Politicile grup director activ, blog de Dmitriy khlebalin

Una dintre aceste zile acolo cu colegii discutat GPO, am ajuns la concluzia că unele lucruri sunt deja încep să uite. În acest sens, am decis să amintesc ...

GPO - este un nume comun pentru un set de fișiere, foldere și înregistrări în Active Directory pe bază de (dacă nu este un obiect local), care a stoca preferințele dvs. și de a determina ce alte setări pe care le puteți modifica utilizând politica de grup. Crearea unei politici, de fapt, creați și să modificați GPO. obiect local Politica de grup este stocat în% SystemRoot% \ System32 \ GroupPolicy. GPO Active Directory sunt stocate pe controlerul de domeniu, și poate fi legat de site-ul, domeniul sau OU (unitate organizațională, o divizie sau o unitate organizațională). Legare obiect determină domeniul său de aplicare. În mod implicit, domeniul creează două GPO: implicit Politica de domeniu si implicit de domeniu Politica de controler. Primul este determinată de politica implicită pentru parole și conturi în domeniu. Al doilea este legat la controlerele de domeniu OU și crește setările de securitate pentru controlerele de domeniu.

Pentru a crea o politică (care este de fapt pentru a crea un nou GPO), deschideți Active Directory Utilizatori Calculatoarele și selectați în cazul în care pentru a crea un nou obiect. Creați și conectați GPO la site-ul poate fi numai domeniul obiect sau OU.

Pentru a crea un GPO și link-ul, de exemplu, testere OU clic pe butonul din dreapta al mouse-ului pe acest OU și în meniul contextual selectați properties. În fereastra Properties, deschideți fila Group Policy și faceți clic pe Nou.

Cele mai multe dintre setările de bază sunt intuitive (au, de asemenea, o descriere, dacă deschideți fila Extended), și nu vom insista pe fiecare. După cum se poate observa din Fig. 3, GPO este format din două secțiuni: Computer Configuration iUser Configuration. prima secțiune a setărilor utilizate în timpul de boot Windows pentru computerele care sunt în container și de mai jos (moștenire în cazul în care nu a abolit), și nu depind de care utilizatorul este conectat. a doua secțiune a setărilor sunt aplicate în timpul conectare utilizator.

Atunci când este pornit calculatorul, apar următoarele acțiuni:

Politicile de grup sunt aplicate la pornire timp OC și atunci când utilizatorul se conectează în sistem. Apoi au aplicat la fiecare 90 de minute, cu o variație de 30 de minute pentru a se evita suprasolicitarea controlerului de domeniu, în cazul solicitării simultane a unui număr mare de clienți. Pentru intervalul de actualizare DCs este de 5 minute. Schimbarea acest comportament poate fi sub Computer Configuration \ Administrative Templates \ System \ Group Policy. GPO poate acționa doar pe obiecte „de calculator“ și „utilizator“. Politica afectează numai obiectele din directorul de obiect (site-ul, domeniul, de afaceri), este asociat cu GPO și în jos „copac“ (cu excepția cazului interzis prin moștenire). De exemplu: GPO obiect creat în testerii OU (așa cum am făcut-o de mai sus).

Toate setările făcute de GPO în acest sens, se va acționa numai asupra utilizatorilor și calculatoarele din testere OU și InTesters OU. Luați în considerare exemplul procedurii de aplicare a politicilor. test de utilizator, situat în testere OU, include un calculator comp, situat în OU compOU (vezi. fig. 5).

În domeniul, există patru GPO:

1. SitePolicy, asociat cu site-ul containerului;
2. Implicit politici de domeniu, domeniu asociat cu containerul;
3. Policy1, asociat cu testere OU;
4. Policy2, asociat cu OU compOU.

Când porniți Windows pe o stație de lucru comp, parametrii definiți în secțiunile Computer Configuration, sunt utilizate în această ordine:

1. Parametrii GPO locale;
2. Parametrii GPO SitePolicy;
3. GPO Setări implicite Politica de domeniu;
4. Parametrii GPO Policy2.

Atunci când testați un utilizator pe comp de calculator - parametrii definiți în secțiunea User Configuration:

1. Parametrii GPO locale;
2. Parametrii GPO SitePolicy;
3. GPO Setări implicite Politica de domeniu;
4. Parametrii GPO Policy1.

GPO care se aplică în următoarea ordine: politicienii locali, site-ul la nivel de politici, politica OU la nivelul politicilor la nivel de domeniu.

Comportamentul descris mai sus este modificat în două cazuri. Primul - computerul client a detectat o conexiune la rețea lentă. În mod implicit, caz în care se aplică numai setările de securitate, și șabloane administrative. Aceasta a considerat conexiune lentă, cu o capacitate mai mică de 500 Kb / sec. Schimbați această valoare poate fi în detectarea link-ul lent Computer Configuration \ Administrative Templates \ System \ politici de grup \ Group Policy. De asemenea, sub Computer Configuration \ Administrative Templates \ System \ Politica de grup, puteți personaliza unele dintre celelalte setări de politică, astfel încât acestea prelucrate printr-o conexiune lentă. A doua modalitate de a schimba ordinea de aplicare politica - opțiunea de utilizare Grupul de procesare loopback politica. Această opțiune modifică ordinea de aplicare a politicilor implicite, în care se aplică atunci când computerul și suprascrie ultima politicile de utilizator. Puteți seta opțiunea de revenire la politica de calculator se aplică după politica de utilizator și suprascriu toate politică personalizată, contrar politicilor computerului. În loopback opțiune are 2 moduri:

1. Merge (join) - se aplică politica de primul calculator, atunci utilizatorul și computerul din nou. În acest caz, computerul înlocuiește o politică de contrar la setările sale de politică personalizate pentru ei.
2. Înlocuiți (înlocuiți) - Politica de utilizare nu este procesat.

Pentru a ilustra funcționarea politicii Grupului de parametri de utilizare procesare loopback poate, de exemplu, pe un computer public, care ar trebui să aibă aceleași setări limitate, indiferent de care utilizatorul îl folosește.

După cum puteți vedea, la toate nivelurile de obiecte de politică de grup conține aceleași setări și aceeași setare pot fi definite la diferite niveluri în moduri diferite. În acest caz, valoarea curentă se va aplica mai târziu (cu privire la aplicarea obiectelor politicii de grup menționate mai sus). Această regulă se aplică tuturor parametrilor, cu excepția definite ca nu este configurată. Pentru aceste setări de Windows nu ia nici o acțiune. Dar există o singură excepție: toate opțiunile setările pentru conturi și parole pot fi definite doar la nivel de domeniu, la alte niveluri, aceste setări vor fi ignorate.

În cazul în care la un anumit nivel, există unele GPO, au folosit „de jos în sus“. Prin schimbarea poziției obiectului în lista politicilor (sus și jos), puteți selecta ordinea de aplicare.

Uneori trebuie să o anumită OU nu a primit parametrii de politicile GPO aferente containerului părinte. În acest caz, pe care doriți să împiedice moștenirea politica, punerea politică de blocare caseta de validare moștenire (moștenire politică de blocare). Setările de ieșire moștenite de politică, și nu există nici o modalitate de a bloca parametrii specifici. setări la nivel de domeniu care determină politica de parolă și cont de politica nu poate fi blocat.

În cazul în care, dacă doriți ca anumite setări din GPO nu sunt suprascrise, trebuie să selectați GPO, faceți clic pe butonul Opțiuni și selectați Nu Override. Această opțiune necesită utilizarea setărilor în cazul în care moștenirea politica GPO este blocat. Nr Suprascriere este situat în locul în care PG este legat de obiectul director, dar nu și în GPO. În cazul în care PG este legat de un număr de containere în domeniu, apoi pentru conexiunile rămase, acest parametru va fi configurat în mod automat. În cazul în care opțiunea No Override este configurată pentru mai multe conexiuni la același nivel, prioritatea (și existente) setările GPO va fi amplasat în partea de sus a listei. În cazul în care nici o setare Override sunt configurate pentru mai multe GPO, la diferite niveluri, setările GPO existente sunt situate mai sus în ierarhia director. Adică, în cazul în care parametrii nu suprascrie configurat pentru a comunica cu un obiect de domeniu GPO și pentru a lega GPO OU, parametrii de funcționare sunt definite la nivel de domeniu. efect Checkmark Disabledotmenyaet acestei GPO pe container.

După cum sa menționat deja mai sus, politica se aplică numai pentru utilizatori și computere. De multe ori se pune întrebarea: „Cum de a face o politică specifică care urmează să fie aplicată pe toți utilizatorii unui grup specific de securitate?“. Pentru acest GPO se leagă de domeniul de obiect (sau orice container sau containere situate deasupra OU, în care toți utilizatorii sunt necesare grup de obiecte) și parametrii de acces sunt configurate. NazhimaemProperties, în fila Security, eliminați grupul utilizatorii autentificați și să adăugați drepturile de grup dorite Citiți și aplicați Politica de grup.

Pentru a determina configurația finală și de a identifica problemele ce trebuie să știți ce setările de politică sunt aplicate unui anumit utilizator sau computer în acest moment. Pentru a face acest lucru, există un instrument Set de politici rezultat (Set de politici rezultat, RSoP). RSoP poate lucra în modul de înregistrare și modul de planificare. Pentru a provoca RSoP, ar trebui să faceți clic dreapta pe obiect „User“ sau „Computer“ și selectați Toate sarcinile.

După ce a început (în modul de înscriere, logare) vi se va cere să aleagă, să determine setul de rezultate, și va apărea fereastra de setări care rezultă cu o indicație a ceea ce a setărilor GPO sunt aplicate la un computer și utilizator.

Descrierea sintaxa comenzii este disponibilă atunci când le începe cu o cheie /?.