вторник, 15 января 2013 г.

Групповые Политики - Основное / GPO - Group Policy - Basis



   Локальные политики - те что располагаются на конечном рабочем месте или сервере. Применяются тут же.


   GPO - Group Policy Object - собственно и есть групповая политика, точнее объект групповой политики, что включает в себя кучу параметров. Данный объект можно применить на уровне Сайта (Site), Домена (Domain) или Организационной Иденицы (OU).


   GPC - Group Policy Container - контейнер для набора групповых политик. К объектам в сети применяется политика если он находится в данном контейнере.


Как себя ведут групповые политики

   Порядок их применения следующий :

Local Policy > Site GPO > Domain GPO > OU GPO > Child OU GPO >...



   То есть сперва применяется локальная политика. После политики Сайта, тем самым перезаписывая политики локальные. Далее Доменные, перезаписывая Локальные и Сайта. Политики Контейнера переписывают все предыдущие. И так далее с дочерними контейнерами.

   Таким образом чем ближе к объекту, тем политика сильнее. То есть если на уровне Сайта что-то разрешалось, на уровне Домена запрещалось, а в Контейнере разрешалось, то результатом будет Разрешено.





   Каждый объект групповой политики состоит из 2-х секций:
- Настройки Компьютера - применяются при загрузке компьютера, до входа пользователя в систему;
- Настройки Пользователя - применяются при входе пользователя в систему, настройки применяются ко всем пользователям;

   В каждой секции подгруппы:

- Software settings and Windows settings - настройки DLL на машине;
- Administrative templates - настройки реестра на машине. Сюда можно загрузить новые шаблоны. Например с официального сайта Microsoft.


   После создания GPO, она сохраняется в контейнере что вы выбрали. Также она будет находится в Group Policy Objects (отсюда её можно прикрепить к различным объектам):



Прикрепление GPO

Правый клик по GPO, Link/Unlink a GPO, и выбрать объект, к которому прикрепить.


Включение/Отключение настроек компьютера или пользователя

   У GPO есть две секции - компьютера и пользователя. Бывает, что настроена только одна из них. Потому целесообразно вторую отключить. Это уменьшит объём данных передаваемый на машину. Это можно сделать на вкладке Details:



Как узнать какие настройки сделаны в той или иной GPO

   Переходите на вкладку Settings. Тут в виде древа будут лишь те настройки, что были выставлены:



Block/Enforce наследование


   Если вы не хотите, чтобы политики "свыше" переписывали настройки в GPO конкретного контейнера, тогда нужно выделить контейнер и выбрать Block Inheritence.



   Если вы хотите чтобы одна из "вышестоящих" GPO настраивала объекты в "нижестоящих" контейнерах и игнорировала Block Inheritace, то выберите Enfoce. Этим параметром нужно крайне осторожно пользоваться.


   Тут видно, что 3 различные GPO наследованы:




   Тут видно, что блокировка исключить все вышестоящие потилики в наследовании:

   Если включить Enforce на Default Domain Policy, то эта политика будет иметь большую силу нежели Block Inheritance:

Link Order
   Очерёдность. Когда более одной GPO привязано к одному OU, то приоритет будет иметь последняя в очереди.

Security Filtering
   Фильтр позволяет выбирать пользователей, группы, компьютеры к которым будет применяться GPO. Просто создайте группу, добавьте в неё пользователей, группы или компьютеры, а после к этой группе привяжите GPO

Если нужна большая точность фильтрации, то перейдите на вкладку Delegation, Advanced:


Каким образом обновляются GPO на компьютере:
   Политики, наследуемые от Active Directory, обновляются несколькими способами:
1. При Входе в Систему (Если сделаны настройки в части User Settings);
2. При Перезагрузке Компьютера (Если сделаны настройки в части Computer Settings);
3. Каждые 60-90 минут, компьютеры запрашивают их Домен Котроллер об обновлениях;
4. Вручную, используя команду gpupdate. Используя ключ /force обновятся все настройки, а не только разница.

Как проверить, какие политики применимы к данной машине и пользователю:

   RSoP - Resultant Sets of Policies - как раз это нам и нужно. То есть Результирующий Набор применяемых Политик.

1. Используйте gpresult в командной строке. Также вы можете вывести Результирующие Политики и по другим пользователям и компьютерам. Более подробную информацию получить можно используя ключи /v и /z
Вы получите информацию какие политики применились  какие - нет, и по какой причине были отфильтрованы.


RSoP в ММС

Есть два режима:
Logging Mode - какие в действительности политики применили на этой машине:
Planning Mode - какой будет результат в случае применения тех или иных настроек: http://www.petri.co.il/working_with_group_policy.htm
(как добавить оснастку)

Не является удобным средством, так как нужно будет спускаться в нужные рубрики.




Group Policy Results в GPMC

Более удобное средства для выявления применяемых политик на удалённых машинах используя централизованную консоль.



На вкладке Settings будут видны применённые настройки:



Источник: http://www.petri.co.il




Комментариев нет:

Отправить комментарий