Реферат - Групповые политики

Подождите немного. Документ загружается.

Как вы уже заметили, на всех уровнях объекты групповой политики содержат одинаковые

параметры настройки, и один и тот же параметр может быть определён на нескольких

уровнях по-разному. В таком случае действующим значением будет применившееся

последним (о порядке применения объектов групповой политики говорилось выше). Это

правило распространяется на все параметры, кроме определённых как not configured. Для

этих параметров Windows не предпринимает никаких действий. Но есть одно исключение:

все параметры настройки учётных записей и паролей могут быть определены только на

уровне домена, на остальных уровнях эти настройки будут проигнорированы.

Рис. 6. Active Directory Users and Computers.

Если на одном уровне расположены несколько GPO, то они применяются «снизу вверх».

Изменяя положение объекта политик в списке (кнопками Up и Down), можно выбрать

необходимый порядок применения.

Рис. 7. Порядок применения политик.

Иногда нужно, чтобы определённая OU не получала параметры политик от GPO,

связанных с вышестоящими контейнерами. В этом случае нужно запретить наследование

политик, поставив флажок Block Policy inheritance (Блокировать наследование политик).

Блокируются все наследуемые параметры политик, и нет способа блокировать отдельные

параметры. Параметры настройки уровня домена, определяющие политику паролей и

политику учетных записей, не могут быть заблокированы.

Рис. 9. Блокирование наследования политик.

В случае если требуется, чтобы определённые настройки в данном GPO не

перезаписывались, следует выбрать нужный GPO, нажать кнопку Options и выбрать No

Override. Эта опция предписывает применять параметры GPO там, где заблокировано

наследование политик. No Override устанавливается в том месте, где GPO связывается с

объектом каталога, а не в самом GPO. Если GPO связан с несколькими контейнерами в

домене, то для остальных связей этот параметр не будет сконфигурирован автоматически.

В случае если параметр No Override сконфигурирован для нескольких связей на одном

уровне, приоритетными (и действующими) будут параметры GPO, находящегося вверху

списка. Если же параметры No Override сконфигурированы для нескольких GPO,

находящихся на разных уровнях, действующими будут параметры GPO, находящегося

выше в иерархии каталога. То есть, если параметры No override сконфигурированы для

связи GPO с объектом домена и для связи с GPO объектом OU, действующими будут

параметры, определённые на уровне домена. Галочка Disabled отменяет действие этого

GPO на данный контейнер.

Рис. 10. Опции No Override и Disabled.

Как уже было сказано выше, политики действуют только на пользователей и компьютеры.

Часто возникает вопрос: «как сделать так, чтобы определенная политика действовала на

всех пользователей, входящих в определенную группу безопасности?». Для этого GPO

привязывается к объекту домена (или любому контейнеру, находящемуся выше

контейнеров или OU, в которых находятся все объекты пользователей из нужной группы)

и настраиваются параметры доступа. Нажимаем Properties, на вкладке Security удаляем

группу Authenticated Users и добавляем требуемую группу с правами Read и Apply Group

Policy.

Определение настроек, действующих на компьютер пользователя

Для определения конечной конфигурации и выявления проблем вам потребуется знать,

какие настройки политик действуют на данного пользователя или компьютер в данный

момент. Для этого существует инструмент Resultant Set of Policy (результирующий набор

политик, RSoP). RSoP может работать как в режиме регистрации, так и в режиме

планирования. Для того чтобы вызвать RSoP, следует нажать правой кнопкой на объекте

«пользователь» или «компьютер» и выбрать All Tasks.

Рис. 11. Вызов инструмента Resultant Set of Policy.

После запуска (в режиме регистрации, logging) вас попросят выбрать, для какого

компьютера и пользователя определить результирующий набор, и появится окно

результирующих настроек с указанием, из какого GPO какой параметр применился.

Рис. 12. Resultant Set of Policy.

Другие инструменты управления групповыми политиками

GPResult

GPResultW— это инструмент командной строки, обеспечивающий часть функционала

RSoP. GPResult есть по умолчанию на всех компьютерах с Windows XP и Windows Server

2003.

GPUpdate (Для Windows XP/2003)

GPUpdate принудительно запускает применение групповых политикW— как локальных,

так и основанных на Active Directory. В Windows XP/2003 пришла на смену параметру

/refreshpolicy в инструменте secedit для Windows 2000.

Описание синтаксиса команд доступно при запуске их с ключём /?.

Заключение

Данный реферат может лишь как-то помочь понять основные принципы работы с

политиками тем, кто никогда не работал с ними, либо только начинает осваивать.