Групова політика active directory, енциклопедія windows

ОС Windows розширює можливості групових політик і надає можливість зробити реальністю наступний постулат: "адміністратор висловлює побажання щодо статусу користувальницької операційного середовища, а система буде забезпечувати автоматичну настройку необхідних параметрів".

У Windows модель групових політик була повністю переглянута і тепер заснована на службі каталогів Active Directory, а також надає набагато більше функцій, ніж звичайні обмеження на оновлення системного реєстру. наприклад:

· Розгортання програм (тобто їх призначення / публікація);

· Сценарії реєстрації / завершення сеансу роботи / вимикання комп'ютера;

Об'єкти групових політик (GPO - Group Policy Objects) є структурними одиницями групової політики і можуть застосовуватися в рамках сайту, домену або організаційного підрозділу. Насправді, часто будуть виникати випадки, коли до користувача або комп'ютера будуть відноситься кілька об'єктів групової політики. Коли параметри перетинаються між собою, використовується наступний порядок пріоритетів: сайт, домен і організаційне підрозділ (SDOU - Site, Domain, Organizational Unit). Тому всі параметри, визначені на рівні сайту, можуть бути перевизначені настройками домену, а все властивості домену, в свою чергу, можуть бути переписані параметрами організаційного підрозділу. Існує і четвертий тип об'єкта - політика локального комп'ютера, який має найменший пріоритет, тому реальна послідовність пріоритетів виглядає, як LSDOU. Всі політики, певні для локального комп'ютера, можуть бути перевизначені іншими об'єктами.

Існує три методи використання групових політик для сайтів, доменів і організаційних підрозділів.

· Об'єкт групової політики домену.

Відкрийте оснастку Active Directory - користувачі й комп'ютери (Active Directory - Users and Computers), клікніть на імені домена правою кнопкою миші і виберіть команду Властивості (Properties) в контекстному меню. Перескочите на вкладку Групова політика (Group Policy).

· Об'єкт групової політики організаційного підрозділу.

Відкрийте оснастку Active Directory - користувачі й комп'ютери (Active Directory - Users and Computers), клікніть на імені підрозділу правою кнопкою миші і виберіть команду Властивості (Properties) в контекстному меню. Перескочите на вкладку Групова політика (Group Policy).

· Об'єкт групової політики сайту.

Відкрийте оснастку Active Directory - Сайти та служби (Active Directory - Sites and Services), клікніть на імені сайту правою кнопкою миші і виберіть команду Властивості (Properties) в контекстному меню. Перескочите на вкладку Групова політика (Group Policy).

Групові політики Windows NT 4.0 не оновлюється при переході на Windows нових версій, тому доведеться перевизначити всі політики у вигляді об'єктів політики Windows. У змішаному оточенні з системами Windows NT 4.0 і Windows необхідно зберегти файл NTCONFIG.POL на ресурсі netlogon контролера домену (навіть якщо контролер домену працює під управлінням Windows, оскільки контролер має можливість аутентифицировать клієнтів Windows NT 4.0), що дозволить забезпечити передачу параметрів групових політик для клієнтів Windows NT 4.0. Клієнтські системи під управлінням Windows будуть за замовчуванням ігнорувати вміст файлу NTCONFIG.POL, що, однак, можна змінити шляхом модифікування параметрів групової політики. У подібному випадку задіяний наступний порядок застосування групових політик.

1. Об'єкт групової політики комп'ютера при завантаженні.

2. Системний файл NTCONFIG.POL при реєстрації.

3. Призначений для користувача файл NTCONFIG.POL при реєстрації.

4. користувача об'єкт групової політики при реєстрації.

Як вже говорилося раніше, дані об'єкта групової політики зберігаються в Active Directory, проте сама політика міститься в контейнері SYSVOL на кожному контролері домену в каталозі% systemroot% \ SYSVOL \ sysvol \<домен>\ Policies \.

[General]
Version =<номер версии>

Наприклад, версія може мати номер 65539. Молодші чотири значущі цифри (чотири праві цифри) представляють номер версії системних параметрів (3), а чотири старші цифри являють номер версії користувальницьких параметрів (чотири ліві цифри) (1). Число необхідно перетворити в шістнадцятковий формат:

Крім того, в папці розташовуватися каталог Adm, що містить шаблони .ADM, використовувані в об'єктах групової політики, а також папки MACHINE і USER, що включають в себе файли зі спеціальними параметрами.

Для того, щоб уникнути конфліктів при модифікації об'єктів групової політики, тільки комп'ютер-власник ролі головного контролера домену (PDC) має право змінювати об'єкти групової політики.

У Windows NT 4.0 параметри політики "намертво" записувалися до реєстру, тобто коли політика була вилучена, її властивості все одно залишалися в системному реєстрі. Перевагою групових політик Windows нових версій є можливість повного видалення їх параметрів, що досягається видаленням вмісту наступних розділів в системному реєстрі Windows:

Нарешті, на відміну від системний політик Windows NT 4.0, групова політика Windows оновлюється через деякий проміжок часу, що, однак, стосується не всієї політики - параметри розгортання програмного забезпечення і перенаправлення папок неможливо оновлюються. Уявіть собі, що за допомогою об'єкта системної політики було налаштоване видалення програми Microsoft Word і раптом, під час роботи користувача з додатком, воно видаляється! Всі комп'ютери під управлінням Windows оновлюють параметри групових політик кожні 90 хвилин, крім контролерів домену, які проводять оновлення кожні 5 хвилин. Це час і реплицируемой властивості політики можна змінити, відредагувавши відповідний об'єкт групової політики.