Групова політика
Групова політика — це набір правил, відповідно до яких відбувається налаштування робочого середовища Windows. Групові політики створюються в домені та реплікуються в межах домену. Об'єкт групової політики (Group Policy Object, GPO) складається з двох фізично розділених складових: контейнера групової політики (Group Policy Container, GPC) та шаблону групової політики (Group Policy Template, GPT). Ці два компоненти містять в собі всю інформацію про параметри робочого середовища, що входять до складу об'єкта групової політики. Продумане застосування об'єктів GPO до елементів каталогу Active Directory дозволяє створювати ефективне та легко кероване комп'ютерне робоче середовище на базі ОС Windows. Політики застосовуються зверху вниз ієрархією каталогу Active Directory.
Створення групових політик
За умовчанням в ієрархії каталогу Active Directory створюються дві групові політики з надзвичайно виразними іменами:
- Default Domain Policy (політика домену за умовчанням),
- Default Domain Controller's Policy (політика контролера домену за умовчанням).
Перша з них призначається домену, а друга — контейнеру, до складу якого входить контролер домену. Якщо ви бажаєте створити свій власний об'єкт GPO, ви повинні володіти необхідними повноваженнями. За умовчанням правом створення нових GPO володіють групи Enterprise Administrators (Адміністратор підприємства) і Domain Administrators (Адміністратори домену). Щоб створити новий об'єкт групової політики, необхідно виконати такі дії:
- Переконайтеся в тому, що ви підключилися до системи з використанням облікового запису, що належить до однієї з груп: Domain Administrators (Адміністратори домену) або Enterprise Administrators (Адміністратори підприємства).
- Переконайтеся в тому, що в системі, до якої ви підключилися, встановлені засоби адміністрування, необхідні для роботи з груповими політиками. Зокрема, вам буде потрібна оснастка Active Directory Users and Computers (Active Directory — користувачі та комп'ютери). Цьому оснащенню відповідає файл dsa.msc.
- Відкрийте консоль Active Directory Users and Computers (Active Directory — користувачі та комп'ютери) і перейдіть до контейнера OU, щодо якого ви маєте намір застосувати політику.
- Правою кнопкою миші клацніть на контейнері OU, з'явиться меню для вибору пункт Properties (Властивості) і перейдіть на вкладку GPO.
- Щоб створити новий об'єкт GPO і призначити його поточному контейнера, клацніть на кнопці New (Новий).
- У списку посилань на об'єкти GPO з'явиться нова позиція, рядок імені якої буде знаходитися в режимі редагування. Дайте новому об'єктові GPO змістовне ім'я.
Створена вами політика є лише заготовкою. Її вміст формується на основі адміністративних шаблонів, що містяться в папці SysVol контролера домену, на якому був створений GPO. Ці шаблони можна розширити і модифікувати відповідно до потреб організації. До наявних компонентів об'єкта GPO можна додати створені вами розширення. Наприклад, за допомогою групової політики можна керувати налаштуваннями прикладних програм.
Після створення GPO слід модифікувати значення параметрів цього об'єкта таким чином, щоб налаштувати визначену груповою політикою конфігурацію робочого середовища. На вкладці Group Policy (Групова політика) клацніть на кнопці Edit (Редагувати). При цьому запуститься редактор групової політики, за допомогою якого ви зможете модифікувати конфігурацію комп'ютерів та користувачів, яка визначається політикою. Список посилань на об'єкти GPO, відображений на сторінці властивостей контейнеру OU, містить посилання на об'єкти GPO, розташовані в каталозі Active Directory. Зміни, що вносяться до будь-якого з об'єктів GPO, можуть вплинути на поведінку багатьох об'єктів каталогу Active Directory. Щоб визначити, стосовно яких саме контейнерів OU будуть застосовані зроблені вами зміни, відкрийте діалогове вікно властивостей того GPO, що Вас цікавить і перейдіть на вкладку Links (посилання). Щоб отримати список контейнерів, з якими пов'язана дана політика, користуйтесь кнопкою Find.
Засоби адміністрування
Утиліти групи Administrative Tools (Адміністрування) входять до комплекту поставки операційних систем Server, Advanced Server і Datacenter Server. Файл, необхідний для встановлення цих утиліт, називається adminpak.msi і розташовується в каталозі i386 на установчому компакт-диску або в підкаталозі WINNT\SYSTEM32\ операційної системи. Цей 15-мегабайтний файл встановлює всі необхідні оснастки та реєструє бібліотеки DLL, необхідні для роботи засобів адміністрування. В наш час[коли?] встановити утиліти групи Administrative Tools (Адміністрування) можна тільки на платформу Windows 2000.
Застосування групових політик
Працюючи з груповими політиками, слід враховувати, що:
- об'єкти GPO застосовуються щодо контейнерів, а не «замикаючих» об'єктів;
- один контейнер може бути пов'язаний з кількома об'єктами GPO;
- об'єкти GPO, пов'язані з одним і тим же контейнером, застосовуються до цього контейнеру в тому порядку, в якому вони були призначені;
- об'єкт GPO включає в себе дві складові: параметри, пов'язані з комп'ютерами, і параметри, пов'язані з користувачами;
- опрацювання будь-якої з цих складових можна вимкнути;
- спадкування об'єктів GPO можна блокувати;
- спадкування об'єктів GPO можна форсувати;
- застосування об'єктів GPO можна фільтрувати за допомогою списків Access control list.
Розв'язування конфлікту двох політик
Уявіть, що деякий параметр (наприклад, logon banner — графічна заставка при підключенні) визначено як у політиці Р3, так і в політиці P1. При цьому значення параметру, задане в політиці Р3, відрізняється від значення, заданого в політиці Р1. Яке значення буде присвоєно параметру у результаті застосування обох цих політик? У подібній ситуації параметру об'єкта присвоюється значення, отримане з GPO, який знаходиться до об'єкта ближче всього. Таким чином, в розглянутій ситуації параметру logon banner буде присвоєно значення, взяте з політики Р1.
Успадкування політик
Уявіть, що політика Р3 містить в собі значення параметра logon banner, у той час як політика Р1 не визначає цього параметра. У цьому разі, якщо у відношенні до об'єкта застосовуються обидві політики, параметру об'єкта, що розглядається, буде присвоєно значення з політики Р3. Однак контейнеру SA не призначено жодної політики. Все ж таки параметру logon banner цього контейнера буде присвоєно значення з політики Р3. Мало того, у відношенні цього контейнера будуть повною мірою застосовані політики Р3 і Р1, так як контейнер SA успадкує ці політики від своїх батьків — вузла New York і домену shinyapple.msft.
Застосування декількох політик відносно одного контейнера
Уявіть що політики Р4 і Р5, в яких визначаються значення найрізноманітніших параметрів, застосовані до контейнеру Acct. У розділі конфігурації комп'ютера політики Р4 членам глобальної групи Accounting (бухгалтерія) дозволяється локально підключатися до будь-якого комп'ютера в контейнері Acct, а також у всіх підконтейнерах цього контейнера. А в розділі конфігурації комп'ютера політики Р5 права групі Accounting (бухгалтерія) не призначаються. У списку політик, який відображається на сторінці Group Policy (Групова політика) у вікні властивостей контролера домену, політика Р5 розташовується в верхній частині списку — вище політики Р4. Політики, зазначені в цьому списку, застосовуються до об'єкта в порядку знизу вгору. Іншими словами, політики, розташовані в нижній частині списку, застосовуються в першу чергу, після чого застосовуються політики, розташовані вище за списком. Таким чином, при обробці розглянутого набору політик відносно контейнера Acct спочатку буде застосована політика Р4, а потім політика Р5. Отже, після обробки набору політик параметр прав на локальне підключення до системи буде містити значення з політики Р5. Таким чином, члени глобальної групи Accounting (бухгалтерія) не будуть мати право локального підключення до комп'ютерів контейнера Acct і його підконтейнерів. Щоб змінити порядок обробки політик, слід скористатися кнопками Up (Вгору) і Down (Вниз) в правому нижньому куті вкладки Group Policy (Групова політика).
Windows 2000 дозволяє блокувати застосування деяких розділів об'єкта GPO. Якщо політика застосовується щодо контейнера не повністю, а тільки частково, загальний час підключення користувача до системи зменшується. Чим менша кількість параметрів GPO слід застосувати у відношенні того чи іншого об'єкта, тим швидше виконується обробка відповідної політики. Відключення оброблення деяких розділів політики можна здійснити окремо для кожного з об'єктів GPO. Для цього слід виконати такі дії:
- Відкрийте оснастку Active Directory — Users and Computers (Active Directory — користувачі і комп'ютери). Виділіть контейнер, що Вас цікавить, відкрийте вікно властивостей цього контейнера і перейдіть на вкладку Group Policy (Групова політика).
- Виберіть об'єкт GPO, який ви маєте намір модифікувати.
- Клацніть на кнопці Properties (Властивості).
- Тут ви можете блокувати застосування щодо контейнера параметрів політики, що відносяться до конфігурації комп'ютера або до конфігурації користувача.
- Після того як ви зазначили, застосування якого із розділів GPO повинно бути блоковано, на екрані з'явиться повідомлення про те, що значення параметрів, модифікованих завдяки даній політиці, будуть відновлені в початковий стан. Наприклад, якщо блокувати застосування параметрів GPO, що відносяться до конфігурації користувача, то конфігурація всіх користувачів, щодо яких діє дана політика, буде відновлена в стан, в якому вона була до застосування даної політики. На відміну від Windows 2000 операційна система NT 4.0 виконувала очищення політик некоректно. У зв'язку з цим в NT 4.0 навіть після скасування політики параметри об'єктів зберігали значення, присвоєні їм в процесі застосування скасованої політики.
Блокування застосування одного з розділів політики налаштовується для конкретного об'єкта GPO і діє відносно всіх контейнерів, для яких призначений цей GPO.
Блокування спадкування політики
Windows 2000 дозволяє блокувати спадкування політики від батьківського об'єкта. Наприклад, якщо ви хочете, щоб відносно контейнера IT і всіх його підконтейнерів діяли тільки політики, визначені на рівні IT, на сторінці Group Policy (Групова політика) властивостей об'єкта IT встановіть прапорець Block Policy Inheritance (блокувати спадкування політики). При цьому політики Р1 і Р3 не будуть застосовуватись у відношенні до контейнерів IT Workstations і IT Servers. Блокування спадкування політик не можна відключити для якої-небудь однієї політики. Якщо для будь-якого контейнера включено блокування спадкування політик — щодо цього контейнера і всіх його підконтейнерів перестають діяти абсолютно всі політики, призначені на вищих рівнях ієрархії каталогу Active Directory. Цей параметр може бути налаштований окремо для конкретного об'єкта GPO і діє відносно всіх контейнерів, для яких призначений цей GPO. Якщо для об'єкта GPO встановлений прапорець No Override (не скасовувати), значення параметрів з відповідної політики завжди будуть мати великий пріоритет при виникненні конфліктів політик незалежно від того, на якому рівні ієрархії розташовані контейнери, до яких застосовується даний GPO. Наприклад, якщо ви відкриєте вікно властивостей домену shinyapple.msft і встановить прапорець No Override (не скасовувати) для політики Р1, об'єкти, розташовані нижче за ієрархією Active Directory, завжди будуть налаштовані згідно зі значеннями, заданими в політиці Р1. При виникненні конфлікту політик значенням з Р1 буде віддано перевагу. Гарним прикладом ситуації, в якій може знадобитися використання даної можливості, є застосування параметрів безпеки. Якщо для будь-якого контейнера включено блокування спадкування політик, політика, що володіє властивістю No Override (не скасовувати), все рівно буде застосована, так як параметр No Override (не скасовувати) має високий пріоритет.
Фільтрація політик
Фільтрація застосовуваних політик на основі членства об'єктів у групах безпеки є ще одним методом зміни звичайного порядку застосування політик щодо об'єктів Active Directory. Фільтрація здійснюється за допомогою списків ACL (Access Control List). Кожен об'єкт GPO має пов'язаний з ним список ACL. Інформація з списку ACL об'єкта GPO аналізується системою безпеки незалежно від того, до якого з контейнерів застосовуватиметься цей GPO. Політика застосовується щодо об'єкта тільки в тому випадку, якщо об'єкт володіє відносно відповідного GPO дозволами Read (Читання) і Apply Group Policy (застосування групової політики). Якщо об'єкт (користувач або група) не має доволу Apply Group Policy (застосування групової політики), політика групи в його відношенні не застосовується.
Налагодження процесу обробки політик і профілів
Щоб задокументувати у журналі послідовність, у якій застосовуються політики та профілі, слід за допомогою редактора реєстру додати ключ HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon значення UserEnvDebugLevel типу REG_DWORD, яке має бути рівне 0x10002. Після цього перезапустіть комп'ютер. Журнал застосування політик і профілів буде записаний у файл %SystemRoot%\Debug\Usermode\Userenv.log. Крім об'єктів GPO, існуючих в каталозі Active Directory, в кожній системі Windows 2000 існує також локальна політика (local policy). Локальна політика визначає параметри, відповідно до яких налаштовується робоча станція. Система застосовує політики в певному порядку:
- локальна політика (Local policy),
- політика вузла (Site policy),
- потім доменна політика (Domain policy),
- політика контейнера OU (Organizational Unit policy).
Порядок застосування політик часто позначають послідовністю символів (L, S, D, OU). Якщо локальна політика конфліктує з політикою вузла, домену або контейнера OU, вона завжди програє. Іншими словами, в процесі застосування політик локальна політика має найменший пріоритет. Всі параметри, за винятком сценаріїв вмикання/початку роботи системи і вимикання/завершення роботи системи, а також встановлення програмного забезпечення (або призначеного, або опублікованого) оновлюються кожні 90 хвилин зі змінним зсувом плюс-мінус 30 хвилин. Оновлення здійснюється за ініціативою механізму оновлення групових політик, що працює на стороні клієнта, який стежить за тим, коли клієнт останній раз виконував оновлення. На початку процесу оновлення порядкові номери версій всіх діючих політик порівнюються з локальними номерами версій. Якщо локальний і віддалений номери версій не збігаються, знову застосовується вся політика. В іншому випадку ніякого оновлення не відбувається. Оновлення політик, які діють щодо контролерів доменів, виконується кожні п'ять хвилин.
Клієнти, які можуть використовувати групову політику
У процесі переходу на використання Windows 2000 у вашій мережі напевно будуть присутні комп'ютери, оснащені більш ранніми версіями Windows. Щоб ефективно керувати такою мережею, важливо розуміти, щодо яких комп'ютерів буде діяти групова політика. Далі перераховуються операційні системи, щодо яких діє групова політика.
- Windows 2000 & 2003 Server. Комп'ютери, що мають операційну систему Windows 2000 Server можуть бути або звичайними членами домену Active Directory, або контролерами домену. Групова політика в повній мірі застосовується до обох різновидів серверів.
- Windows 2000 & XP Professional. Групова політика в повній мірі застосовується відносно клієнтських комп'ютерів, оснащених Windows 2000 Professional.
- Windows NT 4.0 Workstation і Server. Стосовно таких комп'ютерів можна застосувати тільки системні політики у стилі NT 4.0. Для створення таких політик використовується редактор poledit.exe. За допомогою poledit.exe адміністратор може створювати файли .adm. Windows NT 4.0 не підтримує Active Directory і не використовує об'єктів локальної політики, тому відносно комп'ютерів, оснащених цією операційною системою, групова політика не застосовується.
- Windows 95 та Windows 98. Для створення системної політики в операційних системах Windows 98 і Windows 95 використовується спеціальний редактор системної політики. Одержаний в результаті редагування файлу з розширенням .pol слід скопіювати в каталог SysVol. Редактори системної політики, що входять до комплекту Windows 2000 та Windows NT, не сумісні з Windows 98 та Windows 95. Групова політика Windows 2000 щодо таких комп'ютерів не застосовується.
- Windows NT 3.51, Windows 3.1 та DOS. Групова політика не застосовується.
Сценарії підключення та відключення
Операційна система Windows NT дозволяє призначити кожному користувачеві сценарій, що містить команди, які необхідно виконати при підключенні даного користувача до системи. Зазвичай сценарії підключення використовуються для початкового налаштування робочого оточення користувача. Крім сценаріїв підключення Windows 2000 підтримує також сценарії відключення. Мало того, в новій операційній системі для кожного комп'ютера можна призначити сценарії початку і завершення роботи системи. Система виконання сценаріїв Windows Scripting Host (WSH) підтримує виконання сценаріїв, написаних такими мовами, як Visual Basic або Jscript, що дозволяють безпосередньо звертатися до функцій Windows API. Розглянемо деякі можливості, пов'язані з використанням сценаріїв в середовищі Windows 2000.
Сценарії, визначені в рамках користувацького об'єкта
Такі сценарії підтримуються так само, як це було в Windows NT 4.0, та існують в основному для забезпечення сумісності з Windows ранніх версій. Клієнти Windows 2000 та Windows NT 4.0 намагаються виявити такі сценарії в спільній папці Netlogon сервера. Якщо виявити сценарій не вдалося, пошук проводиться в каталозі %SystemRoot%\system32\Repl\lmport\Scripts (розташування сценаріїв, що використовується в NT 4.0). Загальна папка Netlogon розташовується в каталозі SysVol (sysvol\%імя.домену%\scripts) і автоматично реплікується службою FRS. Реплікація каталогу сценаріїв операційної системи NT 4.0 повинна бути налаштована вручну.
Сценарії, визначені в рамках групової політики
Ці сценарії застосовуються щодо контейнерів OU. Іншими словами, щоб призначити користувачу сценарій підключення або відключення, слід зробити користувача членом контейнера OU, для якого визначена політика, в рамках якої діє сценарій підключення або відключення. Цей метод є гнучкішим. Якщо ви певодите свою мережу на використання Windows 2000, ви також повинні враховувати деякі інші особливості, пов'язані зі сценаріями. У багатьох мережах поряд з машинами Windows 2000 використовуються комп'ютери, оснащені більш ранніми версіями Windows, з цієї причини рекомендується виконувати оновлення сервера, що містить загальну папку Netlogon, в останню чергу. Це пов'язано з тим, що служба реплікації, що використовується в Windows 2000 (FRS), не сумісна зі службами реплікації NT. Таким чином, оновлюючи мережу, ви повинні бути впевнені в тому, що абсолютно всі клієнти мають можливість доступу до папки Netlogon та сценаріям підключення незалежно від того, яку операційну систему вони використовують. Слід також враховувати, що в Windows NT сценарії підключення працюють в контексті безпеки користувача. У Windows 2000 це справедливо лише частково. У Windows 2000 сценарії, що мають відношення до користувача (підключення до системи і відключення від системи), також виконуються в контексті безпеки користувача, в той час як сценарії, що мають відношення до комп'ютера (початку роботи системи і завершення роботи системи), виконуються в контексті безпеки LocalSystem.
Делегування прав на адміністрування групових політик
Можливість управління об'єктами GPO можна делегувати іншим відповідальним особам. Делегування здійснюється за допомогою списків ACL. Списки ACL об'єкта GPO дозволяють призначити відносно цього об'єкта дозволи на модифікацію цього GPO, або на призначення GPO щодо деякого контейнера. Таким чином, можна заборонити створення неавторизованих об'єктів GPO. Наприклад, створення і модифікацію GPO можна довірити групі адміністраторів домену, в той час як призначення цих GPO можуть здійснювати адміністратори окремих контейнерів OU. Адміністратор контейнера OU може вибрати найслушніший об'єкт GPO і застосувати його відносно будь-якого з підконтрольних йому OU. Однак при цьому він не зможе змінити вміст GPO або створити новий GPO.
Управління користувацькими документами і кешуванням на стороні клієнта
Групова політика дозволяє перенаправляти деякі користувальницькі каталоги таким чином, щоб при зверненні до них користувач насправді звертався до мережевих каталогів або певних місць локальної файлової системи. Набір папок, які можна перенаправити таким чином, включає в себе:
- Application data,
- Desktop (Робочий стіл),
- My Documents (Мої документи),
- My Pictures (Мої малюнки),
- Start Menu (Головне меню).
Механізм перенаправлення користувача тек є частиною технології IntelliMirror, мета якої — забезпечити доступ до робочих файлів і конфігураційної інформації незалежно від того, яку робочу станцію користувач використовує для роботи. Як наслідок, технологія Intellimirror забезпечує збереження користувальницьких файлів і конфігураційних даних у разі, якщо робоча станція користувача виходить з ладу. Перенаправлення каталогів налаштовується в розділі User Configuration (конфігурація користувача) → Windows Settings (параметри Windows) → Folder Redirection (перенаправлення папок) об'єкта групової політики. У цьому розділі відображаються всі раніше перелічені папки. Щоб перенаправити одну з цих папок в нове місце, правою кнопкою миші клацніть на її імені та в меню оберіть пункт Properties (Властивості).
На вкладці Target (Ціль) ви можете вибрати один з трьох варіантів перенаправлення користувацької папки.
- No administrative policy specified (адміністративна політика не призначена).
- Basic (базовий). Перенаправляє папку в нове місце незалежно від того, до якої групи належить користувач. Нове місце повинно бути вказано з використанням формату UNC. При вказівці нового місця можна використовувати такі змінні, як %username%. Таким чином, для різних користувачів папка може бути перенаправлена в різні каталоги, проте всі ці каталоги повинні розташовуватися в одній і тій же мережевий папці загального доступу.
- Advanced (ускладнений). Для різних груп користувачів можна вказати різні місця розташування папки. Для різних груп можна вказати різні UNC-імена. Відповідні папки можуть розташовуватися на різних серверах.
Рекомендації з використання групових політик
Для йменування об'єктів групових політик використовуйте інформативні, змістовні імена. Це допоможе вам швидко визначити, навіщо потрібна та чи інша політика. Якщо або користувальницький, або комп'ютерний розділ політики не містить параметрів, що настроюються, відключіть обробку цього розділу. Цим Ви меншите час обробки політики і знизите навантаження на сервер. Використовуйте механізми Block Inheritance (блокування успадкування) і No Override (не скасовувати) з великою обережністю. У робочих середовищах, в яких ці можливості використовуються дуже часто, стає складно вирішувати проблеми, пов'язані із застосуванням політик. Якщо грамотно спроектувати архітектуру групових політик вашої мережі, можна взагалі обійтися без використання цих можливостей.
Зовнішні посилання
- Розділ групової політики на Microsoft TechNet
- Group Policy Management Console — безкоштовна програма від Microsoft для управління груповою політикою.