Локальные политики - те что располагаются на конечном рабочем месте или сервере. Применяются тут же.
GPO - Group Policy Object - собственно и есть групповая политика, точнее объект групповой политики, что включает в себя кучу параметров. Данный объект можно применить на уровне Сайта (Site), Домена (Domain) или Организационной Иденицы (OU).
GPC - Group Policy Container - контейнер для набора групповых политик. К объектам в сети применяется политика если он находится в данном контейнере.
Как себя ведут групповые политики
Порядок их применения следующий :
Local Policy > Site GPO > Domain GPO > OU GPO > Child OU GPO >...
То есть сперва применяется локальная политика. После политики Сайта, тем самым перезаписывая политики локальные. Далее Доменные, перезаписывая Локальные и Сайта. Политики Контейнера переписывают все предыдущие. И так далее с дочерними контейнерами.
Таким образом чем ближе к объекту, тем политика сильнее. То есть если на уровне Сайта что-то разрешалось, на уровне Домена запрещалось, а в Контейнере разрешалось, то результатом будет Разрешено.
- Настройки Компьютера - применяются при загрузке компьютера, до входа пользователя в систему;
- Настройки Пользователя - применяются при входе пользователя в систему, настройки применяются ко всем пользователям;
В каждой секции подгруппы:
- Software settings and Windows settings - настройки DLL на машине;
- Administrative templates - настройки реестра на машине. Сюда можно загрузить новые шаблоны. Например с официального сайта Microsoft.
После создания GPO, она сохраняется в контейнере что вы выбрали. Также она будет находится в Group Policy Objects (отсюда её можно прикрепить к различным объектам):
Прикрепление GPO
Правый клик по GPO, Link/Unlink a GPO, и выбрать объект, к которому прикрепить.
Включение/Отключение настроек компьютера или пользователя
У GPO есть две секции - компьютера и пользователя. Бывает, что настроена только одна из них. Потому целесообразно вторую отключить. Это уменьшит объём данных передаваемый на машину. Это можно сделать на вкладке Details:
Переходите на вкладку Settings. Тут в виде древа будут лишь те настройки, что были выставлены:
Block/Enforce наследование
Если вы не хотите, чтобы политики "свыше" переписывали настройки в GPO конкретного контейнера, тогда нужно выделить контейнер и выбрать Block Inheritence.
Если вы хотите чтобы одна из "вышестоящих" GPO настраивала объекты в "нижестоящих" контейнерах и игнорировала Block Inheritace, то выберите Enfoce. Этим параметром нужно крайне осторожно пользоваться.
Тут видно, что 3 различные GPO наследованы:
Тут видно, что блокировка исключить все вышестоящие потилики в наследовании:
Если включить Enforce на Default Domain Policy, то эта политика будет иметь большую силу нежели Block Inheritance:
Link Order
Очерёдность. Когда более одной GPO привязано к одному OU, то приоритет будет иметь последняя в очереди.
Security Filtering
Фильтр позволяет выбирать пользователей, группы, компьютеры к которым будет применяться GPO. Просто создайте группу, добавьте в неё пользователей, группы или компьютеры, а после к этой группе привяжите GPO
Если нужна большая точность фильтрации, то перейдите на вкладку Delegation, Advanced:
Каким образом обновляются GPO на компьютере:
Политики, наследуемые от Active Directory, обновляются несколькими способами:
1. При Входе в Систему (Если сделаны настройки в части User Settings);
2. При Перезагрузке Компьютера (Если сделаны настройки в части Computer Settings);
3. Каждые 60-90 минут, компьютеры запрашивают их Домен Котроллер об обновлениях;
4. Вручную, используя команду gpupdate. Используя ключ /force обновятся все настройки, а не только разница.
Как проверить, какие политики применимы к данной машине и пользователю:
RSoP - Resultant Sets of Policies - как раз это нам и нужно. То есть Результирующий Набор применяемых Политик.
1. Используйте gpresult в командной строке. Также вы можете вывести Результирующие Политики и по другим пользователям и компьютерам. Более подробную информацию получить можно используя ключи /v и /z.
Вы получите информацию какие политики применились какие - нет, и по какой причине были отфильтрованы.
RSoP в ММС
Logging Mode - какие в действительности политики применили на этой машине:
Planning Mode - какой будет результат в случае применения тех или иных настроек: http://www.petri.co.il/working_with_group_policy.htm
(как добавить оснастку)
Не является удобным средством, так как нужно будет спускаться в нужные рубрики.
Group Policy Results в GPMC
Более удобное средства для выявления применяемых политик на удалённых машинах используя централизованную консоль.
На вкладке Settings будут видны применённые настройки:
Источник: http://www.petri.co.il
Комментариев нет:
Отправить комментарий