В любой организации системные администраторы обязаны обеспечить для пользователей и компьютеров своего предприятия безопасные настройки, которыми можно централизовано управлять и развертывать. Обычно в организациях вся конфигурация определяется, обновляется и распространяется непосредственно при помощи объектов групповой политики. Именно объекты групповой политики позволяют вам рационально управлять всейи нфраструктурой вашего предприятия, начиная от незначительных подразделений и групп и заканчивая сайтами и доменами. В домене Active Directory все объекты групповой политики создаются и управляются при помощи единой административной оснастки консоли управления Microsoft – «Управление групповой политикой». Именно об использовании данной оснастки пойдет речь в текущей статье.
Открытие оснастки и изменение пользовательского интерфейса
Оснастка «Управление групповой политикой» устанавливается на сервер вместе с ролью «Доменные службы Active Directory» (AD DS), но если у вас по какой-то причине не удается ее найти, то всегда данную оснастку можно заново установить. Для того чтобы повторно установить текущую оснастку, в «Диспетчере сервера», в узле «Сводка компонентов» перейдите по ссылке «Добавить компонент». Выберите компонент «Управление групповой политикой» в диалоговом окне «Мастер добавления компонентов» и следуйте инструкциям мастера. По завершению установки закройте мастер установки.
Также есть альтернативный способ установки данного компонента – использование командной строки и утилиты управления конфигурацией сервера. В командной строке, запущенной с правами администратора введитеServerManagerCmd -install gpmc. При желании вы можете вывести результат установки в xml файл, используя параметр –resultPath.
Для того чтобы открыть оснастку «Управление групповой политикой», выполните любое из следующих действий:
Нажмите на кнопку «Пуск», выберите меню «Администрирование», а затем откройте «Управление групповой политикой»;
Воспользуйтесь комбинацией клавиш +R для открытия диалога «Выполнить». В диалоговом окне «Выполнить», в поле «Открыть» введите gpmc.msc и нажмите на кнопку «ОК»;
Нажмите на кнопку «Пуск» для открытия меню, в поле поиска введите Управление групповой политикой и откройте приложение в найденных результатах;
Откройте «Консоль управления MMC». Для этого нажмите на кнопку «Пуск», в поле поиска введите mmc, а затем нажмите на кнопку «Enter». Откроется пустая консоль MMC. В меню «Консоль» выберите команду «Добавить или удалить оснастку» или воспользуйтесь комбинацией клавиш Ctrl+M. В диалоге «Добавление и удаление оснасток» выберите оснастку «Управление групповой политикой» и нажмите на кнопку «Добавить», а затем нажмите на кнопку «ОК».
На следующей иллюстрации изображена оснастка «Управление групповой политикой»:
Содержимое оснастки «Управление групповой политикой» предоставляет множество средств, предназначенных для обеспечения централизованного управления инфраструктурой организации. Но если вас не устраивает интерфейс данной оснастки, вы можете его изменить, используя функционал редактирования параметров пользовательского интерфейса. Для того чтобы изменить отображение некоторых элементов оснастки, откройте меню«Вид» и выберите команду «Параметры». В диалоговом окне «Параметры» вы можете настроить элементы, параметры которых располагаются в следующих вкладках:
Вкладка «Столбцы». На этой вкладке вы можете изменить отображение и порядок столбцов для основных таблиц текущей оснастки, а именно: «Наследование групповой политики», «Начальные объекты групповой политики», «Объекты групповой политики», «Связанные объекты групповой политики» и «Фильтры WMI». Вам достаточно просто выбрать из раскрывающегося списка редактируемую таблицу, в поле «Столбцы отображаются в следующем порядке» снять флажки с наименований лишних столбцов и установить их порядок, используя кнопки «Вверх» или «Вниз». Также вы можете изменять порядок столбцов непосредственно из таблицы, меняя их местами так, как вам удобно. Для того чтобы ваши изменения были сохранены при повторном открытии оснастки, в окне параметров установите флажок«Сохранять порядок и размеры изменяемых столбцов», как показано на следующей иллюстрации:
Рис. 2. Вкладка «Столбцы» параметров оснастки
Вкладка «Отчет». Используя эту вкладку, вы можете изменить папку, которая используется по умолчанию для расположения ADM-файлов. Следует помнить, что изменения, которые проводятся на данной вкладке, будут распространяться только на устаревшие ADM-файлы, а расположение файлов ADMX, которые используются в операционных системах Windows Vista и Windows 7 останется без изменений. Если переключатель будет установлен на параметре «По умолчанию», то поиск файлов ADM изначально будет проводиться в папке Windows и в том случае, если файл не будет найден, консоль GPMC будет просматривать папку объектов групповой политики (GPO), находящуюся в папке Sysvol. Если установить переключатель на параметр «настраиваемое», то консоль GPMC изначально будет искать файлы adm в той папке, которая будет указана вами, а затем в расположениях по умолчанию. Настройки данной вкладки изображены ниже:
Рис. 3. Вкладка «Отчет» параметров оснастки
Вкладка «Общие». На вкладке «Общие» настраиваются параметры, которые распространяются на отображение лесов и доменов только с двухсторонними отношениями доверия, отображения имени контроллеров домена, а также для отображения диалогового окна подтверждения для различия между объектами групповой политики и связи этих объектов. Эта вкладка отображена на следующей иллюстрации:
Рис. 4. Вкладка «Общие» параметров оснастки
Создание и редактирование объектов групповой политики
Используя оснастку «Управление групповой политикой» вы можете создавать и редактировать объекты групповой политики, а также комментарии к ним для упрощения их мониторинга, удалять объекты групповых политик и проводить поиск среди существующих объектов. Рассмотрим подробно каждое из вышеперечисленных действий:
Создание объекта групповой политики с комментарием
Один или несколько параметров групповой политики, который применяется к одному или нескольким пользователям или компьютерам, обеспечивая конкретную конфигурацию, называется объектом групповой политики. Для того чтобы создать новый объект групповой политики, выполните следующие действия:
В оснастке «Управление групповой политикой» разверните узел лес, домен, название вашего домена и выберите контейнер «Объекты групповой политики». Именно в этом контейнере будут храниться все объекты групповой политики, которые вы будете создавать;
Щелкните правой кнопкой мыши на данном контейнере и из контекстного меню выберите команду «Создать», как изображено ниже:
Рис. 5. Создание объекта групповой политики
В диалоговом окне «Новый объект групповой политики» введите название объекта в поле «Имя», например, «Корпоративные требования» и нажмите на кнопку «ОК».
Рис. 6. Диалоговое окно «Новый объект групповой политики»
Редактирование объекта групповой политики
После того как объект групповой политики будет создан, для того чтобы настроить определенную конфигурацию данного объекта, вам нужно указать параметры групповой политики при помощи оснастки «Редактор управления групповыми политиками». Допустим, нужно отключить Windows Media Center, средство звукозаписи, а также ссылку «Игры» в меню «Пуск». Для этого выполните следующие действия:
Выберите созданный ранее объект групповой политики, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Изменить»;
Разверните узел Конфигурация пользователя/Политики/Административные шаблоны/Компоненты Windows/Windows Media Center;
Откройте свойства параметра политики «Не запускать Windows Media Center» и установите переключатель на опцию «Включить». В поле комментарий введите свой комментарий, например, «В связи с корпоративными требованиями не разрешается данным пользователям использовать текущее приложение» и нажмите на кнопку «ОК».
Рис. 7. Изменение групповых политик для созданного объекта
Повторите аналогичные действия для параметров политик «Запретить выполнение программы «Звукозапись»» и «Удалить ссылку «Игры» из меню «Пуск»» из узла Конфигурация пользователя/Политики/Административные шаблоны/Меню «Пуск» и панель задач.
Закройте редактор управления групповыми политиками.
Также, если вы создаете много объектов групповых политик, для вас окажется удобной возможность добавления комментариев к самим объектам групповых политик. Для добавления комментария к GPO, выполните следующие действия:
Выберите созданный ранее объект групповой политики, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Изменить»;
В дереве консоли оснастки «Редактор управления групповыми политиками» нажмите правой кнопкой мыши на корневом узле и из контекстного меню выберите команду «Свойства»;
В диалоговом окне «Свойства: имя объекта групповой политики» перейдите на вкладку «Комментарий» и введите примечание для вашего GPO, например, «Этот объект групповой политики запрещает указанным пользователям использовать мультимедийные приложения, а также игры в организации»;
Рис. 8. Добавление комментария для объекта групповой политики
Нажмите на кнопку «ОК», а затем закройте оснастку «Редактор управления групповыми политиками».
Поиск объектов групповой политики
При развертывании групповых политик в организации у вас могут быть созданы десятки (а то и сотни) объектов групповых политик. Если в вашей организации есть только один домен, то обнаружить необходимый объект групповых политик много времени у вас не займет. Но как быть, если в лесу вашей организации развернуто несколько доменов? Для этого вам поможет функционал поиска объектов групповых политик. Для того чтобы найти существующий объект групповой политики, выполните следующие действия:
В дереве консоли оснастки «Управление групповой политикой» щелкните правой кнопкой мыши на вашем лесу (или если вы знаете, в каком домене нужно провести поиск объекта, то можете вызвать контекстное меню для конкретного домена) и из контекстного меню выберите команду «Найти»;
Рис. 9. Поиск объекта групповой политики
В диалоговом окне «Поиск объектов групповой политики» в раскрывающемся списке «Искать объекты групповой политики в домене:» можете выбрать домен, для которого будет производиться поиск или оставить значение, используемое по умолчанию;
Рис. 10. Выбор домена для поиска GPO
В раскрывающемся списке «Элемент поиска», выберите тип объекта, для которого будет выполняться поиск. В этом случае нужно выбрать элемент «Имя объекта групповой политики»;
Раскрывающийся список «Условие» позволяет выбрать условие для поиска. Доступные варианты «Содержит», «Не содержит» и «совпадает». При выборе условия «совпадает» вам нужно ввести точное название политики. В противном случае поиск закончится ошибкой;
В поле «Значение» введите значение, которое будет использовано для фильтрации поиска. Если результаты предыдущего поиска были сохранены, то значение можно будет выбрать из раскрывающегося списка;
Нажмите на кнопку «Добавить» для выбора условия поиска;
По нажатию на кнопку «Найти» будут выведены все результаты, согласно условиям поиска. Результат изображен на следующей иллюстрации:
Рис. 11. Результаты поиска
Для того чтобы сразу перейти к оснастке «Редактор управления групповыми политиками» нажмите на кнопку «Изменить», для сохранения текущих результатов поиска нажмите на кнопку «Сохранить результаты» (результаты будут сохранены в указанной вами папке с расширением *.csv). По нажатию на кнопку «Очистить» результаты поиска будут очищены без сохранения, а для закрытия данного диалога нажмите на кнопку «Закрыть» или на клавишу Esc.
Удаление объекта групповой политики
При работе с объектами групповых политик вам когда-то понадобится удалить существующий объект GPO. Для этого выберите объект групповой политики и выполните одно из следующих действий:
Нажмите на клавишу Delete и в диалоговом окне «Управление групповой политикой» нажмите на кнопку «Да»;
Нажмите на кнопку «Удалить» (в виде красного креста) на панели инструментов, а затем в диалоговом окне «Управление групповой политикой» нажмите на кнопку «Да»;
Нажмите правой кнопкой мыши на объекте групповой политики и из контекстного меню выберите команду «Удалить». Затем в диалоговом окне «Управление групповой политикой» нажмите на кнопку «Да».
Связывание объектов GPO
Как было указано ранее, для правильного управления клиентов, объекты групповых политик должны быть настроены на определенные параметры политик и связаны с доменом, сайтом или подразделением Active Directory. Также вы можете указать определенную группу или пользователей, предназначенных для области применения указанного GPO. Вы можете сначала создать все нужные для вас объекты GPO в контейнере «Объекты групповой политики», а потом их связать с нужными подразделениями, доменами или сайтами.
Необходимо помнить, что объект групповой политики, который связан с сайтом, влияет на все компьютеры в указанном сайте независимо от домена, которому принадлежат ваши компьютеры. В связи с этим, для того чтобы применить указанные настройки объектов групповых политик к множеству доменов в лесу, можно связать объекты GPO с сайтом. Такие объекты будут храниться на контроллерах домена. Для создания и привязки объектов групповых политик, у вашей доменной учетной записи должны быть соответствующие права. По умолчанию, за создание и управление объектов GPO отвечают только пользователи, которые входят в группы администраторов домена, администраторов предприятия и владельцев-создателей объектов групповой политики.
Для того чтобы связать существующий объект групповой политики, выполните следующие действия:
Выберите подразделение, домен или сайт, для которого будет создана связь с существующим объектом групповой политики;
Нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Связать существующий объект групповой политики»;
В диалоговом окне «Выбор объекта групповой политики» выделите объект GPO, который хотите привязать к своему подразделению и нажмите на кнопку «ОК», как показано ниже:
Рис. 12. Диалоговое окно «Выбор объекта групповой политики»
Также у вас есть возможность привязать к домену, сайту или подразделению еще не существующий объект групповой политики. В этом случае, помимо связи вам также предстоит создание нового объекта GPO. Для этого выполните следующие действия:
Выберите подразделение, домен или сайт, для которого будет создан и привязан новый объект групповых политик;
Нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Создать объект групповой политики в этом домене и связать его…»;
В диалоговом окне «Новый объект групповой политики» введите название нового объекта, например, «Ограничения доступа к медиа приложениям» и нажмите на кнопку «ОК»;
Рис. 13. Создание нового объекта групповой политики вместе со связью
После нажатия на кнопку «ОК» объект групповой политики будет создан вместе со связью. Для этого объекта нужно будет еще настроить определенную конфигурацию, нажав на нем правой кнопкой мыши и из контекстного меню выбрав команду «Изменить», о которой рассказывалось в предыдущей части статьи.
Один объект групповой политики вы можете одновременно связать с несколькими подразделениями, доменами или сайтами. Если вы измените конфигурацию связанного объекта групповой политики, все изменения будут применяться для указанной вами области действия GPO. Связь объекта групповой политики обозначена небольшой стрелочкой на значке объекта групповой политики. Настройки конфигурации объектов групповых политик не применяются к тем пользователям или компьютерам вашей организации, на которые не распространяется область действия объектов групповых политик. Область действия GPO – это совокупность пользователей и компьютеров, к которым применяются параметры GPO.
Начальная область действия объекта групповой политики назначается при привязке данного объекта к указанному контейнеру. Для того чтобы увидеть контейнеры, к которым привязан существующий объект, выберите данный объект групповой политики и перейдите на вкладку «Область», как показано на следующей иллюстрации:
Рис. 14. Область действия объекта групповой политики
Вы можете просмотреть все измененные параметры политик для конкретного объекта групповой политики. Для этого выполните следующие действия:
В консоли управления групповой политикой выберите объект групповой политики;
Перейдите на вкладку «Параметры»;
В отобразившемся отчете разверните параметры политик, которые хотите просмотреть. После нажатия на ссылку «Показать все», будут отображены все измененные параметры данного объекта GPO
Вы можете сохранить данный отчет для дальнейшего изучения или анализа. Для этого нажмите правой кнопкой мыши на отчете и из контекстного меню выберите команду «Сохранить отчет». В диалоговом окне«Сохранение отчета объекта групповой политики» выберите папку, в которую хотите сохранить отчет, в поле «Имя файла» введите название отчета (по умолчанию название отчета совпадает с наименованием объекта GPO) и нажмите на кнопку «Сохранить». Отчет можно сохранять как с расширением HTML, так и XML.
Принудительные связи объектов групповых политик
При создании связей объектов групповых политик для некоторых контейнеров у вас могут возникнуть конфликты параметров политик. Скажем, для подразделения «Группы» у вас есть три связанных объекта GPO и в двух из них указаны разные значения одного и того же параметра политики. Например, в объекте групповой политики «Ограничение доступа к медиа приложениям» для политики «Не запускать Windows Media Center»установлено значение «Включено», а в объекте «Конфигурация конференц-зала» - наоборот, установлено значение «Отключено». В этом случае указывается параметр политики, который будет применен к клиентам при помощи приоритета объектов GPO, причем объект с более высоким уровнем приоритета будет иметь преимущество над теми объектами групповой политики, чьи приоритеты ниже.
Приоритеты можно найти в консоли «Управление групповой политикой» на вкладке «Наследование групповой политики» для выбранного контейнера, как показано ниже:
На предыдущей иллюстрации видно, что на подразделение «Группы» распространяются четыре объекта групповых политик, причем у объекта групповой политики с наименьшим значением самый высокий приоритет. Т.е., в данном случае, значения параметров политик объекта групповой политики «Политика аудита» доминирует над всеми остальными объектами GPO для данного подразделения. Но если в объекте групповой политики с наивысшим приоритетом значение для какого-либо параметра не задано, то будут применяться параметры политики с объекта групповой политики с более низким приоритетом. Наследование и делегирование групповых политик будут подробно рассмотрены в одной из следующих статей.
Оснастка «Управление групповой политикой» позволяет включать принудительную связь объекта групповой политики. При включении принудительной связи для объекта групповой политики, данный объект получит наивысший приоритет по отношению к остальным объектам, как выбранного контейнера, так и для всех дочерних. Для того чтобы установить принудительную связь для объекта групповой политики, выполните следующие действия:
Выберите контейнер, к которому привязаны несколько объектов групповых политик;
Перейдите на вкладку «Связанные объекты групповой политики», выберите объект, для которого хотите установить принудительную связь, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Принудительный»;
Рис. 17. Установка принудительной связи
В диалоговом окне «Управление групповой политикой» нажмите на кнопку «ОК»;
После установки принудительной связи, на вкладке «Связанные объекты групповой политики» для данного объекта появится значок в виде висячего замка, который обозначает принудительное включение связи. Перейдите на вкладку «Наследование групповой политики». Здесь вы можете увидеть результирующий приоритет объектов групповых политик, где в столбце «Приоритет» установленная принудительная связь будет отображаться сверху с пометкой «(Принудительный)».
Рис. 18. Принудительная связь объекта групповой политики
Отключение объектов групповых политик
При необходимости, для определенного объекта групповой политики вы можете запретить изменение параметров политик для узлов «Конфигурация компьютера» или «Конфигурация пользователя» средствами изменения состояния объекта GPO. Для этого выберите объект групповой политики, перейдите на вкладку «Таблица» и из раскрывающегося списка «Состояние GPO» выберите один из следующих параметров:
Рис. 19. Выбор состояния объекта групповой политики
Включено. При указании данного параметра при обновлении политик GPO обрабатываются как конфигурация компьютера, так и конфигурация пользователя. Данный параметр установлен для всех объектов групповых политик по умолчанию;
Все параметры отключены. При выборе данного параметра, объект групповой политики не будет обрабатываться;
Параметры конфигурации компьютера отключены. В этом случае, во время обновления политик GPO, будут обрабатываться только политики конфигурации пользователя. В свою очередь, параметры конфигурации компьютера будут отключены;
Параметры конфигурации пользователя отключены. В этом случае, во время обновления политик GPO, будут обрабатываться только политики конфигурации компьютера. В свою очередь, параметры конфигурации пользователя будут отключены;
Установить состояние объектов групповых политик вы можете и другим методом. Для этого разверните контейнер «Объекты групповой политики», выберите объект и нажмите на нем правой кнопкой мыши. В контекстном меню выберите команду «Состояние объекта групповой политики» и установите требуемое состояние. Но в этом случае состояние объектов групповой политики будет установлено для всех подразделений, для которых в дальнейшем будет создана связь с данным объектом GPO.
Отключение связи
Если вы случайно неправильно создали связь для объекта групповой политики, не стоит волноваться. Всегда такую связь можно удалить без нанесения ущерба самому объекту групповой политики. После удаления связи, объект GPO из контейнера «Объекты групповой политики» остается. Вы можете полностью удалить связь или отключить ее. Для удаления связи объекта групповой политики, выполните следующие действия:
Откройте контейнер, для которого вам нужно удалить объект GPO;
Выберите удаляемый объект групповой политики и нажмите на нем правой кнопкой мыши и в контекстном меню выберите команду «Удалить»;
В диалоговом окне «Управление групповой политикой» нажмите на кнопку «ОК».
Для того чтобы отключить объект групповой политики выберите отключаемый объект GPO и из контекстного меню снимите флажок с команды «Связь включена». После того как вы отключите связь объекта GPO, изменится и его область действия, которая больше не будет применяться для данного контейнера до тех пор, пока вы самостоятельно не включите ее. При отключении связи, значок данного объекта выглядит более прозрачным.
Приоритеты объектов групповых политик и их наследование
Как известно, для управления настройками клиентских компьютеров и пользовательских учетных записей в организациях применяются объекты групповых политик. Объекты GPO могут быть привязаны к сайту организации, к домену или к подразделениям. Если объекты групповых политик были привязаны к сайту или домену, а также к подразделению, то для компьютеров и пользователей, которые размещены в данном подразделении, будут применяться объекты GPO, их подразделения, а также домена или сайта организации. Для того чтобы не было конфликтов параметров групповых политик, существуют приоритеты объектов GPO. Как было указано во второй части статьи, в консоли управления групповой политики, приоритеты объектов GPO отображаются в виде номера, причем, чем меньше значение объекта групповой политики, тем выше его приоритет. Объекты с самым высоким приоритетом имеют преимущества над остальными объектами. Параметры групповых политик унаследованы от верхнего уровня контейнеров до более низкого и, обычно, они применяются при включении компьютера и входа пользователем в систему в следующем порядке:
Локальные объекты групповой политики. Эти политики применяются самыми первыми. Они расположены на локальном компьютере;
Объекты групповой политики, назначенные на уровне сайта. После локальных объектов групповых политик применяются объекты групповой политики, которые расположены на сайте Active Directory.
Объекты групповой политики, назначенные на уровне домена. Далее обрабатываются объекты групповой политики, которые расположены на уровне домена Active Directory.
Объекты групповой политики, назначенные на уровне подразделения. Последними выполняются объекты GPO, которые расположены в подразделениях. Если были указаны параметры политик в объектах с более низкими приоритетами, которые отличаются от параметров в подразделениях, то в последнюю очередь применяются именно те политики, которые расположены на этом уровне. Если существуют дочерние подразделения, то приоритет таких подразделений будет превалировать над объектами GPO предшествующего подразделения.
При запуске компьютера и входе пользователя в систему, клиент групповой политики, прежде всего, анализирует расположение клиента в домене Active Directory и оценивает объекты групповых политик, в область действия которых попадает данный пользователь. Наследованием политики называется результат вышеуказанного применения объектов групповой политики.
Предположим, что в вашей организации к домену привязаны два объекта групповой политики и к подразделению «Группы» привязано три объекта. Изменить порядок приоритетов объектов GPO вы можете следующим образом:
В дереве консоли разверните узел «Управление групповой политикой», затем разверните узел леса, узел «Домены» и выберите свой домен, для которого будете изменять порядок приоритетов;
На вкладке «Связанные объекты групповой политики» выделите объект, приоритет которого планируете изменить и нажмите на кнопку «Переместить связь вверх» для перемещения объекта на один уровень вверх или на кнопку «Переместить связь на первое место», соответственно для того, чтобы данному объекту GPO назначить наивысший приоритет;
Рис. 20. Изменение приоритета объекта групповой политики
Перейдите к контейнеру «Группы». В этом примере, непосредственно в данном контейнере расположены три объекта GPO, причем связь для одного из них отключена. Для проверки наследования групповой политики для этого контейнера, перейдите на вкладку «Наследование групповой политики», как показано ниже:
Рис. 21. Наследование групповой политики для контейнера «Группы»
Судя по предыдущей иллюстрации, с подразделением и доменом связывается множество объектов GPO, и самыми последними будут применяться параметры объекта GPO «Политика аудита», которая размещена в контейнере «Группы». В случае с множеством объектов групповой политики приоритет определяется порядком ссылок. Изменим порядок ссылок данного контейнера. Для этого перейдите на вкладку «Связанные объекты групповой политики» и переместите связь политики «Права для группы отладчиков» на первое место;
Вернувшись на вкладку «Наследование групповой политики» вы обнаружите, что приоритет объектов GPO изменился.
При помощи консоли управления групповыми политиками вы можете запретить все наследования параметров политики для указанного домена или подразделения. Реализовать такой запрет можно при помощи команды«Блокировать наследования», которая блокирует все объекты групповой политики (GPO), связанные с сайтами, доменами или подразделениями родительского уровня от автоматического наследования на дочернем уровне. При блокировании наследования, скажем, подразделения, в этом подразделении применение политик будет начинаться непосредственно с данного подразделения. Но нужно учесть, что связи GPO, установленные принудительно невозможно заблокировать из родительского контейнера. Об использовании принудительных связей объектов групповых политик вы можете ознакомиться во второй части статьи «Управление групповыми политиками в организации». Узел с блокированным наследованием отображается в дереве консоли со значком синего круга с белым восклицательным знаком, как показано ниже:
Рис. 22. Подразделение с блокированным наследованием
Управление разрешениями
Обычно, в подразделениях Active Directory расположено несколько групп или пользователей. Как известно, объект групповой политики вы можете связывать только с подразделениями, доменами или сайтами. Но что же делать, если вам нужно в область действия объекта GPO привязать только одну или несколько групп? Для выполнения подобных операций вам нужно фильтровать объекты GPO, чтобы его параметры применялись только к указанным пользователям или компьютерам.
Для определения разрешения доступа, при создании объекта GPO, для каждого объекта групповой политики создается индивидуальный список контроля доступа (Access Control List - SCL). В списке ACL, для применения параметров групповых политик достаточно, чтобы было только два разрешения – «чтение» и «применение групповой политики». Областью действия по умолчанию для каждого объекта GPO является группа«Прошедшие проверку» и, в связи с тем, что в эту группу входят все пользователи, расположенные в указанном контейнере, именно все пользователи и попадут под область действия объектов групповых политик, что почти во всех случаях неприемлемо. Чтобы вы могли выбрать пользователей и группы, для которых будут применяться параметры объектов GPO, консоль управления групповыми политиками предоставляет средства фильтрации области действия GPO.
Для изменения области действия объекта GPO «Права для группы отладчиков», выполните следующие действия:
В дереве консоли оснастки «Управление групповой политикой» выберите подразделение «Группы», к которой привязан объект «Права для группы отладчиков»;
Перейдите на вкладку «Область» и в секции «Фильтры безопасности» выберите группу «Прошедшие проверку». Нажмите на кнопку «Удалить», как показано на следующей иллюстрации:
Рис. 23. Удаление группы «Прошедшие проверки» из области действия GPO
Нажмите на кнопку «Добавить» и в диалоговом окне поиска объекта выберите группу «Отладчики».
Делегирование разрешений
Убрав из вкладки «Область» группу «Прошедшие проверку», вы тем самым не исключаете все группы от области применения объекта групповых политик. Для создания запретов на применение параметров политик существует вкладка «Делегирование».
По определению, делегирование — это такая организация работы, при которой руководитель распределяет между подчиненными конкретные задания. То есть, другими словами, делегирование является управлением и в групповых политиках это понятие не является исключением. Консоль «Управление групповой политикой» позволяет применять делегирование для объектов групповой политики, контейнеров и доменов, фильтров WMI и начальных объектов групповой политики. В этой статье мы рассмотрим делегирование только для объектов групповых политик, подразделений и доменов, так как фильтры WMI и начальные объекты групповых политик будут рассматриваться в отдельных статьях.
Делегирование разрешений для объектов групповой политики
Для расширенного управления разрешениями групповых политик, выберите объект групповой политики и перейдите на вкладку«Делегирование». Как видно на следующей иллюстрации, объект групповой политики«Права для группы отладчиков»связан с пятью группами. Если вы выберите любую группу и нажмете на кнопку«Дополнительно», то сможете просмотреть разрешения для выбранной группы. В диалоговом окне«Параметры безопасности %Имя группы%»вы можете указать разрешения для каждой группы, включая группуСОЗДАТЕЛЬ-ВЛАДЕЛЕЦ, которая не отображена на вкладке«Делегирование». Для того чтобы разрешить или запретить указанное разрешение для выбранной группы – установите флажок в нужном для вас столбце.
Рис. 24. Делегирование для объекта групповой политикой
Например, выбрав группу «Администраторы домена», вы можете обратить внимание на то, что помимо стандартного набора разрешений, для нее ее применяются «Особые разрешения». Чтобы узнать за что отвечают эти разрешения нажмите на кнопку «Дополнительно», в диалоговом окне «Дополнительные параметры безопасности» выберите еще раз эту группу и нажмите на кнопку «Изменить».
В диалоговом окне «Элемент разрешения» вы можете просмотреть все разрешения для объектов и свойств данной группы.
Рис. 25. Диалоговое окно «Элементы разрешения» для группы «Администраторы домена»
Также на вкладке «Делегирование» вы можете добавить новую группу или удалить существующую.
Делегирование разрешений для подразделений и доменов
Перейдя на вкладку «Делегирование» для подразделения или домена, вы сможете управлять разрешениями для связанных с данным контейнером объектов GPO, анализа моделирования групповых политик, а также для чтения результирующих данных групповой политики. Для того чтобы выбрать область разрешений, выберите контейнер, перейдите на вкладку «Делегирование» и в раскрывающемся списке «Разрешение», выберите необходимую область разрешений.
Анализ моделирования групповой политики. При помощи разрешений для этой области вы можете указать разрешения для групп, которые имеют отношение к использованию функционала «Моделирование групповой политики».
Рис. 26. Делегирование для анализа моделирования групповой политикой
Также как и с объектами групповой политики, вы можете добавлять новые группы, удалять существующие, а также просматривать и изменять любые разрешения для групп по нажатию на кнопку «Дополнительно». Необходимо учесть, что вы не можете делегировать разрешение на выполнение анализа групповой политики сайту. Об использовании мастера моделирования групповой политики вы узнаете в одной из следующих статей.
Связанные объекты GPO. Эта область разрешений предназначена для указания полномочий, которые распространяются на связанные объекты групповой политики. Здесь вы можете выполнять такие же действия, как в предыдущих случая, но нужно учесть тот факт, что у вас не получится удалить группы и пользователей, наследующих разрешения родительских контейнеров.
Чтение результирующих данных групповой политики. Сам по себе, функционал результирующей групповой политики (RSoP) предоставляет результат применения объектов GPO пользователю или компьютеру с учетом связей GPO, исключений, а также фильтров безопасности и WMI. Данный объект разрешений позволяет настроить разрешения для групп, имеющих доступ на использование данного функционала.
Создание стартового объекта групповой политики
По сути, создание объектов не сложнее создания обычного объекта GPO и они создаются тоже непосредственно из оснастки «Управление групповой политикой». Перед тем как вы начнете создавать начальные объекты групповых политик, вам нужно создать папку стартовых объектов GPO. Для этого сделайте следующее:
В дереве консоли выберите узел «Начальные объекты групповой политики» и в области сведений нажмите на кнопку «Создать папку стартовых GPO»;
Рис. 27. Создание папки стартовых объектов групповой политики
По нажатию на эту кнопку будет создано восемь начальных объектов групповой политики: четыре объекта для Windows XP и четыре для Windows Vista, которые предназначены только для чтения, и представляют основу для параметров определенного сценария. Эти объекты содержат параметры для компьютеров и пользователей с рекомендуемыми параметрами для среды клиентских компьютеров на предприятии (Enterprise Client – EC) и для клиентской среды с особыми параметрами безопасности и ограниченной функциональности (Specialized Security — Limited Functionality – SSLF). Системные начальные объекты групповой политики вы можете увидеть на следующей иллюстрации:
Для того чтобы просмотреть параметры системного начального объекта GPO, вам нужно в узле начальных объектов групповой политики дерева консоли выбрать любой объект и перейти на вкладку «Параметры». Эти параметры вы можете просмотреть ниже:
Рис. 29. Параметры системных начальных объектов групповой политики
Одних лишь настроек предустановленных начальных объектов групповой политики может быть недостаточно для ваших потребностей. В отличие от системных начальных объектов GPO, начальные объекты групповой политики, созданные вами, подвластны внесению изменений. Для того чтобы создать начальный объект групповой политики, вам предстоит выполнить следующие действия:
В дереве консоли выберите узел «Начальные объекты групповой политики» и выберите команду создания стартового объекта GPO одним из следующих способов:
Нажмите правой кнопкой мыши на узле «Начальные объекты групповой политики» и из контекстного меню выберите команду «Создать»;
Нажмите правой кнопкой на панели сведений и из контекстного меню выберите команду «Создать»;
Если у вас отображается панель действий, то перейдите на ней по ссылке «Создать»;
В меню «Действие» выберите команду «Создать».
В диалоговом окне «Новый стартовый объект групповой политики», в поле «Имя» введите название вашего начального объекта GPO, а в поле «Комментарий», при необходимости, укажите подробное описание для вашего начального объекта групповой политики и нажмите на кнопку «ОК»;
Рис. 30. Создание начального объекта групповой политики
После того как вы нажмете на кнопку «ОК», новый начальный объект групповой политики будет добавлен в область сведений данного узла. Как видно со следующей иллюстрации, значок созданного вами начального объекта GPO отличается от системного;
Рис. 31. Начальные объекты групповой политики в области сведений
Новый начальный объект групповой политики создается без каких-либо настроек параметров политик. Для того чтобы указать параметры политик, выберите пользовательский начальный объект групповой политики, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Изменить». В открывшейся оснастке «Редактор стартового GPO групповой политики» вы можете указать параметры групповой политики. При помощи этой оснастки, вы можете настраивать только административные шаблоны конфигурации компьютера или конфигурации пользователя;
По окончанию внесения изменений в административные шаблоны вашего начального объекта GPO закройте оснастку.
Экспорт и импорт начальных объектов групповой политики
Оснастка «Управление групповой политикой» обеспечивает не только создание новых объектов групповых политик из начальных объектов GPO, а еще и превосходный механизм архивации и восстановления начальных объектов GPO. Помимо архивации и восстановления из архива, подобно обычным объектам групповой политики средствами соответствующих команд из контекстного меню (об архивации и восстановлении групповых политик я расскажу подробно в одной из следующих статей), вы можете архивировать и развертывать начальные объекты GPO в CAB-архивы. Такие архивы помогают вам как ИТ-администраторам развертывать существующие начальные объекты групповой политики в окружении, отличающемся от вашей интрасети. Для того чтобы сохранить ваш начальный объект групповой политики как CAB-архив, выполните следующие действия:
В дереве консоли перейдите к узлу «Начальные объекты групповой политики» и в области сведений выделите сохраняемый начальный объект GPO;
Нажмите на кнопку «Сохранить как CAB-файл», как показано на следующей иллюстрации:
Рис. 33. Сохранение начального объекта GPO в CAB-архив
В открывшемся диалоговом окне «Сохранить начальный объект групповой политики в виде CAB-файла» выберите папку, в которую будет сохранен файл, в текстовом поле «Имя файла» введите имя будущего архива и нажмите на кнопку «Сохранить»;
Созданный вами архив будет содержать такие элементы, как: настройки административных шаблонов конфигурации компьютера и пользователя, название и тип начального объекта GPO, сохранённый отчет параметров политик, имя автора, комментарии и прочую информацию.
Сохраненный ранее начальный объект групповой политики при помощи оснастки «Управление групповой политикой» вы можете также просто загрузить на любой домен. Для загрузки начального объекта GPO, вам нужно сделать следующее:
В дереве консоли перейдите к узлу «Начальные объекты групповой политики» и нажмите на кнопку «Загрузить CAB-файл»;
В диалоговом окне «Загрузить начальный объект групповой политики» нажмите на кнопку «Поиск CAB-файла»;
Найдите CAB-файл с нужным начальным объектом GPO в диалоговом окне «Загрузить начальный объект групповой политики» и нажмите на кнопку «Открыть»;
В диалоговом окне загрузки начального объекта GPO вы можете ознакомиться с информацией об открытом архиве. Здесь вы можете увидеть имя начального объекта групповой политики, его GUID, а также просмотреть все настройки загружаемого CAB-файла. Для этого в поле «Сравнение версий» выделите источник «CAB-файл начального объекта групповой политики» и нажмите на кнопку «Просмотреть параметры». В браузере, установленном по умолчанию, откроется удобный для чтения отчет со всеми изменениями политик. Диалоговое окно загрузки начального объекта GPO отображено ниже:
Рис. 34. Диалоговое окно «Загрузить начальный объект групповой политики»
По окончанию просмотра изменений и проверки загружаемого объекта нажмите на кнопку «ОК». Если у вас уже существует начальный объект групповой политики с полностью совпадающим названием, в отобразившемся диалоговом окне вам нужно будет решить, стоит ли перезаписывать существующий файл.
Создание объектов групповой политики на основании начальных объектов групповой политики и сохранение отчетов
Все действия, которые были подробно описаны выше, являются предварительной частью для выполнения назначения основного функционала этого компонента – создания объектов групповой политики на основании начальных объектов GPO. Созданный объект GPO из начального объекта групповой политики, позволит вам минимизировать время, которые вы затратили бы на определение параметров политик административных шаблонов. После того как у вас будут настроены начальные объекты GPO, вы можете создать на их основе новый объект из узла «Объекты групповой политики», из узлов с названием подразделений или, непосредственно, из узла«Начальные объекты групповой политики».
Для того чтобы создать новый объект групповой политики, основанный на начальном объекте GPO из узла «Начальные объекты групповой политики», вам нужно выполнить следующие действия:
В оснастке «Управление групповой политикой» перейти к узлу «Начальные объекты групповой политики»;
Выделить нужный для вас начальный объект GPO, нажать на нем правой кнопкой мыши и из контекстного меню выбрать команду «Создать объект групповой политики из стартового объекта групповой политики»;
В диалоговом окне «Новый объект групповой политики», в поле «Имя», введите название нового объекта, например: «Объект на основании начального объекта GPO» и нажмите на кнопку «ОК». Как видно на следующей иллюстрации, в этом случае раскрывающийся список «Исходный объект групповой политики» не активен;
Рис. 35. Создание нового объекта GPO из узла «Начальные объекты групповой политики»
Если вы не хотите создавать новые объекты групповой политики из этого узла, то при создании нового объекта групповой политики, удобным способом вам нужно будет выбрать начальный объект групповой политики из раскрывающегося списка «Исходный объект групповой политики». По нажатию на кнопку «ОК», у созданного вами объекта групповой политики будут настроены все параметры политик, которые вы указали в начальном объекте GPO.
Рис. 36. Выбор исходного объекта групповой политики
Функционал оснастки «Управление групповой политикой» позволяет вам экспортировать отчеты начальных объектов групповых политик для последующего изучения требований к защищаемой информации, охраняемых объектов и управлением рисками. Для того чтобы распечатать отчет, вам нужно выделить начальный объект групповой политики, перейти на вкладку «Параметры» и из контекстного меню выбрать команду «Печать». В диалоговом окне «Печать» выберите принтер и распечатайте отчет. Помимо этого, вы можете экспортировать отчет в HTML формат. Для этого выберите команду «Сохранить отчет» из контекстного меню начального объекта групповой политики в дереве консоли, из контекстного меню выбранного объекта на вкладке «Содержимое» узла «Начальные объекты групповой политики» или из контекстного меню области сведений на вкладке «Параметры» начального объекта групповой политики. В диалоговом окне «Сохранение отчета начального объекта групповой политики» выберите папку, введите название отчета и нажмите на кнопку«Сохранить». Полученный отчет отображен на следующей иллюстрации:
Рис. 37. Отчет начального объекта групповой политики
Использование моделирования групповой политики
Для того чтобы вы могли использовать функционал моделирования групповой политики, у вас должны быть разрешения на создание результирующих политик в домене или в том подразделении, для которого вам нужно выполнить соответствующий запрос. Также для использования данного компонента оснастки «Управление групповой политикой» необходимо, чтобы контроллер домена был не ниже Windows Server 2003.
Создание сценария моделирования групповой политики
Для выполнения сценария моделирования вам нужно воспользоваться мастером моделирования групповой политики. Открыть диалоговое окно «Мастер моделирования групповой политики» вы можете одним из следующих способов:
Откройте оснастку «Active Directory – пользователи и компьютеры» и в дереве консоли выделите подразделение, для которого вы хотите смоделировать результирующий набор политик. Нажмите правой кнопкой мыши на подразделении, для которого будете проводить моделирование и из контекстного меню выберите команду «Все задачи», а затем выберите «Результирующая политика (Планирование)…». Используя данный метод, мастер сразу откроется на шаге «Выбор компьютера и пользователя»;
Рис. 38. Открытие мастера моделирования групповой политики из оснастки «Active Directory – пользователи и компьютеры»
Откройте оснастку «Управление групповой политикой» и в дереве консоли перейдите к узлу «Моделирование групповой политики». Выделив данный узел, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Мастер моделирования групповой политики…».
После того как вы откроете диалоговое окно «Мастер моделирования групповой политики», для создания результирующего набора, выполните следующие действия:
На первом шаге приветствия прочитайте краткое описание данного компонента и нажмите на кнопку «Далее»;
На странице «Выбор контроллера домена» вам нужно выбрать контроллер домена, на который будет распространяться создаваемый набор моделирования. Устанавливать переключатель на опцию «Любой доступный контроллер домена с ОС Windows Server 2003 и выше» лучше в том случае, если в вашей организации развернут только один домен. Если в вашем распоряжении более одного домена, установите переключатель на опцию «Указанный контроллер домена» и выберите из списка нужный вам контроллер домена. После того как вы сделаете свой выбор, нажмите на кнопку «Далее»;
Рис. 39. Страница выбора контроллера домена мастера моделирования групповой политики
На следующем шаге вам нужно выбрать компьютер и пользователя, для которого будет произведено моделирование групповых политик. На этом этапе вы можете выбрать информацию как для обоих типов объектов (указать пользователя и его компьютер), так и только для одного объекта. Как в группе «Сведения о пользователе», так и в группе «Сведения о компьютере» вы можете выбрать помимо основного назначения (пользователя или компьютера) контейнер. Помимо этого, если для вашего сценария достаточно указать только пользователя или компьютер, вы можете сразу перейти к последнему шагу, установив флажок «Перейти к последней странице, не собирая дополнительных данных»;
Рис. 40. Выбор пользователя или компьютера
На странице «Дополнительные параметры эмуляции» вы можете настроить такие параметры, как эмуляция применения политики при медленных соединениях, что удобно в случае с филиалами, а также обработку петлевого адреса. Петлевым адресом называется метод цифровых потоков данных от их источника и обратно к тому же источнику без специальной обработки или модификаций. Помимо этого вы можете указать сайт, в котором будут эмулироваться политики;
Рис. 41. Настройка дополнительных параметров эмуляции
На следующем шаге, странице «Альтернативные пути Active Directory» вам нужно указать будущее расположение пользователя и компьютера в домене. Вы можете ввести путь вручную, используя синтаксис LDAP или нажать на кнопку «Обзор» и выбрать новое расположение из диалогового окна «Выбор контейнера…»;
Рис. 42. Настройка альтернативных путей Active Directory
На следующих двух страницах – «Группы безопасности пользователя» и «Группы безопасности компьютера» укажите те группы безопасности, членом которых являются пользователь и компьютер, для которого выполняется данный сценарий. При помощи кнопок «Добавить» и «Удалить» вы можете сэмулировать изменение групп безопасности, членом которых будет выступать целевой пользователь и его компьютер. На следующей иллюстрации изображена страница «Группы безопасности пользователя» с новой для данного пользователя группой:
Рис. 43. Изменение группы безопасности пользователя для эмуляции
На страницах «Фильтры WMI для пользователей» и «Фильтры WMI для компьютеров» вы можете указать фильтры, которые будут привязаны к объектам групповых политик, и применяться только к тем пользователям и компьютерам, которые будут соответствовать его критерию. Вы можете указать определенные фильтры, установив переключатель на «Только следующие фильтры», нажав на кнопку«Перечислить фильтры» и удалить те фильтры, которые не соответствуют вашим потребностям;
Рис. 44. Изменение фильтров WMI для пользователя, указанного в сценарии
На предпоследнем шаге – странице «Сводка выбранных параметров» вы можете просмотреть все настройки моделирования и при необходимости нажать на кнопку «Назад» и изменить несоответствующие параметры;
Рис. 45. Сводка указанных ранее параметров
Страница «Завершение мастера моделирования групповой политики» свидетельствует о завершении моделирования. Нажмите на кнопку «Готово».
Рис. 46. Завершающая страница мастера моделирования групповой политики
Анализ созданного сценария моделирования групповой политики
После того как будет создан сценарий моделирования, в узле «Моделирование групповой политики» дерева консоли появится новая групповая политика. Информацию о вашем запросе политики моделирования вы можете просматривать на панели сведений оснастки «Управление групповой политикой» при помощи трех существующих вкладок, которые подробно описаны в следующих подразделах.
Вкладка «Сводка»
При помощи этой вкладки вы можете ознакомиться со сводными данными результирующей политики для конфигурации пользователя и конфигурации компьютера. Как для конфигурации пользователя, так и для конфигурации компьютера вы можете просмотреть следующие сводные данные:
Общие данные, которые включают в себя имя компьютера, его расположение в домене, а также домен, сайт и прочие данные которые собираются при формировании результирующей политики;
Список групповых политик, которые применяются или отклоняются для всего домена, подразделения или индивидуально для пользователя или компьютера;
Имитация членства в группе безопасности для пользователя или компьютера, которая отображает все группы, членом которых является данный объект;
Список WMI фильтров, которые связаны с групповой политикой и будут включены в конечный запрос;
Состояние компьютера, где вы сможете узнать, насколько удачно будет применена инфраструктура групповой политики, политик безопасности и изменения в системном реестре.
На следующей иллюстрации вы увидите информацию, которая отображена на вкладке «Сводка» с данными по конфигурации компьютера:
На вкладке «Параметры» отображается отчет со всеми политиками, которые в итоге будут применены к объекту, над которым на данный момент проводится анализ. Данный отчет по своей структуре ничем не отличается от уже известных вам отчетов обычных и начальных объектов групповых политик. На следующей иллюстрации вы можете увидеть данную вкладку:
Рис. 48. Вкладка «Параметры» политики моделирования
Вкладка «Запрос»
На этой вкладке вы можете просмотреть параметры запроса, которые вы использовали для формирования данного отчета при помощи «Мастера моделирования групповой политики». Эта вкладка содержит такие данные, как последнее время выполнения данного запроса, fqdn контроллера домена, на котором выполнялась эта эмуляция, данные о пользователе и компьютере, над которыми производится анализ, а также все остальные параметры, которые использовались при создании запроса. На следующей иллюстрации отображена данная вкладка:
Дополнительные возможности компонента моделирования групповых политик
Стоит отметить, что после закрытия и повторного открытия оснастки «Управление групповой политикой» отчет будет недоступен. Для того чтобы снова вы смогли просмотреть созданный ранее отчет моделирования групповой политики вам нужно повторить запрос. Чтобы это сделать, вам нужно в дереве консоли найти созданную ранее политику моделирования, нажать на ней правой кнопкой мыши и из контекстного меню выбрать команду «Повторить запрос», как показано ниже:
Рис. 50. Повтор созданного ранее запроса моделирования групповой политики
Если вам нужно создать запрос, который по своей структуре будет похож на запрос, который вы уже создавали ранее, вы можете из контекстного меню существующего запроса выбрать команду «Создать новый запрос из существующего». Эту команды вы также можете выбрать из меню «Действие». При выборе этой команды будет открыто диалоговое окно «Мастер моделирования групповой политики», в котором на каждом шаге будут присутствовать данные из существующего запроса.
Для того чтобы постоянно не формировать отчеты при открытии оснастки «Управление групповой политикой», вы можете сохранить существующий отчет в HTML или XML формате. Для этого выделите отчет, который вам нужно сохранить и из контекстного меню выберите команду «Сохранить отчет». В открывшемся диалоговом окне «Сохранение отчета объекта групповой политики» выберите папку для сохранения отчета, введите его название и укажите тип файла. Сохраненный отчет будет выглядеть следующим образом:
Функционал клиентских и серверных операционных систем Windows позволяет вам управлять компонентом RSoP для настройки групповой политики в организации и генерировать отчеты при помощи следующих средств:
Оснастка «Результирующая политика». Данная оснастка применяется для создания подробных отчетов о применяемых параметрах политики в двух режимах: режим журналирования и режим планирования, с понятиями которых вы уже ознакомились выше. Именно об этой оснастке и пойдет речь в последующих разделах данной статьи;
Мастер результатов групповой политики. Компонент оснастки «Управление групповой политикой», предназначен для того, чтобы точно определять параметры применяемой к пользователю или компьютеру политики и причины их применения. О данной оснастке вы также узнаете из данной статьи;
Утилита командной строки Gpresult. Утилита командной строки, которая предназначена для получения таких подробных сведений, как данные, предоставляемые в режиме входа RSoP, запросто экспортируемых в текстовый файл для дальнейшего анализа. О применении текущей утилиты вы узнаете в конце текущей статьи.
Использование оснастки «Результирующая политика»
Преимущество использования оснастки «Результирующая политика» заключается в том, что анализировать применение групповых политик при помощи данной оснастки вы можете как в доменной среде, так и находясь в рабочей группе. Соответственно, результат применения объектов групповых политик к пользователю или компьютеру можно просматривать как в серверной операционной системе, так и в клиентской ОС. В этом разделе вы узнаете о применении данной оснастки, а также о сохранении, изменении и обновлении запроса результирующей политики.
Открытие оснастки «Результирующая политика»
Открыть оснастку «Результирующая политика» вы можете одним из следующих способов:
Откройте «Консоль управления MMC». Для этого нажмите на кнопку «Пуск», в поле поиска введите mmc, а затем нажмите на кнопку «Enter». Откроется пустая консоль MMC. В меню «Консоль» выберите команду «Добавить или удалить оснастку» или воспользуйтесь комбинацией клавиш Ctrl+M. В диалоге «Добавление и удаление оснасток» выберите оснастку «Результирующая политика» и нажмите на кнопку «Добавить», а затем нажмите на кнопку «ОК»;
Воспользуйтесь комбинацией клавиш +R для открытия диалога «Выполнить». В диалоговом окне «Выполнить», в поле «Открыть» введите rsop.msc и нажмите на кнопку «ОК». Вместе с этой командой вы можете использовать такие параметры, как /RsopNamespace для указания пространства имен и /RsopTargetComp, предназначенной для указания конечного компьютера.
Если вы открываете оснастку RSoP вторым способом, то функционал результирующей политики обработает данные, согласно параметрам, которые были указаны в диалоговом окне «Выполнить». На следующей иллюстрации вы можете увидеть диалоговое окно обработки данных RSoP:
Рис. 52. Диалоговое окно «Обработка результирующей политики (RSoP)»
Генерирование отчета журналирования RSoP
В предыдущем разделе я говорил о том, что предоставление информации о результатах параметров групповых политик, которые применяются к существующим пользователям или компьютерам называется режимом журналирования RSoP. В этом разделе рассказывается о том, как можно сгенерировать отчет журналирования результирующей политики. В основном данный режим RSoP используется для выявления параметров политики, применяемых для указанного компьютера или пользователя, изучения неверных или измененных параметров политики, а также для просмотра того, как могут повлиять группы безопасности на параметры политики. Для того чтобы сгенерировать такой отчет, выполните действия, указанные в следующей процедуре:
Откройте мастер результирующей политики из открытой оснастки «Результирующая политика». Для этого выполните одно из следующих действий:
В дереве консоли нажмите правой кнопкой мыши на узле «Результирующая политика» и из контекстного меню выберите команду «Создать данные RSoP»;
Если у вас отображается панель действий, то перейдите на ней по ссылке «Дополнительные действия», а затем выберите команду «Создать данные RSoP»;
В меню «Действие» выберите команду «Создать данные RSoP».
На первом шаге приветствия прочитайте краткое описание данного компонента и нажмите на кнопку «Далее»;
На странице «Выбор режима» вам предлагают выбрать, для какого режима вы будете генерировать отчет RSoP. Так как в данном примере мы генерируем режим журналирования (или, иначе говоря, входа), установите переключатель на опцию «Режим входа» и нажмите на кнопку «Далее». Необходимо обратить внимание на то, что если ваш компьютер не входит в состав домена Active Directory, у вас не получится установить переключатель на опцию «Режим планирования», то есть воспользоваться функционалом моделирования групповой политики;
Рис. 54. Страница «Выбор режима» мастера результирующей политики
На следующем шаге, странице «Выбор компьютера» вам нужно будет выбрать компьютер, для которого будет генерироваться отчет результирующей политики. Вы можете указать локальный компьютер или можете выбрать любой компьютер вашей сети, воспользовавшись стандартным диалоговым окном «Выбор компьютера», вызываемым нажатием на кнопку «Обзор». Если вы не хотите, чтобы в отчете отображались параметры политик компьютера, установите на данной странице флажок «Не отображать параметры политики для выбранного компьютера». После того как будут внесены все необходимые данные, нажмите на кнопку «Далее»;
Рис. 55. Страница «Выбор компьютера» мастера результирующей политики
На странице «Выбор пользователя» выберите пользователя, для которого генерируется данный отчет. Вы можете выбрать текущего пользователя, под которым вы вошли в систему на данный момент или выбрать любого существующего пользователя из предоставленного списка, установив переключатель на опцию «Другого пользователя» и выбрать учетную запись из предоставленного системой списка. Также как и на предыдущей странице, вы можете отказаться от отображения параметров политики пользователя на данном шаге. Для этого просто установите переключатель на соответствующую опцию. После того как вы выберите пользователя нажмите на кнопку «Далее»;
Рис. 56. Страница «Выбор пользователя» мастера результирующей политики
На предпоследнем шаге – странице «Сводка выбранных параметров» вы можете просмотреть все настройки генерируемого отчета результирующей политики и при необходимости нажать на кнопку «Назад», чтобы изменить несоответствующие параметры. Флажок «Сбор расширенных сведений об ошибке» данной страницы предназначен для отображения всех событий в журнале приложения на указанном ранее компьютере. Данный параметр имеет особую ценность, так как он позволяет получить сведения об ошибках на клиентских компьютерах, где вероятность возникновения ошибок больше. Недостатком применения данного параметра является то, что скорость обработки отчета в это время значительно снижается;
Рис. 57. Сводка указанных ранее параметров результирующей политики
Страница «Завершение мастера результирующей политики» свидетельствует о завершении генерирования RSoP отчета. Нажмите на кнопку «Готово».
Рис. 58. Завершающая страница мастера результирующей политики
В рамках данной статьи генерирование отчетов режима планирования групповых политик рассматриваться не будет, так как моделирование групповой политики было подробно рассмотрено в предыдущей статье данного цикла.
Анализ отчета и выполнение дополнительных действий
После того как отчет будет сгенерирован, вы увидите, что в оснастке «Результирующая политика» будут отображаться все параметры политик, которые могли быть настроены для указанного вами компьютера и пользователя. В области сведений данной оснастки, в узлах «Конфигурация компьютера» и «Конфигурация пользователя» отображаются конфигурация программ, конфигурация Windows, а также дополнительные параметры системного реестра. Если вы открыли данную оснастку, используя команду rsop.msc без параметров, то для вас будет открыта оснастка результирующей политики с параметрами политики локального компьютера и локального пользователя.
В узле конфигурации программ, в области сведений вы можете проанализировать результаты RSoP, которые относятся к настройке программ. В узле «Конфигурация Windows» вы можете анализировать такие параметры политики, как: сценарии, параметры безопасности, где отображаются абсолютно все политики безопасности, которые вы даже не сможете найти в оснастке «Редактирование групповых политик» на клиентском компьютере. Помимо этого, открыв любую политику безопасности, вы не сможете изменить ее параметры, но для вас будет доступна новая вкладка под названием «Приоритет», в которой вы можете увидеть, какие объекты групповой политики влияют на данный параметр, в порядке от новых к старым. Также вы можете просмотреть политики веб-браузера Internet Explorer и настройки административных шаблонов, причем для административных шаблонов в области сведений будет отображаться новый столбец «Имя объекта групповой политики», в котором указывается название объекта групповой политики.
Рис. 59. Административные шаблоны результирующей политики
Дополнительные параметры реестра представляют собой набор параметров реестра, связанных с политикой, не имеющие связанного административного шаблона. Поскольку связь с административным шаблоном отсутствует, в объяснении параметра указываются только раздел реестра и объект групповой политики, задающий этот раздел.
При необходимости вы можете изменить набор параметров, отвечающих за содержимое вашего отчета RSoP. Для этого вам нужно в дереве консоли нажать правой кнопкой мыши на узле «%Имя_пользователя% на %имя_компьютера% - результирующая политика» и из контекстного меню выбрать команду «Изменить запрос». При выборе данной команды откроется мастер создания результирующей политики на странице «Выбор компьютера». Далее вам нужно выполнить действия, указанные в предыдущем разделе, начиная с пункта 4.
Может произойти такая ситуация, когда во время анализа вам нужно будет изменить один или несколько объектов групповой политики, которые распространяются на компьютер или пользователя, для которого проводится анализ результирующей групповой политики. В этом случае вам необходимо обновить политику RSoP на том компьютере, на котором в данный момент запущен отчет результирующей политики режима журналирования. Для того чтобы обновить отчет, нажмите правой кнопкой мыши на узле «%Имя_пользователя% на %имя_компьютера% - результирующая политика» и из контекстного меню выберите команду «Обновление запросов». Откроется диалоговое окно «Обработка результирующей политики RSoP» и через несколько минут ваш отчет будет обновлен.
Рис. 60. Обновление запросов результирующей политики
Помимо всех вышеперечисленных действий, вы можете сохранить оснастку с данными сгенерированного отчета для дальнейшего изучения и анализа. По умолчанию, при сохранении оснастки данные, которые были вами сгенерированы не сохраняются. Для того чтобы их сохранить, выполните следующие действия:
В меню «Вид» выберите команду «Архивировать данные в файле консоли»;
Перейдите в меню «Файл» и выберите команду «Сохранить»;
В диалоговом окне «Сохранить как» задайте имя и выберите папку, где будет сохранена ваша оснастка со всеми данными и нажмите на кнопку «Сохранить»;
Мастер результатов групповой политики
В серверной операционной системе Windows Server 2008/2008 R2 для анализа общего результата применения объектов групповых политик и параметров политик к компьютеру или пользователю организации вы можете воспользоваться «Мастером результатов групповой политики», который включен в оснастку «Управление групповой политикой». Помимо оснастки управления групповой политикой вы можете вызывать «Мастер результатов групповой политики» непосредственно из оснастки «Active Directory — пользователи и компьютеры» или оснастки «Active Directory — сайты и службы», о чем вы узнаете из процедур, описанных в данной статье. Как уже говорилось в предыдущей части статьи, результирующая политика использует базу данных CIMOM через инструментарий управления Windows (WMI) и при входе компьютера в сеть, в базу данных CIMOM записываются различные сведения. Но в отличие от базы данных CIMOM службы Active Directory сохраняют объекты вне зависимости от состояния компьютера или пользователя. Для хранения параметров в групповой политике используются объекты групповой политики непосредственно из Active Directory.
Генерирование отчета результирующей политики с помощью функционала «Мастер результатов групповой политики»
Перед выполнением отчета вам следует убедиться, что вы обладаете достаточным количеством прав для выполнения отчета на локальном или удаленном компьютере, на конечном компьютере установлена операционная система не ниже Windows XP, открыты порты 135 и 445, предназначенные для доступа к WMI. Помимо этого необходимо, чтобы служба WMI была запущена, а также пользователь, для которого выполняется анализ, как минимум один раз выполнял вход в систему. Для того чтобы сгенерировать отчет результирующей политики, выполните следующие действия:
В дереве консоли нажмите правой кнопкой мыши на узле «Результаты групповой политики» и из контекстного меню выберите команду «Мастер результатов групповой политики…», как показано на следующей иллюстрации:
Рис. 61. Открытие компонента «Мастер результатов групповой политики»
На первом шаге приветствия прочитайте краткое описание данного компонента и нажмите на кнопку «Далее»;
На странице «Выбор компьютера», так же, как и в оснастке rsop.msc вам предстоит выбрать компьютер, для которого будет генерироваться отчет результирующей политики. Для того чтобы указать удаленный компьютер, установите переключатель на «Другой компьютер», нажмите на кнопку «Обзор» и выберите искомый компьютер, используя функционал диалогового окна «Выбор компьютера». Если вы не хотите, чтобы в получившемся отчете отображались результаты параметров политики компьютера, установите флажок «Не отображать параметры политики для выбранного компьютера». По окончанию выбора компьютера нажмите на кнопку «Далее»;
Рис. 62. Страница «Выбор компьютера» мастера результатов групповой политики
На следующей странице, странице «Выбор пользователя» вы можете указать пользователя, который находится на выбранном вами компьютере, для которого и будет генерироваться данный отчет. Также как и на предыдущем шаге, вы можете не отображать в получившемся отчете параметры политики пользователя, установив переключатель на соответствующую опцию. После выбора действий на данной странице нажмите на кнопку «Далее»;
Рис. 63. Страница «Выбор пользователя» мастера результатов групповой политики
Страница «Сводка выбранных параметров» предназначена для того чтобы вы могли перепроверить все выбранные параметры для отчета результирующей групповой политики. Если вы по ошибке не выбрали какой-то параметр, вы всегда можете вернуться на соответствующую страницу, нажав на кнопку «Назад»;
Рис. 64. Страница «Сводка выбранных параметров» мастера результатов групповой политики
Последняя страница мастера, страница «Завершение мастера результатов групповой политики» говорит о том, что выполнение отчета было успешно завершено. Теперь для того чтобы просмотреть получившийся отчет результирующей групповой политики вам нужно только нажать на кнопку «Готово».
Рис. 65. Завершающий этап создания результирующей групповой политики
Анализ сгенерированного отчета результирующей групповой политики
После выполнения отчета, мастер выведет подробный отчет результирующей групповой политики в формате HTML. Также как и во всех отчетах оснастки «Управление групповой политикой», в случае с включенной конфигурацией усиленной безопасности браузера Internet Explorer, вам будет предложено разрешить консоли отображать все динамическое содержимое отчета. Помимо этого вы можете развернуть или свернуть любую секцию полученного отчета, нажав на ссылки «Показать» или «Скрыть». Отчет результатов групповой политики содержит три вкладки с данными обработки объектов групповой политики.
Вкладка «Сводка». На этой вкладке отображается состояние обработки групповой политики в последнем обновлении, а также сводные данные результирующей политики для конфигурации пользователя и конфигурации компьютера. Как для конфигурации пользователя, так и для конфигурации компьютера вы можете просмотреть следующие сводные данные:
Общие данные, где вы можете узнать об имени компьютера, его расположении в домене, а также домен, сайт и прочие данные которые собираются при формировании результирующей политики;
Объекты групповой политики, которые применяются или отклоняются для всего домена, подразделения или индивидуально для пользователя или компьютера;
Имитация членства в группе безопасности для пользователя или компьютера, которая отображает все группы, членом которых является данный объект;
Список WMI фильтров, которые связаны с групповой политикой и будут включены в конечный запрос;
Состояние компьютера, где вы сможете узнать, насколько удачно будет применена инфраструктура групповой политики, политик безопасности и изменения в системном реестре.
Вкладка «Сводка» отображена на следующей иллюстрации:
Рис. 66. Вкладка «Сводка» отчета результирующей групповой политики
Вкладка «Параметры». На этой вкладке вы можете увидеть результирующий набор параметров групповой политики, которые применяются к пользователю или компьютеру, для которых был сгенерирован данный отчет. Здесь указаны абсолютно все действия, которые на данный момент применяются в результате реализации групповой политики. Несмотря на то, что данный отчет максимально подробный, некоторые параметры, такие как параметры дисковых квот и беспроводных сетей отображаться не будут. Вкладку «Параметры» отчета результирующей групповой политики вы можете увидеть ниже:
Рис. 67. Вкладка «Параметры» отчета результирующей групповой политики
Вкладка «События политики». Данная вкладка среди всех отчетов является уникальной, и она отображается только для данного отчета. На ней отображены все события групповой политики из журналов событий компьютера, для которого выполнялся отчет результирующей групповой политики. При выполнении двойного щелчка на любом событии откроются его свойства, что позволяет подробно ознакомиться с выбранным событием в случае ошибки. Вкладку «События политики» вы можете увидеть на следующей иллюстрации:
Рис. 68. Вкладка «События политики» отчета результирующей групповой политики
Сохранение отчета результирующей групповой политики
После того как отчет результирующей групповой политики будет сформирован, вы можете сохранить существующий отчет в HTML или XML формате, с поддержкой динамического развертывания секция для дальнейшего изучения. Для этого выделите отчет, который вам нужно сохранить и из контекстного меню выберите команду «Сохранить отчет». В открывшемся диалоговом окне «Сохранение отчета объекта групповой политики»выберите папку для сохранения отчета, введите его название и укажите тип файла. Сохраненный отчет будет выглядеть следующим образом:
Рис. 69. Сохраненный отчет результирующей групповой политики
Генерирование отчета результирующей политики для домена, подразделения или сайта из оснастки «Active Directory – пользователи и компьютеры»
Как было указано выше, вы можете формировать отчеты результирующей групповой политики не только для пользователей или компьютеров вашей организации. При помощи оснастки «Active Directory – пользователи и компьютеры» вы можете составлять отчеты для подразделений и доменов своей организации. Для того, чтобы сгенерировать отчет результирующей групповой политики в режиме планирования для домена вашей организации, выполните следующие действия:
Откройте оснастку «Active Directory – пользователи и компьютеры»;
В дереве консоли данной оснастки выберите домен, для которого хотите сгенерировать RSoP отчет, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Все задачи», а затем команду«Результирующая политика (Планирование)…»;
Рис. 70. Открытие мастера результирующей политики из оснастки «Active Directory – пользователи и компьютеры»
На первой странице мастера выберите контейнер, для которого будет выполняться отчет. По умолчанию выбран тот домен или подразделение, для которого была выполнена команда из пункта 2 данной процедуры. При необходимости вы можете выбрать другой контейнер или указать пользователя и компьютер. Если для вашего сценария достаточно действий, которые можно указать на этой странице, вы можете сразу перейти к последнему шагу, установив флажок «Перейти к последней странице, не собирая дополнительных данных»;
Рис. 71. Выбор контейнера для выполнения отчета RSoP
На следующем шаге вы можете выбрать сайт, а также указать дополнительные параметры. Страница «Дополнительные параметры эмуляции» отображена ниже:
Рис. 72. Страница «Дополнительные параметры эмуляции» мастера
На страницах «Группы безопасности пользователя» и «Группы безопасности компьютера», вы можете указать группы безопасности, членом которых являются пользователь и компьютер, для которого выполняется данный сценарий;
Рис. 73. Страница «Группы безопасности пользователя» мастера
На следующих двух страницах вам предстоит выбрать WMI фильтры, которые могут быть привязаны к объектам групповой политики. Одна из таких страниц отображена ниже:
Рис. 74. Страница «Фильтры WMI для пользователей» мастера
На следующем шаге, странице «Сводка выбранных параметров» вы можете просмотреть все настройки генерируемого отчета. Данная страница отображена ниже:
Рис. 75. Страница «Сводка выбранных параметров» мастера
По завершении выполнения отчета вы увидите соответствующую страницу, и вам нужно будет только нажать на кнопку «Готово».
После выполнения указанных выше действий откроется оснастка «Результирующая политика», в которой вы можете просмотреть все параметры политики, а также исходные объекты GPO, которые будут выполняться для выбранного вами контейнера. Данная оснастка отображена на следующей иллюстрации:
Рис. 76. Оснастка «Результирующая политика» с отчетом RSoP
Помимо всех вышеперечисленных возможностей, вы также можете выполнять запрос результирующей групповой политики для указанного вами сайта. Для того чтобы сгенерировать такой отчет, вам нужно открыть оснастку«Active Directory – сайты и службы». Находясь в этой оснастке, в дереве консоли выберите сайт, для которого вам нужно сгенерировать отчет, нажмите на нем правой кнопкой мыши и в контекстном меню выберите команду «Все задачи», а затем команду «Результирующая политика (Планирование)…», как показано на следующей иллюстрации:
Рис. 77. Открытие мастера результирующей политики из оснастки «Active Directory – сайты и службы»
Для формирования отчета вам нужно выполнить все действия, указанные в предыдущей процедуре. Основным отличием является лишь то, что в данном способе формирования результирующей групповой политики невозможно изменить имя сайта в запросе RSoP. Это видно на следующей иллюстрации:
Рис. 78. Выбор сайта при формировании отчета RSoP из оснастки «Active Directory – сайты и службы»
Утилита командной строки Gpresult.exe
Утилита командной строки Gpresult.exe представляет собой средство, которое выводит на экран командной строки результирующую политику для пользователя или компьютера. Эта утилита обращается к тому же провайдеру WMI и генерирует такую же информацию, как и предыдущие утилиты, а также позволяет сохранять такие же графические отчеты. Помимо этого утилита командной строки Gpresult.exe, так же как и мастер результирующей групповой политики, позволяет извлекать подробную информацию о неполадках обработки и применения групповой политики. Стоит обратить внимание на то, что в отчетах анализа результирующей групповой политики могут указываться объекты групповой политики с некорректной областью действия или ошибками обработки, которые не позволяют применить параметры групповых политик. Данную утилиту вы можете использовать на всех операционных системах Windows, начиная с Windows XP. Синтаксис у этой команды следующий:
/S. Значением данного параметра выступает имя или IP-адрес удаленного компьютера. Если не указывать параметр /s или в качестве имени использовать символ точки, то анализ результирующей групповой политики будет выполняться на локальном компьютере.
/U. Если вы укажите этот параметр, то команда будет выполняться с разрешениями учетной записи локального пользователя или пользователя, расположенного в домене. Если данный параметр не будет задан, то команда будет выполняться с разрешениями текущего вошедшего пользователя компьютера, с которого выполняется данная команда.
/P. Значением этого параметра выступает пароль для учетной записи пользователя, который был задан при помощи команды /U.
/USER. Данный параметр указывает имя пользователя, для которого отображаются данные анализа результирующей групповой политики.
/SCOPE. Текущий параметр позволяет указать отображение анализа результирующей групповой политики для параметров пользователя или компьютера. Допустимыми значениями для параметра /scope являются значенияuser или computer. Например, если вы укажите значение user, то в полученном отчете будут отображаться только параметры групповой политики пользователя. Если пропустить данный параметр, то будет выполняться анализ RSoP как пользовательских, так и компьютерных параметров политики.
/R. Этот параметр отображает сводные данные результирующей групповой политики. При добавлении данного параметра никакие значения не требуются.
/V. При помощи этого параметра вы можете отобразить подробные сведения результирующей групповой политики с детальной информацией.
/Z. Данный параметр отображает максимально подробную информацию, в том числе сведения обо всех параметрах политики, применяемых к компьютеру или пользователю. Стоит обратить внимание на то, что параметры /R,/V и /Z одновременно использовать нельзя. Очень часто при использовании этого параметра отображается намного больше информации, чем при использовании параметра /V, поэтому для дальнейшего анализа желательно перенаправлять вывод команды в текстовый файл.
/X. Используя данный параметр вы можете сохранить получившийся отчет в формате XML в папке и с именем файла, который вы должны указать как значения для этого параметра. Стоит обратить внимание на то, что этот параметр доступен в операционных системах, начиная с Windows Vista и Windows Server 2008.
/H. Данный параметр позволяет сохранить отчет в формате HTML. Также как и с параметром /X, вам нужно указать расположение для файла и вы не можете использовать этот параметр в операционных системах Windows XP иWindows Server 2003. Также вы не можете применять оба параметра одновременно в одной команде.
/F. Текущий параметр отвечает за принудительную перезапись существующего файла в случае использования параметров /X или /H.
В этом примере сгенерируем отчет результирующей групповой политики с пользовательскими настройками для локального компьютера и экспортируем его в HTML-файл с именем result.html в корне диска D:
Рис. 79. Выполнение отчета результирующей групповой политики из командной строки
Архивация групповой политики
Как было указано выше, вы можете выполнять резервное копирование конкретных объектов групповых политик, а также контейнер «Объекты групповой политики». Помимо этого, вы можете архивировать начальные объекты групповой политики и фильтры WMI. К сожалению, такие внешние параметры самого объекта групповой политики, как фильтры WMI, ссылки на сайты, домены и подразделения, а также политики IPSec, считаются независимыми объектами Active Directory и не подлежат архивированию. Стоит обратить внимание на то, что для выполнения архивирования объекта групповой политики у вас должны быть права на разрешение чтения объекта GPO, а также разрешения на запись в папку, в которой будет располагаться резервная копия объекта групповой политики. Для того чтобы выполнить архивирование одного определенного объекта групповой политики, выполните следующие действия:
Откройте оснастку «Управление групповой политикой» и в ней, в дереве консоли, разверните контейнер «Объекты групповой политики»;
Выберите один объект групповой политики (в этом примере создается резервная копия объекта групповой политики Default Domain Controllers Policy), нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Архивировать». Если вы хотите заархивировать сразу все объекты групповой политики, которые расположены в контейнере «Объекты групповой политики» или «Начальные объекты групповой политики», нажмите правой кнопкой мыши на самом контейнере и выберите команду «Архивировать все»;
В обоих случаях откроется диалоговое окно «Архивация объекта групповой политики», которое вы можете увидеть на первой иллюстрации. В этом диалоговом окне, в поле «Расположение» введите путь к папке, в которой будут храниться резервные копии ваших объектов групповой политики, а в поле «Описание» - краткое описание, предназначенное для локализации заархивированного объекта GPO. Если вы уже выполняли резервное копирование объектов GPO, то при повторном открытии данного диалогового окна, в поле «Расположение», будет указана папка, в которую выполнялось архивирование в предыдущий раз. Поле «Описание» является опциональным, то есть вводить текст в данное поле не обязательно;
Рис. 80. Диалоговое окно «Архивация объекта групповой политики»
Для того чтобы начать процесс архивации, нажмите на кнопку «Архивировать». На следующей иллюстрации отображается также диалоговое окно «Архивация объекта групповой политики», но во время выполнения резервного копирования объекта GPO:
Рис. 81. Процесс архивации объектов GPO
После того как все объекты групповой политики будут заархивированы, нажмите на кнопку «ОК» для закрытия данного диалогового окна.
Восстановление объекта групповой политики
Во время изменения параметров политик объекта групповой политики вы можете совершить ошибку, и настройки пользовательских компьютеров могут измениться в худшую сторону. Помимо этого, у вас всегда есть шанс по ошибке удалить нужный, а, возможно, и критичный для вас объект групповой политики. Чтобы избежать большинства подобных проблем, оснастка «Управление групповой политикой» позволяет управлять и восстанавливать резервные копии объектов групповой политики. При помощи механизма восстановления объектов GPO, вы можете изменить как модифицированные, так и удаленные объекты групповой политики. Так как каждый объект групповой политики архивируется отдельно с номером версии, которая включает в себя отметку времени и описание архива, вы можете восстановить последнюю или любую из предыдущих версий указанного вами объекта групповой политики. Также как и в случае с архивацией, для восстановления объекта GPO у вас должны быть права на разрешение создание в домене объект GPO, а также разрешения на чтение папки, в которой располагается резервная копия объекта групповой политики. Для восстановления существующего объекта групповой политики, выполните следующие действия:
Откройте оснастку «Управление групповой политикой», где в дереве консоли разверните контейнер, в котором расположен объект групповой политики, который вам нужно восстановить;
Выделите объект групповой политики, который вам нужно восстановить, нажмите на нем правой кнопкой мыши и в открывшемся контекстном меню выберите команду «Восстановить из архива…»;
В отобразившемся диалоговом окне «Мастер восстановления объекта групповой политики», на первой странице мастера прочтите информацию о восстановлении объектов GPO из архивов и нажмите на кнопку«Далее»;
Рис. 82. Страница приветствия мастера восстановления объектов групповой политики
На странице «Расположение архива» укажите папку, в которой расположена архивная копия объекта групповой политики;
Рис. 83. Страница «Расположение архива» мастера восстановления объекта групповой политики
На странице «Исходный объект групповой политики», выберите объект групповой политики, который требуется восстановить. Если вы создавали несколько резервных копий объекта групповой политики, вы можете выбрать любую архивную копию, создаваемую ранее из списка «Архивированные объекты политики для восстановления». Если вы хотите просмотреть изменения в выбранной вами политике, нажмите на кнопку «Просмотреть параметры…»;
Рис. 84. Страница «Исходный объект групповой политики» мастера восстановления групповой политики
Нажмите на кнопку «Далее». На странице «Завершение мастера восстановления объектов групповой политики» просмотрите сводную информацию и нажмите на кнопку «Готово»;
Рис. 85. Страница завершения мастера восстановления объектов групповой политики
На следующем шаге откроется диалоговое окно «Восстановление», где по завершению процесса восстановления нажмите на кнопку «ОК»;
Рис. 86. Диалоговое окно «Восстановление»
Управление архивацией
Управления архивацией позволяет вам восстанавливать или удалять один или несколько объектов групповой политики. Для того чтобы воспользоваться механизмом управления архивации, выполните следующие действия:
В оснастке «Управление групповой политикой» выберите контейнер «Объекты групповой политики», нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Управление архивацией»;
В диалоговом окне «Управление архивацией», которое отображено на следующей иллюстрации, выберите удаленный объект групповой политики или тот объект GPO, который требуется восстановить, и нажмите на кнопку «Восстановить». Если у вас отображено сразу несколько объектов групповой политики, которые отличаются только по временной отметке, вы можете установить флажок «Показывать только последнюю версию каждого объекта групповой политики» для отображения последнего изменения для каждого присутствующего в архиве объекта GPO. Также вы можете удалить из архива несколько объектов групповых политик. Для этого, удерживая клавишу Ctrl, выделите сразу несколько объектов GPO и нажмите на кнопку «Удалить».
Для обеспечения быстрого способа миграции параметров групповой политики из одного домена в другой, в оснастке «Управление групповой политикой» предусмотрен функционал копирования объектов GPO. Для того чтобы у вас была возможность выполнения операций копирования объектов групповых политик, у вас должны быть права на разрешение чтения объекта GPO в исходном домене, а также разрешения на создание объекта групповой политики в конечном домене. Также вы можете создавать копии объектов групповой политики в том же домене, где и был скопирован исходных объект GPO. Для того чтобы выполнить копирование объектов GPO, выполните следующие действия:
Откройте оснастку «Управление групповой политикой», где в дереве консоли разверните контейнер, в котором расположен объект групповой политики, который вам нужно скопировать;
Выделите объект групповой политики, который вы хотите скопировать, нажмите на нем правой кнопкой мыши и выберите в контекстном меню команду «Копировать»;
В конечном домене или в домене, содержащем исходный объект групповой политики, нажмите правой кнопкой мыши на контейнере «Объекты групповой политики» и выберите команду «Вставить»;
В том случае, если вы производите копирование объекта GPO в исходный домен, в отобразившемся диалоговом окне «Копирование объекта групповой политики» вы можете завершить процесс копирования. Укажите разрешения для нового объекта групповой политики и нажмите на кнопку «ОК». В случае копирования объекта групповой политики в другой домен, для завершения процесса копирования, мастер запросит конфигурацию таблицы миграции, которая используется для преобразования специфических данных объектов групповых политик, которые могут оказаться неприменимыми в другом домене. На следующей иллюстрации отображено диалоговое окно «Копирование объекта групповой политики»:
Рис. 88. Диалоговое окно «Копирование объекта групповой политики»
Импорт параметров объекта групповой политики
Иногда вам может понадобиться скопировать данные конфигурации определенного объекта групповой политики и импортировать заархивированные параметры групповой политики. Для выполнения импорта параметров групповых политик, выполните следующие действия:
Создайте архивную копию объекта групповой политики;
На следующем этапе вам нужно развернуть контейнер «Объекты групповой политики» в конечном домене или лесе, выбрать объект групповой политики, в который будут импортироваться параметры, нажать на нем правой кнопкой мыши и выбрать команду «Импорт параметров»;
На первой странице диалогового окна «Мастер импорта параметров» ознакомьтесь с предоставленной информацией и нажмите на кнопку «Далее»;
На странице «Архивирование объекта групповой политики» вы можете выполнить архивацию текущего объекта групповой политики, так как импорт параметров приведет к безвозвратному удалению текущих параметров объекта GPO;
Рис. 89. Страница архивирования объекта GPO мастера импорта параметров
На странице «Мастер импорта параметров» выберите папку, которая содержит архивную копию импортируемого объекта GPO;
На следующем шаге, странице «Исходный объект групповой политики» выберите заархивированную копию объекта GPO, параметры которого будут импортированы. Эта страница отображена ниже:
Рис. 90. Выбор исходного объекта групповой политики
На странице «Проверка архива» мастер импорта параметров проверит такие параметры домена, как группы безопасности и пути UNC. В этом случае рекомендуется использовать таблицу миграции. По окончании проверки архива нажмите на кнопку «Далее»;
Рис. 100. Процесс проверки исходного архива
На странице завершение мастера импорта параметров просмотрите сводную информацию и нажмите на кнопку «Готово»;
Последним шагом процесса импорта параметров GPO является, непосредственно сам импорт. После того как архивированные параметры GPO будут импортированы в конечный объект нажмите на кнопку «ОК».
Рис. 101. Процесс импорта заархивированных параметров объекта групповой политики
Если захотите импортировать объекты групповой политики из одного домена в другой, вам следует воспользоваться функционалом редактора таблиц миграции, который предназначен для облегчения процесса редактирования и развертывания таблиц миграции, и поставляется совместно с оснасткой управления групповыми политиками. При миграции объектов групповой политики из одного домена в другой вы можете столкнуться с трудностями, которые могут быть связаны с тем, что некоторая информация в объекте групповой политики на самом деле принадлежит тому домену, которому принадлежит объект групповой политики. В связи с этим использование идентичных параметров на домене, в который мигрирует новый объект групповой политики, считается нежелательным, так как в этом объекте может быть указана информация, которая ссылается на принципалов безопасности из другого домена. В этом случае целесообразно использовать таблицы миграции, которые предназначены для копирования и импорта объектов групповой политики из одного домена в другой в тех случаях, когда объекты содержат определенные сведения о домене, которые необходимо обновить во время копирования или импорта. К таким объектам относятся ссылки на пользователей, компьютеры и группы безопасности, включая пути UNC из исходного объекта групповой политики в новые значения конечного объекта. Если посмотреть на принципалов безопасности, которые передаются по доменам подробнее, то к ним можно отнести пользователей, группы и компьютеры, которые имеют ссылки в объекте групповой политики, в таблице управления доступом для любых настроек установки программного обеспечения объекта групповой политики, а также в таблице управления доступом объекта групповой политики. Принципалы безопасности могут содержать такие элементы, как группы с ограниченным доступом, системные службы, файловая система, реестр Windows, а также политики назначения прав пользователя.
По сути, таблица миграции – это файл, который состоит из одной или нескольких записей сопоставлений, состоящих из типа и имени исходного объекта, а также имени объекта назначения. Если во время импорта или копирования объекта групповой политики будет указана таблица миграции, то во время записи параметров конечного объекта групповой политики, каждая ссылка исходной записи будет заменена записью объекта назначения. Таблицы миграций сохраняются в XML-файлах с расширением .migtable. Создавать, редактировать и удалять таблицы миграции вы можете при помощи удобного пользовательского интерфейса утилиты «Редактор таблиц миграций», утилиты командной строки Mtedit.exe, а также при помощи любого доступного XML-редактора.
Содержимое файла таблицы миграции
Каждая таблица миграции, может включать в себя одну или несколько записей сопоставлений, причем, как было указано в предыдущем разделе, каждая запись сопоставления обязана содержать такие три вида данных, как имя исходного объекта, тип исходного объекта, а также имя объекта назначения. Рассмотрим отдельно каждый из этих видов данных:
Имя исходного объекта. В этом разделе содержатся сведения, которые включают точное имя принципала безопасности, относящегося к домену с исходным объектом групповой политики. Вы можете указать такие элементы, как пользователя, локальную группу в домене, глобальную группу, универсальную группу, компьютер, путь UNC, идентификатор безопасности SID или произвольный текст. Если вы вводите имя источника вручную, то вы должны ввести точно имя, которое соответствует одному из следующих форматов:
User Principal Name (UPN): domainuser@domainname.com;
Если вы сомневаетесь в правильности написания имени исходного объекта, в редакторе таблиц миграции, вы можете нажать правой кнопкой мыши на ячейке с именем исходного объекта, выбрать из контекстного меню команду «Обзор» и, в диалоговом окне выбора пользователя, компьютера или группы с уже знакомым для вас интерфейсом, выбрать требуемый принципал безопасности;
Тип исходного объекта. В данном разделе вы можете указать тип объекта, выбрав нужный тип из раскрывающегося списка. Из списка вы можете выбрать такие типы исходного объекта, как пользователь, локальную группу в домене, глобальную группу, универсальную группу, компьютер, путь UNC, идентификатор безопасности SID или произвольный текст, причем тип исходного объекта проставляется автоматически в том случае, если для поиска принципала безопасности использовали команду «Обзор»;
Имя объекта назначения. В текущем разделе вы можете определить имя пользователя, группу, компьютер или UNC путь исходного объекта групповой политики, которое должно обрабатываться при переходе к конечному домену групповой политики. Вы можете копировать принципал безопасности без изменений, что равносильно отсутствию исходного значения в таблице миграции; удалить пользователя, компьютер или группу из объекта групповой политики не указав никакого значения; сопоставлять данные по соответствующим именам, что не используется совместно с UNC путями; а также явно указать значение, что позволяет заменить исходное значение точным значением, указанным пользователем.
Использование редактора таблиц миграции
Утилита «Редактор таблиц миграции» считается наиболее удобным методом создания, изменения и сохранения таблиц миграций, так как представляет собой утилиту с простым и понятным пользовательским интерфейсом. Для того чтобы открыть созданный ранее файл таблицы миграции, вам достаточно лишь выполнить двойной щелчок на XML-файле таблицы миграции, после чего откроется утилита «Редактор таблицы миграции». А для того чтобы открыть данную утилиту, выполните следующие действия:
2В дереве консоли разверните узел «Домены» или узел «Объекты групповой политики», щелкните на одном из этих объектов правой кнопкой мыши и из контекстного меню выберите команду «Открыть редактор таблицы миграции».
Окно утилиты «Редактор таблицы миграции» вы можете увидеть на следующей иллюстрации:
Как было уже указано выше, для добавления принципалов безопасности вы можете воспользоваться командой «Обзор», которая вызывается из контекстного меню для разделов «Имя исходного объекта» и «Имя объекта назначения». Помимо этого, соответствующие текстовые поля разделов вы можете редактировать при помощи команд «Вырезать», «Копировать» и «Вставить» контекстного меню или вводя текст вручную. В том случае, если вы добавляли значение в разделе «Имя исходного объекта» не воспользовавшись командой «Обзор», значение раздела «Тип исходного объекта» автоматически не заполняется и вам нужно выбрать тип объекта при помощи раскрывающегося меню. Редактор таблицы миграции позволяет вам создавать корректные XML-файлы при помощи автоматической проверки синтаксиса. Помимо этого до окончательного сохранения создаваемой вами таблицы миграции вы можете проверить таблицу миграции на наличие ошибок. Для этого выберите команду «Проверить таблицу» из меню «Сервис». Диалоговое окно результатов проверки таблицы миграции отображено ниже:
Рис. 103. Диалоговое окно «Результаты проверки»
Кроме всех перечисленных выше действий, вы также можете заполнять таблицу миграции в автоматическом режиме при помощи сканирования объектов групповой политики или их архивных копий для извлечения всех ссылок на участников безопасности и внесения их в таблицу в качестве записей исходных имен. Для этого вы можете воспользоваться командами «Заполнить из объекта групповой политики» или «Заполнить из архивной копии» меню «Сервис», причем значением имени объекта назначения для каждого ресурса будет выступать «Соответствует с исходным объектом», а значением типа исходного объекта будет «Текст или ИД безопасности». Диалоговые окна заполнения таблицы миграции изображены ниже:
Рис. 104. Диалоговые окна «Выбор объекта групповой политики» и «Выберите архив»
Использование утилиты командной строки Mtedit.exe
Наряду с утилитой «Редактор таблиц миграции» вы можете использовать функционал утилиты командной строки Mtedit.exe, который также позволяет создавать таблицы миграции. В применении данная утилита очень проста, так как для ее использования вам нужно задать имя таблицы миграции, которую требуется открыть в редакторе, а после имени обязательные параметры. Для данной утилиты доступны только четыре параметра, которые описаны ниже:
/Domain. Данный параметр задает домены, которые будут использованы при выборе параметра «Заполнить из объекта групповой политики», где домен должен быть указан в формате DNS;
/DC. Текущий параметр задает контроллер домена, используемый для указанного домена в формате DNS или NetBIOS. В том случае, если вы не укажите данный параметр, то будет использоваться любой контроллер домена;
/Forest. Этот параметр дает задание редактору таблиц миграции использовать все домены в указанном лесу для заполнения списка доменов в диалоговом окне «Выбор объекта групповой политики» параметра«Заполнить из объекта групповой политики», которое указывается как DNS-имя корневого домена леса в выбранном лесу;
/DisableTrustChecking. Используя этот параметр, вы можете запретить доступ к доменам, с которыми установлены двусторонние отношения доверия.
Результат использования данной утилиты изображен ниже:
Как уже говорилось ранее в этой статье, помимо указанных выше способов создания таблиц миграции, вы можете создавать таблицы миграции вручную, используя любой редактор, позволяющий сохранять файлы в формате XML. Если вы все-таки решили создавать таблицу миграции в ручном режиме, то, прежде всего, вам нужно объявить пространство имен для того, чтобы созданную таблицу миграции можно было использовать на конечном домене. Пространство имен объявляется следующим образом:
После этого вам нужно в таблицу миграции добавить типы данных, для чего используются следующие элементы:
Тип Источник конечная_точка
Где элемент Mapping объявляет новый объект таблицы миграции, элемент Type указывает тип исходного объекта, элемент Source определяет имя исходного объекта, а при помощи элемента Destination указывается имя объекта назначения.
В любой организации системные администраторы обязаны обеспечить для пользователей и компьютеров своего предприятия безопасные настройки, которыми можно централизовано управлять и развертывать. Обычно в организациях вся конфигурация определяется, обновляется и распространяется непосредственно при помощи объектов групповой политики. Именно объекты групповой политики позволяют вам рационально управлять всейи нфраструктурой вашего предприятия, начиная от незначительных подразделений и групп и заканчивая сайтами и доменами. В домене Active Directory все объекты групповой политики создаются и управляются при помощи единой административной оснастки консоли управления Microsoft – «Управление групповой политикой». Именно об использовании данной оснастки пойдет речь в текущей статье.
Открытие оснастки и изменение пользовательского интерфейса
Оснастка «Управление групповой политикой» устанавливается на сервер вместе с ролью «Доменные службы Active Directory» (AD DS), но если у вас по какой-то причине не удается ее найти, то всегда данную оснастку можно заново установить. Для того чтобы повторно установить текущую оснастку, в «Диспетчере сервера», в узле «Сводка компонентов» перейдите по ссылке «Добавить компонент». Выберите компонент «Управление групповой политикой» в диалоговом окне «Мастер добавления компонентов» и следуйте инструкциям мастера. По завершению установки закройте мастер установки.
Также есть альтернативный способ установки данного компонента – использование командной строки и утилиты управления конфигурацией сервера. В командной строке, запущенной с правами администратора введитеServerManagerCmd -install gpmc. При желании вы можете вывести результат установки в xml файл, используя параметр –resultPath.
Для того чтобы открыть оснастку «Управление групповой политикой», выполните любое из следующих действий:
Нажмите на кнопку «Пуск», выберите меню «Администрирование», а затем откройте «Управление групповой политикой»;
Воспользуйтесь комбинацией клавиш +R для открытия диалога «Выполнить». В диалоговом окне «Выполнить», в поле «Открыть» введите gpmc.msc и нажмите на кнопку «ОК»;
Нажмите на кнопку «Пуск» для открытия меню, в поле поиска введите Управление групповой политикой и откройте приложение в найденных результатах;
Откройте «Консоль управления MMC». Для этого нажмите на кнопку «Пуск», в поле поиска введите mmc, а затем нажмите на кнопку «Enter». Откроется пустая консоль MMC. В меню «Консоль» выберите команду «Добавить или удалить оснастку» или воспользуйтесь комбинацией клавиш Ctrl+M. В диалоге «Добавление и удаление оснасток» выберите оснастку «Управление групповой политикой» и нажмите на кнопку «Добавить», а затем нажмите на кнопку «ОК».
На следующей иллюстрации изображена оснастка «Управление групповой политикой»:
Содержимое оснастки «Управление групповой политикой» предоставляет множество средств, предназначенных для обеспечения централизованного управления инфраструктурой организации. Но если вас не устраивает интерфейс данной оснастки, вы можете его изменить, используя функционал редактирования параметров пользовательского интерфейса. Для того чтобы изменить отображение некоторых элементов оснастки, откройте меню«Вид» и выберите команду «Параметры». В диалоговом окне «Параметры» вы можете настроить элементы, параметры которых располагаются в следующих вкладках:
Вкладка «Столбцы». На этой вкладке вы можете изменить отображение и порядок столбцов для основных таблиц текущей оснастки, а именно: «Наследование групповой политики», «Начальные объекты групповой политики», «Объекты групповой политики», «Связанные объекты групповой политики» и «Фильтры WMI». Вам достаточно просто выбрать из раскрывающегося списка редактируемую таблицу, в поле «Столбцы отображаются в следующем порядке» снять флажки с наименований лишних столбцов и установить их порядок, используя кнопки «Вверх» или «Вниз». Также вы можете изменять порядок столбцов непосредственно из таблицы, меняя их местами так, как вам удобно. Для того чтобы ваши изменения были сохранены при повторном открытии оснастки, в окне параметров установите флажок«Сохранять порядок и размеры изменяемых столбцов», как показано на следующей иллюстрации:
Рис. 2. Вкладка «Столбцы» параметров оснастки
Вкладка «Отчет». Используя эту вкладку, вы можете изменить папку, которая используется по умолчанию для расположения ADM-файлов. Следует помнить, что изменения, которые проводятся на данной вкладке, будут распространяться только на устаревшие ADM-файлы, а расположение файлов ADMX, которые используются в операционных системах Windows Vista и Windows 7 останется без изменений. Если переключатель будет установлен на параметре «По умолчанию», то поиск файлов ADM изначально будет проводиться в папке Windows и в том случае, если файл не будет найден, консоль GPMC будет просматривать папку объектов групповой политики (GPO), находящуюся в папке Sysvol. Если установить переключатель на параметр «настраиваемое», то консоль GPMC изначально будет искать файлы adm в той папке, которая будет указана вами, а затем в расположениях по умолчанию. Настройки данной вкладки изображены ниже:
Рис. 3. Вкладка «Отчет» параметров оснастки
Вкладка «Общие». На вкладке «Общие» настраиваются параметры, которые распространяются на отображение лесов и доменов только с двухсторонними отношениями доверия, отображения имени контроллеров домена, а также для отображения диалогового окна подтверждения для различия между объектами групповой политики и связи этих объектов. Эта вкладка отображена на следующей иллюстрации:
Рис. 4. Вкладка «Общие» параметров оснастки
Создание и редактирование объектов групповой политики
Используя оснастку «Управление групповой политикой» вы можете создавать и редактировать объекты групповой политики, а также комментарии к ним для упрощения их мониторинга, удалять объекты групповых политик и проводить поиск среди существующих объектов. Рассмотрим подробно каждое из вышеперечисленных действий:
Создание объекта групповой политики с комментарием
Один или несколько параметров групповой политики, который применяется к одному или нескольким пользователям или компьютерам, обеспечивая конкретную конфигурацию, называется объектом групповой политики. Для того чтобы создать новый объект групповой политики, выполните следующие действия:
В оснастке «Управление групповой политикой» разверните узел лес, домен, название вашего домена и выберите контейнер «Объекты групповой политики». Именно в этом контейнере будут храниться все объекты групповой политики, которые вы будете создавать;
Щелкните правой кнопкой мыши на данном контейнере и из контекстного меню выберите команду «Создать», как изображено ниже:
Рис. 5. Создание объекта групповой политики
В диалоговом окне «Новый объект групповой политики» введите название объекта в поле «Имя», например, «Корпоративные требования» и нажмите на кнопку «ОК».
Рис. 6. Диалоговое окно «Новый объект групповой политики»
Редактирование объекта групповой политики
После того как объект групповой политики будет создан, для того чтобы настроить определенную конфигурацию данного объекта, вам нужно указать параметры групповой политики при помощи оснастки «Редактор управления групповыми политиками». Допустим, нужно отключить Windows Media Center, средство звукозаписи, а также ссылку «Игры» в меню «Пуск». Для этого выполните следующие действия:
Выберите созданный ранее объект групповой политики, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Изменить»;
Разверните узел Конфигурация пользователя/Политики/Административные шаблоны/Компоненты Windows/Windows Media Center;
Откройте свойства параметра политики «Не запускать Windows Media Center» и установите переключатель на опцию «Включить». В поле комментарий введите свой комментарий, например, «В связи с корпоративными требованиями не разрешается данным пользователям использовать текущее приложение» и нажмите на кнопку «ОК».
Рис. 7. Изменение групповых политик для созданного объекта
Повторите аналогичные действия для параметров политик «Запретить выполнение программы «Звукозапись»» и «Удалить ссылку «Игры» из меню «Пуск»» из узла Конфигурация пользователя/Политики/Административные шаблоны/Меню «Пуск» и панель задач.
Закройте редактор управления групповыми политиками.
Также, если вы создаете много объектов групповых политик, для вас окажется удобной возможность добавления комментариев к самим объектам групповых политик. Для добавления комментария к GPO, выполните следующие действия:
Выберите созданный ранее объект групповой политики, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Изменить»;
В дереве консоли оснастки «Редактор управления групповыми политиками» нажмите правой кнопкой мыши на корневом узле и из контекстного меню выберите команду «Свойства»;
В диалоговом окне «Свойства: имя объекта групповой политики» перейдите на вкладку «Комментарий» и введите примечание для вашего GPO, например, «Этот объект групповой политики запрещает указанным пользователям использовать мультимедийные приложения, а также игры в организации»;
Рис. 8. Добавление комментария для объекта групповой политики
Нажмите на кнопку «ОК», а затем закройте оснастку «Редактор управления групповыми политиками».
Поиск объектов групповой политики
При развертывании групповых политик в организации у вас могут быть созданы десятки (а то и сотни) объектов групповых политик. Если в вашей организации есть только один домен, то обнаружить необходимый объект групповых политик много времени у вас не займет. Но как быть, если в лесу вашей организации развернуто несколько доменов? Для этого вам поможет функционал поиска объектов групповых политик. Для того чтобы найти существующий объект групповой политики, выполните следующие действия:
В дереве консоли оснастки «Управление групповой политикой» щелкните правой кнопкой мыши на вашем лесу (или если вы знаете, в каком домене нужно провести поиск объекта, то можете вызвать контекстное меню для конкретного домена) и из контекстного меню выберите команду «Найти»;
Рис. 9. Поиск объекта групповой политики
В диалоговом окне «Поиск объектов групповой политики» в раскрывающемся списке «Искать объекты групповой политики в домене:» можете выбрать домен, для которого будет производиться поиск или оставить значение, используемое по умолчанию;
Рис. 10. Выбор домена для поиска GPO
В раскрывающемся списке «Элемент поиска», выберите тип объекта, для которого будет выполняться поиск. В этом случае нужно выбрать элемент «Имя объекта групповой политики»;
Раскрывающийся список «Условие» позволяет выбрать условие для поиска. Доступные варианты «Содержит», «Не содержит» и «совпадает». При выборе условия «совпадает» вам нужно ввести точное название политики. В противном случае поиск закончится ошибкой;
В поле «Значение» введите значение, которое будет использовано для фильтрации поиска. Если результаты предыдущего поиска были сохранены, то значение можно будет выбрать из раскрывающегося списка;
Нажмите на кнопку «Добавить» для выбора условия поиска;
По нажатию на кнопку «Найти» будут выведены все результаты, согласно условиям поиска. Результат изображен на следующей иллюстрации:
Рис. 11. Результаты поиска
Для того чтобы сразу перейти к оснастке «Редактор управления групповыми политиками» нажмите на кнопку «Изменить», для сохранения текущих результатов поиска нажмите на кнопку «Сохранить результаты» (результаты будут сохранены в указанной вами папке с расширением *.csv). По нажатию на кнопку «Очистить» результаты поиска будут очищены без сохранения, а для закрытия данного диалога нажмите на кнопку «Закрыть» или на клавишу Esc.
Удаление объекта групповой политики
При работе с объектами групповых политик вам когда-то понадобится удалить существующий объект GPO. Для этого выберите объект групповой политики и выполните одно из следующих действий:
Нажмите на клавишу Delete и в диалоговом окне «Управление групповой политикой» нажмите на кнопку «Да»;
Нажмите на кнопку «Удалить» (в виде красного креста) на панели инструментов, а затем в диалоговом окне «Управление групповой политикой» нажмите на кнопку «Да»;
Нажмите правой кнопкой мыши на объекте групповой политики и из контекстного меню выберите команду «Удалить». Затем в диалоговом окне «Управление групповой политикой» нажмите на кнопку «Да».
Связывание объектов GPO
Как было указано ранее, для правильного управления клиентов, объекты групповых политик должны быть настроены на определенные параметры политик и связаны с доменом, сайтом или подразделением Active Directory. Также вы можете указать определенную группу или пользователей, предназначенных для области применения указанного GPO. Вы можете сначала создать все нужные для вас объекты GPO в контейнере «Объекты групповой политики», а потом их связать с нужными подразделениями, доменами или сайтами.
Необходимо помнить, что объект групповой политики, который связан с сайтом, влияет на все компьютеры в указанном сайте независимо от домена, которому принадлежат ваши компьютеры. В связи с этим, для того чтобы применить указанные настройки объектов групповых политик к множеству доменов в лесу, можно связать объекты GPO с сайтом. Такие объекты будут храниться на контроллерах домена. Для создания и привязки объектов групповых политик, у вашей доменной учетной записи должны быть соответствующие права. По умолчанию, за создание и управление объектов GPO отвечают только пользователи, которые входят в группы администраторов домена, администраторов предприятия и владельцев-создателей объектов групповой политики.
Для того чтобы связать существующий объект групповой политики, выполните следующие действия:
Выберите подразделение, домен или сайт, для которого будет создана связь с существующим объектом групповой политики;
Нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Связать существующий объект групповой политики»;
В диалоговом окне «Выбор объекта групповой политики» выделите объект GPO, который хотите привязать к своему подразделению и нажмите на кнопку «ОК», как показано ниже:
Рис. 12. Диалоговое окно «Выбор объекта групповой политики»
Также у вас есть возможность привязать к домену, сайту или подразделению еще не существующий объект групповой политики. В этом случае, помимо связи вам также предстоит создание нового объекта GPO. Для этого выполните следующие действия:
Выберите подразделение, домен или сайт, для которого будет создан и привязан новый объект групповых политик;
Нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Создать объект групповой политики в этом домене и связать его…»;
В диалоговом окне «Новый объект групповой политики» введите название нового объекта, например, «Ограничения доступа к медиа приложениям» и нажмите на кнопку «ОК»;
Рис. 13. Создание нового объекта групповой политики вместе со связью
После нажатия на кнопку «ОК» объект групповой политики будет создан вместе со связью. Для этого объекта нужно будет еще настроить определенную конфигурацию, нажав на нем правой кнопкой мыши и из контекстного меню выбрав команду «Изменить», о которой рассказывалось в предыдущей части статьи.
Один объект групповой политики вы можете одновременно связать с несколькими подразделениями, доменами или сайтами. Если вы измените конфигурацию связанного объекта групповой политики, все изменения будут применяться для указанной вами области действия GPO. Связь объекта групповой политики обозначена небольшой стрелочкой на значке объекта групповой политики. Настройки конфигурации объектов групповых политик не применяются к тем пользователям или компьютерам вашей организации, на которые не распространяется область действия объектов групповых политик. Область действия GPO – это совокупность пользователей и компьютеров, к которым применяются параметры GPO.
Начальная область действия объекта групповой политики назначается при привязке данного объекта к указанному контейнеру. Для того чтобы увидеть контейнеры, к которым привязан существующий объект, выберите данный объект групповой политики и перейдите на вкладку «Область», как показано на следующей иллюстрации:
Рис. 14. Область действия объекта групповой политики
Вы можете просмотреть все измененные параметры политик для конкретного объекта групповой политики. Для этого выполните следующие действия:
В консоли управления групповой политикой выберите объект групповой политики;
Перейдите на вкладку «Параметры»;
В отобразившемся отчете разверните параметры политик, которые хотите просмотреть. После нажатия на ссылку «Показать все», будут отображены все измененные параметры данного объекта GPO
Вы можете сохранить данный отчет для дальнейшего изучения или анализа. Для этого нажмите правой кнопкой мыши на отчете и из контекстного меню выберите команду «Сохранить отчет». В диалоговом окне«Сохранение отчета объекта групповой политики» выберите папку, в которую хотите сохранить отчет, в поле «Имя файла» введите название отчета (по умолчанию название отчета совпадает с наименованием объекта GPO) и нажмите на кнопку «Сохранить». Отчет можно сохранять как с расширением HTML, так и XML.
Принудительные связи объектов групповых политик
При создании связей объектов групповых политик для некоторых контейнеров у вас могут возникнуть конфликты параметров политик. Скажем, для подразделения «Группы» у вас есть три связанных объекта GPO и в двух из них указаны разные значения одного и того же параметра политики. Например, в объекте групповой политики «Ограничение доступа к медиа приложениям» для политики «Не запускать Windows Media Center»установлено значение «Включено», а в объекте «Конфигурация конференц-зала» - наоборот, установлено значение «Отключено». В этом случае указывается параметр политики, который будет применен к клиентам при помощи приоритета объектов GPO, причем объект с более высоким уровнем приоритета будет иметь преимущество над теми объектами групповой политики, чьи приоритеты ниже.
Приоритеты можно найти в консоли «Управление групповой политикой» на вкладке «Наследование групповой политики» для выбранного контейнера, как показано ниже:
На предыдущей иллюстрации видно, что на подразделение «Группы» распространяются четыре объекта групповых политик, причем у объекта групповой политики с наименьшим значением самый высокий приоритет. Т.е., в данном случае, значения параметров политик объекта групповой политики «Политика аудита» доминирует над всеми остальными объектами GPO для данного подразделения. Но если в объекте групповой политики с наивысшим приоритетом значение для какого-либо параметра не задано, то будут применяться параметры политики с объекта групповой политики с более низким приоритетом. Наследование и делегирование групповых политик будут подробно рассмотрены в одной из следующих статей.
Оснастка «Управление групповой политикой» позволяет включать принудительную связь объекта групповой политики. При включении принудительной связи для объекта групповой политики, данный объект получит наивысший приоритет по отношению к остальным объектам, как выбранного контейнера, так и для всех дочерних. Для того чтобы установить принудительную связь для объекта групповой политики, выполните следующие действия:
Выберите контейнер, к которому привязаны несколько объектов групповых политик;
Перейдите на вкладку «Связанные объекты групповой политики», выберите объект, для которого хотите установить принудительную связь, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Принудительный»;
Рис. 17. Установка принудительной связи
В диалоговом окне «Управление групповой политикой» нажмите на кнопку «ОК»;
После установки принудительной связи, на вкладке «Связанные объекты групповой политики» для данного объекта появится значок в виде висячего замка, который обозначает принудительное включение связи. Перейдите на вкладку «Наследование групповой политики». Здесь вы можете увидеть результирующий приоритет объектов групповых политик, где в столбце «Приоритет» установленная принудительная связь будет отображаться сверху с пометкой «(Принудительный)».
Рис. 18. Принудительная связь объекта групповой политики
Отключение объектов групповых политик
При необходимости, для определенного объекта групповой политики вы можете запретить изменение параметров политик для узлов «Конфигурация компьютера» или «Конфигурация пользователя» средствами изменения состояния объекта GPO. Для этого выберите объект групповой политики, перейдите на вкладку «Таблица» и из раскрывающегося списка «Состояние GPO» выберите один из следующих параметров:
Рис. 19. Выбор состояния объекта групповой политики
Включено. При указании данного параметра при обновлении политик GPO обрабатываются как конфигурация компьютера, так и конфигурация пользователя. Данный параметр установлен для всех объектов групповых политик по умолчанию;
Все параметры отключены. При выборе данного параметра, объект групповой политики не будет обрабатываться;
Параметры конфигурации компьютера отключены. В этом случае, во время обновления политик GPO, будут обрабатываться только политики конфигурации пользователя. В свою очередь, параметры конфигурации компьютера будут отключены;
Параметры конфигурации пользователя отключены. В этом случае, во время обновления политик GPO, будут обрабатываться только политики конфигурации компьютера. В свою очередь, параметры конфигурации пользователя будут отключены;
Установить состояние объектов групповых политик вы можете и другим методом. Для этого разверните контейнер «Объекты групповой политики», выберите объект и нажмите на нем правой кнопкой мыши. В контекстном меню выберите команду «Состояние объекта групповой политики» и установите требуемое состояние. Но в этом случае состояние объектов групповой политики будет установлено для всех подразделений, для которых в дальнейшем будет создана связь с данным объектом GPO.
Отключение связи
Если вы случайно неправильно создали связь для объекта групповой политики, не стоит волноваться. Всегда такую связь можно удалить без нанесения ущерба самому объекту групповой политики. После удаления связи, объект GPO из контейнера «Объекты групповой политики» остается. Вы можете полностью удалить связь или отключить ее. Для удаления связи объекта групповой политики, выполните следующие действия:
Откройте контейнер, для которого вам нужно удалить объект GPO;
Выберите удаляемый объект групповой политики и нажмите на нем правой кнопкой мыши и в контекстном меню выберите команду «Удалить»;
В диалоговом окне «Управление групповой политикой» нажмите на кнопку «ОК».
Для того чтобы отключить объект групповой политики выберите отключаемый объект GPO и из контекстного меню снимите флажок с команды «Связь включена». После того как вы отключите связь объекта GPO, изменится и его область действия, которая больше не будет применяться для данного контейнера до тех пор, пока вы самостоятельно не включите ее. При отключении связи, значок данного объекта выглядит более прозрачным.
Приоритеты объектов групповых политик и их наследование
Как известно, для управления настройками клиентских компьютеров и пользовательских учетных записей в организациях применяются объекты групповых политик. Объекты GPO могут быть привязаны к сайту организации, к домену или к подразделениям. Если объекты групповых политик были привязаны к сайту или домену, а также к подразделению, то для компьютеров и пользователей, которые размещены в данном подразделении, будут применяться объекты GPO, их подразделения, а также домена или сайта организации. Для того чтобы не было конфликтов параметров групповых политик, существуют приоритеты объектов GPO. Как было указано во второй части статьи, в консоли управления групповой политики, приоритеты объектов GPO отображаются в виде номера, причем, чем меньше значение объекта групповой политики, тем выше его приоритет. Объекты с самым высоким приоритетом имеют преимущества над остальными объектами. Параметры групповых политик унаследованы от верхнего уровня контейнеров до более низкого и, обычно, они применяются при включении компьютера и входа пользователем в систему в следующем порядке:
Локальные объекты групповой политики. Эти политики применяются самыми первыми. Они расположены на локальном компьютере;
Объекты групповой политики, назначенные на уровне сайта. После локальных объектов групповых политик применяются объекты групповой политики, которые расположены на сайте Active Directory.
Объекты групповой политики, назначенные на уровне домена. Далее обрабатываются объекты групповой политики, которые расположены на уровне домена Active Directory.
Объекты групповой политики, назначенные на уровне подразделения. Последними выполняются объекты GPO, которые расположены в подразделениях. Если были указаны параметры политик в объектах с более низкими приоритетами, которые отличаются от параметров в подразделениях, то в последнюю очередь применяются именно те политики, которые расположены на этом уровне. Если существуют дочерние подразделения, то приоритет таких подразделений будет превалировать над объектами GPO предшествующего подразделения.
При запуске компьютера и входе пользователя в систему, клиент групповой политики, прежде всего, анализирует расположение клиента в домене Active Directory и оценивает объекты групповых политик, в область действия которых попадает данный пользователь. Наследованием политики называется результат вышеуказанного применения объектов групповой политики.
Предположим, что в вашей организации к домену привязаны два объекта групповой политики и к подразделению «Группы» привязано три объекта. Изменить порядок приоритетов объектов GPO вы можете следующим образом:
В дереве консоли разверните узел «Управление групповой политикой», затем разверните узел леса, узел «Домены» и выберите свой домен, для которого будете изменять порядок приоритетов;
На вкладке «Связанные объекты групповой политики» выделите объект, приоритет которого планируете изменить и нажмите на кнопку «Переместить связь вверх» для перемещения объекта на один уровень вверх или на кнопку «Переместить связь на первое место», соответственно для того, чтобы данному объекту GPO назначить наивысший приоритет;
Рис. 20. Изменение приоритета объекта групповой политики
Перейдите к контейнеру «Группы». В этом примере, непосредственно в данном контейнере расположены три объекта GPO, причем связь для одного из них отключена. Для проверки наследования групповой политики для этого контейнера, перейдите на вкладку «Наследование групповой политики», как показано ниже:
Рис. 21. Наследование групповой политики для контейнера «Группы»
Судя по предыдущей иллюстрации, с подразделением и доменом связывается множество объектов GPO, и самыми последними будут применяться параметры объекта GPO «Политика аудита», которая размещена в контейнере «Группы». В случае с множеством объектов групповой политики приоритет определяется порядком ссылок. Изменим порядок ссылок данного контейнера. Для этого перейдите на вкладку «Связанные объекты групповой политики» и переместите связь политики «Права для группы отладчиков» на первое место;
Вернувшись на вкладку «Наследование групповой политики» вы обнаружите, что приоритет объектов GPO изменился.
При помощи консоли управления групповыми политиками вы можете запретить все наследования параметров политики для указанного домена или подразделения. Реализовать такой запрет можно при помощи команды«Блокировать наследования», которая блокирует все объекты групповой политики (GPO), связанные с сайтами, доменами или подразделениями родительского уровня от автоматического наследования на дочернем уровне. При блокировании наследования, скажем, подразделения, в этом подразделении применение политик будет начинаться непосредственно с данного подразделения. Но нужно учесть, что связи GPO, установленные принудительно невозможно заблокировать из родительского контейнера. Об использовании принудительных связей объектов групповых политик вы можете ознакомиться во второй части статьи «Управление групповыми политиками в организации». Узел с блокированным наследованием отображается в дереве консоли со значком синего круга с белым восклицательным знаком, как показано ниже:
Рис. 22. Подразделение с блокированным наследованием
Управление разрешениями
Обычно, в подразделениях Active Directory расположено несколько групп или пользователей. Как известно, объект групповой политики вы можете связывать только с подразделениями, доменами или сайтами. Но что же делать, если вам нужно в область действия объекта GPO привязать только одну или несколько групп? Для выполнения подобных операций вам нужно фильтровать объекты GPO, чтобы его параметры применялись только к указанным пользователям или компьютерам.
Для определения разрешения доступа, при создании объекта GPO, для каждого объекта групповой политики создается индивидуальный список контроля доступа (Access Control List - SCL). В списке ACL, для применения параметров групповых политик достаточно, чтобы было только два разрешения – «чтение» и «применение групповой политики». Областью действия по умолчанию для каждого объекта GPO является группа«Прошедшие проверку» и, в связи с тем, что в эту группу входят все пользователи, расположенные в указанном контейнере, именно все пользователи и попадут под область действия объектов групповых политик, что почти во всех случаях неприемлемо. Чтобы вы могли выбрать пользователей и группы, для которых будут применяться параметры объектов GPO, консоль управления групповыми политиками предоставляет средства фильтрации области действия GPO.
Для изменения области действия объекта GPO «Права для группы отладчиков», выполните следующие действия:
В дереве консоли оснастки «Управление групповой политикой» выберите подразделение «Группы», к которой привязан объект «Права для группы отладчиков»;
Перейдите на вкладку «Область» и в секции «Фильтры безопасности» выберите группу «Прошедшие проверку». Нажмите на кнопку «Удалить», как показано на следующей иллюстрации:
Рис. 23. Удаление группы «Прошедшие проверки» из области действия GPO
Нажмите на кнопку «Добавить» и в диалоговом окне поиска объекта выберите группу «Отладчики».
Делегирование разрешений
Убрав из вкладки «Область» группу «Прошедшие проверку», вы тем самым не исключаете все группы от области применения объекта групповых политик. Для создания запретов на применение параметров политик существует вкладка «Делегирование».
По определению, делегирование — это такая организация работы, при которой руководитель распределяет между подчиненными конкретные задания. То есть, другими словами, делегирование является управлением и в групповых политиках это понятие не является исключением. Консоль «Управление групповой политикой» позволяет применять делегирование для объектов групповой политики, контейнеров и доменов, фильтров WMI и начальных объектов групповой политики. В этой статье мы рассмотрим делегирование только для объектов групповых политик, подразделений и доменов, так как фильтры WMI и начальные объекты групповых политик будут рассматриваться в отдельных статьях.
Делегирование разрешений для объектов групповой политики
Для расширенного управления разрешениями групповых политик, выберите объект групповой политики и перейдите на вкладку«Делегирование». Как видно на следующей иллюстрации, объект групповой политики«Права для группы отладчиков»связан с пятью группами. Если вы выберите любую группу и нажмете на кнопку«Дополнительно», то сможете просмотреть разрешения для выбранной группы. В диалоговом окне«Параметры безопасности %Имя группы%»вы можете указать разрешения для каждой группы, включая группуСОЗДАТЕЛЬ-ВЛАДЕЛЕЦ, которая не отображена на вкладке«Делегирование». Для того чтобы разрешить или запретить указанное разрешение для выбранной группы – установите флажок в нужном для вас столбце.
Рис. 24. Делегирование для объекта групповой политикой
Например, выбрав группу «Администраторы домена», вы можете обратить внимание на то, что помимо стандартного набора разрешений, для нее ее применяются «Особые разрешения». Чтобы узнать за что отвечают эти разрешения нажмите на кнопку «Дополнительно», в диалоговом окне «Дополнительные параметры безопасности» выберите еще раз эту группу и нажмите на кнопку «Изменить».
В диалоговом окне «Элемент разрешения» вы можете просмотреть все разрешения для объектов и свойств данной группы.
Рис. 25. Диалоговое окно «Элементы разрешения» для группы «Администраторы домена»
Также на вкладке «Делегирование» вы можете добавить новую группу или удалить существующую.
Делегирование разрешений для подразделений и доменов
Перейдя на вкладку «Делегирование» для подразделения или домена, вы сможете управлять разрешениями для связанных с данным контейнером объектов GPO, анализа моделирования групповых политик, а также для чтения результирующих данных групповой политики. Для того чтобы выбрать область разрешений, выберите контейнер, перейдите на вкладку «Делегирование» и в раскрывающемся списке «Разрешение», выберите необходимую область разрешений.
Анализ моделирования групповой политики. При помощи разрешений для этой области вы можете указать разрешения для групп, которые имеют отношение к использованию функционала «Моделирование групповой политики».
Рис. 26. Делегирование для анализа моделирования групповой политикой
Также как и с объектами групповой политики, вы можете добавлять новые группы, удалять существующие, а также просматривать и изменять любые разрешения для групп по нажатию на кнопку «Дополнительно». Необходимо учесть, что вы не можете делегировать разрешение на выполнение анализа групповой политики сайту. Об использовании мастера моделирования групповой политики вы узнаете в одной из следующих статей.
Связанные объекты GPO. Эта область разрешений предназначена для указания полномочий, которые распространяются на связанные объекты групповой политики. Здесь вы можете выполнять такие же действия, как в предыдущих случая, но нужно учесть тот факт, что у вас не получится удалить группы и пользователей, наследующих разрешения родительских контейнеров.
Чтение результирующих данных групповой политики. Сам по себе, функционал результирующей групповой политики (RSoP) предоставляет результат применения объектов GPO пользователю или компьютеру с учетом связей GPO, исключений, а также фильтров безопасности и WMI. Данный объект разрешений позволяет настроить разрешения для групп, имеющих доступ на использование данного функционала.
Создание стартового объекта групповой политики
По сути, создание объектов не сложнее создания обычного объекта GPO и они создаются тоже непосредственно из оснастки «Управление групповой политикой». Перед тем как вы начнете создавать начальные объекты групповых политик, вам нужно создать папку стартовых объектов GPO. Для этого сделайте следующее:
В дереве консоли выберите узел «Начальные объекты групповой политики» и в области сведений нажмите на кнопку «Создать папку стартовых GPO»;
Рис. 27. Создание папки стартовых объектов групповой политики
По нажатию на эту кнопку будет создано восемь начальных объектов групповой политики: четыре объекта для Windows XP и четыре для Windows Vista, которые предназначены только для чтения, и представляют основу для параметров определенного сценария. Эти объекты содержат параметры для компьютеров и пользователей с рекомендуемыми параметрами для среды клиентских компьютеров на предприятии (Enterprise Client – EC) и для клиентской среды с особыми параметрами безопасности и ограниченной функциональности (Specialized Security — Limited Functionality – SSLF). Системные начальные объекты групповой политики вы можете увидеть на следующей иллюстрации:
Для того чтобы просмотреть параметры системного начального объекта GPO, вам нужно в узле начальных объектов групповой политики дерева консоли выбрать любой объект и перейти на вкладку «Параметры». Эти параметры вы можете просмотреть ниже:
Рис. 29. Параметры системных начальных объектов групповой политики
Одних лишь настроек предустановленных начальных объектов групповой политики может быть недостаточно для ваших потребностей. В отличие от системных начальных объектов GPO, начальные объекты групповой политики, созданные вами, подвластны внесению изменений. Для того чтобы создать начальный объект групповой политики, вам предстоит выполнить следующие действия:
В дереве консоли выберите узел «Начальные объекты групповой политики» и выберите команду создания стартового объекта GPO одним из следующих способов:
Нажмите правой кнопкой мыши на узле «Начальные объекты групповой политики» и из контекстного меню выберите команду «Создать»;
Нажмите правой кнопкой на панели сведений и из контекстного меню выберите команду «Создать»;
Если у вас отображается панель действий, то перейдите на ней по ссылке «Создать»;
В меню «Действие» выберите команду «Создать».
В диалоговом окне «Новый стартовый объект групповой политики», в поле «Имя» введите название вашего начального объекта GPO, а в поле «Комментарий», при необходимости, укажите подробное описание для вашего начального объекта групповой политики и нажмите на кнопку «ОК»;
Рис. 30. Создание начального объекта групповой политики
После того как вы нажмете на кнопку «ОК», новый начальный объект групповой политики будет добавлен в область сведений данного узла. Как видно со следующей иллюстрации, значок созданного вами начального объекта GPO отличается от системного;
Рис. 31. Начальные объекты групповой политики в области сведений
Новый начальный объект групповой политики создается без каких-либо настроек параметров политик. Для того чтобы указать параметры политик, выберите пользовательский начальный объект групповой политики, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Изменить». В открывшейся оснастке «Редактор стартового GPO групповой политики» вы можете указать параметры групповой политики. При помощи этой оснастки, вы можете настраивать только административные шаблоны конфигурации компьютера или конфигурации пользователя;
По окончанию внесения изменений в административные шаблоны вашего начального объекта GPO закройте оснастку.
Экспорт и импорт начальных объектов групповой политики
Оснастка «Управление групповой политикой» обеспечивает не только создание новых объектов групповых политик из начальных объектов GPO, а еще и превосходный механизм архивации и восстановления начальных объектов GPO. Помимо архивации и восстановления из архива, подобно обычным объектам групповой политики средствами соответствующих команд из контекстного меню (об архивации и восстановлении групповых политик я расскажу подробно в одной из следующих статей), вы можете архивировать и развертывать начальные объекты GPO в CAB-архивы. Такие архивы помогают вам как ИТ-администраторам развертывать существующие начальные объекты групповой политики в окружении, отличающемся от вашей интрасети. Для того чтобы сохранить ваш начальный объект групповой политики как CAB-архив, выполните следующие действия:
В дереве консоли перейдите к узлу «Начальные объекты групповой политики» и в области сведений выделите сохраняемый начальный объект GPO;
Нажмите на кнопку «Сохранить как CAB-файл», как показано на следующей иллюстрации:
Рис. 33. Сохранение начального объекта GPO в CAB-архив
В открывшемся диалоговом окне «Сохранить начальный объект групповой политики в виде CAB-файла» выберите папку, в которую будет сохранен файл, в текстовом поле «Имя файла» введите имя будущего архива и нажмите на кнопку «Сохранить»;
Созданный вами архив будет содержать такие элементы, как: настройки административных шаблонов конфигурации компьютера и пользователя, название и тип начального объекта GPO, сохранённый отчет параметров политик, имя автора, комментарии и прочую информацию.
Сохраненный ранее начальный объект групповой политики при помощи оснастки «Управление групповой политикой» вы можете также просто загрузить на любой домен. Для загрузки начального объекта GPO, вам нужно сделать следующее:
В дереве консоли перейдите к узлу «Начальные объекты групповой политики» и нажмите на кнопку «Загрузить CAB-файл»;
В диалоговом окне «Загрузить начальный объект групповой политики» нажмите на кнопку «Поиск CAB-файла»;
Найдите CAB-файл с нужным начальным объектом GPO в диалоговом окне «Загрузить начальный объект групповой политики» и нажмите на кнопку «Открыть»;
В диалоговом окне загрузки начального объекта GPO вы можете ознакомиться с информацией об открытом архиве. Здесь вы можете увидеть имя начального объекта групповой политики, его GUID, а также просмотреть все настройки загружаемого CAB-файла. Для этого в поле «Сравнение версий» выделите источник «CAB-файл начального объекта групповой политики» и нажмите на кнопку «Просмотреть параметры». В браузере, установленном по умолчанию, откроется удобный для чтения отчет со всеми изменениями политик. Диалоговое окно загрузки начального объекта GPO отображено ниже:
Рис. 34. Диалоговое окно «Загрузить начальный объект групповой политики»
По окончанию просмотра изменений и проверки загружаемого объекта нажмите на кнопку «ОК». Если у вас уже существует начальный объект групповой политики с полностью совпадающим названием, в отобразившемся диалоговом окне вам нужно будет решить, стоит ли перезаписывать существующий файл.
Создание объектов групповой политики на основании начальных объектов групповой политики и сохранение отчетов
Все действия, которые были подробно описаны выше, являются предварительной частью для выполнения назначения основного функционала этого компонента – создания объектов групповой политики на основании начальных объектов GPO. Созданный объект GPO из начального объекта групповой политики, позволит вам минимизировать время, которые вы затратили бы на определение параметров политик административных шаблонов. После того как у вас будут настроены начальные объекты GPO, вы можете создать на их основе новый объект из узла «Объекты групповой политики», из узлов с названием подразделений или, непосредственно, из узла«Начальные объекты групповой политики».
Для того чтобы создать новый объект групповой политики, основанный на начальном объекте GPO из узла «Начальные объекты групповой политики», вам нужно выполнить следующие действия:
В оснастке «Управление групповой политикой» перейти к узлу «Начальные объекты групповой политики»;
Выделить нужный для вас начальный объект GPO, нажать на нем правой кнопкой мыши и из контекстного меню выбрать команду «Создать объект групповой политики из стартового объекта групповой политики»;
В диалоговом окне «Новый объект групповой политики», в поле «Имя», введите название нового объекта, например: «Объект на основании начального объекта GPO» и нажмите на кнопку «ОК». Как видно на следующей иллюстрации, в этом случае раскрывающийся список «Исходный объект групповой политики» не активен;
Рис. 35. Создание нового объекта GPO из узла «Начальные объекты групповой политики»
Если вы не хотите создавать новые объекты групповой политики из этого узла, то при создании нового объекта групповой политики, удобным способом вам нужно будет выбрать начальный объект групповой политики из раскрывающегося списка «Исходный объект групповой политики». По нажатию на кнопку «ОК», у созданного вами объекта групповой политики будут настроены все параметры политик, которые вы указали в начальном объекте GPO.
Рис. 36. Выбор исходного объекта групповой политики
Функционал оснастки «Управление групповой политикой» позволяет вам экспортировать отчеты начальных объектов групповых политик для последующего изучения требований к защищаемой информации, охраняемых объектов и управлением рисками. Для того чтобы распечатать отчет, вам нужно выделить начальный объект групповой политики, перейти на вкладку «Параметры» и из контекстного меню выбрать команду «Печать». В диалоговом окне «Печать» выберите принтер и распечатайте отчет. Помимо этого, вы можете экспортировать отчет в HTML формат. Для этого выберите команду «Сохранить отчет» из контекстного меню начального объекта групповой политики в дереве консоли, из контекстного меню выбранного объекта на вкладке «Содержимое» узла «Начальные объекты групповой политики» или из контекстного меню области сведений на вкладке «Параметры» начального объекта групповой политики. В диалоговом окне «Сохранение отчета начального объекта групповой политики» выберите папку, введите название отчета и нажмите на кнопку«Сохранить». Полученный отчет отображен на следующей иллюстрации:
Рис. 37. Отчет начального объекта групповой политики
Использование моделирования групповой политики
Для того чтобы вы могли использовать функционал моделирования групповой политики, у вас должны быть разрешения на создание результирующих политик в домене или в том подразделении, для которого вам нужно выполнить соответствующий запрос. Также для использования данного компонента оснастки «Управление групповой политикой» необходимо, чтобы контроллер домена был не ниже Windows Server 2003.
Создание сценария моделирования групповой политики
Для выполнения сценария моделирования вам нужно воспользоваться мастером моделирования групповой политики. Открыть диалоговое окно «Мастер моделирования групповой политики» вы можете одним из следующих способов:
Откройте оснастку «Active Directory – пользователи и компьютеры» и в дереве консоли выделите подразделение, для которого вы хотите смоделировать результирующий набор политик. Нажмите правой кнопкой мыши на подразделении, для которого будете проводить моделирование и из контекстного меню выберите команду «Все задачи», а затем выберите «Результирующая политика (Планирование)…». Используя данный метод, мастер сразу откроется на шаге «Выбор компьютера и пользователя»;
Рис. 38. Открытие мастера моделирования групповой политики из оснастки «Active Directory – пользователи и компьютеры»
Откройте оснастку «Управление групповой политикой» и в дереве консоли перейдите к узлу «Моделирование групповой политики». Выделив данный узел, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Мастер моделирования групповой политики…».
После того как вы откроете диалоговое окно «Мастер моделирования групповой политики», для создания результирующего набора, выполните следующие действия:
На первом шаге приветствия прочитайте краткое описание данного компонента и нажмите на кнопку «Далее»;
На странице «Выбор контроллера домена» вам нужно выбрать контроллер домена, на который будет распространяться создаваемый набор моделирования. Устанавливать переключатель на опцию «Любой доступный контроллер домена с ОС Windows Server 2003 и выше» лучше в том случае, если в вашей организации развернут только один домен. Если в вашем распоряжении более одного домена, установите переключатель на опцию «Указанный контроллер домена» и выберите из списка нужный вам контроллер домена. После того как вы сделаете свой выбор, нажмите на кнопку «Далее»;
Рис. 39. Страница выбора контроллера домена мастера моделирования групповой политики
На следующем шаге вам нужно выбрать компьютер и пользователя, для которого будет произведено моделирование групповых политик. На этом этапе вы можете выбрать информацию как для обоих типов объектов (указать пользователя и его компьютер), так и только для одного объекта. Как в группе «Сведения о пользователе», так и в группе «Сведения о компьютере» вы можете выбрать помимо основного назначения (пользователя или компьютера) контейнер. Помимо этого, если для вашего сценария достаточно указать только пользователя или компьютер, вы можете сразу перейти к последнему шагу, установив флажок «Перейти к последней странице, не собирая дополнительных данных»;
Рис. 40. Выбор пользователя или компьютера
На странице «Дополнительные параметры эмуляции» вы можете настроить такие параметры, как эмуляция применения политики при медленных соединениях, что удобно в случае с филиалами, а также обработку петлевого адреса. Петлевым адресом называется метод цифровых потоков данных от их источника и обратно к тому же источнику без специальной обработки или модификаций. Помимо этого вы можете указать сайт, в котором будут эмулироваться политики;
Рис. 41. Настройка дополнительных параметров эмуляции
На следующем шаге, странице «Альтернативные пути Active Directory» вам нужно указать будущее расположение пользователя и компьютера в домене. Вы можете ввести путь вручную, используя синтаксис LDAP или нажать на кнопку «Обзор» и выбрать новое расположение из диалогового окна «Выбор контейнера…»;
Рис. 42. Настройка альтернативных путей Active Directory
На следующих двух страницах – «Группы безопасности пользователя» и «Группы безопасности компьютера» укажите те группы безопасности, членом которых являются пользователь и компьютер, для которого выполняется данный сценарий. При помощи кнопок «Добавить» и «Удалить» вы можете сэмулировать изменение групп безопасности, членом которых будет выступать целевой пользователь и его компьютер. На следующей иллюстрации изображена страница «Группы безопасности пользователя» с новой для данного пользователя группой:
Рис. 43. Изменение группы безопасности пользователя для эмуляции
На страницах «Фильтры WMI для пользователей» и «Фильтры WMI для компьютеров» вы можете указать фильтры, которые будут привязаны к объектам групповых политик, и применяться только к тем пользователям и компьютерам, которые будут соответствовать его критерию. Вы можете указать определенные фильтры, установив переключатель на «Только следующие фильтры», нажав на кнопку«Перечислить фильтры» и удалить те фильтры, которые не соответствуют вашим потребностям;
Рис. 44. Изменение фильтров WMI для пользователя, указанного в сценарии
На предпоследнем шаге – странице «Сводка выбранных параметров» вы можете просмотреть все настройки моделирования и при необходимости нажать на кнопку «Назад» и изменить несоответствующие параметры;
Рис. 45. Сводка указанных ранее параметров
Страница «Завершение мастера моделирования групповой политики» свидетельствует о завершении моделирования. Нажмите на кнопку «Готово».
Рис. 46. Завершающая страница мастера моделирования групповой политики
Анализ созданного сценария моделирования групповой политики
После того как будет создан сценарий моделирования, в узле «Моделирование групповой политики» дерева консоли появится новая групповая политика. Информацию о вашем запросе политики моделирования вы можете просматривать на панели сведений оснастки «Управление групповой политикой» при помощи трех существующих вкладок, которые подробно описаны в следующих подразделах.
Вкладка «Сводка»
При помощи этой вкладки вы можете ознакомиться со сводными данными результирующей политики для конфигурации пользователя и конфигурации компьютера. Как для конфигурации пользователя, так и для конфигурации компьютера вы можете просмотреть следующие сводные данные:
Общие данные, которые включают в себя имя компьютера, его расположение в домене, а также домен, сайт и прочие данные которые собираются при формировании результирующей политики;
Список групповых политик, которые применяются или отклоняются для всего домена, подразделения или индивидуально для пользователя или компьютера;
Имитация членства в группе безопасности для пользователя или компьютера, которая отображает все группы, членом которых является данный объект;
Список WMI фильтров, которые связаны с групповой политикой и будут включены в конечный запрос;
Состояние компьютера, где вы сможете узнать, насколько удачно будет применена инфраструктура групповой политики, политик безопасности и изменения в системном реестре.
На следующей иллюстрации вы увидите информацию, которая отображена на вкладке «Сводка» с данными по конфигурации компьютера:
На вкладке «Параметры» отображается отчет со всеми политиками, которые в итоге будут применены к объекту, над которым на данный момент проводится анализ. Данный отчет по своей структуре ничем не отличается от уже известных вам отчетов обычных и начальных объектов групповых политик. На следующей иллюстрации вы можете увидеть данную вкладку:
Рис. 48. Вкладка «Параметры» политики моделирования
Вкладка «Запрос»
На этой вкладке вы можете просмотреть параметры запроса, которые вы использовали для формирования данного отчета при помощи «Мастера моделирования групповой политики». Эта вкладка содержит такие данные, как последнее время выполнения данного запроса, fqdn контроллера домена, на котором выполнялась эта эмуляция, данные о пользователе и компьютере, над которыми производится анализ, а также все остальные параметры, которые использовались при создании запроса. На следующей иллюстрации отображена данная вкладка:
Дополнительные возможности компонента моделирования групповых политик
Стоит отметить, что после закрытия и повторного открытия оснастки «Управление групповой политикой» отчет будет недоступен. Для того чтобы снова вы смогли просмотреть созданный ранее отчет моделирования групповой политики вам нужно повторить запрос. Чтобы это сделать, вам нужно в дереве консоли найти созданную ранее политику моделирования, нажать на ней правой кнопкой мыши и из контекстного меню выбрать команду «Повторить запрос», как показано ниже:
Рис. 50. Повтор созданного ранее запроса моделирования групповой политики
Если вам нужно создать запрос, который по своей структуре будет похож на запрос, который вы уже создавали ранее, вы можете из контекстного меню существующего запроса выбрать команду «Создать новый запрос из существующего». Эту команды вы также можете выбрать из меню «Действие». При выборе этой команды будет открыто диалоговое окно «Мастер моделирования групповой политики», в котором на каждом шаге будут присутствовать данные из существующего запроса.
Для того чтобы постоянно не формировать отчеты при открытии оснастки «Управление групповой политикой», вы можете сохранить существующий отчет в HTML или XML формате. Для этого выделите отчет, который вам нужно сохранить и из контекстного меню выберите команду «Сохранить отчет». В открывшемся диалоговом окне «Сохранение отчета объекта групповой политики» выберите папку для сохранения отчета, введите его название и укажите тип файла. Сохраненный отчет будет выглядеть следующим образом:
Функционал клиентских и серверных операционных систем Windows позволяет вам управлять компонентом RSoP для настройки групповой политики в организации и генерировать отчеты при помощи следующих средств:
Оснастка «Результирующая политика». Данная оснастка применяется для создания подробных отчетов о применяемых параметрах политики в двух режимах: режим журналирования и режим планирования, с понятиями которых вы уже ознакомились выше. Именно об этой оснастке и пойдет речь в последующих разделах данной статьи;
Мастер результатов групповой политики. Компонент оснастки «Управление групповой политикой», предназначен для того, чтобы точно определять параметры применяемой к пользователю или компьютеру политики и причины их применения. О данной оснастке вы также узнаете из данной статьи;
Утилита командной строки Gpresult. Утилита командной строки, которая предназначена для получения таких подробных сведений, как данные, предоставляемые в режиме входа RSoP, запросто экспортируемых в текстовый файл для дальнейшего анализа. О применении текущей утилиты вы узнаете в конце текущей статьи.
Использование оснастки «Результирующая политика»
Преимущество использования оснастки «Результирующая политика» заключается в том, что анализировать применение групповых политик при помощи данной оснастки вы можете как в доменной среде, так и находясь в рабочей группе. Соответственно, результат применения объектов групповых политик к пользователю или компьютеру можно просматривать как в серверной операционной системе, так и в клиентской ОС. В этом разделе вы узнаете о применении данной оснастки, а также о сохранении, изменении и обновлении запроса результирующей политики.
Открытие оснастки «Результирующая политика»
Открыть оснастку «Результирующая политика» вы можете одним из следующих способов:
Откройте «Консоль управления MMC». Для этого нажмите на кнопку «Пуск», в поле поиска введите mmc, а затем нажмите на кнопку «Enter». Откроется пустая консоль MMC. В меню «Консоль» выберите команду «Добавить или удалить оснастку» или воспользуйтесь комбинацией клавиш Ctrl+M. В диалоге «Добавление и удаление оснасток» выберите оснастку «Результирующая политика» и нажмите на кнопку «Добавить», а затем нажмите на кнопку «ОК»;
Воспользуйтесь комбинацией клавиш +R для открытия диалога «Выполнить». В диалоговом окне «Выполнить», в поле «Открыть» введите rsop.msc и нажмите на кнопку «ОК». Вместе с этой командой вы можете использовать такие параметры, как /RsopNamespace для указания пространства имен и /RsopTargetComp, предназначенной для указания конечного компьютера.
Если вы открываете оснастку RSoP вторым способом, то функционал результирующей политики обработает данные, согласно параметрам, которые были указаны в диалоговом окне «Выполнить». На следующей иллюстрации вы можете увидеть диалоговое окно обработки данных RSoP:
Рис. 52. Диалоговое окно «Обработка результирующей политики (RSoP)»
Генерирование отчета журналирования RSoP
В предыдущем разделе я говорил о том, что предоставление информации о результатах параметров групповых политик, которые применяются к существующим пользователям или компьютерам называется режимом журналирования RSoP. В этом разделе рассказывается о том, как можно сгенерировать отчет журналирования результирующей политики. В основном данный режим RSoP используется для выявления параметров политики, применяемых для указанного компьютера или пользователя, изучения неверных или измененных параметров политики, а также для просмотра того, как могут повлиять группы безопасности на параметры политики. Для того чтобы сгенерировать такой отчет, выполните действия, указанные в следующей процедуре:
Откройте мастер результирующей политики из открытой оснастки «Результирующая политика». Для этого выполните одно из следующих действий:
В дереве консоли нажмите правой кнопкой мыши на узле «Результирующая политика» и из контекстного меню выберите команду «Создать данные RSoP»;
Если у вас отображается панель действий, то перейдите на ней по ссылке «Дополнительные действия», а затем выберите команду «Создать данные RSoP»;
В меню «Действие» выберите команду «Создать данные RSoP».
На первом шаге приветствия прочитайте краткое описание данного компонента и нажмите на кнопку «Далее»;
На странице «Выбор режима» вам предлагают выбрать, для какого режима вы будете генерировать отчет RSoP. Так как в данном примере мы генерируем режим журналирования (или, иначе говоря, входа), установите переключатель на опцию «Режим входа» и нажмите на кнопку «Далее». Необходимо обратить внимание на то, что если ваш компьютер не входит в состав домена Active Directory, у вас не получится установить переключатель на опцию «Режим планирования», то есть воспользоваться функционалом моделирования групповой политики;
Рис. 54. Страница «Выбор режима» мастера результирующей политики
На следующем шаге, странице «Выбор компьютера» вам нужно будет выбрать компьютер, для которого будет генерироваться отчет результирующей политики. Вы можете указать локальный компьютер или можете выбрать любой компьютер вашей сети, воспользовавшись стандартным диалоговым окном «Выбор компьютера», вызываемым нажатием на кнопку «Обзор». Если вы не хотите, чтобы в отчете отображались параметры политик компьютера, установите на данной странице флажок «Не отображать параметры политики для выбранного компьютера». После того как будут внесены все необходимые данные, нажмите на кнопку «Далее»;
Рис. 55. Страница «Выбор компьютера» мастера результирующей политики
На странице «Выбор пользователя» выберите пользователя, для которого генерируется данный отчет. Вы можете выбрать текущего пользователя, под которым вы вошли в систему на данный момент или выбрать любого существующего пользователя из предоставленного списка, установив переключатель на опцию «Другого пользователя» и выбрать учетную запись из предоставленного системой списка. Также как и на предыдущей странице, вы можете отказаться от отображения параметров политики пользователя на данном шаге. Для этого просто установите переключатель на соответствующую опцию. После того как вы выберите пользователя нажмите на кнопку «Далее»;
Рис. 56. Страница «Выбор пользователя» мастера результирующей политики
На предпоследнем шаге – странице «Сводка выбранных параметров» вы можете просмотреть все настройки генерируемого отчета результирующей политики и при необходимости нажать на кнопку «Назад», чтобы изменить несоответствующие параметры. Флажок «Сбор расширенных сведений об ошибке» данной страницы предназначен для отображения всех событий в журнале приложения на указанном ранее компьютере. Данный параметр имеет особую ценность, так как он позволяет получить сведения об ошибках на клиентских компьютерах, где вероятность возникновения ошибок больше. Недостатком применения данного параметра является то, что скорость обработки отчета в это время значительно снижается;
Рис. 57. Сводка указанных ранее параметров результирующей политики
Страница «Завершение мастера результирующей политики» свидетельствует о завершении генерирования RSoP отчета. Нажмите на кнопку «Готово».
Рис. 58. Завершающая страница мастера результирующей политики
В рамках данной статьи генерирование отчетов режима планирования групповых политик рассматриваться не будет, так как моделирование групповой политики было подробно рассмотрено в предыдущей статье данного цикла.
Анализ отчета и выполнение дополнительных действий
После того как отчет будет сгенерирован, вы увидите, что в оснастке «Результирующая политика» будут отображаться все параметры политик, которые могли быть настроены для указанного вами компьютера и пользователя. В области сведений данной оснастки, в узлах «Конфигурация компьютера» и «Конфигурация пользователя» отображаются конфигурация программ, конфигурация Windows, а также дополнительные параметры системного реестра. Если вы открыли данную оснастку, используя команду rsop.msc без параметров, то для вас будет открыта оснастка результирующей политики с параметрами политики локального компьютера и локального пользователя.
В узле конфигурации программ, в области сведений вы можете проанализировать результаты RSoP, которые относятся к настройке программ. В узле «Конфигурация Windows» вы можете анализировать такие параметры политики, как: сценарии, параметры безопасности, где отображаются абсолютно все политики безопасности, которые вы даже не сможете найти в оснастке «Редактирование групповых политик» на клиентском компьютере. Помимо этого, открыв любую политику безопасности, вы не сможете изменить ее параметры, но для вас будет доступна новая вкладка под названием «Приоритет», в которой вы можете увидеть, какие объекты групповой политики влияют на данный параметр, в порядке от новых к старым. Также вы можете просмотреть политики веб-браузера Internet Explorer и настройки административных шаблонов, причем для административных шаблонов в области сведений будет отображаться новый столбец «Имя объекта групповой политики», в котором указывается название объекта групповой политики.
Рис. 59. Административные шаблоны результирующей политики
Дополнительные параметры реестра представляют собой набор параметров реестра, связанных с политикой, не имеющие связанного административного шаблона. Поскольку связь с административным шаблоном отсутствует, в объяснении параметра указываются только раздел реестра и объект групповой политики, задающий этот раздел.
При необходимости вы можете изменить набор параметров, отвечающих за содержимое вашего отчета RSoP. Для этого вам нужно в дереве консоли нажать правой кнопкой мыши на узле «%Имя_пользователя% на %имя_компьютера% - результирующая политика» и из контекстного меню выбрать команду «Изменить запрос». При выборе данной команды откроется мастер создания результирующей политики на странице «Выбор компьютера». Далее вам нужно выполнить действия, указанные в предыдущем разделе, начиная с пункта 4.
Может произойти такая ситуация, когда во время анализа вам нужно будет изменить один или несколько объектов групповой политики, которые распространяются на компьютер или пользователя, для которого проводится анализ результирующей групповой политики. В этом случае вам необходимо обновить политику RSoP на том компьютере, на котором в данный момент запущен отчет результирующей политики режима журналирования. Для того чтобы обновить отчет, нажмите правой кнопкой мыши на узле «%Имя_пользователя% на %имя_компьютера% - результирующая политика» и из контекстного меню выберите команду «Обновление запросов». Откроется диалоговое окно «Обработка результирующей политики RSoP» и через несколько минут ваш отчет будет обновлен.
Рис. 60. Обновление запросов результирующей политики
Помимо всех вышеперечисленных действий, вы можете сохранить оснастку с данными сгенерированного отчета для дальнейшего изучения и анализа. По умолчанию, при сохранении оснастки данные, которые были вами сгенерированы не сохраняются. Для того чтобы их сохранить, выполните следующие действия:
В меню «Вид» выберите команду «Архивировать данные в файле консоли»;
Перейдите в меню «Файл» и выберите команду «Сохранить»;
В диалоговом окне «Сохранить как» задайте имя и выберите папку, где будет сохранена ваша оснастка со всеми данными и нажмите на кнопку «Сохранить»;
Мастер результатов групповой политики
В серверной операционной системе Windows Server 2008/2008 R2 для анализа общего результата применения объектов групповых политик и параметров политик к компьютеру или пользователю организации вы можете воспользоваться «Мастером результатов групповой политики», который включен в оснастку «Управление групповой политикой». Помимо оснастки управления групповой политикой вы можете вызывать «Мастер результатов групповой политики» непосредственно из оснастки «Active Directory — пользователи и компьютеры» или оснастки «Active Directory — сайты и службы», о чем вы узнаете из процедур, описанных в данной статье. Как уже говорилось в предыдущей части статьи, результирующая политика использует базу данных CIMOM через инструментарий управления Windows (WMI) и при входе компьютера в сеть, в базу данных CIMOM записываются различные сведения. Но в отличие от базы данных CIMOM службы Active Directory сохраняют объекты вне зависимости от состояния компьютера или пользователя. Для хранения параметров в групповой политике используются объекты групповой политики непосредственно из Active Directory.
Генерирование отчета результирующей политики с помощью функционала «Мастер результатов групповой политики»
Перед выполнением отчета вам следует убедиться, что вы обладаете достаточным количеством прав для выполнения отчета на локальном или удаленном компьютере, на конечном компьютере установлена операционная система не ниже Windows XP, открыты порты 135 и 445, предназначенные для доступа к WMI. Помимо этого необходимо, чтобы служба WMI была запущена, а также пользователь, для которого выполняется анализ, как минимум один раз выполнял вход в систему. Для того чтобы сгенерировать отчет результирующей политики, выполните следующие действия:
В дереве консоли нажмите правой кнопкой мыши на узле «Результаты групповой политики» и из контекстного меню выберите команду «Мастер результатов групповой политики…», как показано на следующей иллюстрации:
Рис. 61. Открытие компонента «Мастер результатов групповой политики»
На первом шаге приветствия прочитайте краткое описание данного компонента и нажмите на кнопку «Далее»;
На странице «Выбор компьютера», так же, как и в оснастке rsop.msc вам предстоит выбрать компьютер, для которого будет генерироваться отчет результирующей политики. Для того чтобы указать удаленный компьютер, установите переключатель на «Другой компьютер», нажмите на кнопку «Обзор» и выберите искомый компьютер, используя функционал диалогового окна «Выбор компьютера». Если вы не хотите, чтобы в получившемся отчете отображались результаты параметров политики компьютера, установите флажок «Не отображать параметры политики для выбранного компьютера». По окончанию выбора компьютера нажмите на кнопку «Далее»;
Рис. 62. Страница «Выбор компьютера» мастера результатов групповой политики
На следующей странице, странице «Выбор пользователя» вы можете указать пользователя, который находится на выбранном вами компьютере, для которого и будет генерироваться данный отчет. Также как и на предыдущем шаге, вы можете не отображать в получившемся отчете параметры политики пользователя, установив переключатель на соответствующую опцию. После выбора действий на данной странице нажмите на кнопку «Далее»;
Рис. 63. Страница «Выбор пользователя» мастера результатов групповой политики
Страница «Сводка выбранных параметров» предназначена для того чтобы вы могли перепроверить все выбранные параметры для отчета результирующей групповой политики. Если вы по ошибке не выбрали какой-то параметр, вы всегда можете вернуться на соответствующую страницу, нажав на кнопку «Назад»;
Рис. 64. Страница «Сводка выбранных параметров» мастера результатов групповой политики
Последняя страница мастера, страница «Завершение мастера результатов групповой политики» говорит о том, что выполнение отчета было успешно завершено. Теперь для того чтобы просмотреть получившийся отчет результирующей групповой политики вам нужно только нажать на кнопку «Готово».
Рис. 65. Завершающий этап создания результирующей групповой политики
Анализ сгенерированного отчета результирующей групповой политики
После выполнения отчета, мастер выведет подробный отчет результирующей групповой политики в формате HTML. Также как и во всех отчетах оснастки «Управление групповой политикой», в случае с включенной конфигурацией усиленной безопасности браузера Internet Explorer, вам будет предложено разрешить консоли отображать все динамическое содержимое отчета. Помимо этого вы можете развернуть или свернуть любую секцию полученного отчета, нажав на ссылки «Показать» или «Скрыть». Отчет результатов групповой политики содержит три вкладки с данными обработки объектов групповой политики.
Вкладка «Сводка». На этой вкладке отображается состояние обработки групповой политики в последнем обновлении, а также сводные данные результирующей политики для конфигурации пользователя и конфигурации компьютера. Как для конфигурации пользователя, так и для конфигурации компьютера вы можете просмотреть следующие сводные данные:
Общие данные, где вы можете узнать об имени компьютера, его расположении в домене, а также домен, сайт и прочие данные которые собираются при формировании результирующей политики;
Объекты групповой политики, которые применяются или отклоняются для всего домена, подразделения или индивидуально для пользователя или компьютера;
Имитация членства в группе безопасности для пользователя или компьютера, которая отображает все группы, членом которых является данный объект;
Список WMI фильтров, которые связаны с групповой политикой и будут включены в конечный запрос;
Состояние компьютера, где вы сможете узнать, насколько удачно будет применена инфраструктура групповой политики, политик безопасности и изменения в системном реестре.
Вкладка «Сводка» отображена на следующей иллюстрации:
Рис. 66. Вкладка «Сводка» отчета результирующей групповой политики
Вкладка «Параметры». На этой вкладке вы можете увидеть результирующий набор параметров групповой политики, которые применяются к пользователю или компьютеру, для которых был сгенерирован данный отчет. Здесь указаны абсолютно все действия, которые на данный момент применяются в результате реализации групповой политики. Несмотря на то, что данный отчет максимально подробный, некоторые параметры, такие как параметры дисковых квот и беспроводных сетей отображаться не будут. Вкладку «Параметры» отчета результирующей групповой политики вы можете увидеть ниже:
Рис. 67. Вкладка «Параметры» отчета результирующей групповой политики
Вкладка «События политики». Данная вкладка среди всех отчетов является уникальной, и она отображается только для данного отчета. На ней отображены все события групповой политики из журналов событий компьютера, для которого выполнялся отчет результирующей групповой политики. При выполнении двойного щелчка на любом событии откроются его свойства, что позволяет подробно ознакомиться с выбранным событием в случае ошибки. Вкладку «События политики» вы можете увидеть на следующей иллюстрации:
Рис. 68. Вкладка «События политики» отчета результирующей групповой политики
Сохранение отчета результирующей групповой политики
После того как отчет результирующей групповой политики будет сформирован, вы можете сохранить существующий отчет в HTML или XML формате, с поддержкой динамического развертывания секция для дальнейшего изучения. Для этого выделите отчет, который вам нужно сохранить и из контекстного меню выберите команду «Сохранить отчет». В открывшемся диалоговом окне «Сохранение отчета объекта групповой политики»выберите папку для сохранения отчета, введите его название и укажите тип файла. Сохраненный отчет будет выглядеть следующим образом:
Рис. 69. Сохраненный отчет результирующей групповой политики
Генерирование отчета результирующей политики для домена, подразделения или сайта из оснастки «Active Directory – пользователи и компьютеры»
Как было указано выше, вы можете формировать отчеты результирующей групповой политики не только для пользователей или компьютеров вашей организации. При помощи оснастки «Active Directory – пользователи и компьютеры» вы можете составлять отчеты для подразделений и доменов своей организации. Для того, чтобы сгенерировать отчет результирующей групповой политики в режиме планирования для домена вашей организации, выполните следующие действия:
Откройте оснастку «Active Directory – пользователи и компьютеры»;
В дереве консоли данной оснастки выберите домен, для которого хотите сгенерировать RSoP отчет, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Все задачи», а затем команду«Результирующая политика (Планирование)…»;
Рис. 70. Открытие мастера результирующей политики из оснастки «Active Directory – пользователи и компьютеры»
На первой странице мастера выберите контейнер, для которого будет выполняться отчет. По умолчанию выбран тот домен или подразделение, для которого была выполнена команда из пункта 2 данной процедуры. При необходимости вы можете выбрать другой контейнер или указать пользователя и компьютер. Если для вашего сценария достаточно действий, которые можно указать на этой странице, вы можете сразу перейти к последнему шагу, установив флажок «Перейти к последней странице, не собирая дополнительных данных»;
Рис. 71. Выбор контейнера для выполнения отчета RSoP
На следующем шаге вы можете выбрать сайт, а также указать дополнительные параметры. Страница «Дополнительные параметры эмуляции» отображена ниже:
Рис. 72. Страница «Дополнительные параметры эмуляции» мастера
На страницах «Группы безопасности пользователя» и «Группы безопасности компьютера», вы можете указать группы безопасности, членом которых являются пользователь и компьютер, для которого выполняется данный сценарий;
Рис. 73. Страница «Группы безопасности пользователя» мастера
На следующих двух страницах вам предстоит выбрать WMI фильтры, которые могут быть привязаны к объектам групповой политики. Одна из таких страниц отображена ниже:
Рис. 74. Страница «Фильтры WMI для пользователей» мастера
На следующем шаге, странице «Сводка выбранных параметров» вы можете просмотреть все настройки генерируемого отчета. Данная страница отображена ниже:
Рис. 75. Страница «Сводка выбранных параметров» мастера
По завершении выполнения отчета вы увидите соответствующую страницу, и вам нужно будет только нажать на кнопку «Готово».
После выполнения указанных выше действий откроется оснастка «Результирующая политика», в которой вы можете просмотреть все параметры политики, а также исходные объекты GPO, которые будут выполняться для выбранного вами контейнера. Данная оснастка отображена на следующей иллюстрации:
Рис. 76. Оснастка «Результирующая политика» с отчетом RSoP
Помимо всех вышеперечисленных возможностей, вы также можете выполнять запрос результирующей групповой политики для указанного вами сайта. Для того чтобы сгенерировать такой отчет, вам нужно открыть оснастку«Active Directory – сайты и службы». Находясь в этой оснастке, в дереве консоли выберите сайт, для которого вам нужно сгенерировать отчет, нажмите на нем правой кнопкой мыши и в контекстном меню выберите команду «Все задачи», а затем команду «Результирующая политика (Планирование)…», как показано на следующей иллюстрации:
Рис. 77. Открытие мастера результирующей политики из оснастки «Active Directory – сайты и службы»
Для формирования отчета вам нужно выполнить все действия, указанные в предыдущей процедуре. Основным отличием является лишь то, что в данном способе формирования результирующей групповой политики невозможно изменить имя сайта в запросе RSoP. Это видно на следующей иллюстрации:
Рис. 78. Выбор сайта при формировании отчета RSoP из оснастки «Active Directory – сайты и службы»
Утилита командной строки Gpresult.exe
Утилита командной строки Gpresult.exe представляет собой средство, которое выводит на экран командной строки результирующую политику для пользователя или компьютера. Эта утилита обращается к тому же провайдеру WMI и генерирует такую же информацию, как и предыдущие утилиты, а также позволяет сохранять такие же графические отчеты. Помимо этого утилита командной строки Gpresult.exe, так же как и мастер результирующей групповой политики, позволяет извлекать подробную информацию о неполадках обработки и применения групповой политики. Стоит обратить внимание на то, что в отчетах анализа результирующей групповой политики могут указываться объекты групповой политики с некорректной областью действия или ошибками обработки, которые не позволяют применить параметры групповых политик. Данную утилиту вы можете использовать на всех операционных системах Windows, начиная с Windows XP. Синтаксис у этой команды следующий:
/S. Значением данного параметра выступает имя или IP-адрес удаленного компьютера. Если не указывать параметр /s или в качестве имени использовать символ точки, то анализ результирующей групповой политики будет выполняться на локальном компьютере.
/U. Если вы укажите этот параметр, то команда будет выполняться с разрешениями учетной записи локального пользователя или пользователя, расположенного в домене. Если данный параметр не будет задан, то команда будет выполняться с разрешениями текущего вошедшего пользователя компьютера, с которого выполняется данная команда.
/P. Значением этого параметра выступает пароль для учетной записи пользователя, который был задан при помощи команды /U.
/USER. Данный параметр указывает имя пользователя, для которого отображаются данные анализа результирующей групповой политики.
/SCOPE. Текущий параметр позволяет указать отображение анализа результирующей групповой политики для параметров пользователя или компьютера. Допустимыми значениями для параметра /scope являются значенияuser или computer. Например, если вы укажите значение user, то в полученном отчете будут отображаться только параметры групповой политики пользователя. Если пропустить данный параметр, то будет выполняться анализ RSoP как пользовательских, так и компьютерных параметров политики.
/R. Этот параметр отображает сводные данные результирующей групповой политики. При добавлении данного параметра никакие значения не требуются.
/V. При помощи этого параметра вы можете отобразить подробные сведения результирующей групповой политики с детальной информацией.
/Z. Данный параметр отображает максимально подробную информацию, в том числе сведения обо всех параметрах политики, применяемых к компьютеру или пользователю. Стоит обратить внимание на то, что параметры /R,/V и /Z одновременно использовать нельзя. Очень часто при использовании этого параметра отображается намного больше информации, чем при использовании параметра /V, поэтому для дальнейшего анализа желательно перенаправлять вывод команды в текстовый файл.
/X. Используя данный параметр вы можете сохранить получившийся отчет в формате XML в папке и с именем файла, который вы должны указать как значения для этого параметра. Стоит обратить внимание на то, что этот параметр доступен в операционных системах, начиная с Windows Vista и Windows Server 2008.
/H. Данный параметр позволяет сохранить отчет в формате HTML. Также как и с параметром /X, вам нужно указать расположение для файла и вы не можете использовать этот параметр в операционных системах Windows XP иWindows Server 2003. Также вы не можете применять оба параметра одновременно в одной команде.
/F. Текущий параметр отвечает за принудительную перезапись существующего файла в случае использования параметров /X или /H.
В этом примере сгенерируем отчет результирующей групповой политики с пользовательскими настройками для локального компьютера и экспортируем его в HTML-файл с именем result.html в корне диска D:
Рис. 79. Выполнение отчета результирующей групповой политики из командной строки
Архивация групповой политики
Как было указано выше, вы можете выполнять резервное копирование конкретных объектов групповых политик, а также контейнер «Объекты групповой политики». Помимо этого, вы можете архивировать начальные объекты групповой политики и фильтры WMI. К сожалению, такие внешние параметры самого объекта групповой политики, как фильтры WMI, ссылки на сайты, домены и подразделения, а также политики IPSec, считаются независимыми объектами Active Directory и не подлежат архивированию. Стоит обратить внимание на то, что для выполнения архивирования объекта групповой политики у вас должны быть права на разрешение чтения объекта GPO, а также разрешения на запись в папку, в которой будет располагаться резервная копия объекта групповой политики. Для того чтобы выполнить архивирование одного определенного объекта групповой политики, выполните следующие действия:
Откройте оснастку «Управление групповой политикой» и в ней, в дереве консоли, разверните контейнер «Объекты групповой политики»;
Выберите один объект групповой политики (в этом примере создается резервная копия объекта групповой политики Default Domain Controllers Policy), нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Архивировать». Если вы хотите заархивировать сразу все объекты групповой политики, которые расположены в контейнере «Объекты групповой политики» или «Начальные объекты групповой политики», нажмите правой кнопкой мыши на самом контейнере и выберите команду «Архивировать все»;
В обоих случаях откроется диалоговое окно «Архивация объекта групповой политики», которое вы можете увидеть на первой иллюстрации. В этом диалоговом окне, в поле «Расположение» введите путь к папке, в которой будут храниться резервные копии ваших объектов групповой политики, а в поле «Описание» - краткое описание, предназначенное для локализации заархивированного объекта GPO. Если вы уже выполняли резервное копирование объектов GPO, то при повторном открытии данного диалогового окна, в поле «Расположение», будет указана папка, в которую выполнялось архивирование в предыдущий раз. Поле «Описание» является опциональным, то есть вводить текст в данное поле не обязательно;
Рис. 80. Диалоговое окно «Архивация объекта групповой политики»
Для того чтобы начать процесс архивации, нажмите на кнопку «Архивировать». На следующей иллюстрации отображается также диалоговое окно «Архивация объекта групповой политики», но во время выполнения резервного копирования объекта GPO:
Рис. 81. Процесс архивации объектов GPO
После того как все объекты групповой политики будут заархивированы, нажмите на кнопку «ОК» для закрытия данного диалогового окна.
Восстановление объекта групповой политики
Во время изменения параметров политик объекта групповой политики вы можете совершить ошибку, и настройки пользовательских компьютеров могут измениться в худшую сторону. Помимо этого, у вас всегда есть шанс по ошибке удалить нужный, а, возможно, и критичный для вас объект групповой политики. Чтобы избежать большинства подобных проблем, оснастка «Управление групповой политикой» позволяет управлять и восстанавливать резервные копии объектов групповой политики. При помощи механизма восстановления объектов GPO, вы можете изменить как модифицированные, так и удаленные объекты групповой политики. Так как каждый объект групповой политики архивируется отдельно с номером версии, которая включает в себя отметку времени и описание архива, вы можете восстановить последнюю или любую из предыдущих версий указанного вами объекта групповой политики. Также как и в случае с архивацией, для восстановления объекта GPO у вас должны быть права на разрешение создание в домене объект GPO, а также разрешения на чтение папки, в которой располагается резервная копия объекта групповой политики. Для восстановления существующего объекта групповой политики, выполните следующие действия:
Откройте оснастку «Управление групповой политикой», где в дереве консоли разверните контейнер, в котором расположен объект групповой политики, который вам нужно восстановить;
Выделите объект групповой политики, который вам нужно восстановить, нажмите на нем правой кнопкой мыши и в открывшемся контекстном меню выберите команду «Восстановить из архива…»;
В отобразившемся диалоговом окне «Мастер восстановления объекта групповой политики», на первой странице мастера прочтите информацию о восстановлении объектов GPO из архивов и нажмите на кнопку«Далее»;
Рис. 82. Страница приветствия мастера восстановления объектов групповой политики
На странице «Расположение архива» укажите папку, в которой расположена архивная копия объекта групповой политики;
Рис. 83. Страница «Расположение архива» мастера восстановления объекта групповой политики
На странице «Исходный объект групповой политики», выберите объект групповой политики, который требуется восстановить. Если вы создавали несколько резервных копий объекта групповой политики, вы можете выбрать любую архивную копию, создаваемую ранее из списка «Архивированные объекты политики для восстановления». Если вы хотите просмотреть изменения в выбранной вами политике, нажмите на кнопку «Просмотреть параметры…»;
Рис. 84. Страница «Исходный объект групповой политики» мастера восстановления групповой политики
Нажмите на кнопку «Далее». На странице «Завершение мастера восстановления объектов групповой политики» просмотрите сводную информацию и нажмите на кнопку «Готово»;
Рис. 85. Страница завершения мастера восстановления объектов групповой политики
На следующем шаге откроется диалоговое окно «Восстановление», где по завершению процесса восстановления нажмите на кнопку «ОК»;
Рис. 86. Диалоговое окно «Восстановление»
Управление архивацией
Управления архивацией позволяет вам восстанавливать или удалять один или несколько объектов групповой политики. Для того чтобы воспользоваться механизмом управления архивации, выполните следующие действия:
В оснастке «Управление групповой политикой» выберите контейнер «Объекты групповой политики», нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Управление архивацией»;
В диалоговом окне «Управление архивацией», которое отображено на следующей иллюстрации, выберите удаленный объект групповой политики или тот объект GPO, который требуется восстановить, и нажмите на кнопку «Восстановить». Если у вас отображено сразу несколько объектов групповой политики, которые отличаются только по временной отметке, вы можете установить флажок «Показывать только последнюю версию каждого объекта групповой политики» для отображения последнего изменения для каждого присутствующего в архиве объекта GPO. Также вы можете удалить из архива несколько объектов групповых политик. Для этого, удерживая клавишу Ctrl, выделите сразу несколько объектов GPO и нажмите на кнопку «Удалить».
Для обеспечения быстрого способа миграции параметров групповой политики из одного домена в другой, в оснастке «Управление групповой политикой» предусмотрен функционал копирования объектов GPO. Для того чтобы у вас была возможность выполнения операций копирования объектов групповых политик, у вас должны быть права на разрешение чтения объекта GPO в исходном домене, а также разрешения на создание объекта групповой политики в конечном домене. Также вы можете создавать копии объектов групповой политики в том же домене, где и был скопирован исходных объект GPO. Для того чтобы выполнить копирование объектов GPO, выполните следующие действия:
Откройте оснастку «Управление групповой политикой», где в дереве консоли разверните контейнер, в котором расположен объект групповой политики, который вам нужно скопировать;
Выделите объект групповой политики, который вы хотите скопировать, нажмите на нем правой кнопкой мыши и выберите в контекстном меню команду «Копировать»;
В конечном домене или в домене, содержащем исходный объект групповой политики, нажмите правой кнопкой мыши на контейнере «Объекты групповой политики» и выберите команду «Вставить»;
В том случае, если вы производите копирование объекта GPO в исходный домен, в отобразившемся диалоговом окне «Копирование объекта групповой политики» вы можете завершить процесс копирования. Укажите разрешения для нового объекта групповой политики и нажмите на кнопку «ОК». В случае копирования объекта групповой политики в другой домен, для завершения процесса копирования, мастер запросит конфигурацию таблицы миграции, которая используется для преобразования специфических данных объектов групповых политик, которые могут оказаться неприменимыми в другом домене. На следующей иллюстрации отображено диалоговое окно «Копирование объекта групповой политики»:
Рис. 88. Диалоговое окно «Копирование объекта групповой политики»
Импорт параметров объекта групповой политики
Иногда вам может понадобиться скопировать данные конфигурации определенного объекта групповой политики и импортировать заархивированные параметры групповой политики. Для выполнения импорта параметров групповых политик, выполните следующие действия:
Создайте архивную копию объекта групповой политики;
На следующем этапе вам нужно развернуть контейнер «Объекты групповой политики» в конечном домене или лесе, выбрать объект групповой политики, в который будут импортироваться параметры, нажать на нем правой кнопкой мыши и выбрать команду «Импорт параметров»;
На первой странице диалогового окна «Мастер импорта параметров» ознакомьтесь с предоставленной информацией и нажмите на кнопку «Далее»;
На странице «Архивирование объекта групповой политики» вы можете выполнить архивацию текущего объекта групповой политики, так как импорт параметров приведет к безвозвратному удалению текущих параметров объекта GPO;
Рис. 89. Страница архивирования объекта GPO мастера импорта параметров
На странице «Мастер импорта параметров» выберите папку, которая содержит архивную копию импортируемого объекта GPO;
На следующем шаге, странице «Исходный объект групповой политики» выберите заархивированную копию объекта GPO, параметры которого будут импортированы. Эта страница отображена ниже:
Рис. 90. Выбор исходного объекта групповой политики
На странице «Проверка архива» мастер импорта параметров проверит такие параметры домена, как группы безопасности и пути UNC. В этом случае рекомендуется использовать таблицу миграции. По окончании проверки архива нажмите на кнопку «Далее»;
Рис. 100. Процесс проверки исходного архива
На странице завершение мастера импорта параметров просмотрите сводную информацию и нажмите на кнопку «Готово»;
Последним шагом процесса импорта параметров GPO является, непосредственно сам импорт. После того как архивированные параметры GPO будут импортированы в конечный объект нажмите на кнопку «ОК».
Рис. 101. Процесс импорта заархивированных параметров объекта групповой политики
Если захотите импортировать объекты групповой политики из одного домена в другой, вам следует воспользоваться функционалом редактора таблиц миграции, который предназначен для облегчения процесса редактирования и развертывания таблиц миграции, и поставляется совместно с оснасткой управления групповыми политиками. При миграции объектов групповой политики из одного домена в другой вы можете столкнуться с трудностями, которые могут быть связаны с тем, что некоторая информация в объекте групповой политики на самом деле принадлежит тому домену, которому принадлежит объект групповой политики. В связи с этим использование идентичных параметров на домене, в который мигрирует новый объект групповой политики, считается нежелательным, так как в этом объекте может быть указана информация, которая ссылается на принципалов безопасности из другого домена. В этом случае целесообразно использовать таблицы миграции, которые предназначены для копирования и импорта объектов групповой политики из одного домена в другой в тех случаях, когда объекты содержат определенные сведения о домене, которые необходимо обновить во время копирования или импорта. К таким объектам относятся ссылки на пользователей, компьютеры и группы безопасности, включая пути UNC из исходного объекта групповой политики в новые значения конечного объекта. Если посмотреть на принципалов безопасности, которые передаются по доменам подробнее, то к ним можно отнести пользователей, группы и компьютеры, которые имеют ссылки в объекте групповой политики, в таблице управления доступом для любых настроек установки программного обеспечения объекта групповой политики, а также в таблице управления доступом объекта групповой политики. Принципалы безопасности могут содержать такие элементы, как группы с ограниченным доступом, системные службы, файловая система, реестр Windows, а также политики назначения прав пользователя.
По сути, таблица миграции – это файл, который состоит из одной или нескольких записей сопоставлений, состоящих из типа и имени исходного объекта, а также имени объекта назначения. Если во время импорта или копирования объекта групповой политики будет указана таблица миграции, то во время записи параметров конечного объекта групповой политики, каждая ссылка исходной записи будет заменена записью объекта назначения. Таблицы миграций сохраняются в XML-файлах с расширением .migtable. Создавать, редактировать и удалять таблицы миграции вы можете при помощи удобного пользовательского интерфейса утилиты «Редактор таблиц миграций», утилиты командной строки Mtedit.exe, а также при помощи любого доступного XML-редактора.
Содержимое файла таблицы миграции
Каждая таблица миграции, может включать в себя одну или несколько записей сопоставлений, причем, как было указано в предыдущем разделе, каждая запись сопоставления обязана содержать такие три вида данных, как имя исходного объекта, тип исходного объекта, а также имя объекта назначения. Рассмотрим отдельно каждый из этих видов данных:
Имя исходного объекта. В этом разделе содержатся сведения, которые включают точное имя принципала безопасности, относящегося к домену с исходным объектом групповой политики. Вы можете указать такие элементы, как пользователя, локальную группу в домене, глобальную группу, универсальную группу, компьютер, путь UNC, идентификатор безопасности SID или произвольный текст. Если вы вводите имя источника вручную, то вы должны ввести точно имя, которое соответствует одному из следующих форматов:
User Principal Name (UPN): domainuser@domainname.com;
Если вы сомневаетесь в правильности написания имени исходного объекта, в редакторе таблиц миграции, вы можете нажать правой кнопкой мыши на ячейке с именем исходного объекта, выбрать из контекстного меню команду «Обзор» и, в диалоговом окне выбора пользователя, компьютера или группы с уже знакомым для вас интерфейсом, выбрать требуемый принципал безопасности;
Тип исходного объекта. В данном разделе вы можете указать тип объекта, выбрав нужный тип из раскрывающегося списка. Из списка вы можете выбрать такие типы исходного объекта, как пользователь, локальную группу в домене, глобальную группу, универсальную группу, компьютер, путь UNC, идентификатор безопасности SID или произвольный текст, причем тип исходного объекта проставляется автоматически в том случае, если для поиска принципала безопасности использовали команду «Обзор»;
Имя объекта назначения. В текущем разделе вы можете определить имя пользователя, группу, компьютер или UNC путь исходного объекта групповой политики, которое должно обрабатываться при переходе к конечному домену групповой политики. Вы можете копировать принципал безопасности без изменений, что равносильно отсутствию исходного значения в таблице миграции; удалить пользователя, компьютер или группу из объекта групповой политики не указав никакого значения; сопоставлять данные по соответствующим именам, что не используется совместно с UNC путями; а также явно указать значение, что позволяет заменить исходное значение точным значением, указанным пользователем.
Использование редактора таблиц миграции
Утилита «Редактор таблиц миграции» считается наиболее удобным методом создания, изменения и сохранения таблиц миграций, так как представляет собой утилиту с простым и понятным пользовательским интерфейсом. Для того чтобы открыть созданный ранее файл таблицы миграции, вам достаточно лишь выполнить двойной щелчок на XML-файле таблицы миграции, после чего откроется утилита «Редактор таблицы миграции». А для того чтобы открыть данную утилиту, выполните следующие действия:
2В дереве консоли разверните узел «Домены» или узел «Объекты групповой политики», щелкните на одном из этих объектов правой кнопкой мыши и из контекстного меню выберите команду «Открыть редактор таблицы миграции».
Окно утилиты «Редактор таблицы миграции» вы можете увидеть на следующей иллюстрации:
Как было уже указано выше, для добавления принципалов безопасности вы можете воспользоваться командой «Обзор», которая вызывается из контекстного меню для разделов «Имя исходного объекта» и «Имя объекта назначения». Помимо этого, соответствующие текстовые поля разделов вы можете редактировать при помощи команд «Вырезать», «Копировать» и «Вставить» контекстного меню или вводя текст вручную. В том случае, если вы добавляли значение в разделе «Имя исходного объекта» не воспользовавшись командой «Обзор», значение раздела «Тип исходного объекта» автоматически не заполняется и вам нужно выбрать тип объекта при помощи раскрывающегося меню. Редактор таблицы миграции позволяет вам создавать корректные XML-файлы при помощи автоматической проверки синтаксиса. Помимо этого до окончательного сохранения создаваемой вами таблицы миграции вы можете проверить таблицу миграции на наличие ошибок. Для этого выберите команду «Проверить таблицу» из меню «Сервис». Диалоговое окно результатов проверки таблицы миграции отображено ниже:
Рис. 103. Диалоговое окно «Результаты проверки»
Кроме всех перечисленных выше действий, вы также можете заполнять таблицу миграции в автоматическом режиме при помощи сканирования объектов групповой политики или их архивных копий для извлечения всех ссылок на участников безопасности и внесения их в таблицу в качестве записей исходных имен. Для этого вы можете воспользоваться командами «Заполнить из объекта групповой политики» или «Заполнить из архивной копии» меню «Сервис», причем значением имени объекта назначения для каждого ресурса будет выступать «Соответствует с исходным объектом», а значением типа исходного объекта будет «Текст или ИД безопасности». Диалоговые окна заполнения таблицы миграции изображены ниже:
Рис. 104. Диалоговые окна «Выбор объекта групповой политики» и «Выберите архив»
Использование утилиты командной строки Mtedit.exe
Наряду с утилитой «Редактор таблиц миграции» вы можете использовать функционал утилиты командной строки Mtedit.exe, который также позволяет создавать таблицы миграции. В применении данная утилита очень проста, так как для ее использования вам нужно задать имя таблицы миграции, которую требуется открыть в редакторе, а после имени обязательные параметры. Для данной утилиты доступны только четыре параметра, которые описаны ниже:
/Domain. Данный параметр задает домены, которые будут использованы при выборе параметра «Заполнить из объекта групповой политики», где домен должен быть указан в формате DNS;
/DC. Текущий параметр задает контроллер домена, используемый для указанного домена в формате DNS или NetBIOS. В том случае, если вы не укажите данный параметр, то будет использоваться любой контроллер домена;
/Forest. Этот параметр дает задание редактору таблиц миграции использовать все домены в указанном лесу для заполнения списка доменов в диалоговом окне «Выбор объекта групповой политики» параметра«Заполнить из объекта групповой политики», которое указывается как DNS-имя корневого домена леса в выбранном лесу;
/DisableTrustChecking. Используя этот параметр, вы можете запретить доступ к доменам, с которыми установлены двусторонние отношения доверия.
Результат использования данной утилиты изображен ниже:
Как уже говорилось ранее в этой статье, помимо указанных выше способов создания таблиц миграции, вы можете создавать таблицы миграции вручную, используя любой редактор, позволяющий сохранять файлы в формате XML. Если вы все-таки решили создавать таблицу миграции в ручном режиме, то, прежде всего, вам нужно объявить пространство имен для того, чтобы созданную таблицу миграции можно было использовать на конечном домене. Пространство имен объявляется следующим образом:
После этого вам нужно в таблицу миграции добавить типы данных, для чего используются следующие элементы:
Тип Источник конечная_точка
Где элемент Mapping объявляет новый объект таблицы миграции, элемент Type указывает тип исходного объекта, элемент Source определяет имя исходного объекта, а при помощи элемента Destination указывается имя объекта назначения.
+R для открытия диалога «Выполнить». В диалоговом окне «Выполнить», в поле «Открыть» введите gpmc.msc и нажмите на кнопку «ОК»;
+R для открытия диалога «Выполнить». В диалоговом окне «Выполнить», в поле «Открыть» введите rsop.msc и нажмите на кнопку «ОК». Вместе с этой командой вы можете использовать такие параметры, как /RsopNamespace для указания пространства имен и /RsopTargetComp, предназначенной для указания конечного компьютера.
0 коммент.:
Отправить комментарий