Самоучитель
системного администратора

6.1. Управление с помощью групповых политик

Одним из самых эффективных способов управления компьютерной сетью является использование групповых политик. Групповая политика позволяет централизованно устанавливать единые параметры для настройки как операционной системы, так и прикладного программного обеспечения.

Политика представляет собой набор настроек и правил, которые могут быть применены к группе компьютеров (состав группы может регулироваться администратором).

При помощи политики возможно:

  • автоматически установить на компьютер программное обеспечение;
  • настроить права доступа к файлам и папкам на дисках с файловой системой NTFS;
  • лимитировать членство пользователей в группах безопасности (например, жестко фиксировать состав группы администраторов);
  • изменить параметры реестра, внести настройки в режимы запуска служб компьютера;
  • установить параметры использования прикладных программ и т. п.

Количество настроек, которые можно регулировать при помощи групповых политик, растет с каждой версией операционной системы. Число доступных для настройки параметров перевалило уже за несколько тысяч. Поэтому описать подробно работу с групповыми политиками практически нереально. Опишем только основные моменты использования данной технологии.

Настраивать все параметры, существующие в групповой политике, не имеет смысла. После их применения работать на локальной системе станет практически не возможно из-за введенных ограничений. В каждой конкретной организации перечень параметров управления должен определяться индивидуально. Чтобы применение групповых политик, прежде всего, облегчало работу как пользователя, так и администратора. Например, если есть постоянный канал доступа в Интернет, то целесообразно централизованно настроить программу обозревателя на использование соответствующих параметров доступа. Таким образом, новому пользователю не придется вносить никаких индивидуальных настроек в систему, а администратору объяснять, как это нужно сделать.

    Примечание

    Центр технологий групповой политики, на котором можно найти технические материалы по созданию и управлению групповыми политиками, доступен по ссылке http:// go.microsoft.com/fwlink/?LinkID=116313. Перечень всех параметров групповых политик для Windows Server 2003 SP2, Windows Server 2008, Windows Server 2008R2 содержится в документах, которые можно загрузить со страницы http://go.microsoft.com/ fwlink/?LinkId=131389.

Групповые политики в различных версиях операционных систем

Групповые политики появились практически с доменами Windows, правда назывались они тогда системными политиками (system policy), а возможности их были крайне ограниченными.

В каждом выпуске Windows количество параметров, которые можно было установить при помощи групповой политики, существенно увеличивалось. Частично менялись технологии (например, в Windows 2003 Server родительским процессом для обработки групповой политики был netlogon, а с Windows 7/2008 была введена специальная служба — Group Policy Client, обеспечивающая повышенную устойчивость процесса, изменились технологии обнаружения медленных каналов связи и т. п.), менялись сами средства создания и редактирования политик, появлялись новые форматы (XML в шаблонах ADMX) и т. д.

Чтобы не разбираться подробно с каждым внесенным изменением и не нарушить работу групповых политик, стоит воспользоваться простым принципом: групповые политики должны соответствовать выпуску операционной системы и редактироваться только со станции соответствующего выпуска (например, политики Windows 2008 нужно редактировать только с сервера Windows 2008 или с рабочей станции Windows 7).

    Примечание

    В других случаях, например, при желании использовать шаблоны ADMX с контроллерами домена Windows 2003, нужно обратиться к технической библиотеке вендора.

И второе. Групповые политики, созданные для новых версий Windows, не будут применяться к предыдущим выпускам. Точнее, будут, но в существенно меньшем объеме. Поэтому администратору придется комбинировать управление устаревшими ОС, используя наряду с групповыми политиками и другие технологии, частично освещенные в этой главе.

К чему и как применяются групповые политики

Правила групповой политики могут быть назначены для различных объектов: локальный компьютер, сайт, домен, любое организационное подразделение, причем к каждому такому объекту может быть привязано несколько политик.

    Примечание

    В Windows 2008/Windows 7 групповая политика может применяться раздельно для пользователей из группы администраторов (локальная политика администратора) и остальных пользователей (неадминистративная локальная политика).

В разных политиках один и тот же параметр может быть определен с отличающимися значениями. Например, в связи со спецификой обрабатываемой информации администратор подразделения может потребовать использования более строгих правил создания паролей, чем те, которые заданы администратором домена. Какие правила действуют при разрешении подобных ситуаций?

Очередность применения политик. Политики применяются в соответствии с иерархической структурой организации (структурой службы каталогов). Сначала используется локальная политика, а потом последовательно применяются политики с самого верхнего структурного уровня до самого нижнего (от общего к частному). При наличии на одном уровне нескольких политик, они применяются по очереди снизу вверх списка (самая верхняя политика в списке будет применена на данном уровне последней). В результате последовательность применения политик будет выглядеть примерно так:

  1. Локальная групповая политика компьютера по умолчанию;
  2. Неадминистративная или административная локальная политика пользователя (если имеется — рис. 6.2);
  3. Локальная политика пользователя (если имеется);
  4. Групповые политики домена по иерархии контейнеров (сайт, домен, подразделение и т. п.).

Рис. 6.2.
Множественные объекты групповой политики

Разрешение конфликтов политик. Значение параметра, регулируемого одной политикой, может противоречить аналогичному значению, но в другой политике, также применяемой к объекту. При наличии конфликтующих значений будет использован параметр, задаваемой следующей по очереди политикой. На практике это соответствует применению политики подразделения — "непосредственного начальника". Если существует конфликт параметров политики компьютер и пользователь одного уровня, то обычно больший вес имеет параметр, заданный для компьютера.

В случае необходимости администраторы могут устанавливать для политик признаки запрета перезаписи и/или обязательного значения параметра. Если политика описана как не допускающая изменения параметров, то ее настройки будут иметь преимущество и не смогут быть изменены значениями следующей применяемой политики. Администратор может также указать, что значения политики не должны наследоваться от политики более высокого уровня. В этом случае "отсекаются" настройки политик, которые применялись до данного уровня.

    Примечание

    Если возникает конфликт требований "не переписывать" и "не наследовать", то преимущество имеет установка "не переписывать". Фактически это означает, что администратор подразделения более высокого уровня всегда сможет применить свои настройки.

Где хранятся и когда применяются групповые политики

Сами групповые политики представляют собой файлы, хранящиеся на контроллерах домена. Каждая политика соответствует папке Policies с GUID-именем, хранящейся в каталоге Sysvol контроллера домена.

Внутри нее находятся две папки, соответствующие настройкам компьютера и пользователя. В каждой из них имеется файл Registry.pol, в котором и хранятся настройки политик (в сущности, политики — это параметры соответствующих ключей реестра системы). В структуре папки Machine хранится файл gpttmpl.inf. Этот файл включает в себя параметры опций безопасности раздела компьютера.

Кроме того, хранятся административные шаблоны — ADMX-файлы, представляющие собой XML-файлы конфигураций.

    Примечание

    Для хранения ADMX-файлов используется централизованное хранилище, что позволяет уменьшить размер папки SYSVOL. При желании (если все рабочие станции оснащены операционными системами Windows Vista и старше) можно мигрировать ADM-файлы в ADMX. Соответствующая утилита доступна для загрузки с сайта вендора.

Порядок применения групповых политик можно регулировать, опять же, настройками в групповой политике. Хотя обычно администраторы не меняют установленные по умолчанию значения. Политика компьютера применяется при каждом включении компьютера (так называемое применение переднего плана). Политика пользователя — при каждом входе в систему (после нажатия комбинации клавиш <Ctrl>+<Alt>+<Del>). По умолчанию политики применяются синхронно, причем при желании можно переопределить порядок применения, например, сменить синхронный вариант на асинхронный и т. д. Это значит, что на экране не появится приглашение для нажатия "заветных" трех клавиш до тех пор, пока не будет применена политика компьютера, а пользователь не увидит своего рабочего стола (после ввода пароля) до завершения применения пользовательской политики.

Во время работы компьютера система проверяет наличие изменений групповых политик. По умолчанию это происходит каждые полтора часа. Если политика изменена, то она будет вновь применена к системе (фоновое изменение). Если изменений не обнаружено, то никаких действий не выполняется. Чтобы не создавать пиковую нагрузку на контроллеры домена, момент проверки наличия изменений случайным образом меняется до получаса в ту или иную сторону. Если контроллер домена в момент проверки недоступен по причинам отсутствия связи с ним, то обновление политики будет проведено сразу после восстановления связи (в домене Windows 2003 в этом случае проверка просто пропускалась до следующего события в графике).

Политику можно обновить и вручную. Для этого следует воспользоваться командой gpupdate /force (в системах на базе Windows 2000 (и Windows XP без SP1) необходимо использовать команду secedit (secedit /refreshpolicy {machine_policy user_policy} /enforce)). Для ускорения процесса возможно использовать дополнительный ключ (target), сужающий область применяемой политики (компьютер или пользователь).

Последствия отключений политик

Параметры политик условно можно разделить на две группы. Первая группа — это параметры настройки, существующие во временных ключах реестра системы. Действует политика — есть ключи. Политика отключена — ключи не создаются. Иными словами, отключение политики осуществится "безболезненно".

Вторая группа параметров задает значения существующих ключей реестра или создает такие ключи при первом применении. Главное, что такие параметры не будут удалены при снятии политики. В первую очередь это свойственно настройкам, импортируемым из файлов административных шаблонов.

Если политика устанавливает такой параметр, то снятие политики ничего не меняет в настройках системы. Ведь параметр реестра уже создан, а отсутствие политики означает просто сохранение его в том значении, которое было установлено политикой. Чтобы восстановить значения по умолчанию для таких параметров, администратору недостаточно просто снять политику. Нужно создать новые настройки, которые соответствуют значениям настройки по умолчанию, и применить их к компьютерам (пользователям).

Поэтому если необходимость применения какой-либо политики отпала, то рекомендуется просто отключить привязку (link) данной политики к конкретному подразделению, а саму политику не удалять. Во-первых, эти настройки могут вам опять понадобиться. А во-вторых, наличие ранее выполнявшихся настроек может помочь проанализировать действующие в подразделении параметры компьютеров и пользователей.

Чем редактировать групповую политику

Групповые политики домена Windows 2008 (R2) можно создавать и редактировать как на серверах Windows 2008 (R2), так и с рабочих станций Windows 7.

Консоль редактирования групповой политики входит в состав сервера, но ее необходимо установить в диспетчере сервера как дополнительный компонент управления групповыми политиками. Если необходимо управлять групповыми политиками с рабочей станции, то на компьютер сначала следует установить средства удаленного администрирования сервера (RSAT — Remote Server Administration Tool), которые бесплатно доступны со страницы http://go.microsoft.com/fwlink/ ?LinkId=130862. После установки RSAT нужно включить новые компоненты в Панели управления: для этого надо выбрать Программы и компоненты | Включение или отключение компонентов Windows, затем установить флажок Средства управления групповыми политиками по пути Средства удаленного администрирования сервера | Средства администрирования возможностей.

После этих операций в составе программ меню Администрирование появляется задача Управление групповыми политиками.

В оснастке Управление групповыми политиками четко видна иерархическая структура политик, с помощью которой удобно назначать ("привязывать", создавать линк) политики к подразделениям. Можно воспользоваться специализированными интерфейсами, которые покажут, какие параметры политики реально заданы администратором (в отличие от параметров по умолчанию). При наличии разветвленной структуры групповых политик определить, какие параметры будут применены из создаваемой политики, крайне затруднительно. В оснастке есть два интерфейса: моделирование политики и просмотр результирующего значения, позволяющие сформировать отчет о применяемых показателях. Для этого достаточно вызвать команду Создать... и далее следовать указаниям мастера (выбрать анализируемую политику, подразделение, пользователей и т. д.). На рис. 6.3 показан пример окна моделирования политики (для отображения конкретных значений параметров нужно перейти по ссылкам показать).

Рис. 6.3.
Консоль управления групповой политикой (режим моделирования)

Групповая политика изменяется в Редакторе управления групповыми политиками (рис. 6.4), для этого достаточно выбрать соответствующую команду в меню. Новую групповую политику можно создать либо с нуля, либо скопировать в нее параметры уже существующей. Все зависит от конкретной ситуации.

Рис. 6.4.
Редактор управления групповыми политиками

Отметим новую особенность Редактора управления групповыми политиками. Теперь администраторы имеют возможность искать определенные параметры или оставлять на экране только те параметры, которые действуют для конкретной операционной системы. Для этого используется специальный фильтр (рис. 6.5), в котором нужно установить необходимые параметры для отбора.

Рис. 6.5.
Настройка параметров фильтра редактора групповой политики

Чтобы применить созданную политику, достаточно установить для нее связь (link) на соответствующий объект службы каталогов в оснастке Управление групповыми политиками.

Хуже, если применение политики привело к ошибкам работоспособности системы (см. разд. "Последствия отключений политик” ранее в этой главе). В некоторых ситуациях может помочь возвращение групповой политики к параметрам по умолчанию. На ПК с ОС Windows 2003/2008 это можно сделать с помощью утилиты dcgpofix. Подробности запуска можно получить, запустив команду dcgpofix /?

Начальные объекты групповой политики

Начальные объекты групповой политики представляют собой подготовленные вендором комплекты настроек, предназначенные для быстрой настройки рабочих станций Windows XP/Vista/Windows 7. Эти объекты включены в состав Windows Server 2008R2/Windows 7 с RSAT (параметры этих политик — только для чтения, они предназначены для импорта в групповые политики).

Начальные объекты групповой политики предназначены для настройки компьютеров по конфигурации предприятие (Enterprise Client) и повышенной безопасности с ограниченной функциональностью (Specialized Security Limited Functionality ). Описание этих конфигураций доступно по ссылкам http://go.microsoft.com/fwlink/ ?LinkID=121852 и http://go.microsoft.com/fwlink/?LinkID=121854.

Расширенное управление групповыми политиками

Новым продуктом, появившемся в управлении групповыми политиками после приобретения очередной компании, стала возможность расширенного управления групповыми политиками — Advanced Group Policy Management (AGPM). Данное средство входит в состав пакета оптимизации рабочей среды Microsoft Desktop Optimization Pack (MDOP). MDOP доступен тем организациям, которые заключили с Microsoft соглашение о поддержке операционных систем — Microsoft Software Assurance.

AGPM устанавливает службу, которая контролирует изменения в групповых политиках. На системах, в которых планируется внесение изменений в групповые политики, должны быть установлены клиенты AGPM. После установки AGPM в оснастке Управление групповыми политиками появляется новый контейнер — Изменение управления. Операции над групповой политикой можно теперь контролировать (рис. 6.6).

Рис. 6.6.
AGPM: контролируемая политика

AGPM позволяет контролировать процесс внесения изменений в групповые политики. Можно так настроить процесс внесения изменений, что операции, выполняемые одним администратором, не будут применены, пока их не одобрит другой, более опытный специалист. При этом администраторы, вносящие изменения в групповую политику, не будут доступны функции публикаций изменений в реальной структуре, несмотря на то, что они также могут обладать правами администраторов домена (рис. 6.7).

Рис. 6.7.
Назначения прав администраторов по управлению групповыми политиками

Отметим также еще такие возможности, как:

  • создание резервных копий групповых политик и возможность отката системы к сохраненному состоянию в случае применения настроек, приведших к нестабильной работе;
  • возможность сравнения двух объектов групповых политик с установлением различий;
  • развитая система протоколирования и отчетности.

"Обход" параметров пользователя

В некоторых случаях необходимо специальным образом учитывать параметры, задаваемые политиками для пользователей. Например, при работе на терминальном сервере не нужно устанавливать программное обеспечение, определенное групповыми политиками для каких-либо пользователей. Для таких случаев предназначен параметр Loopback (замыкание на себя) свойств групповой политики.

Параметр позволяет задать два варианта "обхода" политики пользователя. В режиме Merge система применяет все предусмотренные для данного компьютера и пользователя политики, после чего еще один раз применяет все политики компьютеров. То есть если для данного пользователя и компьютера должны быть применены по иерархии три политики, назовем их А1, А2, А3, то при выборе режима Merge параметра Loopback политики будут применены в следующем порядке: А1 (параметры компьютера + параметры пользователя), А2 (параметры компьютера + параметры пользователя), А3 (параметры компьютера + параметры пользователя), А1 (параметры компьютера), А2 (параметры компьютера), А3 (параметры компьютера).

Режим Replacement предусматривает применение только параметров политики, относящихся к компьютерам. Для приведенного ранее примера при выборе данного режима были бы применены следующие политики: А1 (параметры компьютера), А2 (параметры компьютера), А3 (параметры компьютера).

Фильтрация объектов при применении групповой политики

Групповые политики привязываются к контейнерам службы каталогов. Обычно в подразделение объединено много систем и, если необходимо выполнить настройку групповыми политиками только для части систем, то приходится применять дополнительные настройки.

Самый простой способ состоит в создании дополнительной структуры службы каталогов (дополнительные подразделения) и привязки к ним соответствующих групповых политик. Но при большом числе задач такое решение неоправданно увеличит сложность структуры каталогов.

Выделить часть систем для применения политики из всего состава можно несколькими способами:

  • настройкой WMI-фильтров;
  • настройкой параметров безопасности для групповой политики;
  • настройкой нацеливания на элемент для параметров Настройки.

Фильтрация при помощи WMI-запросов

Существует возможность уточнять область применения политики на основе WMI-фильтров. Администратор, знакомый с основами программирования и использования WMI (см. разд. "Windows Management Interface” далее в этой главе), может создать фильтры применения политики, учитывающие любые параметры конфигурации систем (как аппаратного, так и программного обеспечения).

При помощи фильтров можно выполнить сколь угодно точную фильтрацию, однако интерфейс назначения фильтров в групповой политике не содержит никаких средств проверки правильности запроса (это можно сделать уже при моделировании или проверке результирующих значений). Поэтому, чтобы исключить ошибки в настройках, WMI-запросы должны быть предварительно проверены другими средствами.

Настройка параметров безопасности групповых политик

Фильтровать доступ к групповой политике можно с помощью настройки ее параметров безопасности. Достаточно соответствующим образом определить те группы (или индивидуально) безопасности, которые будут иметь или не иметь право доступа и установки групповой политики.

Метод не требует дополнительных разъяснений. Но фактически при его использовании мы вместо усложнения структуры каталогов создаем соответствующую структуру групп безопасности.

Предпочтения групповых политик

В групповых политиках Windows 2008 появился дополнительный раздел — Предпочтения. Параметры этого раздела позволяют управлять подключением дисков, параметрами реестра, локальными пользователями и группами, службами, файлами и папками.

Главное преимущество раздела Предпочтения — легкость назначения параметров без обращения к каким-либо сценариям, составлению сложных запросов и т. д. Это позволяет, с одной стороны, облегчить настройку групповой политики, с другой — упростить структуру службы каталогов, поскольку не нужно будет создавать дополнительных контейнеров для выборки компьютеров.

Для использования раздела Предпочтения не нужно знать языки программирования, правила составления запросов в них и т. п. Все операции проводятся при помощи графического интерфейса. При этом возможности отбора крайне велики.

На рис. 6.8, а показан пример окна фильтра Предпочтений, а на рис. 6.8, б — список тех параметров, которые можно использовать при отборе.

Рис. 6.8.
Редактор нацеливания (слева) и список учитываемых параметров (справа)

Покажем на примере возможность подключения сетевых дисков с использованием предпочтений групповых политик.

Откроем для редактирования групповую политику и перейдем к разделу Конфигурация пользователя | Настройка | Конфигурация Windows | Сопоставления дисков. Из динамического меню выберем команду Создать | Сопоставляемый диск.

В появившемся окне Свойства: Диск укажем сетевой ресурс, к которому хотим подключиться, параметры учетной записи (если необходимо), букву, под которой будет смонтирован ресурс и т. д. После чего перейдем на закладку Общие параметры (рис. 6.9).

Рис. 6.9.
Нацеливание на уровень элемента

Установим флажки в нужных позициях и флажок Нацеливание на уровень элемента. После чего нужно нажать на кнопку Нацеливание, откроется окно редактора (рис. 6.8, а), в котором достаточно вызвать команду Создать элемент, из открывшегося списка (рис. 6.8, б) с помощью мыши надо добавить необходимые условия отбора. Условий может быть несколько, столько, сколько нужно для выбора конкретных систем(ы).

После завершения операций сопоставление диска будет осуществлено групповой политикой только для тех систем, которые удовлетворяют заданным условиям отбора.


Рейтинг@Mail.ru