Введення

Зі збільшенням парку комп’ютерів на підприємстві все більш гостро встає питання про вартість його управління та утримання. Ручна настройка комп’ютерів забирає чимало часу у персоналу і змушує, із збільшенням кількості комп’ютерів, збільшувати штат обслуговуючого їх персоналу. До того ж при великій кількості машин стежити за дотриманням прийнятих на підприємстві стандартів налаштування стає все важче. Групові політики (Group Policy) є комплексним інструментом централізованого управління комп’ютерами з ОС Windows 2000 і вище в домені Active Directory. До комп’ютерів під управлінням ОС Windows NT4/9x групові політики не застосовуються: вони управляються системними політиками (System Policy), які в даній статті розглядатися не будуть.

Об’єкти групових політик

Всі налаштування, які ви створите в рамках групових політик, будуть зберігатися в об’єкти групової політики (Group Policy Object, GPO). Об’єкти групових політик бувають двох типів: локальний об’єкт групової політики і об’єкти групових політик Active Directory. Локальний об’єкт групової політики є на комп’ютерах під управлінням Windows 2000 і вище. Він може бути тільки один, і це єдиний GPO, який може бути на комп’ютері, не входить у домен.

Об’єкт групової політики це загальна назва набору файлів, директорій і записів в базі Active Directory (якщо це не локальний об’єкт), які зберігають ваші налаштування та визначають, які ще параметри ви можете змінити за допомогою групових політик. Створюючи політику, фактично ви створюєте і змінюєте об’єкт групової політики. Локальний об’єкт групової політики зберігається в %SystemRoot%System32GroupPolicy. GPO Active Directory зберігаються на контролері домену і можуть бути пов’язані з сайтом, доменом або OU (Organizational Unit, підрозділ або організаційна одиниця). Прив’язка об’єкта визначає його сферу дії. За замовчуванням в домені створюється два об’єкта групової політики: Default Domain Policy і Default Domain Controller Policy. У першому політика визначається за замовчуванням для паролів облікових записів в домені. Другий пов’язується з OU Domain Controllers і підвищує налаштування безпеки для контролерів домену.

Створення об’єкта групової політики

Для того щоб створити політику (тобто фактично створити новий об’єкт групової політики), відкриваємо Active Directory Users & Computers і вибираємо, де створити новий об’єкт. Створювати і прив’язувати об’єкт групової політики можна тільки до об’єкта сайту, домену або OU
Щоб створити GPO і зв’язати його, наприклад, з OU testers клацаємо правою кнопкою миші на цьому OU і в контекстному меню вибираємо properties. У вікні властивостей відкриваємо вкладку Group Policy і натискаємо New.
Даємо назву об’єкту GP, після чого об’єкт створений, і можна приступати до конфігурування політики. Двічі клацаємо на створеному об’єкті або натискаємо кнопку Edit, відкриється вікно редактора GPO, де ви можете налаштувати конкретні параметри об’єкта.
Більшість основних налаштувань інтуїтивно зрозумілі (до того ж мають опис, якщо відкрити вкладку Extended), і ми не будемо детально зупинятися на кожній. Як видно з рис. 3, GPO складається з двох розділів: Computer Configuration і User Configuration. Налаштування першого розділу застосовуються під час завантаження Windows до комп’ютерів, що знаходяться в цьому контейнері і нижче (якщо не скасовано спадкування), і не залежать від того, який користувач увійшов в систему. Налаштування другого розділу застосовуються під час входу користувача в систему.

Порядок застосування групової політики

Коли комп’ютер запускається, відбуваються наступні дії:

1. Читається реєстру і визначається, до якого сайту належить комп’ютер. Робиться запит серверу DNS з метою отримання IP адрес контролерів домену, розташованих на цьому сайті.
2. Отримавши адреси, комп’ютер з’єднується з контролером домену.
3. Клієнт запитує список об’єктів GP у контролера домену і застосовує їх. Останній надсилає список об’єктів GP в тому порядку, в якому вони повинні застосовуватися.
4. Коли користувач входить в систему, комп’ютер знову запитує список об’єктів GP, які необхідно застосувати до користувача, витягує і застосовує їх.

Групові політики застосовуються при завантаженні OC і при вході користувача в систему. Потім вони застосовуються кожні 90 хвилин, з варіацією в 30 хвилин для виключення перевантаження контролера домену в разі одночасного запиту великої кількості клієнтів. Для контролерів домену інтервал оновлення становить 5 хвилин. Змінити цю поведінку можна в розділі Computer ConfigurationAdministrative TemplatesSystemGroup Policy. Об’єкт групової політики може діяти тільки на об’єкти «комп’ютер» і «користувач». Політика діє тільки на об’єкти, що знаходяться в об’єкті каталогу (сайт, домен, підрозділ), з яким пов’язаний GPO і нижче по «дереву» (якщо не заборонено спадкування). Наприклад: Об’єкт GPO створений у OU testers (як ми зробили вище).
Всі налаштування, зроблені в цьому GPO, будуть діяти тільки на користувачів і комп’ютери, що знаходяться у OU testers та OU InTesters. Розглянемо порядок застосування політик на прикладі. Користувач test, розташований у OU тестерів, входить на комп’ютер comp, що знаходиться у OU compOU (див. рис. 5).
У домені існують чотири GPO:

1. SitePolicy, пов’язаний з контейнером сайту;
2. Default Domain Policy, пов’язаний з контейнером домену;
3. Policy1, пов’язаний з OU testers;
4. Policy2, пов’язаний з OU compOU.

При завантаженні Windows на робочій станції comp, параметри, визначені в розділах Computer Configuration, застосовуються в такому порядку:

1. Параметри локального GPO;
2. Параметри GPO SitePolicy;
3. Параметри GPO Default Domain Policy;
4. Параметри GPO Policy2.

При вході користувача test на комп’ютер comp параметри, визначені в розділах User Configuration:

1. Параметри локального GPO;
2. Параметри GPO SitePolicy;
3. Параметри GPO Default Domain Policy;
4. Параметри GPO Policy1.

Тобто GPO застосовуються в такому порядку: локальні політики, політики рівня сайту, політики рівня домену, політики рівня OU.

Групові політики застосовуються до клієнтів з ОС Windows XP асинхронно, а з ОС Windows 2000 синхронно, тобто користувальницький екран входу з’являється тільки після застосування всіх політик комп’ютера, а політики застосовуються до того, як з’явився робочий стіл. Асинхронне застосування політик означає, що користувальницький екран входу з’являється раніше, ніж встигають застосуватися всі політики комп’ютер, а робочий стіл раніше, ніж застосовуватися всі користувальницькі політики, що призводить до прискорення завантаження та входу користувача.
Описане вище поведінка змінюється в двох випадках. Перший комп’ютер клієнта виявив повільне мережеве підключення. За замовчуванням у цьому випадку застосовуються тільки параметри захисту та адміністративні шаблони. Повільним вважається зв’язок з пропускною спроможністю менш 500 Кб/сек. Змінити це значення можна Computer ConfigurationAdministrative TemplatesSystemGroup PolicyGroup Policy slow link detection. Також у розділі Computer ConfigurationAdministrative TemplatesSystemGroup Policy можна налаштувати деякі інші параметри політик так, щоб і вони оброблялися з повільним з’єднанням. Другий спосіб зміни порядку застосування політик опція User Group policy loopback processing. Ця опція змінює порядок застосування політик за замовчуванням, при якому призначені для користувача політики застосовуються після комп’ютерних і замінюють останні. Ви можете встановити опцію loopback, щоб політики комп’ютера застосовувалися після користувальницьких політик і перезаписывали всі користувальницькі політики, що суперечать політикам комп’ютера. У параметра loopback є 2 режими:

1. Merge (з’єднати) спочатку застосовується комп’ютерна політика, потім користувача і знову комп’ютерна. При цьому комп’ютерна політика замінює суперечать їй параметри користувача політики своїми.
2. Replace (замінити) користувацька політика не обробляється.

Проілюструвати застосування параметра User Group policy loopback processing можна, наприклад, на загальнодоступному комп’ютері, на якому необхідно мати одні і ті ж обмежені налаштування, незалежно від того, хто ним користується.

Пріоритетність, спадкування і дозвіл конфліктів

Як ви вже помітили, на всіх рівнях об’єкти групової політики містять однакові параметри, і один і той же параметр може бути визначено на кількох рівнях по-різному. У такому разі діючим значенням буде применившееся останнім (про порядок застосування групової політики говорилося вище). Це правило поширюється на всі параметри, крім визначених як not configured. Для цих параметрів Windows не робить ніяких дій. Але є один виняток: усі параметри налаштування облікових записів і паролів можуть бути визначені лише на рівні домену, на інших рівнях ці налаштування будуть проігноровані.
Якщо на одному рівні розташовані кілька GPO, то вони застосовуються «знизу вгору». Змінюючи положення об’єкта політик в списку (кнопками Up і Down), можна вибрати необхідний порядок примененияИногда потрібно, щоб певна OU не отримувала параметри політик від GPO, пов’язаних з вищестоящими контейнерами. В цьому випадку потрібно заборонити спадкування політик, поставивши прапорець Block Policy inheritance (Блокувати спадкування політик). Блокуються всі успадковані параметри політик, і немає способу блокувати окремі параметри. Параметри налаштування рівня домена, що визначають політику паролів і політику облікових записів, не можуть бути заблоковані
У разі якщо потрібно, щоб певні налаштування в даному GPO не перезаписувати, слід вибрати потрібний GPO, натиснути кнопку Options і вибрати No Override. Ця опція наказує застосовувати параметри GPO там, де заблоковано спадкування політик. No Override встановлюється у тому місці, де GPO зв’язується з об’єктом каталогу, а не в самому GPO. Якщо GPO пов’язаний з декількома контейнерами в домені, то для решти зв’язків цей параметр не буде налаштований автоматично. У разі якщо параметр No Override налаштований для декількох зв’язків на одному рівні, пріоритетними (і діють) будуть GPO параметри, що знаходиться вгорі списку. Якщо ж параметри No Override сконфігуровані для декількох GPO, що знаходяться на різних рівнях, діючими будуть GPO параметри, що знаходиться вище в ієрархії каталогу. Тобто, якщо параметри No override сконфігуровані для зв’язку GPO з об’єктом домену і для зв’язку з GPO об’єктом OU, діючими будуть параметри, визначені на рівні домену. Галочка Disabled скасовує дію цього GPO на даний контейнер.
Як вже було сказано вище, політики діють тільки на користувачів і комп’ютери. Часто виникає питання: «як зробити так, щоб певна політика діяла на всіх користувачів, що входять у певну групу безпеки?». Для цього GPO прив’язується до об’єкту домену (або будь-якого контейнера, що знаходиться вище контейнерів або OU, в яких знаходяться всі об’єкти користувачів потрібної групи) і настроюються параметри доступу. Натискаємо Properties, на вкладці Security видаляємо групу Authenticated Users і додаємо необхідну групу з правами Read і Apply Group Policy.

Визначення установок, діючих на комп’ютер користувача

Для визначення кінцевої конфігурації та виявлення проблем вам потрібно знати, які налаштування політик діють на цього користувача або комп’ютер в даний момент. Для цього існує інструмент Resultant Set of Policy (результуючий набір політик, RSoP). RSoP може працювати як в режимі реєстрації, так і в режимі планування. Для того щоб викликати RSoP, слід натиснути правою кнопкою на об’єкті «користувач» або «комп’ютер» і вибрати All Tasks.
Після запуску в режимі реєстрації, logging) вас попросять вибрати, для якого комп’ютера користувача визначити результуючий набір, і з’явиться вікно результуючих параметрів із зазначенням, з якого GPO який параметр применился.

Інші інструменти управління груповими політиками

GPResult це інструмент командного рядка, який забезпечує частину функціоналу RSoP. GPResult є за замовчуванням на всіх комп’ютерах з Windows XP і Windows Server 2003.

GPUpdate примусово запускає застосування групових політик як локальних, так і заснованих на Active Directory. В Windows XP/2003 прийшла на зміну параметру /refreshpolicy в інструменті secedit для Windows 2000.

Опис синтаксису команд доступно при запуску їх з ключем /?..