Главная > Active Directory > Microsoft University Online 2011 – Active Directory (Групповые политики)

Microsoft University Online 2011 – Active Directory (Групповые политики)

Доброго времени суток коллеги. Это вторая статья из цикла Microsoft University Online. В предыдущей статье мы поговорили о том что такое Active Directory Domain Services, какие существуют требование к Active Directory Domain Services, по какой причине необходимо присутствие DNS сервер и о важных моментах в планировании Active Directory Domain Services.

Сегодня пойдет речь о групповых политиках, а именно о том, как создание групповых политик, как распространять программное обеспечение с помощью групповых политик как использовать Security Filtering, как использовать WMI Filtering, и как применяются групповые политики.

Создание групповых политик.

Создание и управление групповыми политиками происходит с помощью оснастки Group Policy Management Console. Из неё происходит создание и связка, а также удаление и разрыв связи, групповых политик с определенными организационными подразделениями (Organizational Unit), и настройка групповых политик, если быть более точным, то с помощью оснастки Group Policy Management Console мы вызываем Group Policy Editor в котором уже мы и редактируем саму групповую политику. Когда мы создали и привязали политику к определенному организационному подразделению (Organizational Unit), нам необходимо её отредактировать, так как по умолчанию она пустая. Когда вы создаёте политику, вы можете использовать Starter GPO, но для возможности использовать Starter GPO, их необходимо создать. Starter GPO — хранит заготовки для создания наших групповых политик. Групповые политики часто называют GPO, что расшифровывается как Group Policy Object, так как групповая политика является в первую очередь объектом.

Когда мы создаём чистую групповую политику и начинаем её редактировать (открываем Group Policy Editor) , мы видим два основных раздела:

1. Computer Configuration

2. User Configuration

Из их названий понятно, что в разделе Computer Configuration находятся настройки компьютера, а в User Configuration находятся настройки пользователя. В каждом из этих разделов находятся еще по два раздела, а именно:

1. Policy

2. Preferences

В разделе Policy находятся сами политики, которые разделены на 3 категории, первая Software Settings, вторая Windows Settings и третья Administrative Templates. Раздел Preferences также называется Group Policy Preference, данный раздел помогает заменить большую часть Logon скриптов и в целом очень сильно помогает администратору для решения некоторых задач, более подробно о GPP будет рассказано в одной из следующих статей.

Раздел Software Settings предназначен для распространения программного обеспечения, о нем мы поговорим чуть позднее в этой же статье. В разделе Windows Settings находятся настройки связанные с безопасностью системы, Logon\Logoff скрипты для пользователей и Startup\Shutdown скрипты для компьютера. Также здесь находиться раздел, с помощью которого распространяться политики определения доменных имен (Name Resolution Policy), этот раздел особо важен, если вы используете DirectAccess, так как он использует данный функционал. Раздел Name Resolution Policy доступен только в разделе настроек компьютера (Computer Configuration). Также в разделе Policy находить раздел политик QoS, который предназначен для распространения QoS политик, которые помогают более гибко настроить исходящие сетевые потоки.

Распространение программного обеспечения с помощью групповых политик

Для распространения программного обеспечения с помощью групповых политик существует раздел Software Settings. Для того чтобы распространять программное обеспечение используя данные раздел, необходимо иметь MSI файл. Существуют 2 метода распространения программного обеспечения используя раздел Software Settings, это Assigned и Published. Метод Published доступен только для пользователей, так как он не подразумевает обязательную установку программного обеспечения, а предполагает участие пользователя в его установке. Используя данный метод, публикуется приложение, и пользователь по желанию может его установить, используя оснастку управления программным обеспечением на компьютере. Метод Assigned, доступен как для политик пользователя, так и для политик компьютера. Данный метод принудительно устанавливает программное обеспечение, которое указано в политике. Для того чтобы распространять программное обеспечение необходимо создавать точки распространения. Точками распространения являются сетевые папки, в которых находятся программное обеспечение, которое необходимо распространять. Стоит заменить, что у пользователей и компьютеров, которые будут получать программное обеспечение должен быть доступ на чтение сетевой папки, которая выступает в качестве точки распространения. При необходимости обновления программного обеспечения на более новую версию необходимо добавить её как новое программное обеспечение которое будет распространяться, и в старой версии указать приложения указано место нахождения более нового программного обеспечения. В результате этого старое программное обеспечение будет удалено, а вместо него установлено новое. В случае удаления из политики информации о программном обеспечении, появиться вопрос о том, как поступать с данным программным обеспечением, и мы можем удалить это программное обеспечение или оставить. Также весьма важной частью установки программного обеспечения является умение распознавать платформу инсталляционного пакета и возможность запрета или разрешения установки 32 битные приложения на 64 битные операционные системы.

Использование Security Filtering

Данная функция позволяет более гибко настраивать пределы применения групповой политики. По умолчанию Security Filtering настроен таким образом, что все аутентифицированные пользователи могут получать политику. Но при необходимости можно указать, кому будут применяться политика. Стоит помнить, что если вы настраиваете политику для компьютера и хотите использовать Security Filtering, то необходимо указывать что компьютер имеет доступ к данной политике. Security Filtering для политики настраивается с помощью оснастки Group Policy Management Console. Когда вы перейдете в оснастку Delegation, и если вы не меняли значение Security Filtering, то на закладке Delegation вы увидите, что для Authenticated users стоит разрешение, на чтение политики исходя из Security Filtering. Но если вам необходимо просто указать, кому не надо иметь доступ к данной политике стоит воспользоваться закладкой Delegation в Group Policy Management Console. В данной закладке необходимо добавить нового пользователя и явным образом запретить ему применение политики, это делается в расширенном режиме (кнопка Advanced). Примером использования Security Filtering может быть ситуация, когда у вас в одном организационном подразделении находятся все сотрудники отдела продаж, но есть необходимость, чтобы определенная политика применялась только к определенной группе сотрудников. Для этого, всех сотрудников, к которым должна примениться политика помешаем в новую группу, и используя Security Filtering задаём группу к которой применяется политика.

Использование WMI Filtering

WMI Filtering как и Security Filtering предназначен для фильтрации применения политик. Но работает он по другому принципу. Вначале администратором или человеком ответственным за групповые политики создается WMI запрос, который привязывается к групповой политике. В случае если WMI запрос возвращает TRUE, то политика применяется, если вернется FALSE, то политика не применяется. Как пример использования WMI Filtering, можно взять ситуацию когда необходимо чтобы групповая политика применилась только к клиентским компьютерам под управлением Windows Vista и Windows 7. Для этого необходимо запустить Group Policy Management Console, на панели навигации выбираю WMI Filters, там правая кнопка мышки и New. В поле Name набираю Windows 7 и нажимаю Add. В поле Query набираю «select * from Win32_OperatingSystem where Version like "6.%" and ProductType = "1"». В данном запросе используется значение двух переменных, первая Version, вторая ProductType. ProductType — это тип продукта: для клиентские версий Windows он ровняется 1, для серверные версии Windows, выступающие в роли контроллера домена – 2, а для серверные версии Windows, не выступающие в роли контроллера домена – 3. Version это версия ОС для Windows Server 2008 R2 или Windows 7 – 6.1%, для Windows Server 2008 или Windows Vista – 6.0%, для Windows Server 2003 – 5.2%, Windows XP – 5.1%, Windows 2000 – 5.0%. На самом деле это не единственный пример использования WMI Filtering. Его можно использовать для определения: установлено ли программное обеспечение, достаточно ли системных ресурсов, присутствие ли необходимые аппаратные устройства и т.д.

Правила применения политик

Групповые политики применяются снизу вверх. Это значит что в начале применяются политики которые непосредственно привязаны к организационному подразделению, потом применяются политики которые привязаны к родительскому подразделению, и так до самого верхнего уровня. После этого сразу же возникает вопрос, а в какой последовательности внутри организационного подразделения применяются групповые политики, внутри каждого организационного подразделения есть возможность регулировать в какой последовательности они будут применяться, фактически у каждой политики есть свой номер. Настроить последовательность применения групповых политик в приделах организационной единицы, можно с помощью Group Policy Management Console

  1. Февраль 2, 2011 в 16:21

    Аффтар. Пеши истчо.🙂

  1. No trackbacks yet.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: