребителски". Политика засяга само обектите в директорията на обект (сайт, домейн, бизнес), се свързва с GPO и надолу "дървото" (освен ако не е забранено от наследството). Например: GPO обект, създаден в тестерите OU (както направихме по-горе).

Всички настройки, направени от GPO в това, ще действат само върху потребителите и компютрите в тестерите OU и OU InTesters. Вземем примера на процедурата за прилагане на политики. тест на потребителя, който се намира в тестерите OU, включва компютъра сложен, разположена в ОУ compOU (вж. фиг. 5).

В областта има четири GPO:

1. SitePolicy, свързани с мястото на контейнер;
2. Default Domain политика, домейн, свързан с контейнера;
3. Политика1, свързани с тестерите ОУ;
4. Policy2, свързани с ОУ compOU.

Когато стартирате Windows на работна станция сложен, параметри, определени в раздели Компютърна конфигурация, се използват в този ред:

1. Параметри местно GPO;
2. GPO SitePolicy параметри;
3. GPO на стандартния домейн Настройки политика;
4. GPO Policy2 параметри.

Когато тествате даден потребител влезе в компютъра състезанието - параметрите, определени в раздела за конфигуриране на потребителя:

1. Параметри местно GPO;
2. GPO SitePolicy параметри;
3. GPO на стандартния домейн Настройки политика;
4. GPO политика1 параметри.

GPO, който се прилага в следната последователност: местни политици, на политическо равнище на мястото, на политиката ОУ политика ниво на ниво домейн.

Гореописаният поведението се променя в два случая. Първият - на клиентския компютър е открил бавна връзка с мрежата. По подразбиране, в който случай се прилага само настройките за сигурност, както и административни шаблони. Той счита бавна връзка с капацитет по-малък от 500 Kb / сек. Променете тази стойност може да бъде в откриването бавна връзка на Компютърна конфигурация \ Административен \ System \ Group Policy \ Group Policy. Също така под Компютърна конфигурация \ Административен \ System \ Group Policy, можете да персонализирате някои от другите настройки на политиката, така че те обработват над бавна връзка. Вторият начин за промяна на реда заявление политика - опция User Group обработка политика примка. Тази опция се променя реда на прилагане на политиките по подразбиране, в които се прилагат политиките на потребителите, когато компютърът и презаписва предишната. Можете да настроите опцията за примка на политиката на компютъра се полага след като политиката за потребителите и презаписване на персонализирани правила, в противоречие с политиките на компютъра. В примка опция има 2 режима на работа:

1. Обединяване (присъединят) - е приложен за първи компютър политика, а след това на потребителя и компютъра отново. В този случай, компютърът замества политика противоречи на потребителски настройки на политиката й за нейното.
2. Заменете (замяна) - ръководство за политика не се обработват.

За илюстрация на действието на параметър Потребителят политика Група обработката примка може, например, на обществен компютър, който трябва да имат едни и същи ограничени настройки, независимо от това кой потребител я използва.

Както можете да видите, на всички нива на обекти на груповите правила съдържат същите настройки и съща настройка може да се определи на различни нива в различни начини. В този случай, текущата стойност ще се прилага най-късно (относно прилагането на обекти на груповите правила, споменати по-горе). Това правило важи за всички параметри с изключение определя като не е конфигурирано. За тези настройки на Windows отнема никакви действия. Но има едно изключение: всички опции за настройки и пароли могат да бъдат определени само на ниво домейн, на други нива, тези настройки ще бъдат игнорирани.

Ако на едно ниво, има някои GPO, те използват "отдолу-нагоре". Чрез промяна на позицията на обекта в списъка на политики (нагоре и надолу), можете да изберете по реда на подаване на заявлението.

Понякога трябва до известна ОУ не получават параметрите от GPO политиките, свързани с родителския контейнер. В този случай, вие искате да се предотврати наследство политика, поставяйки Блок политика проверка наследство кутия (наследството правилото за блокиране). Изходящите наследени настройки за правила и няма начин да блокирате конкретни параметри. Настройки на домейн-високо ниво, които определят политиката на паролата и политика не може да бъде блокиран.

В случай, ако искате някои настройки в GPO не се заменят, трябва да изберете на GPO, щракнете върху бутона Опции и изберете Без замяна. Тази опция изисква използвате GPO настройки, където наследство политика е блокиран. Без замяна се намира в мястото, където GPO е свързана с предмета на указателя, но не и в GPO. Ако GPO е свързано с редица контейнери в областта, а след това за останалите връзки, този параметър ще бъде конфигуриран автоматично. Ако опцията Без замяна е конфигуриран за няколко връзки на същото ниво, на приоритета (и съществуващи) настройките GPO ще се намира в горната част на списъка. Ако не се пренебрегват настройките са конфигурирани за многократна GPO, на различни нива, съществуващите настройки на GPO са разположени по-високо в йерархията директория. Това означава, че ако параметри Без замяна конфигуриран за връзка с домейн GPO обект на и за свързване на GPO да ОУ, работни параметри се определят на ниво домейн. Checkmark Disabledotmenyaet ефект на този GPO на контейнера.

Както вече бе споменато по-горе, политиката се прилага само за потребители и компютри. Често възниква въпросът: "Как да се направи конкретна политика, която да бъде изпълнена от всички потребители на определена група сигурност?". За тази GPO свързва домейн обект (или всеки контейнер, или контейнери, разположени над ОУ, в която всички участници се изисква група от обекти) и параметри за достъп са конфигурирани. NazhimaemProperties, в раздела за сигурност, премахване регистрирани потребители група и добавете желаните правата на групата четене и прилагане на групови правила.

За да се определи окончателно конфигурация и идентифициране на проблеми, с които трябва да се знае какви настройки на политиката, се прилагат към даден потребител или компютър в момента. За да направите това, има инструмент Получено Комплект политика (Получено Комплект политика, RSoP). RSoP може да работи в режим на регистрация и режим на планиране. С цел да се предизвика RSoP, трябва да щракнете с десния бутон на обект "Потребител" или "компютър" и изберете Всички задачи.

След като се започне (в режим на записване, дърводобив), ще бъдете помолени да изберат, определи мрежата резултат, а прозореца получената настройки ще се появи с посочване на това, което по-GPO настройки се прилагат към компютър и потребител.

Описание на синтаксиса на командния е налице, когато ги започнем с ключ /?.