Серверная операционная система Microsoft Windows 2003
Использование групповых политик
Групповые политики являются мощным инструментом, посредством которого администратор может осуществлять централизованное конфигурирование большого количества рабочих станций в корпоративной сети. В данной главе мы рассмотрим более подробно использование групповых политик в масштабах домена.
Оснастка Group Policy Object Editor
Оснастка Group Policy Object Editor (Редактор объектов групповой политики) используется для редактирования параметров объектов групповой политики (group policy objects, GPO). Эта оснастка может использоваться для редактирования любых объектов GPO (как локальных, так и тех, что хранятся в каталоге). Администратор может запустить оснастку
Group Policy Object Editor из определенных административных оснасток. Кроме того, эта оснастка может быть добавлена непосредственно в пользовательскую консоль.
Оснастка позволяет конфигурировать параметры групповой политики, касающиеся как компьютера, так и пользователя. В панели пространства имен оснастки эти группы параметров GPO представлены контейнерами
Computer Configuration (Конфигурация компьютера) и User Configuration (Конфигурация пользователя).
Оснастка Group Policy Object Editor предоставляет администратору больше возможностей по конфигурированию параметров групповой политики по сравнению с другими оснастками, предполагающими работу с групповой политикой, — оснастками
Local Security Policy, Domain Controller Security Policy и Domain Security Policy. Указанные оснастки обеспечивают доступ только к ограниченному подмножеству параметров групповой политики, расположенных в контейнере Security Setting (Параметры безопасности) соответствующего объекта групповой политики. Оснастки Domain Controller Security Policy и Domain Security Policy устанавливаются на каждом контроллере домена. Оснастка Local Security Policy присутствует на каждом рядовом компьютере под управлением Windows 2000/XP или Windows Server 2003.
Привязка оснастки к объекту групповой политики
Оснастка Group Policy Object Editor может быть вызвана из оснасток Active Directory Users and Computers и
Active Directory Sites and Services. Для этого в окне свойств объекта, ассоциированного с сайтом, доменом или подразделением, необходимо перейти на вкладку
Group Policy (рис. 21.1).
Рис. 21.1.Вкладка Group Policy окна свойств подразделения
Чтобы изменять параметры произвольного объекта GPO, администратор должен вручную загрузить оснастку
Group Policy Object Editor в консоль ММС, при этом необходимо выполнить ее привязку к некоторому объекту групповой политики. В окне
Select Group Policy Object (Выбор объекта групповой политики) по умолчанию предлагается привязать оснастку либо к локальному объекту GPO, либо к одному из доменных GPO. Чтобы выбрать объект групповой политики, щелкните по кнопке
Browse (Обзор). В окне Browse for a Group Policy Object (Поиск объекта групповой политики) администратор может (рис. 21.2):
выбрать один из существующих (и, как правило, уже привязанный к какому-нибудь контейнеру каталога) объектов групповой политики в
списке и загрузить его для редактирования в оснастку Group Policy Object Editor;
создать новый объект групповой политики.
Рис. 21.2. Выбор объекта групповой политики
В дальнейшем необходимо различать операцию привязки оснастки Group Policy Object Editor к некоторому объекту GPO и операцию привязки непосредственно самого объекта GPO к некоторому контейнеру каталога.
Следует заметить, что один экземпляр оснастки Group Policy Object Editor
позволяет работать только с одним экземпляром объекта групповой политики. Привязка оснасток возможна только в момент создания пользовательских консолей, включающих оснастку
Group Policy Object Editor. Если необходимо редактировать другой объект групповой политики, администратор должен запустить второй экземпляр оснастки.
Выбор контроллера домена
Оснастка Group Policy Object Editor работает с объектами каталога, следовательно, все ее манипуляции с объектами должны производиться в контексте некоторого контроллера домена. Чтобы определить правило выбора контроллера домена, в контексте которого будет работать оснастка
Group Policy Object Editor, выберите имя оснастки и в меню View (Вид) выполните команду
DC Options (Параметры контроллера домена). В открывшемся окне (рис. 21.3) следует выбрать необходимое значение.
Рис. 21.3. Определение схемы выбора контроллера домена
Отдельного комментария заслуживает вторая из предлагаемых опций. Оснастку Group Policy Object Editor можно запускать из окна оснасток
Active Directory Users and Computers или Active Directory Sites and Services, которые в этот момент подключены к определенному контроллеру домена. В подобной ситуации оснастка
Group Policy Object Editor может работать с тем же контроллером домена, что и оснастка, из которой она была запущена. Выбранная опция сохраняется и используется при следующем запуске оснастки. При этом, если выбранный контроллер домена недоступен при запуске оснастки, возникает ошибка.
Существует групповая политика, позволяющая администратору определить стратегию выбора предпочитаемого контроллера домена. Откройте используемый объект GPO и перейдите к узлу
User Configuration | Administrative Templates | System | Group Policy (Конфигурация пользователя Административные шаблоны | Система | Групповая политика). Откройте политику
Group Policy domain controller selection. Активизируйте политику, установив переключатель
Enable, а затем одну из следующих возможностей:
Use the Primary Domain Controller (Использовать основной контроллер домена);
Inherit from Active Directory Snap-ins (Унаследовать от оснасток Active Directory);
Use any available domain controller (Использовать любой доступный контроллер домена).
Если эта политика запрещена (disabled) или не установлена (not configured), оснастка
Group Policy Object Editor подключается к контроллеру домена, являющегося исполнителем роли РОС. Если политика установлена, она переопределяет опцию, заданную в самой оснастке
Group Policy Object Editor.
Примечание Поскольку при поиске объектов групповой политики выполняются обращения к DNS, ошибки при запуске оснасток Group Policy Object Editor нередко объясняются неправильной работой службы DNS. Поэтому при появлении подобных ошибок всегда проверяйте конфигурацию DNS. Помните о том, что DNS — это динамическая система, и ресурсные записи становятся просроченными и требуют периодической перерегистрации.
Создание и удаление объектов групповой политики
Для создания нового объекта групповой политики достаточно щелкнуть на кнопке New (Создать) на вкладке Group Policy (см. рис. 21.1) в окне свойств некоторого контейнера или щелкнуть на соответствующей кнопке в панели инструментов окна
Browse for a Group Policy Object (см. рис. 21.2). Система предложит администратору дать имя создаваемому объекту групповой политики. После этого системой будет создан объект групповой политики со значениями параметров по умолчанию.
Удаление объекта групповой политики, не привязанного к какому-либо контейнеру каталога, не вызывает особых трудностей. В случае, если подобная привязка существует, система потребует дать дополнительные указания:
Remove the link from the list (Изъять ссылку из списка, не удаляя объекта). Выбирая этот режим, администратор фактически только удаляет привязку выбранного объекта групповой политики к некоторому контейнеру каталога. Непосредственно сам объект групповой политики остается неизменным, и администратор может использовать его впоследствии;
Remove the link and delete the Group Policy Object permanently
(Изъять ссылку и окончательно удалить объект групповой политики). Выбор данного режима приводит к удалению непосредственно самого объекта групповой политики. При этом также удаляются существующие привязки указанного объекта к контейнерам каталога.
Привязка объекта групповой политики к контейнеру Active Directory
Любой объект групповой политики может быть привязан к некоторому сайту, домену или подразделению. Один объект групповой политики может быть привязан к множеству контейнеров. Для выполнения привязки необходимо щелкнуть на кнопке
Add на вкладке Group Policy окна свойств контейнера. В окне Browse for a Group Policy Object все объекты групповой политики, существующие в домене, перечислены на вкладке
All (Все).
Администратору достаточно выбрать необходимый объект групповой политики и щелкнуть по кнопке
ОК.
Возможна и обратная операция. Администратор может найти контейнеры, к которым привязан выбранный объект групповой политики. Для этого в оснастке
Group Policy Object Editor необходимо в контекстном меню корневого объекта оснастки выбрать пункт
Properties (Свойства), чтобы открыть окно свойств объекта групповой политики. В окне свойств необходимо перейти на вкладку
Links (рис. 21.4). Выбрав из раскрывающегося списка Domain нужный домен и щелкнув по кнопке Find Now (Найти), администратор получит список контейнеров, к которым к настоящий момент привязан рассматриваемый объект групповой политики.
Рис. 21.4. Просмотр привязок выбранного объекта групповой политики
Структура объекта групповой политики
Множество параметров, определяемых в рамках объекта групповой политики, разделено на две части. Одна часть параметров используется для конфигурирования компьютера (computer configuration), другая часть параметров используется для конфигурирования среды пользователя (user configuration). Конфигурирование компьютера предполагает определение значений для параметров, влияющих на формирование окружения любых пользователей, регистрирующихся на данном компьютере. Конфигурирование среды пользователя дает возможность управлять процессом формирования окружения конкретного пользователя, независимо от того, на каком компьютере он регистрируется в сети.
Независимо от типа конфигурирования, параметры групповой политики организованы в специальные категории (рис. 21.5). Каждая из категорий параметров групповой политики определяет отдельную область окружения пользователя. Доступные категории параметров перечислены в табл. 21.1. В свою очередь категории параметров групповой политики организованы в три контейнера в соответствии со своим назначением:
Software Settings (Конфигурация программ). В контейнере размещаются категории параметров групповой политики, посредством которых можно управлять перечнем приложений, доступных пользователям;
Рис. 21.5. Структура объекта групповой политики
Windows Settings (Конфигурация Windows). В контейнере размешаются категории параметров групповой политики, определяющие настройки непосредственно самой операционной системы. Содержимое данного контейнера может быть различным, в зависимости от того, для кого определяются параметры групповой политики (для пользователя или компьютера); Administrative Templates (Административные шаблоны). Этот контейнер содержит категории параметров групповой политики, применяемых для управления содержимым системного реестра компьютера.
Таблица 21.1. Категории параметров групповой политики
|
Категория |
Контейнер |
Описание |
|
Software Installation |
Software Settings |
Данная категория параметров используется для централизованного управления приложениями, доступными на данном компьютере, или для данного пользователя. При этом в зависимости от параметров групповой политики приложения могут либо устанавливаться принудительно, либо рекомендоваться для установки |
|
Remote Installation Service |
Windows Settings |
Данная категория параметров используется для управления процессом удаленной установки на клиентском компьютере. Эта категория параметров доступна только в случае конфигурирования на уровне пользователя |
|
Scripts |
Windows Settings |
Категория используется для определения сценариев, которые будут выполняться при включении/выключении компьютера (Startup/Shutdown Scripts), либо при регистрации пользователя в системе или его выхода из нее (Logon/Logoff Scripts) |
|
Security Settings |
Windows Settings |
Параметры данной категории используются для управления настройками безопасности клиентского компьютера. Помимо групповой политики, администратор может также использовать другие механизмы для управления настройками безопасности |
|
Folder Redirection |
Windows Settings |
Посредством параметров данной категории администратор может сконфигурировать процесс перенаправления папок из пользовательского профиля (таких, например, как My Documents) на некоторый сетевой ресурс. Эта категория параметров доступна только для конфигурации пользователя |
|
Internet Explorer Maintenance |
Windows Settings |
Параметры данной категории используются для настройки браузера Internet Explorer. Эта категория параметров доступна только для конфигурации пользователя |
|
Windows Components |
Administrative Templates |
В данной категории представлены параметры, посредством которых администратор может осуществлять управление настройками Windows-компонентов, установленных на конфигурируемой системе |
|
Start Menu and Taskbar |
Administrative Templates |
Параметры данной категории позволяют администратору конфигурировать главное меню и панель задач клиентского компьютера (прежде всего, ограничивать доступную функциональность). Эта категория параметров доступна только для конфигурации пользователя |
|
Desktop |
Administrative Templates |
Параметры данной категории позволяют администратору конфигурировать вид рабочего стола клиентского компьютера и его функциональность. Эта категория параметров доступна только в случае конфигурирования на уровне пользователя. Эта категория параметров доступна только для конфигурации пользователя |
|
Control Panel |
Administrative Templates |
Параметры данной категории позволяют администратору управлять видимостью отдельных компонентов панели управления на клиентском компьютере. Эта категория параметров доступна только для конфигурации пользователя |
|
Shared Folders |
Administrative Templates |
Параметры данной категории позволяют управлять процессом публикации общих папок. Эта категория параметров доступна только для конфигурации пользователя |
|
Networks |
Administrative Templates |
Данная категория параметров используется для управления конфигурацией сетевых компонентов системы |
|
System |
Administrative Templates |
В данной категории представлены параметры, позволяющие управлять настройками реестра, влияющими на поведение системы в целом |
|
Printers |
Administrative Templates |
Параметры данной категории используются для управления процессом публикации принтеров. Эта категория параметров доступна только для конфигурации компьютера |
Перечисленные в таблице категории параметров предоставляют администратору доступ к различным механизмам конфигурирования рабочих станций. В последующих разделах данной главы мы постараемся рассмотреть подробно каждый из этих механизмов конфигурирования.
Административные шаблоны
Механизм административных шаблонов позволяет администратору посредством групповой политики конфигурировать системный реестр клиентских компьютеров. Для любой рабочей станции, подпадающей под действие некоторого объекта групповой политики, системный реестр будет сконфигурирован в соответствии с административным шаблоном, определенным в рамках данного объекта.
Административные шаблоны не задействуют весь реестр целиком, а только два его ключа: HKEY_LOCAL_MACHINE и HKEY_CURRENT_USER. Создаваемый пользователем административный шаблон может охватывать любые подразделы в рамках указанных ключей. Ключ HKEY_LOCAL_MACHINE используется для определения настроек операционной системы. Значения параметров данного ключа используются для настройки системы непосредственно на этапе ее инициализации (т. е. до момента регистрации пользователя). Содержимое этого ключа реестра определяется в рамках административного шаблона групповой политики конфигурации компьютера (computer configuration).
Ключ HKEY_CURRENT_USER используется для формирования на рабочей станции индивидуальной среды пользователя. Значения параметров данного ключа используются для настройки системы на этапе регистрации пользователя. Содержимое этого ключа реестра определяется в рамках административного шаблона групповой политики конфигурации пользователя (user configuration).
Хотя, как было замечено, административный шаблон может использоваться для конфигурирования любых ключей реестра, предпочтительным является использование ключей HKEY_LOCAL_MACHINE\software\Policies (для управления Параметрами компьютера) И HKEY_CURRENT_USER\Software\Policies
(для управления средой пользователей). Данные ключи реестра очищаются системой автоматически, при каждом применении или отзыве объекта групповой политики. Как следствие, в случае, когда компьютер не подпадает под действие ни одного объекта групповой политики, для настройки системы используются стандартные значения параметров, определенных в соответствующих ключах реестра.
Административный шаблон представляет собой текстовый файл в формате Unicode, в котором определяются требуемые значения параметров реестра. Данный файл имеет расширение adm и хранится в папке %SystemRoot%\inf. Файл содержит перечисление ключей и параметров реестра, которые должны быть определены администратором в процессе формирования групповой политики. Административные шаблоны, поставляемые в составе Windows Server 2003, перечислены в табл. 21.2.
Таблица 21.2. Административные шаблоны, поставляемые
в составе Windows Server 2003
|
Административный шаблон |
Описание |
|
Common.adm |
Административный шаблон, используемый для настройки параметров системы на Windows 9х/МТ-клиентах |
|
Conf.adm |
Административный шаблон, используемый для настройки NetMeeting |
|
Inetcorp.adm |
Административный шаблон, используемый для настройки браузера Internet Explorer для работы в корпоративной среде |
|
Inetres.adm |
Административный шаблон, используемый для настройки ограничений браузера Internet Explorer |
|
Inetset.adm |
Административный шаблон, используемый для настройки браузера Internet Explorer |
|
System. adm |
Административный шаблон, используемый для настройки различных параметров системы |
|
Windows. adm |
Административный шаблон, используемый для конфигурирования Windows Эх-клиентов |
|
Winnt.adm |
Административный шаблон, используемый для конфигурирования Windows NT-клиентов |
|
Wmplayer.adm |
Административный шаблон, используемый для настройки приложения Windows Media Player |
|
Wuau.adm |
Административный шаблон, используемый для настройки службы автоматического обновления |
Для работы с шаблонами Common.adm, Windows.adm и Winnt.adm необходимо использовать утилиту System Policy Editor (Редактор системной политики).
Создание административных шаблонов
Помимо этого, администраторы могут создавать собственные варианты административных шаблонов в соответствии со стоящими перед ними задачами. Необходимо помнить, что административные шаблоны рассматриваются как средство управления содержимым реестра, в том числе параметрами, определяющими настройки пользовательских приложений. Установка приложений приводит к созданию в реестре новых ключей. Используя механизм административных шаблонов, администратор может выполнять настройку указанных приложений. Для построения административного шаблона необходимо использовать специальный язык ADM.
Административные шаблоны Windows Server 2003 имеют порядка 200 новых параметров, отсутствующих в административных шаблонах Windows 2000.
Применение административных шаблонов
Следует четко понимать, что использование административных шаблонов возможно исключительно через механизм групповой политики. Это означает, что для распространения административного шаблона на некоторое множество компьютеров, он должен являться частью соответствующего объекта групповой политики. Чтобы сделать административный шаблон частью объекта групповой политики, следует загрузить его в оснастку
Group Policy Object Editor. Для этого в контекстном меню контейнера Administrative Tools необходимо выбрать пункт
Add/Remove Templates (Добавить/удалить шаблоны). В открывшемся окне (рис. 21.6) надо выбрать интересующий шаблон и нажать кнопку
Add (Добавить). В результате, шаблон будет применен к конфигурируемому объекту групповой политики.
Рис. 21.6. Применение административного шаблона к объекту групповой политики
При помощи оснастки Group Policy Object Editor администратор имеет возможность редактировать вручную параметры групповой политики, расположенные внутри контейнера
Administrative Templates и отвечающие за конфигурирование реестра клиентского компьютера. Выбрав интересующий параметр, администратор должен открыть окно его свойств. На вкладке
Settings
(Настройки) окна свойств (рис. 21.7) можно определить значение выбранного параметра:
Not Configured (He определено). Данное значение оставляет неопределенной возможность использования пользователем выбранного режима в рамках рассматриваемого объекта групповой политики. Фактически доступность выбранного режима удаленной установки ставится в зависимость от значения аналогичного параметра групповой политики, определенного на вышестоящем уровне;
Enabled (Активизировать). Выбор данного значения активизирует выбранный параметр групповой политики. Применительно к рассматриваемому параметру значение явно разрешает использование выбранного режима установки пользователям, подпадающим под действие конфигурируемого объекта групповой политики;
Disabled (Отключить). Выбор данного значения отключает выбранный параметр групповой политики. Применительно к рассматриваемому параметру значение явно запрещает использование выбранного режима установки пользователям, подпадающим под действие конфигурируемого объекта групповой политики.
Рис. 21.7. Определение параметров групповой политики
Сценарии
Под сценарием (scripts) понимается некоторая предопределенная последовательность команд, способных выполнятся в автоматическом режиме (т. е. без участия пользователя). Основное преимущество сценариев заключается в том, что их выполнение может осуществляться в соответствии с некоторым расписанием. Администраторы используют сценарии в ситуациях, когда необходимо многократно выполнять некоторую последовательность действий.
Используя механизм групповых политик, администратор может определить последовательность операций, которые будут выполняться в момент включения или выключения компьютера, либо при регистрации пользователя в системе или при выходе из нее. Таким образом, можно выделить четыре группы сценариев:
сценарии, выполняемые при инициализации системы (startup scripts);
сценарии, выполняемые при регистрации пользователя в системе (logon scripts);
сценарии, выполняемые при выключении компьютера (shutdown scripts);
сценарии, выполняемые при выходе пользователя из системы (logoff scripts).
Интерпретация сценариев осуществляется сервером сценариев Windows Script Host. Этот стандартный компонент, входящий в состав Windows 2000/XP и Windows Server 2003, позволяет создавать сценарии, используя специализированные языки Visual Basic Scripting Edition, JScript. Для старых версий клиентов (Windows 9x/NT) сценарии должны представлять собой пакетные файлы (.bat-файлы), либо нужно установить на них сервер сценариев Windows Script Host (загружаемый свободно с сайта Microsoft).
Все сценарии, определяемые в рамках объекта групповой политики, хранятся в
шаблоне групповой политики, который в свою очередь располагается в папке
%SystemRoot%\SYSVOL\sysvol\<имя-домена>\policies\<GUID-объекта-групповой-политики>
Выполнение сценариев происходит в следующем порядке. В первую очередь выполняются сценарии инициализации (startup scripts). После этого выполняются сценарии регистрации пользователя (logon scripts). Сценарии выхода пользователя из системы и сценарии завершения работы выполняются, соответственно, в обратном порядке.
Сценарий должен быть создан и протестирован еще до того момента, как он будет назначен в рамках некоторого объекта групповой политики. Чтобы назначить объекту групповой политики новый сценарий, необходимо перейти к категории параметров
Scripts и в панели результатов вызвать контекстное меню объекта, ассоциированного с соответствующим типом сценария. В меню надо выбрать пункт
Properties (Свойства).
Сценарии, выполняемые в момент инициализации системы, а также в момент завершения работы, назначаются в конфигурации компьютера (computer configuration). Соответственно, сценарии, выполняемые в момент при регистрации пользователя в системе и при выходе из нее, назначаются в конфигурации пользователя (user configuration).
В открывшемся окне (рис. 21.8) администратор может добавить или удалить привязку сценария к конфигурируемому объекту групповой политики. В рамках одного объекта групповой политики администратор может определить несколько сценариев одного типа. При этом администратор должен определить порядок, в котором они будут выполняться. Порядок перечисления сценариев в окне соответствует порядку их выполнения. Для изменения порядка используются кнопки Up (Вверх) и Down (Вниз).
Рис. 21.8. Назначение сценария выхода из системы объекту групповой политики
Перенаправление пользовательских папок
Традиционным местом размещения документов пользователей является папка My Documents (Мои документы). В ситуации, когда пользователи перемещаются по организации, регистрируясь в сети на различных рабочих станциях, администратор может использовать перемещаемые профили для организации централизованного хранения пользовательских документов и настроек (roaming user profiles).
Профиль создается в момент первой регистрации пользователя в системе. По умолчанию локальные профили пользователя в операционных системах Windows 2000/XP и Windows Server 2003 размещаются в папке
Documents and Settings (Документы и настройки). Механизм перемещаемых профилей позволяет организовать централизованное хранение всех настроек и документов пользователей на сервере. Централизованное хранение профилей позволяет упростить такие процессы, как регулярное резервное копирование, проверка на наличие вирусов и т. п.
Механизм групповой политики позволяет администратору организовать перенаправление обращений пользователя к папкам пользователя, содержащим его настройки и документы, на некоторый сетевой ресурс. Так же как и в случае с перемещаемыми профилями, информация, содержащаяся в перенаправленных папках, будет доступна пользователю на любой рабочей станции. Перенаправление папок позволяет избежать постоянного копирования информации пользовательских папок с сервера на локальный диск компьютера, характерного для перемещаемых профилей. Система предоставляет прозрачный доступ к данным. Пользователь работает непосредственно с тем сетевым ресурсом, на котором находятся его папки. В табл. 21.3 перечислены папки пользовательского профиля, для которых допускается перенаправление.
Таблица 21.3. Папки пользовательского профиля, для которых допускается перенаправление
|
Папка |
Описание |
|
Application data |
В папке размещается информация, используемая приложениями. Некоторые приложения могут хранить в этой папке свои настройки, индивидуальные для каждого конкретного пользователя |
|
Desktop |
В папке хранятся объекты рабочего стола, включая ярлыки и файлы |
|
My Documents |
Папка используется для размещения документов пользователя |
|
My Pictures |
Папка используется для размещения графических файлов пользователя |
|
Start Menu |
В папке размещаются ярлыки программ главного меню |
Важно понимать, что механизм перенаправления (так же как и механизм перемещаемых профилей) эффективен только в том случае, когда пользователи используют собственные профили для размещения своих документов.
Режим перенаправления пользовательских папок настраивается в объектах групповой политики исключительно в конфигурации пользователя. Для определения параметров этого режима используется категория параметров
Folder Redirection (Перенаправление папок). Администратор может определить индивидуально параметры перенаправления для каждой из пяти описанных папок. Для этого необходимо в контекстном меню объекта, ассоциированного с папкой, выбрать пункт
Properties. На вкладке Target из раскрывающегося списка Setting (Настройка) необходимо выбрать режим перенаправления. Возможны три режима перенаправления папок. .
Перенаправление папки не выполняется. Чтобы выбрать данный режим, необходимо выбрать из списка значение
Not configured (He определено).
Основной режим. В данном режиме указанная папка для всех пользователей, подпадающих под действие редактируемого объекта групповой политики, перенаправляется на один сетевой ресурс. Данному режиму соответствует значение
Basic - Redirect everyone's folder to the same location (Основной — перенаправлять папки всех пользователей в одно место).
Расширенный режим. В этом режиме администратор может определить перенаправление папок пользователей на различные сетевые ресурсы. Выбор конкретного сетевого ресурса определяется группой, к которой принадлежит пользователь. Для выбора этого режима перенаправления в списке необходимо выбрать значение
Advanced — Specify locations for various user groups (Расширенный — определить место для различных групп пользователей).
Ниже рассмотрим процесс настройки основного и расширенного режимов
более подробно.
Перенаправление папок возможно только для Windows 2000/XP- и Windows Server 2003-клиентов. Следует также заметить, что функциональность механизма перенаправления папок была существенным образом расширена в Windows Server 2003. Однако появившиеся новые возможности доступны только на клиентах Windows XP и Windows Server 2003.
Настройка основного режима перенаправления папок
В данном режиме для всех пользователей используется единая схема перенаправления папок. Администратору при этом необходимо определить, какая именно из возможных схем будет использоваться для перенаправления.
Папки всех пользователей перенаправляются в одну общую папку. Для выбора данной схемы в поле
Target folder location (Расположение папки) следует выбрать значение Create a folder for each user under the root path
(Создать папку для каждого пользователя в корневой папке) (рис. 21.9).
В поле Root Path (Путь к корневой папке) необходимо указать общую папку, которая будет использоваться для размещения перенаправленных папок.
Рис. 21.9. Настройка основного режима перенаправления папки
Папки пользователей перенаправляются на некоторый сетевой ресурс, на котором для каждого пользователя создается отдельная папка. Для выбора данной схемы в списке Target folder location (Расположение папки) необходимо выбрать значение Redirect to the following location (Перенаправить в следующее место). В поле Root Path (Путь к корневой папке) необходимо указать папку, в которую будет производиться перенаправление папок. Папки пользователей перенаправляются в локальный профиль пользователя. Данная схема перенаправления необходима для того, чтобы вернуть содержимое папок из сетевого ресурса в локальный профиль пользователя. Если просто отключить механизм перенаправления, то содержимое папок пользователя будет утеряно. Поэтому перед отключением администратор должен перенаправить папки пользователя на его локальный профиль. Только после выполнения этой операции администратор может отключить механизм перенаправления. Для выбора данной схемы в списке Target folder location (Расположение папки) необходимо выбрать значение Redirect to the local user profile location (Перенаправить в локальный профиль пользователя).
Для папки My Documents (Мои документы) возможна еще одна схема перенаправления. Указанная папка может быть перенаправлена в домашнюю папку пользователя (home directory). Подобная схема перенаправления разрешена только для клиентов, находящихся под управлением операционных систем Windows XP Professional и Windows Server 2003.
Для выбора данной схемы в списке Target folder location (Расположение папки) необходимо выбрать значение Redirect to the user's home directory
(Перенаправить в домашнюю папку пользователя). При этом на момент перенаправления для пользователя должно быть определено месторасположение домашней папки. Для этого на вкладке
Profile (Профиль) окна свойств объекта, ассоциированного с пользователем, необходимо в группе элементов Home folder (Домашняя папка) указать требуемую папку. Это может быть как папка на локальном диске, так и некий сетевой ресурс (рис. 21.10).
Рис. 21.10. Назначение домашней папки пользователя
Настройка расширенного режима перенаправления папок
Расширенный режим позволяет выбирать способ перенаправления папок пользователя в зависимости от его членства в группах. Благодаря этому, администратор может реализовать различные уровни обеспечения надежности для хранимых папок для разных категорий пользователей (рис. 21.11). Наиболее важные документы, например, должны храниться на RAID-массивах. Как следствие, администратор может организовать различные политики резервного копирования для этих данных.
Рис. 21.11. Настройка расширенного режима перенаправления папки
Конфигурирование расширенного режима перенаправления папки выполняется аналогично основному режиму. Чтобы определить возможные параметры режима, надо щелкнуть по кнопке Add (Добавить) и в открывшемся окне (рис. 21.12) в поле Security Group Membership указать группу, для членов которой необходимо определить перенаправление. Остальные параметры аналогичны рассмотренным в предыдущем разделе.
Рис. 21.12. Конфигурирование параметров перенаправления
Управление приложениями
Механизм групповой политики может использоваться как средство управления процессом развертывания приложений на Windows 2000/XP- и Windows Server 2003-клиентах. Администратор может определить перечень приложений, которые будут доступны пользователям. В зависимости от выбранного режима, в процессе применения объекта групповой политики на компьютере будут установлены все необходимые приложения. Возможны следующие режимы управления процессом развертывания приложений:
публикация приложений;
назначение приложений пользователям',
назначение приложений компьютерам.
Механизм управления процессом развертывания приложений базируется на технологии Windows Installer. В составе большинства продуктов поставляются специальные инсталляционные пакеты (installation package), которые могут быть использованы для автоматической установки данного приложения.
Описание процесса развертывания выходит за рамки данной книги. В данном разделе мы постараемся осветить основные моменты данного процесса.
Публикация приложений
Публикация приложений может осуществляться исключительно в конфигурации пользователей. При этом пользователю, подпадающему под действие объекта групповой политики, предлагается список доступных для установки приложений. При этом пользователь самостоятельно принимает решение о том, необходимо ли выполнять установку приложения или нет.
В процессе публикации приложений инсталляционные пакеты (installation package) помещаются в специальное хранилище. Для установки опубликованного приложения, пользователь должен использовать мастер Add/Remove Programs (Установка/удаление программ). Чтобы просмотреть список опубликованных приложений, пользователь должен щелкнуть по пиктограмме
Add New Programs (Добавить новое приложение).
Чтобы опубликовать приложение, в контекстном меню контейнера Software Installation необходимо выбрать пункт
New | Package. Указав в открывшемся окне месторасположение инсталляционного пакета, администратор должен указать способ развертывания приложения (рис. 21.13).
Рис. 21.13. Определение способа развертывания приложений
Назначение приложений
Назначение приложений предполагает создание перечня приложений, обязательных для установки. Различают два режима назначения приложений.
Назначение приложений пользователям. Этот режим используется в случае определения параметров объекта групповой политики в конфигурации пользователя (user configuration). В процессе регистрации пользователя в системе на его рабочий стол помещается ярлык, идентифицирующий
данное приложение. Установка приложения происходит в момент, когда пользователь щелкает по ярлыку, пытаясь запустить приложение, либо когда в первый раз открывается документ, ассоциированный с данным приложением.
Назначение приложений компьютерам. Этот режим используется в случае настройки параметров объекта групповой политики в конфигурации компьютера (computer configuration). Приложения устанавливаются на компьютер, подпадающий под действие объекта групповой политики в процессе инициализации системы. После того как назначенные приложения установлены на компьютере, только пользователь с полномочиями локального администратора может выполнить их удаление.
Если для компьютера назначено несколько приложений, их установка может потребовать значительное время.
Для назначения приложения в контекстном меню контейнера Software Installation необходимо выбрать пункт Package. В открывшемся окне требуется указать месторасположение инсталляционного пакета. В окне Deploy Software администратор должен установить параметр Assigned (см. рис. 21.13).
Построение иерархии объектов групповой политики
Параметры, определенные в рамках объекта групповой политики, воздействуют только на те объекты каталога, к которым они применены. Чтобы определить множество объектов каталога, подпадающих под действие того или иного объекта групповой политики, необходимо выполнить привязку последнего к одному или нескольким контейнерам каталога. Для любого объекта групповой политики (за исключением локальных) разрешается привязка к любому из трех классов объектов каталога — сайту, домену или подразделению. Любые объекты, ассоциированные с учетными записями пользователей и компьютеров, расположенные внутри этих контейнеров, подпадают под действие привязанного объекта групповой политики.
В ситуации, когда в рамках дерева каталога имеется привязка нескольких объектов групповой политики, вполне возможна ситуация, когда некоторые объекты каталога (или даже все) могут подпадать под действие сразу нескольких объектов групповой политики. При этом параметры, определенные в них, применяются к объектам каталога в соответствии с определенным порядком:
сначала применяются объекты групповой политики, привязанные к сайту, в котором находится объект каталога;
после этого применяются объекты, привязанные на уровне домена,
последними применяются объекты групповой политики, привязанные к подразделениям.
Если имеется несколько вложенных подразделений, объекты групповой политики применяются в соответствии с уровнями вложенности. В данном случае речь идет о наследовании параметров вышестоящих объектов групповой политики (group policy inheritance).
Объекты групповой политики, привязанные к дочерним контейнерам, могут переопределять параметры объектов групповой политики, привязанных к вышестоящим объектам. В этом случае принято говорить о переопределении (group policy overriding) параметров объекта групповой политики. При этом наследуются только те параметры объектов
групповой политики, что были определены для родительского контейнера, но не определены для дочернего. В противном случае значения параметров, определенные в объекте групповой политики, привязанном к нижестоящему объекту
групповой политики, будут переопределять значения аналогичных параметров объекта
групповой политики, привязанной к вышестоящему контейнеру. Если некоторый параметр объекта групповой политики допускает множество значений, значения параметра объекта групповой политики родительского контейнера дополняют значения аналогичного параметра, определенного в рамках объекта
групповой политики дочернего контейнера.
Блокировка процесса наследования параметров объектов групповой политики
Администратор может управлять процессом наследования параметров объектов
групповых политик. Для этого в окне оснастки Active Directory Users and Computers необходимо открыть окно свойств контейнера, к которому привязан объект
групповой политики. На вкладке Group Policy (Групповая политика) необходимо установить флажок
Block Policy inheritance (Блокировать наследование политики) (рис. 21.14). При этом параметры групповой политики, определенные на уровне вышестоящих контейнеров, не будут распространяться на содержимое конфигурируемого контейнера.
Запрещение переопределения параметров объектов групповой политики
Для запрещения переопределения параметров объектов групповой политики в окне свойств контейнера необходимо перейти на вкладку
Group Policy и щелкнуть по кнопке Options (Параметры). В открывшемся окне (рис. 21.15) надо установить флажок No Override
(He переопределять). При этом на содержимое дочернего контейнера будут распространяться параметры объекта
групповой политики, привязанные к родительским контейнерам, даже в том
случае, если аналогичные параметры переопределены непосредственно на уровне дочернего контейнера. При установленном флажке
No Override наследуемые параметры имеют преимущество над аналогичными параметрами объекта групповой политики, привязанного к дочернему контейнеру, даже если для этого контейнера установлен флажок
Block Policy inheritance.
Рис. 21.14. Блокирование процесса наследования параметров объектов групповой политики
Рис. 21.15. Запрещение переопределения параметров объектов групповой политики
Запрещение применения параметров объекта групповой политики
Администратор может запретить применение параметров любых объектов групповой политики к содержимому некоторого контейнера каталога. Для этого на вкладке
Group Policy окна свойств контейнера необходимо щелкнуть по кнопке Options (Параметры) и в открывшемся окне (см. рис. 21.15) установить флажок
Disabled (Отключено).
Ограничение действия параметров групповой политики
Хотя применение параметров объектов групповой политики происходит исключительно на уровне отдельных объектов каталога, администратор может использовать механизм членства в группах для ограничения действия этих параметров. На уровне некоторой группы безопасности администратор может запретить (или наоборот — разрешить) применение параметров любого объекта групповой политики.
Рис. 21.16. Запрет на применение параметров данного объекта групповой политики к членам группы Enterprise Admins
Для этого необходимо на вкладке Security (Безопасность) окна свойств выбранного объекта групповой политики указать нужную группу безопасности и установить флажок Deny (Запретить) напротив разрешения Apply Group Policy (Применять групповую политику) (рис. 21.16). Эта процедура называется фильтрацией групповых политик (group policy filtering).
Предоставление полномочий на доступ к объектам групповой политики
Администратор может делегировать некоторым пользователям часть обязанностей по управлению объектами групповой политики. Чтобы предоставить пользователю полномочия, необходимые для выполнения привязки объекта групповой политики на уровне определенного контейнера, администратор должен использовать мастер Delegate of Control Wizard (Мастер делегирования управления). При работе мастера надо делегировать пользователям полномочия, необходимые для выполнения задачи управления привязками объектов групповой политики (флажок
Manage Group Policy links на странице мастера Tasks to Delegate).
Кроме того, указанная категория пользователей должна иметь разрешение на чтение объекта групповой политики. По умолчанию подобное разрешение предоставляется всем аутентифицированным пользователям.
Используя механизм разрешений, администратор может также предоставить разрешения на модификацию параметров объекта групповой политики. Этими полномочиями по умолчанию в рамках домена обладают пользователи, входящие в состав группы Group Policy Creator Owners (Владельцы объектов групповой политики).
Определение действующих политик
Для работы с доменными групповыми политиками в системах Windows Server 2003 имеются появившиеся еще в Windows XP две очень полезные утилиты командной строки:
GPUpdate.exe — выполните эту команду, если вы изменяли групповые политики и хотите, чтобы они немедленно стали активными (сначала запустите ее с параметром /?). В Windows 2000 для этих целей использовалась команда secedit /refreshPolicy;
GPResult.exe — эта команда, входившая ранее в состав пакета Windows 2000 Resource Kit, стала стандартной командой системы. С ее помощью можно определить, какие настройки групповых политик фактически применяются по отношению к указанному компьютеру/пользователю. Может выполняться для удаленного компьютера. Запускать команду лучше всего с параметром /v — в этом случае сразу становятся видны ее возможности. Аналогичную задачу выполняет описываемая ниже оснастка
Resultant set of Policies (Результирующая политика).
Оснастка Resultant set of Policies
В системах Windows XP и Windows Server 2003 имеется очень удобный инструмент для работы с групповыми политиками, который особенно оценят администраторы крупных доменов с многоуровневой иерархией объектов GPO — это оснастка Resultant set of Policies
(Результирующая политика).
Информацию о результирующих политиках можно получать в одном из двух режимов.
Режим планирования (planning mode) позволяет администраторам моделировать использование групповых политик, определенных в различных объектам GPO, при этом можно даже не выбирать целевые компьютеры и пользователей. К примеру, с помощью этого режима можно получить ответ на вопрос "Какие установки групповых политик применяются к пользователям, учетные записи которых находятся в подразделении Admins, а зарегистрировались они на компьютерах, входящих в подразделение Managers?" При этом можно также моделировать присутствие или отсутствие пользователя в определенных группах безопасности.
Режим ведения журнала (logging mode) можно использовать только для определения реально действующих параметров групповых политик для пользователя, зарегистрированного на некотором компьютере.
Режим планирования можно применять для любого объекта каталога: домена, подразделения, пользователя и компьютера. Очевидно, что режим ведения журнала возможен только для учетных записей пользователей и компьютеров — поскольку только пользователь может регистрироваться на компьютере.
Процедура предварительного конфигурирования оснастки Resultant Set of Policy практически одинакова для обоих режимов, поэтому нет смысла рассматривать их индивидуально. Для примера определим, какие групповые политики применяются к пользователям, чьи учетные записи располагаются в некотором подразделении. Для этого:
1. Откроем оснастку Active Directory Users and Computers, выберем в окне структуры интересующее нас подразделение и в контекстном меню выполним команду
All Tasks | Resultant Set of Policy (Planning) (Все задачи | Результирующие политики (планирование)).
2. В окне мастера Resultant Set of Policy Wizard (рис. 21.17) можно изменить выбранный контейнер (нажав кнопку
Browse и выбрав другой контейнер для пользовательского или компьютерного объекта) или конкретизировать запрос, установив переключатель
User или Computer и выбрав соответствующую учетную запись (которая может находиться и в другом подразделении).
Рис. 21.17.Окно выбора объектов, для которых определяются результирующие политики
3. Пропустим второстепенные настройки мастера, для чего установим флажок
Skip to the final page и нажмем кнопку Далее (Next).
4. После проверки правильности заданных критериев на странице Summary of Selections снова нажмем кнопку
Next. Система некоторое время будет анализировать параметры политик.
5. На последней странице мастера нажмем кнопку Finish (Готово).
Процесс анализа завершен — можно анализировать результаты. В окне (рис. 21.18), напоминающем окно оснастки
Group Policy Object Editor, будут отображаться только те папки (ниже второго уровня), в которых имеются установленные политики. В нашем случае узел
Computer Configuration содержит все политики, действующие на учетные записи компьютеров, находящиеся в подразделении
Admins, а узел User Configuration содержит все
политики, действующие на учетные записи пользователей, находящиеся в этом же подразделении.
Рис. 21.18. Оснастка Resultant Set of Policy позволяет быстро найти действующие политики
Например, в нашем примере показано, что для выбранного пользователя установлен сценарий выхода из системы (узел
Logoff), а для компьютера задана политика отключения журнала событий выключения системы —
Display Shutdown Event Tracker; причем в столбце GPO Name можно видеть, что эта политика была установлена доменным объектом GPO. Полученные сведения можно (и полезно!) проверить с помощью утилиты GRResult и сравнить результаты.
Полученный инструмент ММС можно закрыть или сохранить (при повторном запуске оснастка вновь анализирует систему и выводит обновленные данные). Можно изменить критерии запроса и выполнить анализ повторно, не закрывая полученной оснастки
Resultant Set of Policy. Для этого нужно выбрать корневой узел в окне структуры и в меню
Action выполнить команду Change Query.
