Руководство по планированию и развертыванию групповой политики

Групповая политика Windows Server 2008 используется для управления конфигурациями групп компьютеров и пользователей, в том числе для управления параметрами политики, прописываемыми в реестре, параметрами безопасности, развертыванием программного обеспечения, сценариями, перенаправлением папок и предпочтениями.
Предпочтения групповой политики (новая возможность в Windows Server 2008) — это более двадцати расширений групповой политики, увеличивающих количество настраиваемых параметров политики в объекте групповой политики. В отличие от параметров групповой политики предпочтения не устанавливаются принудительно. Пользователи могут изменить предпочтения после начального развертывания. Сведения о предпочтениях групповой политики см. в статье Общие сведения о предпочтениях групповой политики (страница может быть на английском языке).

Благодаря использованию групповой политики можно значительно снизить в организации совокупную стоимость владения ПО. Разработку групповой политики могут осложнить различные факторы, например большое количество параметров политики, необходимость взаимодействия с несколькими политиками и параметры наследования. Благодаря тщательному планированию, проектированию, тестированию и развертыванию решения на основе бизнес-требований организации можно обеспечить стандартизированные функции, системы безопасности и средства управления, необходимые организации.

Общие сведения о групповой политике

Групповая политика позволяет управлять через Active Directory параметрами пользователей и компьютеров с операционными системами Windows Server 2008, Windows Vista, Windows Server 2003 и Windows XP. Помимо задания с помощью групповой политики конфигураций групп пользователей и компьютеров, групповую политику также можно использовать для управления серверами путем настройки многочисленных параметров работы сервера и параметров безопасности.

Создаваемые параметры групповой политики хранятся в объекте групповой политики. Для создания и изменения объектов групповой политики используется консоль управления групповыми политиками (GPMC). При использовании консоли управления групповыми политиками для привязки объекта групповой политики к выбранным сайтам, доменам и подразделениям Active Directory хранящиеся в этом объекте параметры политики применяются к пользователям и компьютерам в соответствующих объектах Active Directory. Подразделение представляет собой контейнер Active Directory самого нижнего уровня, к которому можно применить параметры групповой политики.

Для принятия правильных решения при разработке групповой политики необходимо четко понимать бизнес-потребности организации, соглашения об уровне обслуживания, а также требования к безопасности, сети и информационным технологиям. Путем анализа существующей среды и требований пользователей, определения бизнес-целей, которые необходимо достичь с помощью групповой политики, и следования данным рекомендациям по проектированию инфраструктуры групповой политики можно выработать подход, наилучшим образом отвечающий потребностям организации.

Процесс внедрения решения групповой политики

Процесс внедрения решения групповой политики включает этапы планирования, проектирования, развертывания и обслуживания решения.

При планировании структуры групповой политики убедитесь в том, что разрабатываемая структура подразделений позволяет упростить управление групповой политикой и соответствует соглашениям об уровне обслуживания. Разработайте эффективные операционные процедуры работы с объектами групповой политики. Убедитесь в том, что вам известны все проблемы взаимодействия с групповыми политиками, и определите, будет ли групповая политика использоваться для развертывания программного обеспечения.

На этапе проектирования выполняются указанные ниже задачи.

• Определение области применения групповой политики.
• Определение параметров политики, применимых ко всем корпоративным пользователям.
• Классификация пользователей и компьютеров на основе их ролей и расположения.
• Планирование конфигурации настольных компьютеров на основе потребностей пользователей и требований, предъявляемых к компьютерам.

Грамотно спланированная структура гарантирует успешное развертывание групповой политики.

Этап развертывания начинается с подготовки в тестовой среде. Процесс включает следующие действия:

• Разработка стандартных конфигураций настольных компьютеров.
• Фильтрация области применения объектов групповой политики.
• Задание исключений для наследования групповой политики по умолчанию.
• Делегирование администрирования групповой политики.
• Оценка действующих параметров политики с помощью моделирования групповой политики.
• Оценка результатов с помощью результатов групповой политики.

Подготовка в тестовой среде критически важна. Тщательно протестируйте реализацию групповой политики в тестовой среде перед развертыванием в рабочей среде. После завершения подготовки и тестирования перенесите объект групповой политики в рабочую среду с помощью консоли управления групповыми политиками. Рассмотрите возможность поэтапного внедрения групповой политики: вместо развертывания 100 новых параметров групповой политики подготовьте и разверните сначала несколько параметров, чтобы убедиться в работоспособности инфраструктуры групповой политики.

Наконец, подготовьтесь к обслуживанию групповой политики, установив процедуры для работы с объектами групповой политики и устранения неполадок с помощью консоли управления групповыми политиками.

Примечание

Расширенное управление групповыми политиками корпорации Microsoft расширяет возможности консоли управления групповыми политиками и предоставляет средства комплексного управления изменениями и улучшенного управления объектами групповой политики. Дополнительные сведения о расширенном управлении групповыми политиками см. на веб-сайте Microsoft Desktop Optimization Pack (MDOP) (страница может быть на английском языке) (http://go.microsoft.com/fwlink/?LinkId=100757).

Действия, которые необходимо выполнить перед тем, как приступить к проектированию решения групповой политики

Перед проектированием реализации групповой политики необходимо изучить текущую среду, а также выполнить ряд подготовительных действий в указанных ниже областях.

• Active Directory: убедитесь в том, что структура подразделений Active Directory для всех доменов в лесу поддерживает применение групповой политики. Дополнительные сведения см. ниже в разделе Проектирование структуры подразделений, поддерживающей групповую политику.
• Сеть: убедитесь в том, что сеть соответствует требованиям технологий управления изменениями и конфигурациями. Например, поскольку групповая политика имеет дело с полными именами доменов, для правильной обработки параметров групповой политики в лесу должна быть запущена служба DNS.
• Безопасность: составьте список используемых в домене групп безопасности. Тесно поработайте с администраторами безопасности, поскольку на них будет возложена ответственность за администрирование подразделений и создание структур, требующих применения фильтров групп безопасности. Дополнительные сведения о фильтрации объектов групповой политики см. ниже в подразделе «Применение объектов групповой политики к выбранным группам (фильтрация)» раздела Определение области применения групповой политики.
• ИТ-требования: составьте список владельцев-администраторов и корпоративных стандартов администрирования для доменов и подразделений, входящих в ваш домен. Это позволит разработать грамотный план делегирования и гарантировать надлежащее наследование групповой политики.

Примечание
Групповая политика основана на сетевых технологиях, технологиях безопасности и Active Directory, поэтому крайне важно знать все эти технологии. Перед внедрением групповой политики настоятельно рекомендуется изучить все эти концепции.

Требования к администрированию групповой политики

Для применения групповой политики в организации должна использоваться технология Active Directory, а на соответствующих настольных компьютерах и серверах должны быть установлены операционные системы Windows Server 2008, Windows Vista, Windows Server 2003 или Windows XP.

По умолчанию создавать и связывать объекты групповой политики могут только члены групп «Администраторы домена» и «Администраторы предприятия», однако эти полномочия можно делегировать другим пользователям. Дополнительные сведения о требованиях к администрированию групповой политики см. ниже в разделе Делегирование администрирования групповой политики.

Консоль управления групповыми политиками

Консоль управления групповыми политиками позволяет единообразно управлять всеми аспектами групповой политики в нескольких лесах организации. С помощью консоли управления групповыми политиками можно управлять по сети всеми объектами групповой политики, фильтрами инструментария управления Windows (WMI) и разрешениями, связанными с групповой политикой. Рассматривайте консоль управления групповыми политиками как основную точку доступа к групповой политике, в которой сосредоточены все средства управления групповой политикой.

Консоль управления групповыми политиками состоит из набора интерфейсов с поддержкой сценариев, предназначенных для управления групповой политикой, и пользовательского интерфейса на основе консоли управления (MMC). В ОС Windows Server 2008 входит 32- и 64-разрядная версия консоли управления групповыми политиками.

Ниже перечислены возможности консоли управления групповыми политиками.

• Импорт и экспорт объектов групповой политики.
• Копирование и вставка объектов групповой политики.
• Резервное копирование и восстановление объектов групповой политики.
• Поиск объектов групповой политики.
• Работа с отчетами.
• Моделирование групповой политики. Позволяет имитировать данные результирующей политики (RsoP) для планирования развертывания групповой политики перед реализацией в рабочей среде.
• Результаты групповой политики. Позволяют получить данные результирующей политики для просмотра взаимодействия с объектом групповой политики, а также для устранения неполадок, связанных с развертыванием групповой политики.
• Поддержка таблиц миграции, упрощающих импорт и копирование объектов групповой политики между доменами и лесами. Таблица миграции — это файл, в котором ссылки на пользователей, группы, компьютеры и UNC-пути в исходном объекте групповой политики сопоставляются новым значениям в конечном объекте групповой политики.
• Создание HTML-отчетов о параметрах объектов групповой политики и данных результирующей политики; отчеты можно сохранять и печатать.
• Интерфейсы с поддержкой сценариев, позволяющие выполнять все операции, доступные в консоли управления групповыми политиками. Сценарии нельзя использовать для изменения отдельных параметров политики в объекте групповой политики.

Примечание

В ОС Windows Server 2008 не входят примеры сценариев для консоли управления групповыми политиками из предыдущих версий консоли. Однако примеры сценариев для консоли управления групповыми политиками для Windows Server 2008 можно загрузить на странице Примеры сценариев для консоли управления групповыми политиками (страница может быть на английском языке). Дополнительные сведения об использовании примеров сценариев для консоли управления групповыми политиками см. ниже в разделе Использование сценариев для управления групповой политикой.

Консоль управления групповыми политиками значительно упрощает управление развернутой групповой политикой и позволяет воспользоваться всеми преимуществами групповой политики благодаря простому и мощному интерфейсу управления групповой политикой.

Проектирование структуры подразделений, поддерживающей групповую политику

В среде Active Directory параметры групповой политики задаются путем привязки объектов групповой политики к сайтам, доменам и подразделениям. Как правило, большинство объектов групповой политики задается на уровне подразделений, поэтому необходимо убедиться в том, что структура подразделений поддерживает стратегию управления клиентскими компьютерами на основе групповой политики. Некоторые параметры групповой политики задаются на уровне домена, например политики работы с паролями. Крайне незначительное количество параметров применяется на уровне сайтов. Грамотно спроектированная структура подразделений, отражающая административную структуру организации и использующая все преимущества наследования объектов групповой политики, упрощает применение групповой политики. Например, грамотно спроектированная структура подразделений позволяет избежать дублирования определенных объектов групповой политики, что, в свою очередь, позволяет применять такие объекты к различным частям организации. Если возможно, создайте подразделения, позволяющие делегировать административные полномочия и реализовывать групповую политику.

При проектировании подразделений необходимо найти баланс между требованиями к делегированию административных полномочий независимо от потребностей групповой политики и необходимостью ограничить область применения групповой политики. Ниже приведены рекомендации по проектированию подразделений, позволяющие справиться с проблемами делегирования и задания области применения.

• Делегирование административных полномочий: можно создавать подразделения в домене и делегировать административные полномочия для конкретных подразделений определенным пользователям или группам. Структура подразделений может зависеть от требований к делегированию административных полномочий.
• Применение групповой политики: при проектировании структуры подразделений подумайте сначала об объектах, которыми необходимо управлять. Возможно, вам необходимо создать структуру, в которой подразделения организованы по рабочим станциям, серверам и пользователям ближе к верхнему уровню. В зависимости от модели администрирования можно классифицировать подразделения по географическому положению и сделать их либо дочерними, либо родительскими по отношению к другим подразделениям, а затем дублировать структуру для каждого расположения, чтобы избежать необходимости репликации между различными сайтами. Добавляйте подразделения на нижние уровни только в том случае, если это позволит упростить применение групповой политики либо если необходимо делегировать административные полномочия на нижние уровни.

При использовании структуры, в которой подразделения содержат однородные объекты, например объекты пользователей либо объекты компьютеров, но не оба типа объектов одновременно, можно легко отключать разделы объекта групповой политики, которые не применяются к определенному типу объектов. Такой подход к проектированию структуры подразделений, приведенный на рис. 1, позволяет упростить структуру и увеличить скорость применения групповой политики. Не забывайте, что объекты групповой политики, привязанные к высоким уровням структуры подразделений, наследуются по умолчанию, что снижает потребность в дублировании объектов групповой политики или в привязке одного объекта групповой политики к нескольким контейнерам.

При проектировании структуры Active Directory самое главное — это простота администрирования и делегирования.

Применение групповой политики к новым учетным записям пользователей и компьютеров

Новые учетные записи пользователей и компьютеров по умолчанию создаются в контейнерах CN=Users и CN=Computers. К этим контейнерам невозможно непосредственно применить параметры групповой политики, хотя эти контейнеры наследуют объекты групповой политики, связанные с доменом. Чтобы применить групповую политику к контейнерам пользователей и компьютеров по умолчанию, необходимо воспользоваться новыми средствами Redirusr.exe и Redircomp.exe.

Программы Redirusr.exe (для учетных записей пользователей) и Redircomp.exe (для учетных записей компьютеров) входят в состав ОС Windows Server 2008. С помощью этих средств можно изменить расположение по умолчанию, в котором создаются новые учетные записи пользователей и компьютеров, что позволяет применять объекты групповой политики непосредственно к создаваемым объектам пользователей и компьютеров. Эти средства расположены на серверах с ролью служб Active Directory в каталоге %windir%\system32.

Однократно запустив для каждого домена средства Redirusr.exe и Redircomp.exe, администратор домена может указать подразделения, в которые во время создания будут помещаться все создаваемые учетные записи пользователей и компьютеров. Это позволяет администраторам управлять подобными неназначенными учетными записями с помощью групповой политики до того, как им будет назначено окончательное подразделение. Рассмотрите возможность ограничения с помощью групповой политики подразделений, используемых для новых учетных записей пользователей и компьютеров, чтобы повысить безопасность этих учетных записей.

Дополнительные сведения о перенаправлении учетных записей пользователей и компьютеров см. в статье 324949 базы знаний Microsoft «Перенаправление контейнеров пользователей и компьютеров в доменах Windows Server 2003» (страница может быть на английском языке) (http://go.microsoft.com/fwlink/?LinkId=100759).

Вопросы, связанные с сайтами и репликацией

После определения подходящих параметров политики необходимо принять во внимание физические аспекты Active Directory, включающие географическое положение сайтов, физическое размещение контроллеров домена и скорость репликации.

Объекты групповой политики хранятся как в Active Directory, так и в папке Sysvol на каждом контроллере домена. Для этих расположений используются разные механизмы репликации. При подозрении, что объект групповой политики не был реплицирован между контроллерами домена, воспользуйтесь для диагностики проблем средством Gpotool.exe из набора ресурсов.

Дополнительные сведения о средстве Gpotool.exe см. на сайте справки и поддержки Microsoft (страница может быть на английском языке) (http://go.microsoft.com/fwlink/?LinkId=109283). Для загрузки средств из набора ресурсов для Windows Server 2008 перейдите в раздел «Набор ресурсов для Windows Server 2008» Центра загрузки Microsoft (страница может быть на английском языке) (http://go.microsoft.com/fwlink/?LinkId=4544).

Размещение контроллера домена может представлять проблему при использовании низкоскоростных подключений, как правило, для клиентов на удаленных сайтах. Если скорость сетевого соединения между клиентом и контроллером домена падает ниже установленного по умолчанию порогового значения (500 килобит в секунду), по умолчанию применяются только параметры административного шаблона (через реестр), новое расширение «Беспроводная политика» и параметры безопасности. Все остальные параметры групповой политики по умолчанию не применяются. Однако это поведение можно изменить с помощью групповой политики.

Пороговое значение для низкоскоростных подключений можно изменить с помощью политики «Обнаружение медленных подключений для групповой политики» как для пользователей, так и для компьютеров. При необходимости также можно указать, какие расширения групповой политики будут обрабатываться на подключениях, скорость которых не превышает порогового значения. Даже в этом случае имеет смысл разместить в удаленном расположении локальный контроллер домена для обслуживания потребностей в управлении.

Обеспечение соответствия соглашениям об уровне обслуживания

В некоторых ИТ-отделах соглашения об уровне обслуживания используются для регламентации работы служб. Например, в соглашении об уровне обслуживания может оговариваться максимальная продолжительность времени, отведенного на запуск компьютера и вход в систему, продолжительность использования компьютера после входа пользователя в систему и т. д. В соглашениях об уровне обслуживания часто устанавливаются стандарты на время реагирования служб. Например, в соглашении об уровне обслуживания может указываться время, в течение которого пользователю разрешается получить новое приложение или получить доступ к ранее отключенной возможности. На время реакции службы влияют такие факторы, как топология сайтов и репликации, расположение контроллеров домена и местонахождение администраторов групповой политики.

Чтобы сократить время, необходимое для обработки объекта групповой политики, воспользуйтесь одной из приведенных ниже стратегий.

• Если в объекте групповой политики содержатся только параметры конфигурации компьютера или параметры конфигурации пользователя, отключите неиспользуемые параметры политики. После этого конечный компьютер не будет сканировать отключенные разделы объекта групповой политики, а время обработки сократится. Сведения об отключении разделов объекта групповой политики см. ниже в разделе Отключение в объекте групповой политики разделов «Конфигурация пользователя» или «Конфигурация компьютера».
• Если возможно, объедините несколько маленьких объектов групповой политики в один большой. При этом уменьшится количество объектов групповой политики, применяемых к пользователю или компьютеру. Чем меньше объектов групповой политики применяется к пользователю или компьютеру, тем меньше время запуска и входа в систему и тем проще устранять неполадки, связанные со структурой политики.
• Изменения, вносимые в объекты групповой политики, реплицируются на контроллеры домена, что приводит к необходимости загрузки новых данных на клиентские и иные компьютеры. При наличии больших или сложных объектов групповой политики, требующих частых изменений, рассмотрите возможность создания нового объекта групповой политики, содержащего только постоянно обновляемые разделы. Проверьте этот подход на практике, чтобы определить, перевешивают ли преимущества от минимизации нагрузки на сеть и сокращения времени обработки на конечных компьютерах недостатки, связанные с усложнением структуры объектов групповой политики и, как следствие, с повышенной сложностью при устранении неполадок.
• Внедрите процесс управления изменениями групповой политики и записывайте в журнал все изменения, вносимые в объекты групповой политики. Это позволит выявлять и устранять проблемы, связанные с объектами групповой политики. Это также позволит обеспечить соответствие соглашениям об уровне обслуживания, в рамках которых требуется вести журналы. Рассмотрите возможность использования для внедрения процесса управления изменениями и управления объектами групповой политики средства расширенного управления групповыми политиками.

Определение целей использования групповой политики

При планировании развертывания групповой политики определите конкретные бизнес-требования и то, каким образом их можно реализовать с помощью групповой политики. После этого можно выделить наиболее подходящие под эти требования параметры политики и конфигурации.

Цели при каждой реализации групповой политики меняются в зависимости от расположения пользователей, требований конкретной работы, уровня компьютерной грамотности пользователей и корпоративных требований к безопасности. В некоторых случаях может потребоваться отключить на компьютерах пользователей ряд функций, чтобы пользователи не смогли изменить файлы конфигурации системы (что может отрицательно сказаться на производительности компьютера), либо удалить приложения, не являющиеся необходимыми для работы. В остальных случаях групповая политика используется для настройки параметров операционной системы, параметров браузера Internet Explorer и задания политики безопасности.

Четкое понимание текущей среды и потребностей организации позволяет разработать план, наилучшим образом соответствующий требованиям организации. Сбор сведений о типах пользователей, например производственных рабочих и наборщиков данных, а также о существующих и планируемых конфигурациях компьютеров, является одной из важных задач. На основе этих сведений можно определить цели групповой политики.

Оценка существующих корпоративных практик

Чтобы выделить необходимые параметры групповой политики, начните с оценки принятых в корпоративной среде практик. Ниже перечислены факторы, которые необходимо учитывать.

• Требования для различных типов пользователей.
• Текущие ИТ-роли, например различные административные обязанности, распределенные по группам администраторов.
• Существующие корпоративные политики безопасности.
• Иные требования безопасности, предъявляемые к серверам и клиентским компьютерам.
• Модель распространения программного обеспечения.
• Конфигурация сети.
• Расположения хранения данных и процедуры обработки данных.
• Принятые процедуры управления пользователями и компьютерами.

Определение целей использования групповой политики

Далее, в рамках процесса определения целей групповой политики, определите указанные ниже факторы.

• Назначение каждого объекта групповой политики.
• Владелец каждого объекта групповой политики — лицо, запрашивающее параметр политики и ответственное за него.
• Количество используемых объектов групповой политики.
• Контейнер, соответствующий каждому объекту групповой политики (сайт, домен или подразделение).
• Типы параметров политики, хранящихся в каждом объекте групповой политики, и соответствующие параметры политики для пользователей и компьютеров.
• Процедура задания исключений для принятого по умолчанию порядка обработки групповой политики.
• Порядок задания параметров фильтрации для групповой политики.
• Устанавливаемые приложения и их расположение.
• Общие сетевые ресурсы, используемые для перенаправления папок.
• Расположение запускаемых сценариев входа в систему, выхода из системы, запуска и завершения работы компьютера

Планирование администрирования групповой политики

При проектировании и внедрении решения групповой политики также важно спланировать администрирование групповой политики. Наличие процедур администрирования для отслеживания объектов групповой политики и управления ими гарантирует, что все изменения вносятся надлежащим образом.

Чтобы упростить и упорядочить управление групповой политикой, воспользуйтесь приведенными ниже рекомендациями.

• Всегда подготавливайте групповую политику на основе приведенного ниже процесса предварительного развертывания.
  
  
  • Используйте моделирование групповой политики, чтобы понять, каким образом новый объект групповой политики будет взаимодействовать с существующими объектами групповой политики.
  • Разворачивайте новые объекты групповой политики в тестовой среде, моделирующей рабочую среду.
  • Используйте результаты групповой политики, чтобы узнать, какие параметры объекта групповой политики фактически применяются в тестовой среде.
• Используйте консоль управления групповыми политиками для регулярного резервного копирования объектов групповой политики.
• Используйте консоль управления групповыми политиками для управления групповой политикой по всей организации.
• Не изменяйте установленные по умолчанию политику доменов и политику контроллеров домена, если это не является необходимым. Вместо этого создайте новый объект групповой политики на уровне домена и настройте его таким образом, чтобы переопределить параметры политики по умолчанию.
• Разработайте соглашение о присвоении объектам групповой политики имен, четко определяющих назначение каждого объекта.
• Назначьте каждому объекту групповой политики только одного администратора. При этом работа одного администратора не будет пересекаться с работой других.

Windows Server 2008 и консоль управления групповыми политиками позволяет делегировать различным группам администраторов полномочия на изменение и привязку объектов групповой политики. При отсутствии адекватных процедур управления объектами групповой политики администраторы могут дублировать параметры объектов групповой политики или создавать объекты групповой политики, конфликтующие с параметрами политики, установленными другим администратором, либо не соответствующие корпоративным стандартам. Подобные конфликты могут отрицательно повлиять на настройки рабочего стола пользователей, привести к росту числа обращений в службу технической поддержки и затруднить устранение неполадок, связанных с объектами групповой политики.

Выявление проблем, связанных с взаимодействием

При планировании внедрения групповой политики в смешанной среде необходимо учитывать возможные проблемы, связанные с взаимодействием. В ОС Windows Server 2008 и Windows Vista имеется множество новых параметров групповой политики, отсутствующих в Windows Server 2003 и Windows XP. Однако даже в том случае, когда на клиентских компьютерах и серверах в организации установлены в основном ОС Windows Server 2003 и Windows XP, следует использовать консоль управления групповыми политиками из Windows Server 2008, поскольку она содержит новейшие параметры политики. При применении объекта групповой политики с новыми параметрами политики к предыдущей версии операционной системы, которая не поддерживает эти параметры, проблем не возникнет.

Параметры политики, поддерживаемые только Windows Server 2008 и Windows Vista, будут просто проигнорированы на компьютерах с ОС Windows Server 2003 и Windows XP Professional. Чтобы узнать, какие параметры политики применяются в конкретных операционных системах, см. раздел Поддерживается описания параметра политики, в котором указывается, какие операционные системы могут считывать данный параметр.

Определение момента, когда применяются изменения групповой политики

Изменения параметров групповой политики могут не сразу вступить в силу для настольных компьютеров пользователей, поскольку изменения, внесенные в объект групповой политики, должны сначала реплицироваться на соответствующий контроллер домена. Кроме того, для загрузки групповой политики клиентам предоставляется период обновления продолжительностью 90 минут (со случайным смещением, не превышающим 30 минут). Таким образом, лишь в редких случаях измененный параметр групповой политики применяется немедленно. Компоненты объекта групповой политики хранятся как в Active Directory, так и в папке Sysvol на контроллерах домена. Репликация объекта групповой политики на другие контроллеры домена выполняется с использованием двух указанных ниже независимых механизмов.

• Репликация в Active Directory контролируется встроенной системой репликации Active Directory. По умолчанию репликация между контроллерами домена на одном сайте занимает, как правило, менее минуты. Этот процесс в низкоскоростных сетях может проходить медленнее.
• Репликация папки Sysvol контролируется службой репликации файлов или репликацией распределенной файловой системы DFS. На сайтах репликация службы репликации файлов выполняется каждые 15 минут. Если контроллеры домена расположены на разных сайтах, репликация выполняется через заданные промежутки времени на основе топологии сайтов и расписания; минимальный интервал составляет 15 минут.

Примечание
Если крайне необходимо немедленно применить изменение к конкретной группе пользователей или компьютеров на определенном сайте, можно подключиться к ближайшему к этим объектам контроллеру домена и внести изменения в конфигурацию на данном контроллере домена, чтобы соответствующие пользователи первыми получили обновленные параметры политики.

Интервал обновления политики

Основными механизмами обновления групповой политики являются запуск компьютера и вход в систему. Групповая политика также регулярно обновляется через указанные интервалы времени. Интервал обновления политики влияет на скорость применения изменений к объектам групповой политики. По умолчанию клиентские и серверные компьютеры с ОС Windows Server 2008, Windows Vista, Windows Server 2003 и Windows XP выполняют проверку на наличие изменений объектов групповой политики каждые 90 минут со случайным смещением, величина которого не превышает 30 минут.

Контроллеры домена с ОС Windows Server 2008 и Windows Server 2003 выполняют проверку на наличие изменений политики компьютеров каждые пять минут. Политику опроса изменений можно изменить с помощью одного из следующих параметров политики: Интервал обновления групповой политики для компьютеров, Интервал обновления групповой политики для контроллеров домена и Интервал обновления групповой политики для пользователей. Однако не рекомендуется сокращать интервал между обновлениями из-за потенциального увеличения сетевого трафика дополнительной нагрузки на контроллеры домена.

Включение обновления групповой политики

При необходимости можно включить обновление групповой политики на локальном компьютере вручную, не дожидаясь автоматического обновления в фоновом режиме. Чтобы обновить параметры политики пользователя или компьютера, введите в окне командной строки команду gpupdate. Запустить обновление групповой политики с помощью консоли управления групповыми политиками нельзя. Команда gpupdate запускает фоновое обновление политики на локальном компьютере, на котором эта команда была выполнена.

Дополнительные сведения о команде gpupdate см. ниже в разделе Изменение интервала обновления групповой политики.

Примечание
Чтобы некоторые параметры политики, например параметры перенаправления папок и назначения приложений, вступили в силу, необходимо, чтобы пользователь вышел из системы и вошел в систему снова. Назначенные компьютерам приложения устанавливаются только после перезапуска компьютера.

Выявление проблем, связанных с установкой программного обеспечения

Хотя с помощью групповой политики можно устанавливать приложения, особенно в малых и средних организациях, необходимо определить, является ли такое решение оптимальным. При использовании групповой политики для установки приложений назначенные приложения устанавливаются или обновляются только после перезапуска компьютера или при входе пользователя в систему.

При использовании для развертывания программного обеспечения System Center Configuration Manager 2007 (ранее Systems Management Server (SMS)) пользователю предоставляются функции уровня предприятия, недоступные при использовании групповой политики, например нацеливание на основе инвентаризации, отчеты о состоянии и расписания. По этой причине групповую политику можно использовать для настройки настольных компьютеров и задания параметров безопасности системы и прав доступа, а Configuration Manager — для развертывания приложений. Такой подход позволяет контролировать пропускную способность путем планирования установки приложений на нерабочее время.

Выбор средств зависит от конкретных требований, конкретной среды и потребности в дополнительных функциях и дополнительных средств безопасности, предоставляемых Configuration Manager. Дополнительные сведения о Configuration Manager см. на веб-сайте System Center Configuration Manager (страница может быть на английском языке) (http://go.microsoft.com/fwlink/?LinkId=109285).

Разработка модели групповой политики

Главная цель — спроектировать структуру объектов групповой политики на основе бизнес-требований. Не забывая о компьютерах и пользователях в организации, определите, какие параметры политики необходимо принудительно установить в организации и какие параметры политики применимы ко всем пользователям или компьютерам. Также определите, какие параметры политики будут использоваться для настройки параметров компьютеров и пользователей в соответствии с их типом, функцией и ролью. После этого сгруппируйте различные типы параметров политики в объекты групповой политики и свяжите их с соответствующими контейнерами Active Directory.

Также необходимо помнить о модели наследования групповой политики и способе задания приоритетов. По умолчанию параметры, заданные в объектах групповой политики, связанных с верхними уровнями сайтов, доменов и подразделений Active Directory, наследуются всеми подразделениями на нижних уровнях. Унаследованную политику можно переопределить в объекте групповой политики, привязанному к нижнему уровню.

Например, с помощью объекта групповой политики, привязанного к верхнему уровню, можно задать стандартные обои рабочего стола, а для определенного подразделения задать другие обои. Для этого необходимо привязать второй объект групповой политики к конкретному подразделению нижнего уровня. Поскольку объекты групповой политики нижнего уровня применяются в последнюю очередь, второй объект групповой политики переопределит объект групповой политики на уровне домена и предоставит данному конкретному подразделению нижнего уровня другой набор параметров групповой политики. Механизм наследования по умолчанию можно изменить с помощью параметров «Блокировать наследование» и «Принудительно».

Ниже приведены рекомендации по настройке структуры групповой политики под потребности конкретной организации.

• Определите, есть ли параметры политики, которые всегда следует принудительно применять к конкретным группам пользователей и компьютеров. Создайте объекты групповой политики, включите в них эти параметры, свяжите их с соответствующим сайтом, доменом или подразделением и обозначьте эти связи как принудительные. При задании этого параметра принудительно устанавливаются параметры политики объекта групповой политики верхнего уровня, а возможность переопределения объектами групповой политики в контейнерах Active Directory нижнего уровня отключается. Например, если задать объект групповой политики на уровне домена и указать, что он применяется принудительно, политики, содержащиеся в этом объекте, будут применяться ко всем подразделениям в домене; объекты групповой политики, связанные с подразделениями нижнего уровня, не будут переопределять групповую политику домена.

Примечание
Параметры «Принудительно» и «Блокировать наследование политики» следует использовать осторожно. Широкое использование этих возможностей может затруднить устранение неполадок, поскольку администраторам других объектов групповой политики не сразу будет понятно, почему определенные параметры политики применяются или не применяются.

• Определите, какие параметры политики будут применяться ко всей организации и рассмотрите возможность привязки таких параметров к домену. Для копирования объектов групповой политики и импорта параметров политики объекта групповой политики также можно воспользоваться консолью управления групповыми политиками, создавая таким образом идентичные объекты групповой политики в различных доменах.
• Свяжите объекты групповой политики со структурой подразделения (или сайта), после чего с помощью групп безопасности выборочно примените эти объекты к конкретным пользователям или компьютерам.
• Классифицируйте типы компьютеров и роли (должностные обязанности) пользователей в организации, сгруппируйте их в подразделения, создайте объекты групповой политики для настройки среды каждого подразделения и свяжите объекты групповой политики с соответствующими подразделениями.
• Перед развертыванием объектов групповой политики в рабочей среде создайте промежуточную среду для тестирования выбранной стратегии управления на основе групповой политики. Рассматривайте этот этап как подготовку к развертыванию. Этот этап гарантирует, что развернутая групповая политика будет соответствовать целям управления. Этот процесс описан ниже в разделе Подготовка развертывания групповой политики.

Определение области применения групповой политики

Чтобы определить область применения объектов групповой политики, ответьте на приведенные ниже вопросы.

• К каким контейнерам будут привязаны объекты групповой политики?
• Какие фильтры безопасности будут использоваться для объектов групповой политики?
  
  С помощью фильтров безопасности можно указать, какие пользователи и компьютеры будут получать и применять параметры безопасности в объекте групповой политики. Фильтры групп безопасности определяют, применяется ли объект групповой политики к группам, пользователям или компьютерам целиком; их нельзя использовать выборочно для отдельных параметров политики в объекте групповой политики.
• Какие WMI-фильтры будут применяться?
  
  WMI-фильтры позволяют динамически задавать область действия объектов групповой политики при помощи атрибутов конечного компьютера.

Кроме того, не забывайте, что по умолчанию объекты групповой политики наследуются (совокупно) и применяются ко всем компьютером и пользователям в контейнере Active Directory и его дочерних контейнерах. Объекты групповой политики обрабатываются в следующем порядке: локальная групповая политика, сайт, домен и подразделение; последующие объекты групповой политики переопределяют параметры, хранящиеся в предшествующих объектах групповой политики. Метод наследования по умолчанию заключается в оценке групповой политики, начиная с контейнера Active Directory, наиболее удаленного от объекта компьютера или пользователя. Контейнер Active Directory, ближайший к компьютеру или пользователю, переопределяет параметры групповой политики, заданные в контейнере Active Directory более высокого уровня, если для связи этого объекта групповой политики не задан параметр Принудительно (не перекрывать) или к домену либо подразделению не применен параметр политики Блокировать наследование политики. В первую очередь обрабатываются локальные объекты групповой политики, поэтому параметры политики из объектов групповой политики, связанные с контейнерами Active Directory, переопределяют параметры локальной политики.

Другая проблема заключается в том, что, хотя к контейнеру Active Directory можно привязать несколько объектов групповой политики, необходимо учитывать приоритеты обработки. Связь объекта групповой политики с наименьшим номером в списке Ссылки на объекты групповой политики (отображается на вкладке Связанные объекты групповой политики консоли управления групповыми политиками) обладает по умолчанию наивысшим приоритетом. Однако если для одной или нескольких связей объектов групповой политики задан параметр Принудительно, приоритет получает связь с параметром Принудительно более высокого уровня.

Если говорить коротко, то параметр Принудительно является свойством связи, а параметр Блокировать наследование политики — свойством контейнера. Параметр Принудительно приоритетнее параметра Блокировать наследование политики. Кроме того, параметры политики можно отключить непосредственно в объекте групповой политики четырьмя другими способами: можно отключить сам объект групповой политики; можно отключить в объекте групповой политики параметры компьютеров, параметры пользователей или все параметры.

Консоль управления групповыми политиками значительно упрощает выполнение этих задач благодаря возможности просматривать наследование объектов групповой политики по всей организации и управлять связями из одной консоли управления (MMC). На рис. 2 показано наследование групповой политики так, как оно отображается в консоли управления групповыми политиками.

Примечание

Для просмотра всех сведений о наследовании и предшествовании связей объектов групповой политики с доменом, сайтом или подразделением необходимо обладать правами на чтение сайта, домена или подразделения, содержащего связи объектов групповой политики, а также на чтение самих объектов групповой политики. Если пользователь обладает правами на чтение сайта, домена или подразделения, но не обладает правами на чтение хотя бы одного из связанных с этими контейнерами объектов групповой политики, этот объект будет отображаться как Недоступный объект групповой политики, а пользователь не сможет прочитать имя объекта групповой политики и иные сведения об этом объекте.

Определение необходимого количества объектов групповой политики

Необходимое количество объектов групповой политики зависит от выбранного подхода к проектированию, сложности среды, конкретных целей и области применения проекта. Если в организации есть лес со множеством доменов или несколько лесов, количество объектов групповой политики, необходимых для каждого домена, будет разным. Для доменов, поддерживающих сложные бизнес-среды с разнородным составом пользователей, как правило, требуется больше объектов групповой политики, чем для более простых доменов меньшего размера.

По мере увеличения количества объектов групповой политики, необходимых для поддержки работы организации, возрастает объем работы администраторов групповой политики. Существует ряд мер, которые можно предпринять для упрощения администрирования групповой политики. Основная идея заключается в том, чтобы сгруппировать в единый объект групповой политики параметры политики, применяемые к указанной группе пользователей и компьютеров и администрируемые одной и той же группой администраторов. Далее, если к различным группам пользователей и компьютеров предъявляются общие требования и только для некоторых групп требуются последовательные изменения, рассмотрите возможность применения общих требований ко всем этим группам пользователей и компьютеров с помощью одного объекта групповой политики, привязанного к высокому уровню структуры Active Directory. Затем добавьте объекты групповой политики, применяющие к соответствующему подразделению дополнительные изменения. Такой подход не всегда возможен или практически целесообразен, поэтому из этого правила могут быть исключения. Если такие исключения есть, документируйте их.

Примечание

При обработке объектов групповой политики для одного пользователя или компьютера поддерживается не более 999 объектов групповой политики. При превышении максимального количества объекты групповой политики обрабатываться не будут. Это ограничение влияют только на количество объектов групповой политики, применяемых одновременно, и не влияет на количество объектов групповой политики, которые можно создавать и сохранять в домене.

Помните, что количество объектов групповой политики, применяемых к компьютеру, влияет на время запуска, а количество объектов групповой политики, применяемых к пользователю, влияет на время входа в сеть. Чем больше количество объектов групповой политики, связанных с пользователем (особенно количество параметров политики в этих объектах), тем больше времени требуется на их обработку при входе пользователя в систему. При входе в систему применяется каждый объект групповой политики из пользовательской иерархии сайтов, доменов и подразделений при условии, что пользователь обладает разрешениями «Чтение» и «Применение групповой политики». В консоли управления групповыми политиками разрешения «Чтение» и «Применение групповой политики» обрабатываются единым блоком под названием «Фильтры безопасности».

Если вы используете фильтры безопасности и отменяете для пользователя или группы разрешение «Применение групповой политики», также отмените разрешение «Чтение», если только не требуется, чтобы по какой-либо причине у пользователя был доступ на чтение. (При использовании консоли управления групповыми политиками об этом можно не беспокоиться, поскольку в данной консоли это выполняется автоматически.) Если разрешение «Применить групповую политику» не задано, а разрешение «Чтение» задано, объект групповой политики будет по-прежнему проверяться (но не применяться) каждым пользователем или компьютером, входящим в иерархию подразделений, с которой связан этот объект. Такая проверка слегка увеличивает время входа в систему.

Всегда проверяйте решение групповой политики в тестовой среде, чтобы убедиться в том, что заданные параметры политики не увеличивают до неприемлемой величины время, проходящее до появления экрана входа в систему, и соответствуют соглашениям об уровне обслуживания настольных компьютеров. На этапе подготовки входите в систему с тестовой учетной записью, чтобы оценить суммарное воздействие нескольких объектов групповой политики на объекты среды.

Привязка объектов групповой политики

Чтобы применить к пользователям и компьютерам параметры политики объекта групповой политики, необходимо связать объект групповой политики с сайтом, доменом или подразделением. С помощью консоли управления групповыми политиками на каждый сайт, домен или подразделение можно добавить одну или несколько связей с объектами групповой политики. Имейте в виду, что создание и привязка объектов групповой политики является правом, затрагивающим конфиденциальные данные, которое следует делегировать только надежным администраторам, разбирающимся в групповой политике.

Привязка объектов групповой политики к сайту

Если в организации используется ряд параметров политики (например, определенные параметры сети или конфигурации прокси-сервера), применяемых к компьютерам, физически расположенным в одном месте, то только такие параметры подходят для включения в параметр политики сайта. Поскольку сайты и домены не зависят друг от друга, возможна ситуация, при которой для привязки к сайту объекта групповой политики компьютерам на этом сайте потребуется связываться через различные домены. В этом случае необходимо убедиться в надежности каналов связи.

Если параметры политики не соответствуют однозначным образом компьютерам на одном сайте, лучше связать объект групповой политики не с сайтом, а с доменом или структурой подразделений.

Привязка объектов групповой политики к домену

Свяжите объекты групповой политики с доменом, если необходимо применить эти объекты ко всем пользователям и компьютерам в домене. Например, администраторы безопасности часто создают объекты групповой политики уровня домена для принудительной установки корпоративных стандартов. Такие объекты групповой политики можно создавать с включенным параметром консоли управления групповыми политиками Принудительно, гарантирующим, что другие администраторы не смогут переопределить эти параметры политики.

Важно

Если необходимо изменить параметры политики, содержащиеся в объекте групповой политики «Используемая по умолчанию доменная политика», рекомендуется создать новый объект групповой политики, связать его с доменом и присвоить ему параметр Принудительно. Обычно объекты групповой политики «Используемая по умолчанию доменная политика» и «Используемая по умолчанию политика контроллеров домена» изменять не следует.

Как следует из названия, объект групповой политики «Используемая по умолчанию доменная политика» также связан с доменом. Объект групповой политики «Используемая по умолчанию доменная политика» создается при установке в домене первого контроллера домена и при первом входе администратора в систему. Этот объект групповой политики содержит параметры политики учетных записей уровня домена, политику паролей, политику блокировки учетных записей и политику Kerberos, которая принудительно устанавливается контроллерами домена в домене. Все контроллеры домена загружают значения этих параметров политики учетных записей из объекта групповой политики «Используемая по умолчанию доменная политика». Для применения политик учетных записей к учетным записям домена эти параметры политики необходимо развернуть в объекте групповой политики, связанном с доменом. При задании параметров политики учетных записей на более низком уровне, например на уровне подразделения, параметры политики влияют только на локальные учетные записи (учетные записи, не принадлежащие домену) на компьютерах, входящих в это подразделение и его дочерние подразделения.

Перед внесением изменений в объекты групповой политики по умолчанию обязательно сделайте резервные копии этих объектов с помощью консоли управления групповыми политиками. Если при изменении объектов групповой политики по умолчанию возникнут проблемы, а вернуться обратно к предыдущему или исходному состоянию будет невозможно, то для восстановления исходного состояния политик по умолчанию можно будет воспользоваться средством Dcgpofix.exe, описанным в следующем разделе. Кроме того, при использовании расширенного управления групповыми политиками ведется запись всех вносимых изменений, что позволяет вернуться к предыдущему или исходному состоянию.

Восстановление объектов групповой политики «Используемая по умолчанию доменная политика» и «Контроллер домена по умолчанию»

Средство Dcgpofix.exe — программа командной строки, предназначенная для полного восстановления исходного состояния объектов групповой политики «Используемая по умолчанию доменная политика» и «Контроллер домена по умолчанию» в случае сбоя или невозможности использования консоли управления групповыми политиками. Средство Dcgpofix.exe входит в состав ОС Windows Server 2008 и Windows Server 2003 и находится в папке C:\Windows\system32\.

Средство Dcgpofix.exe восстанавливает только параметры политики, хранившиеся в объектах групповой политики по умолчанию на момент их создания. Средство Dcgpofix.exe не восстанавливает другие объекты групповой политики, создаваемые администраторами; оно предназначено только для аварийного восстановления объектов групповой политики по умолчанию.

Примечание
Средство Dcgpofix.exe не сохраняет данные, созданные приложениями, например Configuration Manager или Exchange.

Ниже приведен синтаксис команд Dcgpofix.exe.

DcGPOFix [/ignoreschema] [/Target: Domain | DC | BOTH]

В таблице 1 приведены параметры командной строки для средства Dcgpofix.exe.

Таблица 1. Параметры командной строки средства Dcgpofix.exe

Параметр	Описание параметров
/ignoreschema	По умолчанию версия средства Dcgpofix, входящая в состав ОС Windows Server 2008, работает только с доменами Windows Server 2008. При использовании этого параметра проверка схемы не выполняется, что позволяет работать не только с доменами Windows Server 2008.
/target: DOMAIN или	Указывает, что необходимо восстановить объект групповой политики «Используемая по умолчанию доменная политика».
/target: DC или	Указывает, что необходимо восстановить объект групповой политики «Используемая по умолчанию политика контроллеров домена».
/target: BOTH	Указывает, что необходимо восстановить объекты групповой политики «Используемая по умолчанию доменная политика» и «Используемая по умолчанию политика контроллеров домена».

Дополнительные сведения о средстве Dcgpofix.exe см. на странице Dcgpofix.exe (страница может быть на английском языке) (http://go.microsoft.com/fwlink/?LinkId=109291).

Привязка объектов групповой политики к структуре подразделений

Объекты групповой политики обычно привязываются к структуре подразделений, поскольку такой подход обеспечивает наибольшую гибкость и управляемость. Пример:

• Пользователей и компьютеры можно помещать в подразделения и удалять их оттуда.
• При необходимости структуру подразделений можно изменить.
• Можно работать с малыми группами пользователей, к которым предъявляются одинаковые административные требования.
• Пользователей и компьютеры можно упорядочить таким образом, чтобы каждый администратор управлял своей группой пользователей или компьютеров.

Разбиение объектов групповой политики на объекты, ориентированные на пользователей, и объекты, ориентированные на компьютеры, позволяет сделать среду групповой политики более простой для понимания и облегчить устранение неполадок. Однако при разнесении пользовательских и компьютерных компонентов по отдельным объектам групповой политики количество объектов групповой политики может увеличиться. Чтобы скомпенсировать этот недостаток, настройте параметр Состояние объекта групповой политики таким образом, чтобы отключить неиспользуемые разделы конфигурации объекта групповой политики для пользователей и компьютеров и сократить время, затрачиваемое на применение соответствующего объекта групповой политики.

Изменение порядка привязки объектов групповой политики

Для каждого сайта, домена и подразделения порядок привязки определяет порядок применения объектов групповой политики. Чтобы изменить порядковый номер связи, необходимо изменить порядок привязки, переместив каждую связь вверх или вниз по списку на нужное место. Связи с меньшими номерами имеют больший приоритет для соответствующего сайта, домена или подразделения.

Например, если после добавления шести связей с объектами групповой политики необходимо, чтобы последняя добавленная связь получила наивысший приоритет, можно изменить порядок привязки таким образом, чтобы эта связь получила номер 1. Для изменения порядка привязки объектов групповой политики для сайта, домена или подразделения воспользуйтесь консолью управления групповыми политиками.

Использование фильтров безопасности для применения объектов групповой политики к выбранным группам

По умолчанию объект групповой политики применяется ко всем пользователям и компьютерам на связанном сайте, в домене или подразделении. Однако к объекту групповой политики можно применить фильтры безопасности, позволяющие применить этот объект только к конкретному пользователю, членам группы безопасности Active Directory или компьютеру. Фильтры безопасности применяются путем изменения разрешений на объект групповой политики. Путем сочетания фильтров безопасности с соответствующим размещением в подразделениях можно задать любое желаемое множество пользователей или компьютеров.

Чтобы применить объект групповой политики к указанному пользователю, группе безопасности или компьютеру, пользователь, группа или компьютер должны одновременно обладать на этот объект разрешениями «Чтение» и «Применение групповой политики». По умолчанию для членов группы «Прошедшие проверку» разрешениям «Чтение» и «Применение групповой политики» присвоено значение Разрешить. В консоли управления групповыми политиками оба эти разрешения обрабатываются единым блоком с помощью фильтров безопасности.

Чтобы задать разрешения на конкретный объект групповой политики таким образом, чтобы этот объект применялся только к указанным пользователям, группам безопасности или компьютерам (а не ко всем пользователям, прошедшим проверку), в дереве консоли управления групповыми политиками разверните узел Объекты групповой политики в лесу и домене, в котором находится этот объект групповой политики. Щелкните объект групповой политики и в области сведений на вкладке Область в разделе Фильтры безопасности удалите группуПрошедшие проверку, нажмите кнопку Добавить и добавьте нового пользователя, группу или компьютер.

Например, если необходимо применить объект групповой политики только к определенному подмножеству пользователей в подразделении, удалите из раздела Фильтры безопасности группу Прошедшие проверку. Затем добавьте новую группу безопасности с разрешениями фильтров безопасности, содержащую подмножество пользователей, к которым необходимо применить объект групповой политики. Объект групповой политики будет применяться только к членам этой группы, относящимся к сайту, домену или подразделению, к которому привязан данный объект; к членам этой группы, относящимся к другим сайтам, доменам или подразделениям, объект применяться не будет.

В некоторых случаях бывает необходимо, чтобы определенные параметры групповой политики не применялись к членам группы «Администраторы». Для этого выполните одно из указанных ниже действий.

• Создайте отдельное подразделение для администраторов и выведите это подразделение из иерархии, к которой применяется большинство параметров управления. В этом случае к администраторам не будет применяться большинство параметров политики, применяемых к обычным пользователям. Если это отдельное подразделения является непосредственным дочерним подразделением домена, единственные параметры политики, которые будут применяться к администраторам, — это параметры, входящие в объекты групповой политики, связанные либо с доменом, либо с сайтом. Как правило, в такие объекты групповой политики входят только самые общие, широко используемые параметры политики, и применение этих параметров к администраторам вполне приемлемо. Если это неприемлемо, для подразделения администраторов можно задать параметр Блокировать наследование.
• Сделайте так, чтобы администраторы использовали отдельные административные учетные записи только при выполнении задач администрирования. При выполнении других задач администраторы по-прежнему будут управляемыми пользователями.
• В консоли управления групповыми политиками настройте фильтры безопасности таким образом, чтобы параметры политики применялись только к пользователям, не являющимся администраторами.

Применение WMI-фильтров

С помощью WMI-фильтров можно контролировать применение объектов групповой политики. С каждым объектом групповой политики можно связать только один WMI-фильтр; однако один и тот же WMI-фильтр можно связать с несколькими объектами групповой политики. Перед тем, как связать WMI-фильтр с объектом групповой политики, этот фильтр необходимо создать. WMI-фильтр обрабатывается на конечном компьютере в процессе обработки групповой политики. Объект групповой политики применяется только в том случае, если WMI-фильтр принимает значение «true» (истина). На компьютерах с ОС Windows 2000 WMI-фильтры не обрабатываются, поэтому объекты групповой политики применяются всегда.

Примечание

WMI-фильтры рекомендуется использовать в основном для обработки исключений. WMI-фильтры — это достаточно мощное решение для применения объектов групповой политики к конкретным пользователям и компьютерам, однако поскольку эти фильтры обрабатываются каждый раз при обработке групповой политики, это приводит к увеличению времени запуска и входа в систему. Кроме того, для WMI-фильтров невозможно задать время ожидания. Следовательно, эти фильтры следует использовать только при необходимости.

В консоли управления групповыми политиками с WMI-фильтрами можно выполнять следующие действия: создание и удаление, привязка и отмена привязки, копирование и вставка, импорт и экспорт, а также просмотр и изменение атрибутов.

WMI-фильтры можно использовать только в том случае, если по крайней мере на одном контроллере домена в домене установлена ОС Windows Server 2008 или Windows Server 2003 либо для этого домена была выполнена команда ADPrep с параметром /Domainprep. Если это условие не выполняется, раздел Фильтрация WMI на вкладке Область для объектов групповой политики и узел Фильтры WMI в домене отображаться не будут. На рис. 3 приведены описанные в данном разделе элементы.

Задание параметров фильтрации WMI

WMI предоставляет данные с конечного компьютера. Эти данные могут включать перечень оборудования и программного обеспечения, параметры и сведения о конфигурации, в том числе данные из реестра, драйверов, файловой системы, Active Directory, протокола SNMP, установщика Windows и сети. На основе этих данных администраторы могут создавать WMI-фильтры, состоящие из одного или нескольких запросов и позволяющие контролировать применение объектов групповой политики. Фильтр обрабатывается на конечном компьютере. Если WMI-фильтр принимает значение «true» (истина), объект групповой политики применяется к конечному компьютеру; в противном случае объект групповой политики не применяется. На клиентских компьютерах и серверах с ОС Windows 2000 WMI-фильтры не обрабатываются, поэтому объекты групповой политики применяются всегда. При отсутствии WMI-фильтров объекты групповой политики применяются всегда.

WMI-фильтры можно использовать для нацеливания параметров групповой политики на основе различных объектов и иных параметров. В таблице 2 приведен пример условий запроса, которые можно задать для WMI-фильтров.

Таблица 2. Примеры WMI-фильтров

Запрашиваемые данные WMI	Пример условий запроса
Службы	Компьютеры, на которых запущена служба DHCP
Реестр	Компьютеры, на которых задан указанный раздел или запись реестра
Журнал событий Windows	Компьютеры, от которых поступили сведения о произошедшем за последние пять минут событии аудита
Версия операционной системы	Компьютеры с ОС Windows Server 2003 и более поздних версий
Перечень оборудования	Компьютеры с процессором Pentium III
Конфигурация оборудования	Компьютеры с сетевыми адаптерами, работающими на уровне 3
Связи служб	Компьютеры, на которых какие-либо службы зависят от службы SQL

Хотя путем совместного использования параметров групповой политики и WMI-фильтров можно выполнять ограниченное нацеливание для развертывания программного обеспечения на основе инвентаризации, этого не рекомендуется делать по указанным ниже причинам.WMI-фильтр состоит из одного или нескольких запросов на языке WQL (WMI Query Language). WMI-фильтр применяется к каждому параметру политики в объекте групповой политики, поэтому если к различным параметрам политики предъявляются различные требования фильтрации, то в этом случае администраторам необходимо создать отдельные объекты групповой политики. WMI-фильтры обрабатываются на конечном компьютере после определения списка потенциальных объектов групповой политики и фильтрации на основе членства в группах безопасности.

• Для каждого объекта групповой политики можно указать только один WMI-фильтр. Если в разных приложениях предъявляются различные требования к инвентаризации, для выполнения этих требований потребуется множество WMI-фильтров и, следовательно, множество объектов групповой политики. Увеличение количества объектов групповой политики приводит к увеличению времени запуска и входа в систему, а также к увеличению накладных расходов, связанных с управлением.
• На обработку WMI-фильтров может потребоваться существенное время, что может привести к увеличению времени запуска и входа в систему. Точное время зависит от структуры запроса.

Примеры WMI-фильтров

Как было показано выше, WMI-фильтры наиболее полезны для обработки исключений. Путем фильтрации по определенным условиям можно применять конкретные объекты групповой политики только к указанным пользователям и компьютерам. В следующем разделе описываются WMI-фильтры, иллюстрирующие данный метод.

Нацеливание на основе операционной системы

В данном примере администратору требуется развернуть корпоративную политику наблюдения, но только для компьютеров с ОС Windows Vista. Администратор может создать, например, такой WMI-фильтр:

Select * from Win32_OperatingSystem where Caption like "%Vista%"

В большинстве WMI-фильтров используется пространство имен Root\CimV2, и этот параметр заполнен в консоли управления групповыми политиками по умолчанию.

Поскольку WMI-фильтры не обрабатываются на компьютерах с ОС Windows 2000, к таким компьютерам всегда применяются фильтрованные объекты групповой политики. Однако эту проблему можно обойти, создав два объекта групповой политики и присвоив объекту с параметрами для Windows 2000 более высокий приоритет (используя порядок привязки). Затем создайте для этого объекта групповой политики для Windows 2000 соответствующий WMI-фильтр и применяйте этот фильтр только в том случае, если на компьютере установлена ОС Windows 2000 (а не Windows Vista и Windows XP). Компьютер с ОС Windows 2000 будет принимать объект групповой политики для Windows 2000, параметры которого будут переопределять параметры политики, содержащиеся в объекте групповой политики для Windows Vista и Windows XP. К клиентским компьютерам с ОС Windows Vista и Windows XP будут применяться все параметры политики, содержащиеся в объекте групповой политики для Windows Vista и Windows XP.

Нацеливание на основе перечня оборудования

В данном примере администратору требуется установить новый диспетчер сетевых подключений только на настольные компьютеры, оснащенные модемами. Администратор может развернуть этот пакет с помощью следующего WMI-фильтра:

Select * from Win32_POTSModem Where Name = " MyModem"

При совместном использовании групповой политики и WMI-фильтров необходимо помнить от том, что WMI-фильтр применяется ко всем параметрам политики в объекте групповой политики. Если к разным развертываниям предъявляются различные требования, необходимо использовать несколько объектов групповой политики и создать для каждого объекта отдельный WMI-фильтр.

Нацеливание на основе конфигурации

В данном примере администратору требуется, чтобы объект групповой политики не применялся к компьютерам, поддерживающим многоадресную рассылку. Чтобы выявить компьютеры, поддерживающие многоадресную рассылку, администратор может воспользоваться следующим фильтром:

Select * from Win32_NetworkProtocol where SupportsMulticasting = true

Нацеливание на основе объема места на диске и типа файловой системы

В данном примере администратору требуется выбрать компьютеры, на разделе C, D или E которых больше 10 мегабайт (МБ) свободного места. Разделы должны располагаться на одном или нескольких локальных несъемных дисках, и на них должна использоваться файловая система NTFS. Чтобы выявить компьютеры, удовлетворяющие этим условиям, администратор может воспользоваться следующим фильтром:

SELECT * FROM Win32_LogicalDisk WHERE (Name = " C:"  OR Name = " D:"  OR Name = " E:" ) AND DriveType = 3 AND FreeSpace > 10485760 AND FileSystem = " NTFS"

В предыдущем примере условие DriveType = 3 представляет локальный диск, а свободное место на диске (FreeSpace) измеряется в байтах (10 МБ = 10 485 760 байт).

Чтобы создать фильтр WMI

1. В дереве консоли управления групповыми политиками правой кнопкой мыши щелкните узел Фильтры WMI в лесу и домене, куда требуется добавить фильтр WMI.
2. Нажмите кнопку Создать.
3. В диалоговом окне Новый фильтр WMI введите в поле Имя имя создаваемого WMI-фильтра, а в поле Описание введите описание фильтра.
4. Нажмите кнопку Добавить.
5. В диалоговом окне Запрос WMI оставьте заданное по умолчанию пространство имен или укажите другое пространство имен, выполнив одно из указанных ниже действий.
   
   • В поле Пространство имен введите то имя пространства имен, которое требуется использовать для запроса WMI. Значение по умолчанию — root\CimV2. В большинстве случаев это значение изменять не требуется.
   • Нажмите кнопку Обзор, выберите из списка пространство имен, а затем нажмите кнопку ОК.
6. Введите запрос WMI в поле Запрос, а затем нажмите кнопку ОК.
7. Чтобы ввести дополнительные запросы, повторите действия 4-6 для каждого добавляемого запроса.
8. По окончании добавления запросов нажмите кнопку Сохранить.

WMI-фильтр готов к привязке.

Использование наследования групповой политики

Часто бывает полезно создать объект групповой политики с корпоративными стандартами. Здесь «корпоративный стандарт» означает параметры политики, применяемые к широкому кругу пользователей в организации. В качестве примера ситуации, в которой создание объекта групповой политики может оказаться полезным, можно привести следующее бизнес-требование: «Только полномочные пользователи могут иметь доступ к командной строке или редактору реестра». С помощью механизма наследования групповой политики можно применить эти корпоративные стандарты с различными настройками параметров политики для разных групп пользователей.

Один из способов сделать это — присвоить значения параметрам политики Запретить доступ к командной строке и Сделать недоступными средства редактирования реестра в объекте групповой политики (например, в объекте «Политика обычного пользователя»), связанном с подразделением (например, с подразделением «Учетные записи пользователей»). При этом параметры политики будут применены ко всем пользователям в данном подразделении. Затем создайте объект групповой политики, например объект «Политика администратора», в котором администраторам будет явным образом разрешен доступ к командной строке и средствам редактирования реестра. Свяжите с подразделением «Администраторы» этот объект групповой политики, который переопределяет параметры политики, заданные в объекте групповой политики «Политика обычного пользователя». Этот подход проиллюстрирован на рис. 4.

Если другой группе пользователей требуется доступ к командной строке, но не к реестру, можно создать еще один объект групповой политики, предоставляющий пользователям такие права. Доступ к средствам редактирования реестра по-прежнему будет запрещен, поскольку новый объект групповой политики не переопределяет параметры для средств работы с реестром, заданные в объекте групповой политики «Политика обычного пользователя». Как правило, объект групповой политики с корпоративными стандартами включает больше параметров политики и параметров конфигурации, чем объекты, приведенные в предыдущем примере. Например, объекты групповой политики с корпоративными стандартами обычно используются для достижения указанных ниже целей.

• Запрет пользователям доступа ко всем потенциально опасным и необязательным для работы функциям.
• Задание прав доступа, параметров безопасности и разрешений на файловую систему и реестр для серверов и рабочих станций.

Как правило, объекты групповой политики привязываются к структуре подразделений, а не к доменам и сайтам. Если модель подразделений основана на структуре пользователей, рабочих станций и серверов, это упрощает выбор и настройку параметров политики для корпоративных стандартов. В объектах групповой политики также можно отключить неиспользуемые разделы, связанные с пользователями или компьютерами, чтобы упростить управление групповой политикой.

При задании значений по умолчанию для параметров политики, связанных с безопасностью, например ограничений членства в группе, прав доступа к файловой системе и прав доступа к реестру, важно помнить о том, что эти параметры политики работают по принципу «остается последняя запись», а также о том, что параметры политики не объединяются. Этот принцип продемонстрирован в приведенном ниже примере.

Пример: принцип «остается последняя запись»

Администратор создает объект групповой политики «Рабочие станции по умолчанию», в котором определяется членство в локальной группе «Опытные пользователи» групп «Техническая поддержка» и «Служба поддержки». Группа «Банковские операции» хочет добавить в этот список группу «Поддержка банковских операций» и создает с этой целью новый объект групповой политики «Рабочие станции по умолчанию». Если в новом объекте групповой политики в качестве членов группы «Опытные пользователи» не будут указаны все три группы, права группы «Опытные пользователи» получит только группа «Поддержка банковских операций».

Развертывание групповой политики

Перед развертыванием групповой политики убедитесь в том, что вы умеете работать с объектами групповой политики, в том числе создавать объекты групповой политики, импортировать параметры политики, архивировать и восстанавливать объекты групповой политики, редактировать и связывать эти объекты, задавать исключения для наследования объектов групповой политики по умолчанию, создавать фильтры применения объектов групповой политики, делегировать администрирование, а также использовать моделирование групповой политики для планирования, а результаты групповой политики — для оценки применения объекта групповой политики.

Перед развертыванием в рабочей среде всегда полностью тестируйте объекты групповой политики в безопасной среде. Чем тщательнее вы спланируете, спроектируете и протестируете объекты групповой политики перед развертыванием, тем проще будет создать, внедрить и обслуживать оптимально развернутую групповую политику. Важность тестирования и предварительного развертывания в этом контексте невозможно переоценить. Тесты должны близко имитировать рабочую среду.

Проект не считается завершенным, пока не будут протестированы и проверены все существенные изменения и стратегия развертывания. Тщательное тестирование стратегии внедрения объекта групповой политики невозможно без настройки объектов групповой политики с использованием конкретных параметров политики, например параметров безопасности и параметров управления настольными компьютерами и данными. Выполните это для каждой группы пользователей и компьютеров в сети. Воспользуйтесь тестовой средой для развертывания, тестирования и проверки конкретных объектов групповой политики. Воспользуйтесь всеми преимуществами мастера моделирования и мастера результатов консоли управления групповыми политиками.

Также рассмотрите возможность поэтапного внедрения групповой политики. Вместо развертывания 100 новых параметров групповой политики подготовьте и разверните несколько параметров, чтобы убедиться в работоспособности инфраструктуры групповой политики.

Дополнительные сведения о подготовке развертывания групповой политики см. ниже в разделе Подготовка развертывания групповой политики.

Создание объектов групповой политики и работа с ними

Поскольку изменения, вносимые в объекты групповой политики, вступают в силу немедленно, не привязывайте объект групповой политики к контейнеру в рабочей среде (к сайту, домену или подразделению) до тех пор, пока он не будет полностью протестирован в тестовой среде. При разработке объекта групповой политики рекомендуется либо не связывать его с контейнерами, либо связывать его с тестовым подразделением.

В данном разделе описан процесс создания и развертывания объектов групповой политики. Дополнительные сведения о тестировании перед развертыванием конфигураций групповой политики см. в разделе Подготовка развертывания групповой политики.

В приведенных ниже процедурах показано, как создавать и изменять объекты групповой политики с помощью консоли управления групповыми политиками.

Создание несвязанного объекта групповой политики

1. В дереве консоли управления групповой политикой (GPMC) правой кнопкой мыши щелкните узел Объекты групповой политики в лесу и домене, в которых требуется создать несвязанный объект групповой политики.
2. Нажмите кнопку Создать.
3. В диалоговом окне Новый объект групповой политики укажите имя для нового объекта групповой политики и нажмите кнопку ОК.

Для изменения объекта групповой политики воспользуйтесь приведенной ниже процедурой.

Изменение объекта групповой политики

1. В дереве консоли управления групповыми политиками разверните узел Объекты групповой политики в лесу и домене, содержащих изменяемый объект групповой политики.
2. Щелкните правой кнопкой мыши объект групповой политики, который необходимо изменить, и выберите команду Изменить.
3. В дереве консоли разверните необходимые элементы, чтобы найти объект, содержащий параметры политики, которые требуется изменить. Щелкните этот объект, чтобы просмотреть в области сведений связанные с ним параметры политики.
4. В области сведений дважды щелкните имена параметров политики, которые необходимо изменить. Обратите внимание, что в некоторых параметрах политики, например параметрах развертывания нового пакета установки программного обеспечения, используется уникальный пользовательский интерфейс.
5. В диалоговом окне Свойства измените параметры политики необходимым образом и нажмите кнопку ОК.

Привязка объекта групповой политики

Основной способ применения параметров политики в объекте групповой политики к пользователям и компьютерам заключается в привязке объекта групповой политики к контейнеру Active Directory. Объекты групповой политики можно привязать к трем типам контейнеров Active Directory: к сайтам, доменам и подразделениям. Один объект групповой политики можно привязать к нескольким контейнерам Active Directory.

Объекты групповой политики хранятся отдельно для каждого домена. Например, при привязке объекта групповой политики к подразделению этот объект не сохраняется в данном подразделении. Объект групповой политики — это доменный объект, который можно привязать к любому контейнеру в лесу. В пользовательском интерфейсе консоли управления групповыми политиками отражается различие между связями и собственно объектами групповой политики.

В консоли управления групповыми политиками существующий объект групповой политики можно связать с контейнерами Active Directory одним из указанных ниже способов.

• Щелкните сайт, домен или подразделение правой кнопкой мыши и выберите в контекстном меню пункт Связать существующий объект групповой политики. Это эквивалентно выбору команды Добавить на вкладке Групповая политика, которая отображалась в оснастке «Active Directory — пользователи и компьютеры» до установки консоли управления групповыми политиками. Для этого требуется, чтобы в домене уже был задан объект групповой политики.
• Перетащите объект групповой политики из элемента Объекты групповой политики в подразделение, с которым требуется связать этот объект. Перетаскивание работает только внутри одного домена.

С помощью консоли управления групповыми политиками также можно одновременно создать объект групповой политики и связать его с контейнером, как показано в следующем разделе.

Создание и привязка объекта групповой политики

Чтобы создать объект групповой политики и связать его с сайтом, доменом или подразделением, необходимо сначала создать объект в домене, после чего связать его с необходимым контейнером.

Это эквивалентно нажатию кнопки Создать на вкладке Групповая политика, которая отображалась в оснастке «Active Directory — пользователи и компьютеры» до установки консоли управления групповыми политиками. Хотя эта операция представлена в консоли управления групповыми политиками в виде одного действия, фактически выполняются два действия: в домене создается объект групповой политики, который затем связывается с сайтом, доменом или подразделением.

Создание объекта групповой политики и его привязка к сайту, домену или подразделению

1. В дереве консоли управления групповыми политиками разверните узел Объекты групповой политики в лесу и домене, содержащих объект групповой политики, который необходимо связать.
2. Щелкните домен или подразделение правой кнопкой мыши и выберите в контекстном меню пункт Создать объект групповой политики в этом домене и связать его.
3. В диалоговом окне Новый объект групповой политики введите имя для нового объекта групповой политики и нажмите кнопку ОК.

Чтобы отменить привязку объекта групповой политики (то есть удалить связь между объектом и сайтом, доменом или подразделением), воспользуйтесь приведенной ниже процедурой.

Удаление связи между объектом групповой политики и сайтом, доменом или подразделением

1. В дереве консоли управления групповыми политиками разверните узел Объекты групповой политики в лесу и домене, содержащих объект групповой политики, для которого необходимо отменить привязку.
2. Щелкните объект групповой политики, для которого необходимо отменить привязку.
3. В области сведений откройте вкладку Область.
4. Если откроется окно с приведенным ниже сообщением, закройте его, нажав кнопку ОК (также можно указать, чтобы это сообщение больше не появлялось при создании и привязке нового объекта групповой политики).
   
   «Выбрана связь с объектом групповой политики (GPO). За исключением изменения свойств связи, внесенные здесь изменения являются глобальными для GPO и будут влиять на все остальные расположения, в которых связан этот объект GPO».
5. В разделе Связи щелкните правой кнопкой мыши объект Active Directory, связь с которым необходимо удалить, и выберите в контекстном меню пункт Удалить связи.

Примечание

Удаление связи с объектом групповой политики отличается от удаления самого объекта. При удалении только связи с объектом групповой политики сам объект не удаляется, равно как и все остальные связи этого объекта с другими доменами. Однако при удалении объекта групповой политики пользователю будет предложено удалить объект и все связи между этим объектом и контейнерами в выбранном домене. При этом не удаляются связи объекта групповой политики с другими доменами. Перед удалением объекта групповой политики из текущего домена обязательно удалите все связи объекта с другими доменами.

Отключение в объекте групповой политики разделов «Конфигурация пользователя» или «Конфигурация компьютера»

При создании объекта групповой политики, в котором задаются только параметры политики, связанные с пользователями, раздел «Конфигурация компьютера» можно отключить. Это позволит слегка сократить время запуска компьютера, поскольку раздел «Конфигурация компьютера» объекта групповой политики не будет проверяться на наличие параметров политики. При настройке параметров политики, связанных только с компьютерами, в объекте групповой политики можно отключить раздел «Конфигурация пользователя».

На рис. 5 приведены элементы консоли управления групповыми политиками, используемые в соответствующей процедуре.

Отключение в объекте групповой политики разделов «Конфигурация пользователя» или «Конфигурация компьютера»

1. В дереве консоли управления групповыми политиками разверните узел Объекты групповой политики в лесу и домене, содержащих объект групповой политики с параметрами политики, которые необходимо отключить.
2. Щелкните правой кнопкой мыши объект групповой политики, содержащий параметры политики, которые необходимо отключить.
3. Выберите в списке Состояние объекта групповой политики один из указанных ниже пунктов.
   
   • Все параметры политики отключены
   • Параметры конфигурации компьютера отключены
   • Включено (по умолчанию)
   • Параметры конфигурации пользователя отключены

Особенности работы с объектами групповой политики, связанными с сайтами

Объекты групповой политики, связанные с сайтами, используются для задания параметров прокси-серверов, принтеров и сетей. Каждый объект групповой политики, связанный с сайтом, применяется ко всем компьютерам на этом сайте независимо от того, к какому домену в лесу относится тот или иной компьютер. Это влечет за собой указанные ниже последствия.

• Убедитесь в том, что компьютеры не получают доступ к объекту групповой политики сайта через глобальную сеть, что может привести к значительному падению производительности.
• Для управления объектами групповой политики сайтов по умолчанию необходимо входить в группу «Администраторы предприятия» или «Администраторы домена» в корневом домене леса.
• Репликация Active Directory между контроллерами домена, относящимися к различным сайтам, выполняется реже, чем репликация между контроллерами домена, относящимися к одному сайту, и только в запланированные промежутки времени. Репликация службы репликации файлов между сайтами не регламентируется расписанием репликации для связей сайтов; эта проблема не возникает при репликации в пределах одного сайта.
  
  Расписание и частота репликации службы каталогов являются свойствами связей, соединяющих сайты. Частота межсайтовой репликации по умолчанию — раз в три часа. Чтобы изменить это значение, воспользуйтесь приведенной ниже процедурой.
  
  

  Изменение частоты межсайтовой репликации

  1. Откройте компонент «Active Directory - сайты и службы».
  2. В дереве консоли последовательно разверните узлы Сайты, Межсайтовый транспорт, IP-адрес и щелкните папку межсайтового транспорта, в которой хранится связь сайта, для которой необходимо настроить межсайтовую репликацию.
  3. В области сведений щелкните правой кнопкой мыши связь сайтов, для которой необходимо настроить частоту межсайтовой репликации, и выберите в контекстном меню пункт Свойства.
  4. На вкладке Общие в поле Реплицировать каждые введите или выберите количество минут между репликациями.
  5. Нажмите кнопку ОК.

Изменение частоты или расписания репликации может оказать существенное влияние на групповую политику. Предположим, например, что частота репликации составляет раз в три часа или реже, а пользователь создает объект групповой политики и связывает его с подразделением в домене, которое охватывает несколько сайтов. Пока объект групповой политики дойдет до всех пользователей в этом подразделении, может пройти несколько часов.

Если большинство пользователей в подразделении находятся в удаленном расположении, а на этом сайте есть контроллер домена, то проблему с задержкой при межсайтовой репликации можно обойти, выполнив все операции групповой политики на контроллере домена этого сайта.

Настройка параметров политики пользователя в режиме обработки замыкания

Параметр политики Режим обработки замыкания пользовательской групповой политики — это расширенный параметр, предназначенный для поддержания одинаковой конфигурации компьютера независимо от того, кто входит в систему. Этот параметр политики подходит для определенных жестко управляемых сред со специализированными компьютерами, например для компьютерных классов, общественных киосков и приемных пунктов. Этот параметр политики можно включить, например, для специализированного сервера, в частности для сервера терминалов. При включении режима обработки замыкания система (в зависимости от компьютера) применяет к компьютеру одни и те же параметры политики пользователя для любого входящего в систему пользователя.

При применении к пользователям объектов групповой политики, как правило, один и тот же набор параметров политики пользователя применяется к этим пользователям при входе в систему на любом компьютере. При включении в объекте групповой политики режима обработки замыкания параметры политики пользователя можно настроить таким образом, чтобы они зависели от компьютера, на котором пользователь входит в систему. Такие параметры политики применяются независимо от того, какой пользователь вошел в систему. При включении режима обработки замыкания убедитесь в том, что в объекте групповой политики включены разделы «Конфигурация компьютера» и «Конфигурация пользователя».

Чтобы настроить режим обработки замыкания, запустите консоль управления групповыми политиками, откройте в ней объект групповой политики и включите в разделе Конфигурация компьютера\Политики\Административные шаблоны\Система\Групповая политикипараметр Режим обработки замыкания пользовательской групповой политики. Доступны два указанных ниже режима.

• Режим слияния: в этом режиме список объектов групповой политики для пользователя формируется во время входа в систему. Затем формируется список объектов групповой политики для компьютера. Далее список объектов групповой политики добавляется в конец списка объектов групповой политики для пользователя. В результате объекты групповой политики для компьютера получают более высокий приоритет, чем объекты групповой политики для пользователя. Если параметры политики конфликтуют между собой, параметры политики пользователя в объектах групповой политики компьютера будут применены вместо обычных параметров политики пользователя.
• Режим замены: в этом режиме список объектов групповой политики для пользователя не формируется. Вместо него используется только список объектов групповой политики на основе объекта компьютера. К пользователю применяются параметры из раздела «Конфигурация пользователя» входящих в список объектов групповой политики.

Делегирование администрирования групповой политики

Возможно, структура групповой политики потребует делегирования определенных задач администрирования групповой политики. Определение степени централизации или распределения административного управления групповой политикой является одним из наиболее важных факторов при оценке потребностей организации. В организациях, в которых используется модель централизованного администрирования, ИТ-отдел предоставляет услуги, принимает решения и задает стандарты для всей компании. В организациях, в которых используется модель распределенного администрирования, у каждого подразделения имеется свой ИТ-отдел.

Ниже перечислены задачи групповой политики, которые можно делегировать.

• Управление отдельными объектами групповой политики (например, предоставление прав на изменение или чтение объекта групповой политики).
• Выполнение указанных ниже задач групповой политики над сайтами, доменами и подразделениями.
  
  
  • Управление связями групповой политики для указанного сайта, домена или подразделения
  • Анализ моделирования групповой политики для объектов в указанном контейнере (не применимо к сайтам).
  • Чтение результатов групповой политики для объектов в указанном контейнере (не применимо к сайтам).
• Создание объектов групповой политики.
• Создание WMI-фильтров.
• Изменение отдельных WMI-фильтров и управление ими.

Основываясь на принятой в организации модели администрирования, определите, какие аспекты управления конфигурацией лучше всего реализовать на уровне сайтов, доменов и подразделений. Также распределите обязанности на уровне сайтов, доменов и подразделений между администраторами и группами администраторов на каждом уровне.

Принимая решение о делегировании полномочий на уровне сайтов, доменов и подразделений, учитывайте перечисленные ниже факторы.

• Полномочия, делегированные на уровне доменов, распространяются на все объекты в домене, если задано разрешение наследования во всех дочерних контейнерах.
• Полномочия, делегированные на уровне подразделений, могут распространяться либо только на указанное подразделение, либо на указанное подразделение и все его дочерние подразделения.
• Управление разрешениями тем проще и эффективнее, чем выше уровень подразделения, на котором оно осуществляется.
• Полномочия, делегированные на уровне сайтов, могут распространяться на домены и объекты в доменах, отличных от домена, в котором находится объект групповой политики.

В следующих разделах рассказывается о выполнении задач делегирования с помощью консоли управления групповыми политиками.

Делегирование управления отдельными объектами групповой политики

С помощью консоли управления групповыми политиками можно легко предоставлять разрешения на объекты групповой политики дополнительным пользователям. В консоли управления групповыми политиками управление разрешениями осуществляется на уровне задач. Для объекта групповой политики можно установить пять уровней разрешений: «Чтение», «Изменение», «Изменение, удаление, изменение параметров безопасности», «Чтение (с учетом фильтрации параметров безопасности)» и «Настраиваемый». Эти уровни разрешений соответствуют фиксированному набору низкоуровневых разрешений. В таблице 3 приведены соответствующие каждому параметру низкоуровневые разрешения.

Таблица 3. Разрешения низкого уровня и разрешения GPO

Разрешение GPO	Разрешения низкого уровня
Чтение	Разрешение доступа к GPO для чтения.
Чтение (с учетом параметров фильтрации безопасности)	Этот параметр нельзя задать непосредственно; он появляется, если пользователь имеет разрешения «Чтение» и «Применение групповой политики» для объекта групповой политики, которые настраиваются в разделе «Фильтры безопасности» на вкладке Область объекта групповой политики.
Изменение параметров	Разрешения «Чтение», «Запись», «Создание дочерних объектов», «Удаление дочерних объектов».
Изменение параметров, удаление и изменение параметров безопасности	Разрешения «Чтение», «Запись», «Создание дочерних объектов», «Удаление дочерних объектов», «Удаление», «Изменение разрешений» и «Изменение владельца». При этом предоставляется полный контроль над объектом групповой политики, за исключением того, что не будет задано разрешение «Применение групповой политики».
Пользовательские разрешения	Все остальные комбинации прав, например отказ в предоставлении разрешений, относятся к пользовательским разрешениям. Пользовательские права нельзя задать с помощью кнопки Добавить. Чтобы задать эти права, необходимо нажать кнопку Дополнительно, а затем изменить права напрямую.

Чтобы предоставить разрешения для объекта групповой политики пользователю или группе, используйте следующую процедуру.

Предоставление разрешений для объекта групповой политики пользователю или группе

1. В дереве консоли управления групповыми политиками разверните узел Объекты групповой политики в лесу и домене, содержащих изменяемый объект групповой политики.
2. Выберите объект групповой политики, для которого следует предоставить разрешения.
3. В области сведений откройте вкладку Делегирование.
4. Нажмите кнопку Добавить.
5. В диалоговом окне Выбор пользователей, компьютеров или групп укажите пользователя или группу, которым следует предоставить разрешения, и нажмите кнопку ОК.
6. В диалоговом окне Добавление группы или пользователя в списке Разрешения выберите уровень разрешений, который нужно назначить этой группе или пользователю, и нажмите кнопку ОК.

Обратите внимание, что разрешение «Применение групповой политики», используемое для фильтрации параметров безопасности, нельзя задать на вкладке Делегирование. Поскольку разрешение «Применение групповой политики» используется для определения области применения объектов групповой политики, это разрешение задается для объектов групповой политики на вкладке Область в консоли управления групповыми политиками. Чтобы предоставить пользователю или группе разрешение «Применение групповой политики» в отношении объекта групповой политики, на вкладке Область для соответствующего объекта групповой политики нажмите кнопку Добавить, а затем укажите пользователя или группу. Имя пользователя или группы появится в списке Фильтры безопасности. Предоставление пользовательских разрешений членам группы «Фильтры безопасности» на вкладке Область фактически задает оба разрешения «Чтение» и «Применение групповой политики».

В таблице 4 приведены параметры разрешений безопасности по умолчанию для объекта групповой политики.

Таблица 4. Разрешения безопасности по умолчанию для объектов групповой политики

Группа безопасности	Разрешения
Пользователи, прошедшие проверку	Чтение (с учетом фильтрации параметров безопасности)
КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ	Чтение
«Администраторы предприятия», «Администраторы домена», «Владельцы-создатели», SYSTEM	Изменение параметров, удаление, изменение параметров безопасности

Примечание
Поскольку администраторы также являются входят в группу «Прошедшие проверку», то для них запись управления доступом (ACE) «Применение групповой политики» по умолчанию задана как Разрешить. Поэтому параметры политики применяются к ним так же, как если бы они находились в контейнере, с которым связан объект групповой политики.

Делегирование задач групповой политики в сайтах, доменах и подразделениях

Можно делегировать следующие три задачи (разрешения) групповой политики отдельно для каждого контейнера в Active Directory:

• Связывание объектов групповой политики с контейнером Active Directory (сайт, домен или подразделение)
• Выполнение анализа моделирования групповой политики для объектов в том контейнере (домены и подразделения)
• Чтение данных результатов групповой политики для объектов в том контейнере (домены и подразделения)

Чтобы делегировать административные задачи, необходимо предоставить разрешение, соответствующее задаче, для нужного контейнера Active Directory, используя консоль управления групповыми политиками.

По умолчанию члены группы «Администраторы домена» имеют разрешение на привязку объектов групповой политики для доменов и подразделений, а члены групп «Администраторы предприятия» и «Администраторы домена» в корневом домене леса могут управлять связями сайтов. Используя консоль управления групповыми политиками, можно делегировать разрешения дополнительным группам и пользователям.

По умолчанию доступ к моделированию групповой политики и удаленный доступ к данным результатов групповой политики имеют только члены групп «Администраторы предприятия» и «Администраторы домена». Чтобы делегировать администраторам более низкого уровня доступ к этим данным, необходимо настроить соответствующие разрешения в консоли управления групповыми политиками.

Делегирование задач администрирования групповой политики путем изменения соответствующих разрешений для контейнеров в Active Directory описано в следующих процедурах.

Делегирование задач администрирования групповой политики в сайте, домене или подразделении

1. В консоли управления групповыми политиками выберите имя сайта, домена или подразделения, куда требуется делегировать задачи администрирования групповой политики.
2. В области сведений для сайта, домена или подразделения откройте вкладку Делегирование.
3. В списке Разрешение выберите один из следующих параметров: Связанные объекты GPO, Анализ моделирования групповой политики или Чтение данных результатов групповой политики. Для сайтов можно выбрать только Связанные объекты GPO.
4. Чтобы делегировать задачу новому пользователю или группе, нажмите кнопку Добавить, а затем укажите пользователя или группу для добавления.
5. Чтобы изменить параметр Применяется к для существующего разрешения (изменить контейнер Active Directory, к которому применяется разрешение, предоставленное отдельному пользователю или группе), щелкните правой кнопкой мыши пользователя или группу в списке Группы и пользователи, а затем выберите пункт Только этот контейнер или Этот контейнер и дочерние контейнеры.
6. Чтобы удалить существующего пользователя или группу из списка пользователей и групп, которым было предоставлено указанное разрешение, выберите нужного пользователя или группу в списке Группы или пользователи и нажмите кнопку Удалить. Для выполнения этой процедуры необходимо быть членом группы Администраторы домена.
7. Чтобы добавить или удалить пользовательские разрешения:
   
   1. Нажмите кнопку Дополнительно на вкладке Безопасность.
   2. В разделе Имена групп или пользователей выберите пользователя или группу, чьи разрешения необходимо изменить.
   3. В окне Разрешения измените нужным образом разрешения и нажмите кнопку ОК.

Делегирование создания объектов групповой политики

Возможность создания объектов групповой политики в домене задается разрешением, которое назначается отдельно для каждого домена. По умолчанию создавать объекты групповой политики могут только члены групп «Администраторы домена», «Администраторы предприятия», «Владельцы-создатели групповой политики» и SYSTEM.

Член группы «Администраторы домена» может делегировать создание объектов групповой политики любой группе или пользователю. Есть два способа предоставления пользователю или группе такого разрешения, причем оба предоставляют идентичные разрешения.

• Добавление пользователя или группы в группу «Владельцы-создатели групповой политики». Это был единственный способ до появления консоли управления групповыми политиками.
• Использование консоли управления групповыми политиками для явного предоставления разрешения на создание объектов групповой политики пользователю или группе. Для этого в дереве консоли управления групповой политикой выберите пункт Объекты групповой политики, откройте вкладку Делегирование, а затем измените разрешения нужным образом.

Если член группы «Владельцы-создатели групповой политики», не являющийся администратором, создает объект групповой политики, то этот пользователь становится владельцем-создателем этого объекта, может изменять его и менять разрешения для него. Однако члены группы «Владельцы-создатели групповой политики» не могут связывать объекты групповой политики с контейнерами, если им отдельно не было делегировано право на такую операцию для конкретного сайта, домена или подразделения. Членство в группе «Владельцы-создатели групповой политики» дает полный неадминистративный контроль только над теми объектами групповой политики, которые создают сами пользователи. Члены группы «Владельцы-создатели групповой политики» не имеют разрешений по отношению к объектам групповой политики, которые они не создавали.

Примечание
Когда администратор создает объект групповой политики, члены группы «Администраторы домена» становятся владельцами-создателями этого объекта. По умолчанию члены группы «Администраторы домена» могут изменять все объекты групповой политики в домене.

Право на привязку объектов групповой политики делегируется отдельно от права создавать такие объекты и права их изменять. Чтобы группы могли создавать и связывать объекты групповой политики, необходимо обязательно делегировать оба права этим группам. По умолчанию пользователи, не входящие в группу «Администраторы домена», не могут управлять ссылками, что не позволяет им использовать консоль управления групповыми политиками для создания и связывания объектов групповой политики. При этом пользователи, не входящие в группу «Администраторы домена», могут создать несвязанный объект групповой политики, если они входят в группу «Владельцы-создатели групповой политики». После того, как пользователь, не входящий в группу «Администраторы домена», создаст несвязанный объект групповой политики, администратор домена или другой пользователь, которому были делегированы разрешения на привязку объектов групповой политики к контейнерам, может необходимым образом привязать этот объект.

Поскольку группа «Владельцы-создатели групповой политики» является глобальной группой домена, в нее не могут входить члены, не входящие в этот домен. Поэтому для того, чтобы делегировать пользователям, не входящим в этот домен, разрешения на создание объектов групповой политики, необходимо использовать консоль управления групповыми политиками для явного предоставления таким пользователям соответствующих разрешений.

Для этого следует создать новую локальную группу домена в этом домене (например «GPCO—Внешний») и предоставить этой группе разрешения на создание объектов групповой политики в этом домене, а затем добавить в эту группу глобальные группы из внешних доменов. Группу «Владельцы-создатели групповой политики» можно продолжать использовать для предоставления разрешений на создание объектов групповой политики пользователям и группам в этом домене.

Делегирование создания WMI-фильтров

Пользователю или группе можно делегировать любой из следующих двух уровней разрешений для создания WMI-фильтров.

• Владелец-создатель: Разрешает пользователю или группе создавать новые WMI-фильтры в домене, но не дает разрешения на управление фильтрами, созданными другими пользователями.
• Полный доступ: Разрешает пользователю или группе создавать WMI-фильтры и предоставляет полный контроль над всеми WMI-фильтрами в домене, включая новые фильтры, созданные после предоставления пользователям этого разрешения.

Чтобы делегировать эти разрешения, используйте консоль управления групповыми политиками. В дереве консоли управления групповыми политиками выберите пункт Фильтры WMI. В области сведений откройте вкладку Делегирование, а затем делегируйте разрешения должным образом.

Делегирование разрешений для управления отдельными WMI-фильтрами

Пользователю или группе можно делегировать любой из следующих двух уровней разрешений для управления отдельным WMI-фильтром.

• Изменение. Разрешает пользователю или группе изменять выбранный WMI-фильтр.
• Полный доступ: Разрешает пользователю или группе изменять или удалять выбранный WMI-фильтр, а также менять его параметры безопасности.

Чтобы делегировать эти разрешения, используйте консоль управления групповыми политиками. В дереве консоли управления групповой политикой (GPMC) выберите WMI-фильтр, для которого нужно делегировать разрешения. В области сведений откройте вкладкуДелегирование, а затем делегируйте разрешения должным образом.

Все пользователи имеют доступ на Чтение для всех WMI-фильтров. Консоль управления групповыми политиками не позволяет удалить это разрешение. В случае удаления разрешения на Чтение произойдет сбой обработки групповой политики на конечном компьютере.

Определение процедур управления групповой политикой

Чтобы поддерживать управляемость групповой политикой в будущем, необходимо разработать процедуры управления, гарантирующие изменение объектов групповой политики санкционированным и управляемым способом. Особое внимание нужно уделить обеспечению того, чтобы все новые объекты групповой политики и изменения в существующих объектах групповой политики были надлежащим образом подготовлены перед развертыванием в производственной среде. Кроме того, необходимо регулярно создавать резервные копии объектов групповой политики.

В некоторых организациях за управление различными аспектами групповой политики могут отвечать различные группы специалистов. Например, группа развертывания программного обеспечения, как правило, занимается параметрами политики в разделах Конфигурация пользователя\Политики\Конфигурация программ\Установка программ и Конфигурация компьютера\Политики\Конфигурация программ\Установка программ. Остальные параметры политики, относящиеся к таким компонентам как сценарии и перенаправление папок, едва ли представляют интерес для этой группы.

Чтобы уменьшить уровень сложности и свести к минимуму вероятность внесения ошибок, целесообразно создавать отдельные объекты групповой политики для различных групп администраторов. Другой способ состоит в ограничении доступа администраторов к групповой политике той ее частью, для изменения которой у них есть полномочия. Можно использовать параметр политики Запрещенные/Разрешенные оснастки\Внешние оснастки, чтобы ограничить доступ администраторов к оснасткам. Этот параметр политики доступен при изменении объекта групповой политики в разделе Конфигурация пользователя\Политика\Шаблоны администрирования\Компоненты Windows\Консоль управления MMC. Параметр политики Запрещенные/Разрешенные оснастки\Внешние оснастки относится к интерфейсу пользователя, доступному с помощью редактора, дополняющего консоль управления групповыми политиками. Следует помнить, что некоторым группам специалистов может потребоваться доступ к внешним оснасткам нескольких типов.

Примечание
Параметры политики ММС действуют только в отношении интерфейса пользователя, доступного с помощью ММС; использование программных средств для изменения групповой политики позволяет изменять любые параметры объекта групповой политики.

Чтобы получить дополнительную информацию об этих и других параметрах групповой политики, дважды щелкните мышью параметр политики в области сведений при изменении объекта групповой политики, а затем откройте вкладку Объяснение в диалоговом окне Свойстваполитики. Чтобы эта информация была всегда доступна при выбор параметра политики, необходимо включить режим Расширенный вид. По умолчанию это представление включено.

Указание контроллера домена для изменения групповой политики

В каждом домене консоль управления групповыми политиками использует один и тот же контроллер домена для всех операций в этом домене. Сюда относятся все операции с объектами групповой политики, расположенными в этом домене, а также всеми остальными объектами в этом домене, например подразделениями и группами безопасности.

Консоль управления групповыми политиками также использует один и тот же контроллер домена для всех операций с сайтами. Этот контроллер домена используется для чтения и записи сведений о ссылках на объекты групповой политики, существующие на любом указанном сайте, но информация о самих объектах групповой политики поступает от контроллеров домена в тех доменах, где размещаются эти объекты групповой политики.

По умолчанию при добавлении нового домена к консоли консоль управления групповыми политиками использует для операций в этом домене контроллер домена, обладающий ролью хозяина операций эмулятора основного контроллера домена (PDC) в этом домене. Для управления сайтами консоль использует эмулятор основного контроллера домена в домене пользователя по умолчанию.

Выбор контроллеров домена очень важен для администраторов, чтобы избежать конфликтов при репликации. Это особенно важно, поскольку данные объектов групповой политики находятся в Active Directory и Sysvol, где действуют независимые механизмы репликации для репликации данных объектов групповой политики на различные контроллеры домена в домене. Если два администратора одновременно изменяют один и тот же объект групповой политики на разных контроллерах домена, возможно, что изменения, внесенные одним администратором, будут переопределены другим администратором в зависимости от задержки репликации.

Чтобы избежать этого, консоль управления групповыми политиками по умолчанию использует эмулятор основного контроллера домена в каждом домене. Это помогает гарантированно защитить от потери данных всех администраторов, использующих один и тот же контроллер домена. Тем не менее администратору не всегда удобно использовать основной контроллер домена для изменения объектов групповой политики. Например, если администратор находится в удаленном сайте или большинство пользователей либо компьютеров, по отношению к которым действует объект групповой политики, являются удаленными, то администратор может использовать целевой контроллер домена в удаленном местоположении. Например, если администратор находится в Японии, а эмулятор основного контроллера домена — в Нью-Йорке, неудобно полагаться на связь через глобальную сеть, чтобы получить доступ к этому эмулятору.

Важно
Если несколько администраторов управляют общим объектом групповой политики, то все они должны использовать один и тот же контроллер при изменении конкретного объекта групповой политики, чтобы избежать конфликтов в службе репликации файлов.

Чтобы указать контроллер домена, который следует использовать для данного домена или для всех сайтов в лесе, следует использовать команду Сменить контроллер домена в консоли управления групповыми политиками. В любом случае будут доступны следующие четыре варианта:

• Контроллер домена с маркером хозяина операций для эмулятора PDC(по умолчанию);
• Любой доступный контроллер домена;
• Любой доступный контроллер домена под управлением Windows Server 2003 или более поздней версии ОС;
• Этот контроллер домена (в этом случае необходимо выбрать контроллер домена).

Выбранный вариант используется всякий раз, когда открывается сохраненная консоль, пока он не будет изменен.

Эта настройка сохраняется в MSC-файле и используется, когда этот файл открывается. В общем случае не рекомендуется использовать параметр Любой доступный контроллер домена, если только выполняемые операции не ограничены чтением.

Медленные каналы и обработка групповой политики

Иногда групповая политика не применяется, если скорость подключения снижается ниже порогового значения. Поэтому в случае, если решение групповой политики подразумевает применение политики по медленным каналам связи или с помощью удаленного доступа, необходимо продумать параметры политики для выявления медленного канала.

Хотя медленные каналы связи и удаленный доступ сходны между собой, обработка групповой политики в каждом из этих случаев разнится. Подключение компьютера к локальной сети это еще не означает передачу данных по быстрому каналу связи, равно как и подключение с помощью удаленного доступа не означает передачу данных по медленному каналу связи. По умолчанию значение скорости передачи данных, при котором групповая политика считает канал связи медленным, составляет 500 килобит в секунду (Кбит/с) и меньше. Это пороговое значение можно изменить, используя групповую политику. Следующий раздел содержит описание этапов обработки групповой политики и способ, с помощью которого групповая политика в Windows Server 2008 определяет скорости передачи данных по каналу связи.

Этапы обработки групповой политики

Обработка групповой политики происходит в три этапа. Каждый этап процесса является отдельным набором сценариев обработки. При обработке групповой политики служба групповой политики перебирает все сценарии по мере прохода всех этапов. Этапы обработки групповой политики:

• Стадия предварительной обработки: указывает начальный экземпляр обработки групповой политики и собирает сведения, необходимые для обработки групповой политики.
• Стадия обработки: использует сведения, собранные на этапе предварительной обработки, для циклического обхода всех расширений групповой политики, в рамках которого параметры политики применяются к пользователю или компьютеру.
• Стадия постобработки: сообщает об окончании экземпляра обработки политики и регистрирует результат завершения обработки экземпляра: успешная обработка, обработка с предупреждениями или сбой.

Служба групповой политики полагается на надежную связь с контроллером домена для получения сведений о компьютере или пользователе. Помимо этого служба использует контроллер домена для обнаружения объектов групповой политики в области компьютера или пользователя.

Метод определения скорости передачи данных по каналу связи групповой политикой

Процесс обнаружения медленного канала связи для групповой политики в Windows Server 2008 был усовершенствован. В групповой политике в Windows Server 2003 поиск контроллера домена осуществляется клиентом с помощью протокола ICMP; это позволяет определить доступность контроллера домена и скорость передачи данных по каналу связи между клиентом и контроллером домена. В Windows Server 2008 служба групповой политики определяет скорость передачи данных по каналу связи, используя для оценки текущего ТСР-трафика между клиентом и контроллером домена службу сведений о подключенных сетях. Эта оценка выполняется на этапе предварительной обработки.

Служба групповой политики запрашивает службу сведений о подключенных сетях, чтобы начать оценку пропускной способности ТСР на сетевом интерфейсе, обслуживающем контроллер домена, сразу после обнаружения контроллера домена службой групповой политики. На этапе предварительной обработки служба групповой политики продолжает обмениваться данными с контроллером домена, чтобы определить роль данного компьютера (контроллер домена или рядовой сервер), вошедшего пользователя и объекты групповой политики в области компьютера или пользователя. После этого служба групповой политики запрашивает службу сведений о подключенных сетях, чтобы остановить оценку трафика ТСР и предоставить оценочную пропускную способность канала связи между компьютером и контроллером домена на основе результатов оценки. Как указывалось ранее, по умолчанию групповая политика считает канал связи медленным, если результат оценки, проведенной службой сведений о подключенных сетях, составляет менее 500 Кбит/с.

Можно использовать параметр политики, чтобы определить медленный канал связи для применения групповой политики, как описано в следующих разделах.

Задание параметров групповой политики для обнаружения медленного канала связи

Возможен частичный контроль над тем, какие расширения групповой политики обрабатываются по медленному каналу связи. По умолчанию при обработке по медленному каналу связи обрабатываются не все компоненты групповой политики. В таблице 5 представлены параметры по умолчанию, используемые для обработки групповой политики по медленным каналам связи.

Таблица 5. Параметры обработки групповой политики по медленным каналам связи по умолчанию

Параметр	Значение по умолчанию
Безопасность	Вкл. (невозможно отключить)
IP-безопасность	Вкл.
EFS	Вкл.
Политики ограничения использования программ	Вкл.
Беспроводное подключение	Вкл.
Административные шаблоны	Вкл. (невозможно отключить)
Установка программного обеспечения	Откл.
Сценарии	Откл.
Перенаправление папок	Откл.
Планировщик пакетов QoS	Вкл.
Дисковые квоты	Откл.
Сопоставление зон Internet Explorer	Вкл.
Обслуживание IE	Вкл.
Предпочтения групповой политики	Вкл.
Поиск Windows	Вкл.
Подключения развернутых принтеров	Откл.
Групповая политика 802.3	Вкл.
Автономные файлы (Microsoft)	Вкл.

Чтобы настроить параметры обнаружения медленного канала связи групповой политикой для компьютеров, при изменении объекта групповой политики используйте параметр политики Обнаружение медленных подключений для групповой политики, который находится в разделе Конфигурация компьютера\Политики\Административные шаблоны\Система\Групповая политика. Скорость подключения измеряется в Кбит/с.Можно использовать параметр групповой политики, чтобы определить медленный канал связи для применения и обновления групповой политики. Значение по умолчанию классифицирует канал со скоростью передачи данных меньше 500 Кбит/с как медленный.

Чтобы настроить этот параметр политики для пользователей, используйте параметр политики Обнаружение медленных подключений для групповой политики в разделе Конфигурация пользователя\Политики\Административные шаблоны\Система\Групповая политика.

Параметр политики Таймаут для профилей пользователей для медленных сетевых подключений для профилей пользователей находится в разделе Конфигурация компьютера\Политики\Административные шаблоны\Система\Профили пользователей. Этот параметр политики позволяет групповой политике проверять производительность сетевого подключения файлового сервера, на котором размещен профиль пользователя. Это действие необходимо, поскольку профили пользователей могут храниться где угодно, а сервер может не поддерживать протокол IP. При настройке этого параметра политики скорость подключения необходимо указать в Кбит/с и миллисекундах.

Важно

Если включен параметр политики Не определять медленные подключения, то параметр политики Таймаут для профилей пользователей для медленных сетевых подключений игнорируется. Кроме того, при включенном параметре политики Удалять кэшированные копии перемещаемых профилей не поддерживается локальная копия перемещаемого профиля, которую можно было бы загрузить в случае обнаружения медленного подключения.

Настройка обработки по медленным каналам связи в клиентских расширениях в политике компьютера

Почти вся групповая политика применяется как последовательность клиентских расширений, например безопасность, административные шаблоны и перенаправление папок. Имеется политика компьютера, которая разрешает настройку поведения в случае медленного канала связи для каждого клиентского расширения. Эти параметры политики можно использовать, чтобы определять поведение клиентских расширений при обработке групповой политики. Имеется не более трех вариантов настройки каждого параметра политики. Параметр Разрешить обработку через медленное сетевое подключение управляет обработкой параметров политики по медленным каналам связи. Другие два варианта можно использовать, чтобы не обрабатывать параметр политики в фоновом режиме или обновить и вновь применить этот параметр даже в том случае, если параметры политики не были изменены. Дополнительные сведения о политике для клиентских расширений см. в разделе Обнаружение медленных подключений для групповой политики данного руководства.

Некоторые расширения передают большие объемы данных, поэтому обработка по медленному каналу связи может существенно снизить производительность. По умолчанию по медленному каналу связи обрабатываются только параметры политики, имеющие отношение к безопасности и административным шаблонам.

Настроить параметры обработки групповой политики можно для следующих параметров политики:

• Установка программного обеспечения
• IP-безопасность
• Восстановление EFS
• Дисковая квота
• Настройка Internet Explorer
• Сценарии
• Перенаправление папок
• Реестр
• Безопасность
• Проводное подключение
• Беспроводное подключение
• Предпочтения групповой политики

Настройка этих параметров политики описана в разделе Контролирование клиентских расширений с помощью групповой политики далее в данном руководстве.

Групповая политика и подключения удаленного доступа

Обработка групповой политики через подключение удаленного доступа отличается от обработки по медленному каналу связи. При использовании подключения удаленного доступа групповая политика применяется следующим образом.

• Когда пользователи выбирают вариант удаленного подключения перед входом на конечный компьютер через удаленное подключение, применяются параметры групповой политики как пользователя, так и компьютера, если этот компьютер входит в домен, к которому сервер удаленного доступа принадлежит или которому он доверяет. Однако параметры политики установки программного обеспечения для компьютера не обрабатываются, а сценарии загрузки для компьютера не выполняются, поскольку политика компьютера обрабатывается, как правило, перед появлением экрана входа в систему. При этом для удаленного подключения применение политики компьютера выполняется в качестве фонового обновления в процессе входа в систему.
• После завершения обработки кэшированных учетных данных и установления подключения удаленного доступа групповая политика не применяется (кроме фонового обновления).

Групповая политика не применяется к компьютерам, которые входят в рабочую группу, поскольку политика компьютера никогда не применяется к компьютерам из рабочей группы.

Контролирование клиентских расширений с помощью групповой политики

Ряд компонентов групповой политики содержит клиентские расширения (реализованные, как правило, в виде DLL-файлов), которые отвечают за обработку и применение параметров групповой политики на конечном компьютере.

Для каждого клиентского расширения порядок обработки объектов групповой политики поступает из списка объектов групповой политики, который определяется обработчиком групповой политики в процессе обработки. Каждое клиентское расширение обрабатывает результирующий список объектов групповой политики.

Политика компьютера существует для того, чтобы контролировать поведение всех клиентских расширений групповой политики. Каждая политика содержит до трех параметров, а некоторые содержат специальные параметры конфигурации. Чтобы настроить политики компьютера для клиентских расширений, при изменении объекта групповой политики следует открыть папку Конфигурация компьютера\Политики\Административные шаблоны\Система\Групповая политика и дважды щелкнуть мышью политику для соответствующего расширения.

Можно настроить следующие параметры политики компьютера:

• Разрешить обработку через медленное сетевое подключение. Некоторые расширения передают большие объемы данных, поэтому обработка по медленному каналу связи может существенно снизить производительность. По умолчанию по медленному каналу связи обрабатываются только параметры политики, имеющие отношение к безопасности и административным шаблонам. Эту политику можно настроить, чтобы разрешить обработку других клиентских расширений по медленному каналу связи. В качестве критерия определения медленного канала связи используется параметр политики медленного канала связи для групповой политики. Дополнительные сведения см. в разделе Обнаружение медленных подключений для групповой политики данного руководства.
• Не применять во время периодической фоновой обработки. Windows применяет политику компьютера при загрузке, а затем через каждые 90 минут работы. Кроме того, операционная система применяет политику пользователя при входе пользователя на компьютере, а затем в фоновом режиме приблизительно через каждые 90 минут. Параметр Не применять во время периодической фоновой обработки позволяет переопределить это поведение и предотвратить выполнение групповой политики в фоновом режиме.

Примечание
Расширения «Перенаправление папок» и «Установка программного обеспечения» обрабатывают групповую политику только при загрузке и входе пользователя в сеть, поскольку обработка этих политик в фоновом режиме ведет к возникновению рисков — у пользователей могут быть открыты приложения и файлы.

• Обрабатывать, даже если объекты групповой политики не изменились. Если объекты групповой политики на сервере не изменяются, то, как правило, нет необходимости все время повторно применять их к конечному компьютеру, если только не требуется переопределить возможные локальные изменения. Поскольку пользователи, выполняющие роль локальных администраторов, могут иметь достаточно полномочий для изменения тех частей реестра, где хранятся параметры групповой политики, то может потребоваться вновь применить эти параметры политики в процессе входа в систему или во время периодической фоновой обработки, чтобы восстановить нужное состояние компьютера.

Например, предположим, что групповая политика определяет особый набор параметров безопасности для файла. Пользователь, который вошел в систему с учетными данными администратора, изменяет эти параметры безопасности. Чтобы отменить внесенные изменения, включите параметр Обрабатывать, даже если объекты групповой политики не изменились; тогда параметры безопасности, заданные в групповой политике, будут вновь применены при следующем обновлении политики. Аналогичные соображения относятся и к приложениям: когда этот параметр включен, в случае, если групповая политика устанавливает приложение, а пользователь удаляет приложение или его значок, то приложение будет вновь объявлено при следующем входе пользователя на компьютер.

По умолчанию параметры политики безопасности, получаемые от групповой политики, применяются каждые 16 часов (960 минут), даже если объект групповой политики не был изменен. Чтобы изменить этот период по умолчанию, используйте запись реестраMaxNoGPOListChangesInterval в следующем подразделе:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon \GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}.

Эта запись имеет тип данных REG_DWORD, а значение определяет период в минутах.

Внимание
Неверные действия при изменении реестра могут серьезно повредить систему. Перед изменением реестра создайте резервную копию всех важных данных.

Групповая политика и Sysvol

Сведения параметров политики в объектах групповой политики хранятся в двух местоположениях: Active Directory и папке Sysvol контроллеров домена. Контейнер Active Directory также называют контейнером групповой политики, а папка Sysvol содержит шаблон групповой политики. Контейнер групповой политики содержит атрибуты, которые используются для развертывания объектов групповой политики в доменах, подразделениях и сайтах. Контейнер групповой политики также содержит путь к шаблону групповой политики, где хранится большинство параметров групповой политики.

К информации, хранящейся в шаблоне групповой политики, относятся параметры безопасности, файлы сценариев, сведения для развертывания приложений, настройки и параметры групповой политики, основанные на административных шаблонах. Административные шаблоны (ADMX-файлы) предоставляют сведения о параметрах групповой политики для элементов, отображаемых в разделе Административные шаблоны. В групповой политике для Windows Server 2008 административные шаблоны можно хранить либо локально, либо централизованно — в папке Sysvol. Для централизованного хранения административных шаблонов необходимо сначала создать папку PolicyDefinitions в общей папке Sysvol на соответствующем контроллере домена, а затем скопировать в эту папку файлы административных шаблонов, которые нужно применить по всему домену.

Обновления Sysvol реплицируются на все контроллеры домена в этом домене, что приводит к увеличению сетевого трафика и нагрузки на контроллеры домена. Поэтому, чтобы свести к минимуму влияние этой операции на домен, рекомендуется назначить копирование административных шаблонов в Sysvol в расписании на нерабочее время.

Файлы административных шаблонов в Windows Server 2008 и Windows Vista делятся на ADMX-файлы (не зависящие от языка) и ADML-файлы (для конкретного языка). Эти форматы файлов заменяют формат файлов ADM, использовавшийся в предыдущих версиях Windows; в нем применялся защищенный язык разметки. ADML-файлы — это XML-файлы на языке ADM, которые хранятся в папке для конкретного языка. Например, ADML-файлы для английского языка (США) хранятся в папке с именем «en-US». По умолчанию в папке %Systemroot%\PolicyDefinitions на локальном компьютере хранятся все ADMX-файлы и ADML-файлы для всех языков, использование которых разрешено на этом компьютере.

Чтобы загрузить файлы административных шаблонов для Windows Server 2008, см. страницу «Административные шаблоны (ADMX) для Windows Server 2008» (http://go.microsoft.com/fwlink/?LinkId=116434 (может быть на английском языке).

Преимущества хранения ADMX-файлов в папке Sysvol

Создание и использование центрального хранилища административных шаблонов дает два основных преимущества. Первое преимущество состоит в наличии централизованного реплицируемого хранилища для административных шаблонов домена. Консоль управления групповыми политиками, входящая в состав Windows Server 2008, всегда использует центральное хранилище административных шаблонов вместо локальных версий административных шаблонов. Это позволяет обойтись одним набором утвержденных административных шаблонов для всего домена.

Другое преимущество хранения административных шаблонов в папке Sysvol состоит в возможности предоставления административных шаблонов на разных языках. Это особенно полезно для сред, которые охватывают разные страны или используют разные языки. Например, если административные шаблоны хранятся в папке Sysvol, то администратор домена может просматривать параметры политики административных шаблонов на английском языке, тогда как другой администратор этого домена просматривает те же параметры политики на французском языке.

Дополнительные сведения об управлении ADMX-файлами и создании центральной зоны см. в статье «Пошаговое руководство по управлению ADMX-файлами групповой политики» (http://go.microsoft.com/fwlink/?LinkId=75124 (может быть на английском языке).

Недостатки хранения ADMX-файлов в папке Sysvol

Преимущества создания и использования центрального хранилища административных шаблонов весьма существенны, но они также сопряжены с определенными, хоть и небольшими, издержками. Консоль управления групповыми политиками считывает полный набор файлов административных шаблонов при изменении, моделировании или создании отчета для объекта групповой политики. Поэтому консоли приходится считывать эти файлы по сети. Если принято решение создать центральное хранилище административных шаблонов, консоль управления групповыми политиками следует подключать к самому ближнему контроллеру домена.

Примечание
Дополнительный сетевой трафик, создаваемый при использовании центрального хранилища, сопутствует исключительно использованию консоли управления групповыми политиками. Клиенты, которые применяют и обрабатывают групповую политику, не считывают административные шаблоны.

Обновление Sysvol

В групповой политике для версий Microsoft Windows, предшествующих Windows Vista, при изменении параметров политики административных шаблонов на локальных компьютерах в папку Sysvol на контроллере домена в домене автоматически передаются новые ADM-файлы. В групповой политике для Windows Server 2008 и Windows Vista при изменении параметров политики административных шаблонов на локальных компьютерах новые ADMX- или ADML-файлы не передаются в папку Sysvol автоматически. Это изменение поведения реализовано с целью уменьшения сетевой нагрузки и снижения требований к дисковому пространству, а также во избежание конфликтов между ADMX-файлами и ADML-файлами при внесении изменений в параметры политики административных шаблонов с компьютеров с различными языковыми стандартами. Чтобы обеспечить отражение всех локальных обновлений в папке Sysvol, необходимо вручную скопировать обновленные ADMX- или ADML-файлы из папки PolicyDefinitions на локальном компьютере в папку Sysvol\PolicyDefinitions на соответствующем контроллере домена.

Изменение интервала обновления групповой политики

Изменить интервал обновления политики по умолчанию можно с помощью одного из следующих параметров политики: Интервал обновления групповой политики для компьютеров, Интервал обновления групповой политики для контроллеров домена и Интервал обновления групповой политики для пользователей. Используя эти параметры политики, можно задать частоту обновления в диапазоне от 0 до 64 800 минут (45 дней).

Важно
Если выбрать 0 минут в качестве интервала обновления, то компьютер будет пытаться обновлять групповую политику каждые 7 секунд. Тем не менее такие частые обновления могут негативно повлиять на работу пользователей и увеличить сетевой трафик; в связи с этим сверхкороткие интервалы обновления подходят только для тестовой среды.

Чтобы запретить обновление групповой политики во время использования компьютера, включите параметр политики Отключить фоновое обновление групповой политики. Если этот параметр политики включен, система будет ожидать выхода текущего пользователя из системы, чтобы затем обновить параметры групповой политики.

Интервал обновления групповой политики для компьютеров

Этот параметр политики указывает, как часто Windows обновляет групповую политику для компьютеров в фоновом режиме. Он определяет частоту обновления в фоновом режиме только для параметров групповой политики компьютера. По умолчанию Windows обновляет групповую политику компьютера в фоновом режиме каждые 90 минут со случайным смещением от 0 до 30 минут. Помимо фоновых обновлений, групповая политика для компьютера всегда обновляется при загрузке системы. Этот параметр политики доступен в разделеКонфигурация компьютера\Политики\Административные шаблоны\Система\Групповая политика.

Интервал обновления групповой политики для контроллеров домена

Этот параметр политики указывает, как часто Windows обновляет групповую политику в фоновом режиме на контроллерах домена. По умолчанию Windows обновляет групповую политику для контроллеров домена каждые пять минут. Этот параметр политики доступен в разделеКонфигурация компьютера\Политики\Административные шаблоны\Система\Групповая политика.

Интервал обновления групповой политики для пользователей

Этот параметр политики указывает, как часто Windows обновляет групповую политику в фоновом режиме исключительно для параметров групповой политики пользователей. Помимо фоновых обновлений, групповая политика для пользователей всегда обновляется при входе пользователей в систему. Этот параметр политики доступен в разделе Конфигурация пользователя\Политики\Административные шаблоны\Система\Групповая политика.

Отключить фоновое обновление групповой политики

Этот параметр политики запрещает Windows применять параметры групповой политики во время использования компьютера. Этот параметр политики применяется к групповой политике для компьютеров, пользователей и контроллеров домена. Этот параметр политики доступен в разделе Конфигурация компьютера\Политики\Административные шаблоны\Система\Групповая политика.

Использование параметров командной строки для обновления политики

Используя программу Gpupdate.exe, можно обновлять параметры политики, развернутые на конкретном компьютере. В таблице 6 представлено описание параметров Gpupdate.exe. Программу Gpupdate.exe можно использовать в среде Windows Server 2008, Windows Vista, Windows Server 2003 и Windows XP.

Программа Gpudate.exe использует следующий синтаксис:

gpupdate [/target:{computer|user}] [/force] [/wait:value] [/logoff] [/boot] [/sync]

Таблица 6. Параметры Gpudate.exe

Параметр	Описание
/target:{computer|user}	В зависимости от указанной цели, программа Gpudate.exe обрабатывает параметры политики для компьютера, параметры политики для текущего пользователя или оба эти набора параметров. По умолчанию обрабатываются параметры политики как для компьютера, так и для пользователя.
/force	Повторное применение всех параметров политики и игнорирование оптимизаций обработки. По умолчанию применяются только измененные параметры политики.
/wait:значение	Служит для указания периода в секундах, в течение которого ожидается завершение обработки политики. Значение по умолчанию — 600 секунд. Значение 0 означает, что ожидания нет; значение –1 задает бесконечное ожидание.
/logoff	Завершение сеанса работы на компьютере после выполнения обновления политики. Это требуется для клиентских расширений групповой политики, которые обрабатываются не во время цикла фонового обновления, а при входе пользователя в систему, например «Перенаправление папок» и «Установка программного обеспечения» для пользователя. Этот параметр не оказывает никакого влияния, если не вызываются расширения, требующие выхода пользователя из системы.
/boot	Перезагрузка компьютера после завершения обновления политики. Это действие требуется для клиентских расширений групповой политики, которые обрабатываются не во время цикла фонового обновления, а при перезагрузке компьютера, например «Установка программного обеспечения» для компьютера. Этот параметр не оказывает никакого влияния, если не вызываются расширения, требующие перезагрузки компьютера.
/sync	Принудительная синхронизация следующего применения политики на переднем плане. Обработка групповой политики на переднем плане происходит при загрузке компьютера и входе пользователя в систему. Используя параметр /target, можно указать применение политики на переднем плане для пользователя, компьютера или для них обоих. Если этот параметр указан вместе с параметрами /force и /wait, то они игнорируются.
/?	Вывод справочных сведений в командной строке.

Использование моделирования групповой политики и результатов групповой политики для оценки параметров групповой политики

Прежде чем развертывать групповую политику в производственной среде, важно определить воздействие настроенных параметров политики по отдельности и в сочетании. Основной механизм оценки развертывания групповой политики состоит в создании промежуточной среды и входе в нее с помощью тестовой учетной записи. Это лучший способ оценки влияния и взаимодействия всех применяемых параметров объектов групповой политики. Подготовка развертывания групповой политики совершенно необходима для создания успешной управляемой среды. Дополнительные сведения см. в разделе Подготовка развертывания групповой политики данного руководства.

Для сетей Active Directory, где имеется по меньшей мере один контроллером домена Windows Server 2008, можно использовать моделирование групповой политики в консоли управления групповыми политиками для имитации развертывания объектов групповой политики на любом конечном компьютере. Основным средством просмотра фактического применения объектов групповой политики является использование результатов групповой политики в консоли управления групповыми политиками.

Использование моделирования групповой политики для имитации результирующей политики

Мастер моделирования групповой политики в консоли управления групповыми политиками служит для оценки и моделирования суммарного эффекта объектов групповой политики. Кроме того, моделирование групповой политики способно имитировать такие факторы, как членство в группе безопасности, оценка WMI-фильтров, а также последствия перемещения объектов компьютера или пользователя в другой контейнер Active Directory. Имитация осуществляется службой, которая работает на контроллерах домена под управлением Windows Server 2008 или Windows Server 2003. Эти расчетные параметры политики передаются в формате HTML и отображаются в консоли управления групповыми политиками на вкладке Параметры в области сведений для выбранного запроса. Чтобы развернуть или скрыть параметры политики в каждом элементе, нажмите кнопку Показать все или Скрыть, чтобы просмотреть все параметры политики или лишь некоторые из них. Для моделирования групповой политики, необходимо наличие по меньшей мере одного контроллера домена под управлением Windows Server 2008 или Windows Server 2003; также обязательно разрешение Анализ моделирования групповой политики в домене или подразделении, где содержатся объекты, для которых планируется выполнить запрос.

Чтобы запустить мастер, в дереве консоли управления групповыми политиками правой кнопкой мыши щелкните пункт Моделирование групповой политики (или активный контейнер Active Directory), а затем выберите пункт Мастер моделирования групповой политики. При запуске мастера из контейнера Active Directory мастер подставляет в поля Контейнер для пользователя и компьютера различающееся LDAP-имя этого контейнера.

После завершения работы мастера результаты отображаются так, как если бы они формировались по единому объекту групповой политики. Эти результаты сохраняются в виде запроса, представленного новым элементом в разделе Моделирование групповой политики консоли управления групповыми политиками. В столбце Результирующий объект групповой политики указывается, какой объект групповой политики отвечает за конкретный параметр политики. Чтобы увидеть более подробную информацию (например, какие объекты групповой политики пытались задать данный параметр политики, но не смогли), щелкните правой кнопкой мыши элемент запроса и выберите пункт Дополнительные параметры. После этого откроется оснастка «Результирующая политика». При просмотре свойств параметров политики в оснастке «Результирующая политика» следует обратить внимание на то, что каждый параметр политики имеет вкладку Приоритет.

Следует помнить о том, что моделирование групповой политики не включает оценку каких-либо локальных объектов групповой политики. Поэтому в некоторых случаях может наблюдаться различие между фактическими результатами и моделированием. Чтобы сохранить результаты моделирования, щелкните правой кнопкой мыши запрос и выберите команду Сохранить отчет.

Примечание
В Windows Server 2008 и Windows Vista имеется новый параметр политики — Выключить обработку локальных объектов групповой политики. Этот параметр позволяет отключить обработку локальной групповой политики. Этот параметр политики находится в разделе Конфигурация компьютера\Политики\Административные шаблоны\Система\ Групповая политика.

Использование результатов групповой политики для определения результирующей политики

Мастер результатов групповой политики используется для определения параметров групповой политики, которые будут задействованы для компьютера или пользователя, путем получения данных результирующей политики от конечного компьютера. В отличие от моделирования групповой политики результаты групповой политики выявляют фактические параметры групповой политики, примененные к конечному компьютеру. Конечный компьютер должен работать под управлением ОС Windows XP Professional или более поздней версии.

Параметры политики представляются в формате HTML и отображаются в окне обозревателя консоли управления групповыми политиками на вкладках Сводка и Параметры в области сведений для выбранного запроса. Чтобы развернуть или скрыть параметры политики в каждом элементе, нажмите кнопку Показать все или Скрыть, чтобы просмотреть все параметры политики или лишь некоторые из них. Чтобы получить удаленный доступ к данным результатов групповой политики для пользователя или компьютера, необходимо иметь разрешениеУдаленный доступ к данным результатов групповой политики для домена или подразделения, где находится данный пользователь или компьютер, либо быть членом локальной группы администраторов на соответствующем компьютере и располагать сетевым подключением к конечному компьютеру.

Чтобы запустить мастер, щелкните правой кнопкой мыши элемент Результаты групповой политики, а затем выберите пункт Мастер результатов групповой политики.

После завершения работы мастера консоль управления групповыми политиками создает отчет, в котором отображаются данные результирующей политики для пользователя и компьютера, указанных в мастере. В столбце Результирующий объект групповой политикиуказывается, какой объект групповой политики отвечает за конкретный параметр политики (вкладка Параметры).

Чтобы сохранить результаты, щелкните запрос правой кнопкой мыши и выберите команду Сохранить отчет.

Использование программы Gpresult.exe для оценки параметров политики

Чтобы получить на локальном компьютере те же данные, которые предоставляет мастер результатов групповой политики в консоли управления групповыми политиками, можно запустить программу Gpresult.exe. По умолчанию программа Gpresult.exe возвращает параметры политики, которые действуют на компьютере, на котором она запущена.

Для Windows Server 2008 и Windows Vista с пакетом обновления 1 (SP1) Gpresult.exe использует следующий синтаксис:

gpresult [/s  [/u \ /p ]] [/scope {user|computer}] [/user ] [/r | /v | /z] [/x | /h  [/f]]

В таблице 7 описаны параметры Gpresult.exe.

Таблица 7. Параметры Gpresult.exe

Параметр	Описание
/s <компьютер>	Служит для указания имени или IP-адреса удаленного компьютера. (Не используйте обратную косую черту.) По умолчанию используется локальный компьютер.
/u <домен>\<пользователь>	Служит для выполнения команды с использованием разрешений учетной записи пользователя, указанного в формате <пользователь> или <домен\пользователь>. По умолчанию команда выполняется с использованием разрешений пользователя, вошедшего на данный момент на компьютер и запустившего эту команду.
/p <пароль>	Служит для указания пароля учетной записи пользователя, заданной в параметре /u.
/scope {user | computer}	Служит для отображения результатов для компьютера или пользователя. Допустимыми значениями параметра /scope являются user или computer. Если параметр /scope не указывать, программа Gpresult отображает параметры политики для компьютера и пользователя.
/user <имя_конечного_пользователя>	Служит для указания имени пользователя, данные результирующей политики которого должны быть отображены.
/r	Служит для отображения сводных данных результирующей политики.
/v	Служит для вывода подробных сведений о политике.
/z	Служит для вывода всех доступных сведений о групповой политике. Поскольку при указании этого параметра выводится больше данных, чем при указании параметра /v, при использовании этого параметра следует перенаправить вывод данных в текстовый файл (например, gpresult /z >политика.txt).
/x <имя_файла>	Служит для сохранения отчета в формате XML в местоположении и в файле с именем, заданными параметром <имя_файла> (параметр действителен в Windows Server 2008 и Windows Vista SP1).
/h <имя_файла>	Служит для сохранения отчета в формате HTML в местоположении и в файле с именем, заданными параметром <имя_файла> (параметр действителен в Windows Server 2008 и Windows Vista SP1).
/f	Заставляет Gpresult перезаписать файл с именем, заданным в параметре /x или /h.
/?	Вывод справочных сведений в командной строке.

Откройте командную строку с повышенными правами. Чтобы открыть командную строку с повышенными правами, нажмите кнопку Пуск, щелкните правой кнопкой мыши на пункте Командная строка, а затем выберите команду Запуск от имени администратора.Запуск Gpresult.exe на компьютере

1. В командной строке введите команду gpresult /h gpresult.html /f.
2. Чтобы просмотреть файл, в командной строке введите команду Start gpresult.html.

Резервное копирование, восстановление, миграция и копирование объектов групповой политики

Консоль управления групповыми политиками предоставляет средства для резервного копирования, восстановления, миграции и копирования имеющихся объектов групповой политики. Эти возможности имеют важное значение для обслуживания развертывания групповой политики в случае ошибки или аварии. Они позволяют обойтись без ручного воссоздания утраченных или поврежденных объектов групповой политики и повторения этапов планирования, тестирования и развертывания. План операций, проводящихся с групповой политикой, должен включать регулярное создание резервных копий всех объектов групповой политики. Все администраторы групповой политики должны получить информацию об использовании консоли управления групповыми политиками для восстановления объектов групповой политики.

Консоль управления групповыми политиками также предоставляет механизмы для копирования и импорта объектов групповой политики из одного домена или между доменами. Консоль управления групповыми политиками можно использовать для миграции имеющегося объекта групповой политики, например из существующего домена в новый развернутый домен. Можно копировать объекты групповой политики или импортировать параметры групповой политики из одного объекта в другой. Эти операции помогают сэкономить время и избежать осложнений, позволяя вновь использовать содержимое имеющихся объектов групповой политики. Копирование объектов групповой политики позволяет перейти от промежуточной среды непосредственно к рабочей, если были настроены надлежащие отношения доверия между средами. Импорт объектов групповой политики позволяет переносить параметры политики из резервной копии объекта в имеющийся объект, что особенно полезно в ситуациях, где отсутствует отношение доверия между исходным и конечным доменами. Если необходимо повторно использовать объекты групповой политики, копирование также позволяет комфортно перемещать объекты групповой политики из одной рабочей среды в другую.

Использование консоли управления групповыми политиками для работы с объектами групповой политики

Чтобы создавать резервные копии объектов групповой политики, необходимо иметь по меньшей мере разрешение на чтение объектов групповой политики и разрешение на запись в папку, в которой хранятся эти резервные копии. Рисунок 6 поможет идентифицировать элементы, используемые в процедурах, описанных ниже.

Использование консоли управления групповыми политиками для резервного копирования объектов групповой политики и просмотра резервных копий объектов

Операция резервного копирования приводит к созданию резервной копии рабочего объекта групповой политики в файловой системе. Местоположением резервной копии может быть любая папка, для которой имеется разрешение на запись. После резервного копирования объектов групповой политики для отображения и использования содержимого папки резервного копирования следует использовать консоль управления групповыми политиками — это можно делать как через пользовательский интерфейс, так и программным путем, используя сценарий. Не следует работать с архивными объектами групповой политики непосредственно в файловой системе. После резервного копирования объектов групповой политики консоль управления групповыми политиками используется для работы с архивными объектами групповой политики с помощью операций импорта и восстановления.

Примечание

Можно создать резервную копию нескольких экземпляров одного объекта в одной папке, поскольку консоль управления групповыми политиками уникально идентифицирует каждый архивный экземпляр и предоставляет механизмы, позволяющие выбирать нужный экземпляр архивированного объекта для работы с ним. Например, можно отображать только самые последние резервные копии при просмотре содержимого папки резервного копирования с помощью консоли управления групповыми политиками. Это может быть полезно при создании резервных копий объекта групповой политики после его изменения в условиях наличия необходимости восстановления предыдущей версии этого объекта в будущем.

Резервное копирование всех объектов групповой политики в домене

1. В дереве консоли управления групповыми политиками раскройте лес или домен, содержащий объекты групповой политики, резервное копирование которых нужно выполнить.
2. Правой кнопкой мыши щелкните пункт Объекты групповой политики и выберите команду Архивировать все.
3. В диалоговом окне Архивация объекта групповой политики введите путь к папке, где следует сохранять резервные копии объектов групповой политики. Также можно нажать кнопку Обзор, чтобы открыть папку, в которой нужно сохранять резервные копии объектов групповой политики; после этого следует нажать кнопку ОК.
4. Введите описание объектов групповой политики, резервное копирование которых нужно выполнить, и нажмите кнопку Архивировать.
5. После завершения операции резервного копирования, появятся сводные данные с перечнем объектов групповой политики, резервные копии которых успешно созданы, а также тех объектов, резервные копии которых не удалось создать.
6. Нажмите кнопку ОК.

Резервное копирование отдельного объекта групповой политики

1. В дереве консоли управления групповыми политиками разверните узел Объекты групповой политики в лесу или домене, где содержится объект групповой политики, резервную копию которого нужно создать.
2. Щелкните правой кнопкой мыши объект, резервную копию которого нужно создать, и выберите команду Архивировать.
3. В диалоговом окне Архивация объекта групповой политики введите путь к папке, где следует сохранить резервную копию этого объекта групповой политики. Также можно нажать кнопку Обзор, чтобы открыть папку, в которой нужно сохранить резервную копию объекта групповой политики; после этого следует нажать кнопку ОК.
4. Введите описание объекта групповой политики, резервную копию которого нужно создать, и нажмите кнопку Архивировать.
5. После завершения операции резервного копирования результат этой операции будет указан в сводных данных.
6. Нажмите кнопку ОК.

Просмотр списка резервных копий объектов групповой политики

1. В дереве консоли управления групповыми политиками раскройте лес или домен, содержащий объекты групповой политики, резервное копирование которых нужно выполнить.
2. Правой кнопкой мыши щелкните пункт Объекты групповой политики и выберите команду Управление архивацией.
3. В диалоговом окне Управление архивацией введите путь к папке, где хранятся резервные копии объектов групповой политики, которые нужно просмотреть. Также можно нажать кнопку Обзор, чтобы открыть папку, в которой хранятся резервные копии объектов групповой политики; после этого следует нажать кнопку ОК.
4. Чтобы задать отображение только последней версии объектов групповой политики в списке Архивные объекты GPO, установите флажок Показывать только последнюю версию каждого объекта GPO. Нажмите кнопку Закрыть.

Важно
Необходимо защитить резервные копии объектов групповой политики путем предоставления разрешения на доступ к папке, в которой эти объекты сохраняются, только уполномоченным администраторам. Используйте разрешения безопасности в файловой системе, где создаются резервные копии этих объектов групповой политики.

Использование консоли управления групповыми политиками для восстановления объектов групповой политики

Объекты групповой политики также можно восстанавливать. Эта операция восстанавливает резервную копию объекта групповой политики в том же домене, в котором она была создана. При этом нельзя восстановить объект групповой политики из резервной копии в домене, который отличается от исходного домена этого объекта.

Восстановление предыдущей версии имеющегося объекта групповой политики

1. В дереве консоли управления групповыми политиками разверните узел Объекты групповой политики в лесу или домене, где содержатся объекты групповой политики, которые нужно восстановить.
2. Правой кнопкой мыши щелкните объект, предыдущую версию которого нужно восстановить, а затем выберите команду Восстановить из архива.
3. Когда откроется Мастер восстановления объекта групповой политики, следуйте инструкциям в мастере, а затем нажмите кнопку Готово.
4. После завершения операции восстановления результат этой операции будет указан в сводных данных. Нажмите кнопку ОК.

Восстановление удаленного объекта групповой политики

1. В дереве консоли управления групповыми политиками разверните лес или домен, содержащий объект групповой политики, который нужно восстановить.
2. Правой кнопкой мыши щелкните пункт Объекты групповой политики и выберите команду Управление архивацией.
3. В диалоговом окне Управление архивацией нажмите кнопку Обзор, а затем найдите файл, содержащий резервную копию объектов групповой политики.
4. В списке Архивные объекты GPO выберите объект, который требуется восстановить, и нажмите кнопку Восстановить.
5. В ответ на предложение подтвердить операцию восстановления нажмите кнопку ОК.
6. После завершения операции восстановления результат этой операции будет указан в сводных данных. Нажмите кнопку ОК. Нажмите кнопку Закрыть.

Резервное копирование и восстановление данных WMI-фильтров, параметров политики IPsec и ссылок на подразделения

Ссылки на WMI-фильтры и политики IPsec хранятся в объектах групповой политики и архивируются в их составе. При восстановлении объекта эти ссылки сохраняются, если базовые объекты по-прежнему существуют в Active Directory. При этом ссылки на подразделения не являются частью данных резервной копии и не будут восстановлены во время операции восстановления.

Параметры политики, хранящиеся вне объектов групповой политики, например данные WMI-фильтров и параметры политики IPsec, не архивируются и не восстанавливаются во время этих процессов. Чтобы создать резервную копию и восстановить небольшое число WMI-фильтров, необходимо выбрать элемент Фильтры WMI в консоли управления групповыми политиками или отдельный WMI-фильтр в этом элементе, а затем воспользоваться командой Импорт или Экспорт по необходимости. Информацию об импорте или экспорте WMI-фильтров см. в разделе «Импорт WMI-фильтра» или «Экспорт WMI-фильтра» в справке консоли управления групповыми политиками. Поскольку с помощью этих команд можно импортировать или экспортировать только один WMI-фильтр за раз, этот подход рекомендуется использовать только в случае, если необходимо архивировать или восстановить небольшое число WMI-фильтров.

Для архивации и восстановления большого числа WMI-фильтров необходимо использовать программу командной строки Ldifde, как описано в статье «Пользовательская проверка. Импорт и экспорт WMI-фильтров» (http://go.microsoft.com/fwlink/?linkid=109519 — страница может быть на английском языке).

Примечание

Ldifde — это программа командной строки, встроенная в Windows Server 2008. Это средство доступно, если установлена роль сервера служб Active Directory облегченного доступа к каталогам или доменных служб Active Directory. Чтобы воспользоваться Ldifde, необходимо выполнить команду Ldifde в командной строке с повышенными правами. Дополнительную информацию о Ldifde см. в соответствующей статье (http://go.microsoft.com/fwlink/?LinkId=110104 — страница может быть на английском языке).

Назначение политики IPsec объекту групповой политики приводит к регистрации указателя на политику IPsec внутри атрибута ipsecOwnersReference объекта групповой политики. Сам объект содержит только ссылку на политику IPsec, заданную различающимся LDAP-именем. Групповая политика используется только для доставки назначения политики службе IPsec компьютера. Служба IPsec компьютера затем получает политику IPsec из Active Directory, поддерживает локальный текущий кэш политики и сохраняет его актуальность, используя интервал опроса, заданный в самой политике IPsec.

Чтобы создать резервную копию или восстановить параметры политики IPsec необходимо использовать команды Экспортировать политики и Импортировать политики в оснастке управления политикой IP-безопасности. Команда Экспортировать политики позволяет экспортировать все локальные политики IPsec и сохранить их в IPSEC-файле.

Использование консоли управления групповыми политиками для копирования объектов групповой политики и импорта параметров объектов групповой политики

Консоль управления групповыми политиками позволяет копировать объекты групповой политики как в одном домене, так и между доменами, а также импортировать параметры групповой политики из одного объекта в другой. Эти операции следует выполнять в рамках процесса подготовки перед развертыванием в производственной среде. Эти операции также полезны для миграции объектов групповой политики из одной производственной среды в другую.

Несмотря на то, что набор параметров политики, составляющий объект групповой политики, логически является единым целым, данные для одного объекта хранятся в нескольких местах и в различных форматах. Некоторые данные содержатся в Active Directory, а другие данные хранятся в папке Sysvol на контроллерах домена. Это означает, что нельзя скопировать объекты групповой политики простым копированием папки с одного компьютера на другой. При этом консоль управления групповыми политиками предоставляет встроенную поддержку, которая позволяет безопасно и относительно просто выполнить эту операцию.

Операция копирования копирует имеющийся текущий объект групповой политики в нужный конечный домен. В рамках этого процесса всегда создается новый объект. Конечным доменом может быть любой доверенный домен, в котором у пользователя есть право создавать новые объекты групповой политики. Просто добавьте нужные леса и домены в консоль управления групповыми политиками и используйте ее для копирования и вставки (или перетаскивания) нужных объектов групповой политики из одного домена в другой. Для копирования объекта групповой политики необходимо иметь разрешение на создание объектов групповой политики в конечном домене.

При копировании объектов групповой политики помимо параметров политики в составе самого объекта можно также скопировать список управления доступом на уровне пользователей (DACL) объекта. Это помогает гарантировать, что новый объект, созданный в рамках операции копирования, будет иметь те же параметры делегирования и фильтрации параметров безопасности, что и исходный объект.

Импортирование объектов групповой политики позволяет переносить параметры политики из резервной копии объекта в имеющийся объект. При импорте объекта групповой политики переносятся только параметры этого объекта; имеющаяся фильтрация параметров безопасности или ссылки на конечный объект не изменяются. Импортирование объекта групповой политики полезно при миграции объектов групповой политики между средами, у которых нет отношений доверия, поскольку требуется доступ только к резервной копии объектов, а не к объектам в рабочей среде. Поскольку операция импорта лишь изменяет параметры политики, то для ее выполнения достаточно иметь разрешение на изменение конечного объекта групповой политики.

При копировании или импорте объекта групповой политики можно задать таблицу миграции, если объект содержит участники безопасности или UNC-пути, которые, возможно, потребуется изменить при копировании в конечный домен. Для создания и изменения таблиц миграции используется редактор таблиц миграции (MTE). Таблицы миграции описаны в следующем разделе^ Использование таблиц миграции.

Копирование объекта групповой политики

1. В дереве консоли управления групповыми политиками раскройте узел Объекты групповой политики в лесу и домене, содержащем копируемый объект групповой политики.
2. Щелкните правой кнопкой мыши объект групповой политики, который следует скопировать, и выберите команду Копировать.
3. Выполните одно из следующих действий.
   
   • Чтобы создать копию объекта в этом же домене, где находится исходный объект, щелкните правой кнопкой мыши пункт Объекты групповой политики, а затем выберите команду Вставить.
   • Чтобы создать копию объекта в другом домене (этого или другого леса), разверните конечный домен, щелкните правой кнопкой мыши пункт Объекты групповой политики, а затем выберите команду Вставить.
   • При копировании внутри домена выберите команду Использовать разрешения по умолчанию для новых объектов GPO или Сохранить существующие разрешения и нажмите кнопку ОК.
4. При копировании в другой домен или из другого домена следуйте инструкциям в мастере, который при этом запустится, а затем нажмите кнопку Готово.

Импорт параметров политики из резервной копии объекта групповой политики в объект групповой политики

1. В дереве консоли управления групповыми политиками разверните узел Объекты групповой политики в лесу и домене, содержащем объект групповой политики, в который требуется импортировать параметры политики.
2. Щелкните правой кнопкой мыши объект групповой политики, в который требуется импортировать параметры политики, а затем выберите пункт Импорт параметров.
3. Далее следуйте инструкциям в открывшемся окне мастера импорта параметров и по окончании нажмите кнопку Готово.
4. После завершения операции импорта появится сводка с указанием успешного выполнения импорта. Нажмите кнопку ОК.

Использование таблиц миграции

Поскольку некоторые данные в объекте групповой политики относятся к конкретному домену и при копировании в другой домен могут оказаться недействительными, в консоли управления групповыми политиками предусмотрены таблицы миграции. Таблица миграции – это просто таблица, задающая соответствие между исходным и конечным значениями. На рисунке 7 показана таблица миграции в редакторе таблиц миграции консоли управления групповыми политиками.
Во время операции копирования или импорта таблица миграции преобразует ссылки в объекте групповой политики в новые ссылки, которые будут работать в конечном домене. Таблицы миграции можно использовать для выполнения обновления участников безопасности и UNC-путей до новых значений как части операции копирования или импорта. Таблицы миграции сохраняются с расширениями MIGTABLE имен файлов, но фактически представляют собой XML-файлы. Для создания или редактирования таблиц миграции не требуется знания языка XML; консоль управления групповыми политиками предоставляет редактор для работы с таблицами миграции.

Таблица миграции состоит из одного или нескольких сопоставленных элементов. Каждый сопоставленный элемент состоит из исходного типа, исходной ссылки и конечной ссылки. Если таблица миграции задается во время выполнения операции копирования или импорта, то при записи параметров политики в конечный объект групповой политики каждая ссылка на исходный элемент заменяется ссылкой на конечный элемент. Перед использованием таблицы миграции следует убедиться, что ссылки на конечные элементы, заданные в этой таблице миграции, уже существуют.

Приведенные далее элементы могут содержать участники безопасности и могут изменяться с помощью таблицы миграции.

• Параметры политики безопасности следующих типов:
  
  
  • назначение прав пользователей;
  • ограниченные группы;
  • системные службы;
  • файловая система;
  • реестр.
• Дополнительные параметры политики перенаправления папки.
• Список управления доступом на уровне пользователей (DACL) объекта групповой политики, если он был утилизирован во время операции копирования.
• Список управления доступом на уровне пользователей (DACL) в объектах установки программного обеспечения, который утилизируется только в случае, когда указан вариант копирования DACL объекта групповой политики.

Кроме того, приведенные далее элементы могут содержать UNC-пути, которые, возможно, потребуется обновить до новых значений в качестве части операции импорта или копирования, поскольку серверы в исходном домене могут быть недоступны из домена, в который мигрируется объект групповой политики.

• Параметры групповой политики перенаправления папки.
• Параметры групповой политики, связанные с установкой программного обеспечения.
• Ссылки на сценарии (такие как сценарии входа и запуска), которые хранятся вне исходного объекта групповой политики. Сам сценарий не копируется в качестве части операции копирования или импорта объекта групповой политики, если он хранится вне исходного объекта групповой политики.

Дополнительные сведения об использовании таблиц миграции см. в разделе Подготовка развертывания групповой политики данного руководства.

Сопровождение групповой политики

После развертывания групповой политики для ее реализации может потребоваться обычное сопровождение и изменение по мере изменения предприятия и его потребностей, а также по мере возрастания опыта работы с групповой политикой. Установив контрольные процедуры для создания, связи, редактирования, импорта параметров политики, резервного копирования и восстановления объектов групповой политики, можно сократить до минимума обращения в службу поддержки, вызванные неадекватно запланированными развертываниями групповой политики. Также можно упростить устранение неполадок объектов групповой политики и помочь снизить общие затраты на компьютеры в сети предприятия.

Установив контрольные механизмы объектов групповой политики, можно создать объекты групповой политики, которые будут отличаться следующими качествами:

• соответствовать корпоративным стандартам;
• обеспечивать отсутствие конфликтов своих параметров политики с параметрами политики, заданными другими.

Для устранения проблем, связанных с объектами групповой политики, можно использовать мастер результатов групповой политики консоли управления групповыми политиками (GPMC), чтобы идентифицировать возможные ошибки развертывания групповой политики. Дополнительные сведения об этом средстве см. в разделе Использование моделирования групповой политики и результатов групповой политики для оценки параметров групповой политики данного руководства. Можно также воспользоваться мастером моделирования групповой политики консоли управления групповыми политиками (GPMC), чтобы оценить последствия установки новых параметров групповой политики до их развертывания в рабочей среде.

Всякий раз при развертывании новых технологических решений, таких как беспроводные сети, необходимо проверять совместимость имеющихся конфигураций групповой политики с новой технологией. Для облегчения управления разными технологиями в групповой политике предусмотрены разные параметры политик, например параметры для политик беспроводных сетей (IEEE 802.11) (расположенные в разделе Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности), служб терминалов (расположенные в разделахКонфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows и Конфигурация пользователя\Политики\Административные шаблоны\Компоненты Windows), а также параметры политик для многих других технологий.

Изменение параметров групповой политики может вызвать значительные последствия. При выполнении обслуживания групповой политики необходимо предпринять разумные меры предосторожности: протестировать предполагаемые изменения и оценить их действие в среде подготовки развертывания.

Обсуждение групповой политики для переименования домена

Имена доменов являются важной составляющей соответствующего функционирования реализации групповой политики. В семействе Windows Server 2008 можно переименовать домен с помощью средств переименования домена (Rendom.exe и GPfixup.exe), которые включены в Windows Server 2008. Средства переименования домена обеспечивают безопасный и поддерживаемый способ переименования одного или нескольких доменов (и разделов каталогов приложений) в лесу Active Directory.

Важно
Необходимо выполнить резервное копирование всех объектов групповой политики с помощью консоли управления групповыми политиками после переименования домена. После переименования домена невозможно будет восстанавливать резервные копии, сделанные до переименования этого домена.

Переименование одного или нескольких доменов – это сложный процесс, требующий полного планирования и понимания процедур переименования доменов. Необходимо также изменить все объекты групповой политики, на которые может повлиять переименование домена, чтобы они работали правильно. Для модификации объектов групповой политики используется средство Gpfixup.exe, включенное в Windows Server 2008. Gpfixup.exe восстанавливает объекты групповой политики и их ссылки в каждом переименованном домене. После операции переименования домена необходимо восстанавливать объекты и ссылки групповой политики, чтобы обновить старое имя домена, включенное в эти объекты и их ссылки.

Важно
Дополнительные сведения о процессе переименования домена см. на веб-сайте Windows Server 2008 TechCenter (http://go.microsoft.com/fwlink/?LinkId=100876 — страница может быть на английском языке).

Использование сценариев для управления групповой политикой

Можно загрузить демонстрационные сценарии, использующие интерфейсы консоли управления групповыми политиками, и записать много операций, поддерживаемых этой консолью. Демонстрационные сценарии консоли управления групповыми политиками формируют основу для набора средств по созданию сценариев, который модно использовать для решения конкретных административных проблем. Например можно выполнить запросы для поиска в домене всех объектов групповой политики, имеющих повторяющиеся имена, или для создания списка всех объектов групповой политики домена, чьи параметры политики отключены полностью или частично. Эти сценарии также иллюстрируют ключевые объекты и методы сценариев, обеспечивая таким образом обзор многих административных задач, которые можно выполнять с помощью консоли управления групповыми политиками. Сведения об этих сценариях см. на странице демонстрационных сценариев консоли групповых политик (http://go.microsoft.com/fwlink/?LinkId=109520) (может быть на английском языке).

По умолчанию при загрузке демонстрационных сценариев консоли управления групповыми политиками они устанавливаются в папку Program Files\Microsoft Group Policy\GPMC Sample Scripts. Демонстрационные сценарии направляют вывод в окно команд, и их следует запускать с помощью программы Cscript.exe. Если Cscript.exe не является обработчиком WSH по умолчанию, то придется явно указывать Cscript.exe в командной строке. Например, введите d: \Program Files\Microsoft Group Policy\GPMC Sample Scripts>cscript ListAllGPOs.wsf. Чтобы сделать Cscript.exe обработчиком WSH по умолчанию, введите в командной строке cscript //h:cscript.

Многие из этих демонстрационных сценариев основываются на библиотеке распространенных вспомогательных функций, которая находится в файле Lib_CommonGPMCFunctions.js. Если эти сценарии копируются в другое местоположение, то необходимо скопировать туда же и данный файл библиотеки, чтобы сценарии могли работать.

Подготовка развертывания групповой политики

Групповая политика Windows Server 2008 предоставляет мощные возможности по развертыванию изменений конфигураций во всей организации. Как и любые другие изменения в организации, развертывания и текущие обновления групповой политики требуют тщательного планирования и тестирования для обеспечения высокодоступной и безопасной архитектуры. С помощью функций, включенных в консоль управления групповыми политиками, можно создавать тестовый, промежуточный и рабочий процессы развертывания, что гарантирует предсказуемость и целостность во время развертываний групповой политики.

Обзор подготовки развертывания групповой политики

Групповая политика является мощным средством конфигурирования операционных систем Windows Server 2008, Windows Vista, Windows Server 2003 и Windows XP в организации. Такая возможность воздействовать на конфигурации сотен и даже тысяч компьютеров требует хорошего практического опыта управления изменениями, чтобы изменения, вносимые в объекты групповой политики, гарантированно давали ожидаемые результаты для тех, для кого они предназначены, т.е. для пользователей и компьютеров.

Во многих организациях имеются процессы управления изменениями для обеспечения тщательного тестирования новых конфигураций и развертываний в нерабочей среде до их применения в рабочей среде.

Во многих процессах управления изменениями различаются тестовая среда, используемая для тестирования изменений, и промежуточная среда, которая является средой предварительной обработки, подобной рабочей среде, и последней остановкой на пути развертывания изменений в рабочую среду. В данном разделе термины «тестовая» и «промежуточная» являются взаимозаменяемыми, и различия между ними как физическими средами не делаются. Однако с помощью методов, описанный в этом разделе, можно создать отдельные тестовую и промежуточную среды, если это необходимо для процесса управления изменениями.

Эффективные процессы управления изменениями не менее важны для обеспечения успешного развертывания изменений групповой политики, поскольку групповая политика может воздействовать на все, от параметров реестра до параметров безопасности, при развертывании программного обеспечения на компьютере. В дополнение к размещаемому групповой политикой большому числу параметров конфигурации объекты групповой политики можно связывать с множеством разных областей, и их действие может фильтроваться по пользователям, компьютерам или группам безопасности. Возможность подготовки объектов групповой политики в тестовой среде и последующей проверки их воздействия до развертывания в рабочей среде исключительно важна для обеспечения устойчивой и надежной работы инфраструктуры Windows. Создание промежуточной среды имеет большое значение для любого успешного развертывания групповой политики в инфраструктуре Active Directory. При создании такой среды можно выбрать несколько вариантов. Эти варианты включаются с помощью функций консоли управления групповыми политиками.

Для создания промежуточной среды, подобной рабочей среде, можно сочетать функции консоли управления групповыми политиками и сценарии. Затем с помощью этой промежуточной среды можно тестировать новые или измененные объекты групповой политики. После проверки этих объектов групповой политики можно с помощью консоли управления групповыми политиками выполнить их миграцию в рабочие домены.

Процесс подготовки групповой политики

Процесс подготовки групповой политики состоит из создания промежуточной среды, имитирующей рабочую среду, тестирования новых параметров групповой политики в этой среде и последующего развертывания этих параметров политик в рабочей среде. Конкретный подход к развертыванию зависит от конфигурации промежуточной среды.

При формировании промежуточной среды для групповой политики сначала просто определяется имеющееся оборудование, которое можно использовать для создания архитектуры, аналогичной рабочей среде, а затем устанавливается соответствующая логическая структура. Затем с помощью средств консоли управления групповыми политиками можно импортировать параметры рабочей групповой политики в промежуточную среду. После создания этой среды выполняется тестирование групповой политики, включающее реализацию изменений и оценку их воздействия на тестовых пользователей и компьютеры, имитирующих реальных пользователей и компьютеры. После проверки изменений можно снова воспользоваться средствами консоли управления групповыми политиками, чтобы выполнить миграцию измененных или новых параметров групповой политики в рабочую среду.

Обслуживать групповую политику и продолжать оценивать изменения приходится на постоянной основе. Следовательно, необходимо все время поддерживать синхронизацию промежуточной и рабочей сред. Для постоянного обслуживания промежуточной среды можно воспользоваться средствами консоли управления групповыми политиками, такими как демонстрационные сценарии, а также функции резервного копирования, обычного копирования и импорта.

Примечание

Для облегчения создания и тестирования разнообразных сценариев групповой политики можно использовать виртуализацию на основе низкоуровневой оболочки Windows Server 2008. С помощью виртуальных машин можно создавать безопасную автономную среду, точно воспроизводящую работу физических серверов и клиентов. Сведения о виртуализации Windows Server 2008 см. в статье «Виртуализация и консолидация» (http://go.microsoft.com/fwlink/?LinkId=109521) (может быть на английском языке).

Возможности обслуживания и подготовки развертывания в консоли управления групповыми политиками

Далее приводятся разные функции для подготовки и обслуживания групповой политики, имеющиеся в консоли управления групповыми политиками.

• Мастер моделирования групповой политики для планирования развертываний групповых политик.
• Мастер результатов групповой политики для просмотра взаимодействия с объектом групповой политики и устранения неполадок.
• Возможность использования единого интерфейса консоли управления Microsoft (консоли GPMC) для управления групповыми политиками во всей организации. Операции управления включают импорт и экспорт, обычное и резервное копирование, а также восстановление объектов групповой политики.

Наиболее важными функциями консоли управления групповыми политиками для подготовки групповой политики являются резервное копирование, импорт, обычное копирование и таблицы миграции. Эти функции позволяют выполнять подготовку объектов групповой политики и их миграцию в лесах и доменах.

Резервное копирование и импорт

В консоли управления групповыми политиками имеется возможность выполнять резервное копирование одного или нескольких объектов групповой политики. Затем эти резервные копии можно использовать для восстановления отдельных объектов групповой политики в их первоначальном состоянии (с помощью операции восстановления), или же можно импортировать параметры политик в существующие объекты групповой политики, заменяя таким образом все предыдущие параметры политик. Эта операция восстановления используется только для восстановления объекта групповой политики в том же домене, из которого была сделана его резервная копия.

В отличие от операции восстановления операция импорта используется в случаях, когда резервная копия какого-либо объекта групповой политики была сделана в том же домене, в другом домене или даже в другом ненадежном лесу, например в тестовом лесу, изолированном от рабочего леса. Следует отметить, что хотя операции восстановления и импорта применяются к объектам групповой политики, для которых ранее было выполнено резервное копирование, восстановление предлагает дополнительные возможности. Операции резервного копирования, импорта и обычного копирования будут использоваться для выполнения подготовки и миграции объектов групповой политики в рабочую среду.

Рисунок 8 иллюстрирует операцию импорта. В данном случае объект групповой политики X в тестовом лесу содержит некоторое количество участников безопасности, назначенных праву пользователя на локальный вход в систему («Log on Locally»). Выполняется резервное копирование этого объекта групповой политики и последующий его импорт в рабочий лес. Во время операции импорта первоначальные участники безопасности сопоставляются с новыми участниками безопасности, существующими в рабочем домене.

Копирование

С помощью средства копирования в консоли управления групповыми политиками можно щелкнуть правой кнопкой мыши объект групповой политики, скопировать его в одном домене и вставить в новый домен. В такой операции при копировании объекта групповой политики в новый домен создается новый объект групповой политики. В этом состоит отличие от операции импорта, в которой существующий объект групповой политики стирается и затем перезаписывается. Однако в новый объект групповой политики копируются только параметры политики исходного объекта групповой политики. Ссылки области управления (SOM-ссылки), списки управления доступом (ACL) и ссылки WMI-фильтров для исходного объекта групповой политики не копируются в новый объект групповой политики. Для операции копирования необходимо, чтобы конечный домен был надежным для исходного домена. Для выполнения операции копирования необходимо быть членом локальный группы «Администраторы» или делегированным пользователем, имеющим следующие права:

• права на чтение исходного объекта групповой политики и в исходном домене;
• право на создание объектов групповой политики в конечном домене (в домене, в который копируется новый объект групповой политики).

В операциях импорта и копирования консоль управления групповыми политиками поддерживает возможность выполнения для участников безопасности и UNC сопоставления между ссылками на эти объекты в исходном и конечном объектах групповой политики.

Рисунок 9 иллюстрирует операцию копирования. В данном случае выполняется миграция объекта групповой политики из домена B в домен C, и некоторые из связанных с ним участников безопасности сопоставляются с новыми участниками безопасности в домене C.

Таблицы миграции

В объектах групповой политики могут содержаться ссылки на участники безопасности и UNC-пути как часть параметров политики. Например в параметрах политики безопасности можно контролировать, какие пользователи или группы могут запускать и останавливать определенную службу Windows. Рисунок 10 иллюстрирует параметры безопасности, которые можно применить к службе сообщений. В данном случае для этих параметров безопасности можно сопоставить участники безопасности в промежуточной среде с участниками безопасности в рабочей среде с помощью таблиц миграции.
Кроме того, в объекте групповой политики имеется дескриптор безопасности, который содержит DACL, используемый для управления возможностью определенных компьютеров, пользователей или групп обрабатывать объект групповой политики и возможностью пользователей создавать, изменять и редактировать этот объект групповой политики. Участники безопасности, включенные в DACL объекта групповой политики, могут также учитываться при развертывании этого объекта групповой политики из одного домена в другой.

Таблицы миграции также поддерживают сопоставление UNC-путей, которые могут существовать в политике установки программного обеспечения, перенаправления папок или сценариев. Чтобы согласовать эти пути, имеющие какие-либо различия в тестовой и рабочей средах, можно с помощью таблиц миграции заменить имена сервера и общих ресурсов при миграции параметров групповой политики.

Если выполняется миграция объекта групповой политики, созданного в другом домене или лесу, в текущую рабочую среду, то необходимо модифицировать соответствующие ссылки участников безопасности, чтобы отразить ссылки, находящиеся в рабочем домене. В консоли управления групповыми политиками имеется редактор таблиц миграции, с помощью которого можно создавать файл сопоставления для участников безопасности и UNC-путей. Редактор таблиц миграции создает файл в формате XML с расширением MIGTABLE; в этом файле задаются исходные и конечные участники безопасности или UNC-пути для миграции объекта групповой политики. Дополнительные сведения о редакторе таблиц миграции сообщения см. в разделе Создание таблиц миграции далее в этом руководстве.

Создание промежуточной среды

Первый этап подготовки групповой политики и ее развертывания состоит в создании промежуточной среды. Сюда входит построение тестовой инфраструктуры, которая отражает инфраструктуру рабочей среды и позволяет тестировать новые или измененные параметры групповой политики без воздействия на реальных пользователей и компьютеры.

В этой точке необходимо принять решение о размещении промежуточной среды и ее отношениях доверия с рабочей средой. Можно выбрать один из следующих вариантов:

• промежуточный домен в рабочем лесу;
• промежуточный лес без отношений доверия с рабочим лесом;
• промежуточный лес с отношениями доверия с рабочим лесом.

Каждый вариант имеет свои преимущества и недостатки, как показано в таблице 8.

Таблица 8. Выбор подхода к созданию промежуточной среды

Подход	Преимущества	Недостатки
Подготовительный домен в рабочем лесу	·         Для перемещения объектов групповой политики между промежуточной и рабочей средами может использоваться операция копирования консоли управления групповыми политиками. ·         Могут использоваться существующие службы рабочей инфраструктуры (например DNS, DHCP). ·         Реализация может требовать меньшего количества аппаратуры, чем в случае полностью изолированной рабочей среды, для которой необходима поддерживающая инфраструктура. ·         Проще сохранять синхронизацию с рабочей средой, поскольку все параметры политик и службы находятся в одном лесу. ·         При миграции из домена в домен в рабочем лесу может потребоваться меньшее использование таблиц миграции (например, некоторые участники безопасности могут повторно использоваться независимо от домена).	·         Возможна недостаточная изоляция от рабочей среды, что не позволит гарантировать отсутствие влияния тестирования на рабочую среду. (Например связанные с сайтами объекты групповой политики непросто тестировать, поскольку сайты занимают домены в лесу. Участники безопасности могут повторно использоваться независимо от домена.) ·         Возможно ограниченное подтверждение, если для тестирования необходимо внесение изменений в среду.
Подготовительный лес без отношений доверия с рабочим лесом	·         Полная изоляция от рабочей среды; обеспечивается максимальная защита от воздействия тестовых объектов групповой политики на реальные компьютеры и пользователей. ·         Отсутствуют перекрытия параметров безопасности промежуточной и рабочей сред; администраторам промежуточного или рабочего леса не требуется доступ к обоим лесам. ·         Обеспечивается гибкость; администраторы могут свободно экспериментировать с параметрами и конфигурациями политик без воздействия на рабочую среду.	·         Трудно сохранять синхронизацию с рабочим лесом. ·         Без доверительных отношений перемещения данных и параметров политик между лесами более обременительны. ·         Для перемещения объектов групповой политики, содержащих участники безопасности или UNC-пути, из промежуточной среды в рабочую необходимы таблицы миграции. ·         Для выполнения миграции объектов групповой политики нельзя использовать операцию копирования консоли управления групповыми политиками; необходимо использовать операцию импорта консоли управления групповыми политиками.
Подготовительный лес с отношениями доверия с рабочим лесом	·         Для перемещения объектов групповой политики между промежуточной и рабочей средами может использоваться операция копирования консоли управления групповыми политиками. ·         Частичная изоляция от рабочей среды. ·         Обеспечивается гибкость; администраторы могут свободно экспериментировать с параметрами и конфигурациями политик без воздействия на рабочую среду. ·         Для сопоставления UNC-путей могут не понадобиться таблицы миграции, поскольку все пути должны быть доступны благодаря текущим отношениям доверия.	·         Трудно сохранять синхронизацию с рабочим лесом. ·         Отношения доверия между промежуточной и рабочей средами дают возможность пользователям из одной среды получать доступ к ресурсам в другой среде. ·         Для перемещения объектов групповой политики, содержащих участники безопасности, из промежуточной среды в рабочую необходимы таблицы миграции.

Рассмотрим преимущества и недостатки, приведенные в таблице 8, при выборе подхода к созданию промежуточной среды. После того как выбор будет сделан, можно будет определить требования к оборудованию для промежуточной среды.

Необходимое оборудование

Независимо от выбранного подхода к созданию промежуточной среды потребуется выделить некоторое дополнительное оборудование для формирования промежуточной среды. Количество необходимого оборудования зависит от вида тестирования, которое будет выполняться, и от специфичности требований тестирования групповой политики. Например рабочие среды, состоящие из компьютеров, связанных медленными сетевыми подключениями, могут повлиять на применение групповой политики в Windows, поскольку некоторые параметры групповой политики не могут применяться в случае медленных сетевых подключений. Поэтому важно, чтобы тестовая среда полностью отражала эту ситуацию, чтобы получить точную картину воздействия изменений групповой политики на рабочую среду. В такой ситуации может быть полезна консоль управления групповыми политиками, в которой существует возможность моделирования влияния обработки групповой политики в медленных подключениях. Однако может оказаться, что полностью отразить рабочую среду невозможно, пока для промежуточной среды не будут предоставлены достаточные системные ресурсы и сетевое оборудование. Цель состоит в создании тестовой и промежуточной среды, отражающей производительность и поведение компьютеров и пользователей в рабочей среде, когда групповая политика применяет новые или измененные объекты групповой политики.

Подготовка промежуточной среды

После выбора подхода к созданию промежуточной среды и настройки оборудования установите Windows Server 2008 и Active Directory на промежуточных серверах в целях подготовки к синхронизации конфигурации рабочей и промежуточной сред. В большинстве случаев необходимо убедиться, что на компьютерах в промежуточной среде установлены те же операционная система, пакеты обновления и исправления, что и на компьютерах в рабочей среде. Это важно для гарантированного получения целостных результатов теста. Кроме того, следует убедиться, что поддерживающая инфраструктура, например DNS, распределенная файловая система (DFS) и связанные службы, тоже сконфигурированы так же, как в рабочей среде. DNS особенно важна для соответствующей обработки объектов групповой политики. Если будет принято решение использовать подход, в котором промежуточный домен или структура подразделения размещается в рабочем лесу, то для служб имен можно будет использовать существующую инфраструктуру рабочей DNS.

Важно
Консоль управления групповыми политиками Windows Server 2008 можно использовать для управления объектами групповой политики в доменах Windows Server 2008, Windows Server 2003 и Windows 2000.

Если для промежуточной среды строится отдельный лес, необходимо решить проблему интеграции служб имен. В зависимости от типов созданных отношений доверия службы имен должны включать DNS или WINS. Может потребоваться создание отдельной инфраструктуры DNS для промежуточной среды. В частности это будет справедливо при использовании в рабочем лесу безопасной DNS, интегрированной с Active Directory, поскольку зоны безопасности, интегрированные с Active Directory, не могут поддерживать динамическую регистрацию клиентов из внешних лесов. Если планируется создание отношений доверия между промежуточным и рабочим лесами, инфраструктуры служб имен в каждом лесу должны быть осведомлены друг о друге. После полной настройки промежуточной среды с помощью основных элементов, необходимых для разворачивания групповой политики, следует этап синхронизации промежуточной и рабочей сред.

Синхронизация промежуточной и рабочей сред

После создания основной архитектуры промежуточной среды, отражающей рабочую среду, следует убедиться, что все параметры безопасности и объектов групповой политики идентичны в этих двух средах. Для синхронизации также необходимо, чтобы в обеих средах были в достаточной степени представлены подразделения, пользователи, компьютеры и группы, поскольку должна быть возможность тестирования ссылок объектов групповой политики и влияния фильтров групп безопасности в том состоянии, в каком они будут присутствовать в рабочей среде.

Любая тестовая среда должна гарантированно отражать рабочую среду настолько точно, насколько это возможно. Для облегчения процесса начальной синхронизации тестовой среды с рабочей средой и последующего сохранения этой синхронизации на постоянной основе можно загрузить и запустить два демонстрационных сценария консоли управления групповыми политиками, CreateXMLFromEnvironment.wsf и CreateEnvironmentFromXML.wsf. Как уже упоминалось ранее, по умолчанию демонстрационные сценарии консоли управления групповыми политиками устанавливаются в папку Program Files\Microsoft Group Policy\GPMC Sample Scripts.

Сценарий CreateXMLFromEnvironment.wsf работает в пределах рабочего домена, сохраняет сведения о политиках в файле формата XML и создает резервные копии всех объектов групповой политики, обнаруженных в рабочем домене. Следует заметить, что этот сценарий работает только в пределах одного домена, а не в пределах всего леса. Сценарий CreateEnvironmentFromXML.wsf использует этот файл формата XML и все резервные копии объектов групповой политики, созданные сценарием CreateXMLFromEnvironment.wsf, для повторного создания объектов групповой политики и других объектов рабочего домена в промежуточном домене. В таблице 9 приводятся объекты и параметры политик, которые захватывает сценарий CreateXMLFromEnvironment.wsf, и показываются дополнительные объекты, которые можно захватить с помощью параметров командной строки при запуске этого сценария.

Таблица 9. Объекты, захватываемые сценарием CreateXMLFromEnvironment.wsf

Тип объекта	Охватывается сценарием	Дополнительные параметры командной строки
Все объекты групповой политики и их параметры в домене или подразделении	Да	Чтобы захватить параметры объектов групповой политики, необходимо предоставить шаблон пути с помощью параметра /TemplatePath для указания расположения файловой системы, в которой должны храниться резервные копии объектов групповой политики. Если шаблон пути не задан, то резервное копирование объектов групповой политики не выполняется. Можно исключить разрешения объектов групповой политики с помощью параметра /ExcludePermissions.
Подразделения	Да	Можно захватывать только часть дерева подразделения, воспользовавшись параметром /StartingOU и задав для пути стиля DN значение OU.
Ссылки объектов групповой политики и атрибуты ссылок (например «отключено», «блокировать наследование»)	Да, кроме ссылок объектов сайта, которые не захватываются	Нет
Разрешения, связанные с политикой	Да	Можно исключить разрешения с помощью параметра /ExcludePermissions.
WMI-фильтры	Да	Нет
Пользователи	По выбору	Учетные записи пользователей не захватываются, пока не будет указан параметр /IncludeUsers.
Группы безопасности	Да	По умолчанию сценарием захватываются только группы безопасности, заданные в подразделениях. Охват групп можно расширить, включив все группы в контейнер «Пользователи» и в корень домена с помощью параметра /IncludeAllGroups.
Компьютеры	Нет	Нет
Сайты	Нет	Нет

Если для некоторого количества пользователей не будут указаны пароли в XML-файле, то сценарий CreateEnvironmentfromXML.wsf предложит ввести пароль. Все пользователи, пароли которых не указаны в XML-файле, будут созданы с этим паролем. Также следует заметить, что этот сценарий не захватывает компьютеры. Это происходит потому, что объекты «компьютер» в Active Directory соответствуют физическим аппаратным ресурсам, которые могут быть разными в рабочей и промежуточной средах. И наконец, сценарий не захватывает ни сайты, ни ссылки объектов групповой политики на сайты. Поскольку сайты могут распределяться на несколько доменов и оказывать влияние на репликацию Active Directory, рекомендуется повторно создать эти объекты и ссылки на них объектов групповой политики в промежуточной среде вручную.Существует несколько моментов, которые необходимо учитывать при использовании сценария CreateXMLFromEnvironment.wsf. Во-первых, если используется параметр /IncludeUsers для захвата объектов «пользователь», то при повторном создании этих объектов в промежуточном домене потребуется указывать пароль для каждого захваченного пользователя. Это можно сделать, вручную отредактировав итоговый XML-файл и добавив пароль для каждого пользователя.

Пример. Создание файла в формате XML в рабочей среде

Предположим, что имеется рабочий домен с именем Contoso.com. Требуется экспортировать параметры групповой политики и соответствующие сведения для создания нового промежуточного домена для тестирования объекта групповой политики. В данном примере предполагается, что решено захватить объекты групповой политики из всего домена и включить учетные записи пользователей и группы. Далее приводятся задачи, которые необходимо выполнить для экспорта нужных сведений.

Создание XML-файла в рабочей среде

1. Для извлечения необходимых данных необходимо иметь достаточные разрешения в рабочем домене. Должны быть права на чтение всех захватываемых объектов, включая объекты групповой политики, подразделения, пользователей и группы (и их членов).
2. Создайте папку для хранения файла в формате XML, описывающего сведения, собранные сценарием.
3. Создайте папку для хранения резервных копий объектов групповой политики, извлекаемых сценарием.
4. Выполните сценарий CreateXMLFromEnvironment.wsf из папки установки. Если cscript.exe не является обработчиком сервера сценариев Windows (WSH) по умолчанию, то перед именем сценария следует указать команду cscript. В данном примере введите в командной строке следующее:
   
   Cscript "%programfiles%\Microsoft Group Policy\GPMC Sample Scripts\CreateXmlFromEnvironment.wsf".\production.xml /Domain:contoso.com /DC:contoso-dc1 /TemplatePath:.\GPObackups /IncludeUsers
   

Эта команда создает файл Production.xml в формате XML в той папке, в которой выполняется сценарий. Резервные копии объектов групповой политики создаются во вложенной папке с именем GPObackups текущей папки. Если перед путями production.xml и GPObackups указан знак «\» (обратная косая черта), то сценарий будет использовать относительный путь и создаст XML-файл и папки резервных копий объектов групповой политики в текущем каталоге, в котором он выполняется. Использование относительного пути облегчает копирование XML-файла и резервных копий в другие местоположения, из которых они могут быть восстановлены.

Сценарий начинает захват на уровне домена Contoso.com. Можно также запустить сценарий на уровне подразделения. В этом случае необходимо указать параметр /StartingOU в дополнение к параметру /Domain. Если параметр /Domain не задан, то подразумевается текущий домен. Параметр /DC указывает, что сценарий должен использовать контроллер домена contoso-dc1, а параметр /TemplatePath указывает, что резервные копии охваченных объектов групповой политики сохраняются в папке GPOBackups. Наконец параметр /IncludeUsers обеспечивает захват сценарием также и учетных записей пользователей.

Внимание
Файлы в формате XML, созданные сценарием CreateXMLFromEnvironment.wsf, можно открывать и редактировать в текстовом редакторе или в любом редакторе XML. Однако необходимо осознавать, что файлы в формате XML должны придерживаться определенного синтаксиса. Изменение этого синтаксиса может повлиять на возможность чтения этого файла сценарием CreateEnvironmentFromXML.wsf.

После запуска сценария CreateXMLFromEnvironment.wsf и захвата им рабочей среды необходимо запустить сценарий CreateEnvironmentFromXML.wsf, который использует в качестве входного файл формата XML, созданный сценарием CreateXMLFromEnvironment.wsf. Сценарий CreateEnvironmentFromXML.wsf должен запускаться из промежуточного домена, или же можно запустить его с компьютера, не входящего в промежуточный домен, если отношения доверия с промежуточным доменом уже настроены.

Импорт рабочих объектов групповой политики в промежуточный домен

Сценарий CreateEnvironmentFromXML.wsf предоставляет несколько разных вариантов, с помощью которых можно подготовить создание объектов групповой политики в промежуточной среде. Самый простой вариант включает предоставление этому сценарию файла в формате XML, созданного в рабочем домене, и при желании направление операции этого сценария в контроллер домена в промежуточном домене. Этот сценарий создает в промежуточном домене объекты групповой политики и связанные с ними объекты в соответствии с данными, которые были охвачены в рабочем домене. Для изменения этого процесса в сценарии предусмотрено некоторое количество параметров командной строки, которые приводятся далее.

• Undo. Этот параметр удаляет из промежуточной среды все объекты (объекты групповой политики и их разрешения, подразделения, WMI-фильтры, пользователей и группы), которые были заданы файлом в формате XML. Этот параметр используется, когда требуется отменить изменения, внесенные в промежуточном домене.
• ExcludePolicy Settings. Этот параметр создает в конечном домене объекты групповой политики, но без параметров политик. Его следует использовать, если параметры политики ни одного объекта групповой политики импортировать не требуется, достаточно только создать некоторые подразделения, пользователей и группы пользователей, которые могут быть охвачены.
• ExcludePermissions. Если указан этот параметр, то сценарий игнорирует все связанные с групповой политикой разрешения, содержащиеся в файле формата XML. Вместо этих разрешений при создании новых объектов групповой политики и других объектов в промежуточной среде используются разрешения по умолчанию.
• MigrationTable. Этот параметр дает возможность указать MIGTABLE-файл, который создается с помощью редактора таблиц миграции для задания сопоставления участников безопасности и UNC-путей в рабочей среде с соответствующими участниками безопасности и UNC-путями в промежуточной среде.
• ImportDefaultGPOs. Этот параметр выполняет импорт параметров политик в используемую по умолчанию доменную политику и в используемую по умолчанию политику контроллеров домена, если параметры политик для этих объектов групповой политики заданы в XML-файле. Если этот параметр не указан, то объекты групповой политики не будут изменяться.
• CreateUsersEnabled. Этот параметр создает учетные записи пользователей включенными (вместо отключенных).
• PasswordForUsers. Этот параметр дает возможность указать пароль для всех пользователей, пароли которых не заданы в XML-файле. Для всех пользователей, пароли которых не заданы в XML-файле, будет использоваться один и тот же пароль.
• Q. Этот параметр запускает сценарий в тихом режиме, если все необходимые параметры указаны в командной строке. Без этого параметра будет выдаваться предупреждение, что данный сценарий должен использоваться только для создания промежуточных сред, и при необходимости будут запрашиваться пароли для всех пользователей, пароли которых не заданы в XML-файле.

Пример. Заполнение промежуточного домена данными из файла в формате XML

Предположим, что промежуточной средой является домен test.contoso.com, и этот домен находится в том же лесу, что и рабочий домен, охваченный ранее в этой главе. Если промежуточный домен не находится в одном лесу с рабочим доменом, то этапы заполнения промежуточного домена будут те же, но может потребоваться другое сопоставление участников безопасности с помощью таблиц миграции.

Заполнение промежуточного домена из XML-файла

1. Убедитесь, что сценарий CreateEnvironmentFromXML.wsf запускается с достаточными разрешениями в промежуточном домене. Сценарий должен запускаться пользователем, имеющим права администратора домена или аналогичные права в домене.
2. Убедитесь, что имеется доступ к файлу в формате XML и к резервным копиям объектов групповой политики, созданным в рабочем домене с помощью сценария CreateXMLFromEnvironment.wsf.
   
   При запуске CreateEnvironmentFromXML.wsf нужно только сослаться на XML-файл (не на местоположение резервных копий объектов групповой политики) в параметрах командной строки. В этом файле содержатся пути к файлам резервных копий объектов групповой политики. Следовательно, когда задается XML-файл для сценария CreateEnvironmentFromXML.wsf, этот сценарий использует любые файлы резервных копий объектов групповой политики в папке, указанной при запуске сценария CreateXMLFromEnvironment.wsf. Если сценарий CreateXMLFromEnvironment.wsf запускался с помощью команды, как показано в примере Создание файла в формате XML в рабочей среде, то этот XML-файл будет указывать, что резервные копии находятся во вложенной папке текущей папки. Если при запуске сценария CreateXMLFromEnvironment.wsf относительный путь не использовался, то имеется три способа обеспечить обнаружение нужных файлов сценарием CreateEnvironmentFromXML.wsf:
   • скопировать структуру указанной папки из местоположения, в котором она была создана, в такое же местоположение (по тому же пути) на локальный компьютер, на котором запускается сценарий CreateEnvironmentFromXML.wsf;
   • указать при первом создании XML-файла не локальный диск, а сетевую папку (эта сетевая папка также должна быть доступна из местоположения, в котором запускается сценарий CreateEnvironmentFromXML.wsf);
   • отредактировать XML-файл, изменив записи путей так, чтобы они указывали на другое местоположение для файлов резервных копий объектов групповой политики.
3. Запустите сценарий CreateEnvironmentFromXML.wsf из папки «Scripts» в папке установки консоли управления групповыми политиками. Если cscript.exe не является обработчиком WSH по умолчанию, то перед именем сценария следует указать команду cscript. В данном примере введите в командной строке следующее:
   
   Cscript CreateEnvironmentFromXml.wsf /xml:c:\staging\production.xml /Domain:test.contoso.com /DC:test-dc1
   

Сценарий отображает предупреждение, что он предназначен только для создания промежуточных сред, а затем приглашает ввести пароль для объектов «пользователь». Если при запуске сценария используется параметр /Q, и пароль вводится с помощью параметраPasswordForUsers, то эти сообщения не отображаются. При подтверждении, что следует продолжить выполнение, сценарий отображает состояние обработки XML-файла и объектов групповой политики. Затем можно с помощью средства «Active Directory – пользователи и компьютеры» и консоли управления групповыми политиками проверить успешное создание пользователей, групп и объектов групповой политики и подтвердить, что все этапы выполнены правильно.

Поддержка синхронизации промежуточной и рабочей сред

Сценарии CreateXMLFromEnvironment.wsf и CreateEnvironmentFromXML.wsf используются для создания начальной промежуточной среды из рабочей среды. Но для поддержания групповой политики, включая тестирование новых и измененных объектов групповой политики, необходимы постоянные усилия. Как можно поддерживать синхронизацию промежуточной и рабочей сред на постоянной основе? Рассматривавшиеся ранее сценарии предоставляют метод заполнения объектов групповой политики «все или ничего» – они не предназначены для захвата и импорта только определенных объектов групповой политики.

Функции резервного копирования и импорта в консоли управления групповыми политиками предоставляют возможность выборочной синхронизации конкретных объектов групповой политики между рабочей и промежуточной средами. Средство резервного копирования используется для создания резервной копии параметров политики и безопасности рабочего объекта групповой политики. Затем можно импортировать эту резервную копию в существующий объект групповой политики в промежуточном домене, синхронизируя его таким образом с рабочим объектом групповой политики. Дополнительные сведения о резервном копировании и импорте объектов групповой политики см. в разделе Примеры развертывания.

Тестирование групповой политики в промежуточной среде

После создания промежуточной среды и синхронизации групповой политики с рабочей средой можно начинать тестирование запланированных изменений групповой политики. Лучший механизм тестирования групповой политики состоит в использовании комбинации средств «Результаты групповой политики» и «Моделирование групповой политики», имеющихся в консоли управления групповыми политиками, и применении реальных учетных записей пользователей и компьютеров в тестовой среде для обработки фактических объектов групповой политики.

Средство «Результаты групповой политики» используется, когда к компьютеру и пользователю применялись новые параметры объекта групповой политики, и необходимо проверить, действительно ли были применены все предполагаемые параметры политики. Моделирование групповой политики может использоваться для определения, как повлияет изменение местоположения пользователя или компьютера в пространстве имен Active Directory или изменение членства в группе пользователя или компьютера, а также для изучения влияния медленного подключения или политики замыкания на себя. Средство «Моделирование групповой политики» позволяет выполнить тестирование последствий изменения без фактического внесения изменений, а средство «Результаты групповой политики» показывает, что происходит на самом деле. Средство «Результаты групповой политики» работает на конечном компьютере, поэтому необходимо иметь доступ к этому компьютеру. Средство «Моделирование групповой политики» работает в контроллере домена, поэтому должен быть контроллер домена, в котором можно выполнять процесс моделирования. Следует отметить, что с помощью средства моделирования групповой политики можно моделировать параметры политики на компьютерах под управлением операционных систем Windows Server 2008, Windows Vista, Windows Server 2003 и Windows XP Professional. Необходимо помнить, что моделирование групповой политики имитирует обработку политики, а средство «Результаты групповой политики» показывает влияние фактически обработанных политик.

Тестирование путем входа как тестовый пользователь

Первый и лучший способ тестирования групповой политики состоит во внесении действительных изменений в объекты групповой политики промежуточного домена и последующем тестировании результатов путем входа в рабочие станции с тестовыми учетными записями пользователей для получения результатов изменений. Таким способом можно исследовать, как изменения будут влиять на пользователей.

Тестирование с помощью средства «Результаты групповой политики»

Для получения подробных отчетов об объектах групповой политики, которые применяются к пользователям и компьютерам, можно использовать мастер результатов групповой политики в консоли управления групповыми политиками, если эта консоль установлена на тестовом компьютере. В противном случае можно использовать версию результатов групповой политики для командной строки, чтобы создать отчеты о том, какие объекты групповой политики применялись к пользователю или компьютеру. Затем согласно полученным результатам можно внести необходимые изменения в тестовые объекты групповой политики. Результаты групповой политики используются после обработки всей групповой политики для конкретного пользователя или компьютера, чтобы получить сведения о том, какие параметры политики были применены. Результаты собираются путем запроса результирующей политики на компьютере под управлением Windows Server 2008, Windows Vista, Windows Server 2003 или Windows XP, обрабатывавшем групповую политику. Таким образом мастер возвращает параметры политики, которые действительно применялись, а не предполагаемые параметры политики. Результат будет тот же, что и при использовании программы Gpresult.exe с параметром /h.

Дополнительные сведения о мастере результатов групповой политики см в разделе Использование моделирования групповой политики и результатов групповой политики для оценки параметров групповой политики данного руководства.

Тестирование с помощью средства «Моделирование групповой политики»

Второй способ тестирования групповой политики состоит в использовании мастера моделирования групповой политики консоли управления групповыми политиками для моделирования изменений среды до того, как они действительно будут сделаны. Моделирование групповой политики позволяет выполнять гипотетическое тестирование объектов «пользователь» и «компьютер» перед рабочим развертыванием для исследования, как будут применяться параметры групповой политики при внесении таких изменений, как перемещение пользователя или компьютера в другое подразделение, изменение их членства в группе безопасности или изменения действующих WMI-фильтров. Однако следует помнить, что результаты, полученные с помощью моделирования групповой политики, относятся к смоделированным, а не к фактическим параметрам групповой политики. Следовательно, после моделирования сценария, удовлетворяющего потребностям, всегда лучше воспользоваться мастером результатов групповой политики, чтобы проверить предполагаемые параметры политики.

Поскольку моделирование групповой политики не позволяет указывать предполагаемые изменения параметров политики в объекте групповой политики, необходимо вносить предполагаемые изменения в промежуточные объекты групповой политики, а затем запускать мастер моделирования групповой политики для данного подразделения, пользователя или компьютера, чтобы определить результат политики.

Моделирование групповой политики также позволяет моделировать поведение групповой политики, когда компьютеры обрабатывают политику в медленных сетевых подключениях, которые могут определить, какие именно расширения групповой политики обрабатываются. Если компьютер подключен к контроллеру домена посредством медленного сетевого подключения, то такие расширения групповой политики, как установка программного обеспечения и перенаправление папки, не обрабатываются.

Моделирование групповой политики может имитировать скорость медленного подключения и использовать ее для определения, какие параметры политики будут действенными для моделируемого пользователя или компьютера. Кроме того, моделирование групповой политики поддерживает тестирование влияния режима замыкания на себя групповой политики. Если режим замыкания на себя включен, то одни и те же параметры политики применяются к компьютеру независимо от того, какой пользователь вошел в этот компьютер. Следует заметить, что необходимо задавать моделирование режима замыкания на себя в мастере моделирования групповой политики; режим замыкания на себя не моделируется по умолчанию.

С помощью мастера моделирования групповой политики можно указывать определение медленного подключения, режим замыкания на себя или и то, и другое. Для режима замыкания на себя можно выбрать замену или объединение политик пользователей. В режиме замены все обычные параметры политики пользователя заменяются параметрами, заданными в пользовательской конфигурации объектов групповой политики, которые применяются к объекту «компьютер» (параметрами политики замыкания на себя). В режиме объединения обычные параметры политики пользователя объединяются с параметрами политики замыкания на себя. Когда элемент политики в обычных параметрах политики пользователя противоречит параметрам политики замыкания на себя, применяются параметры замыкания на себя.

Примечание

Процесс моделирования групповой политики выполняется в контроллере домена. И наоборот, программа Gpresults или мастер результатов групповой политики выполняется на компьютере под управлением операционной системы Windows Server 2008, Windows Vista, Windows Server 2003 или Windows XP, обрабатывавшем групповую политику. Средство «Результаты групповой политики» использует поставщика WMI результирующей политики для создания сведений об обработке групповой политики. Средству моделирования групповой политики для выполнения анализа требуется служба поставщика результирующей политики в контроллере домена под управлением Windows Server 2008 или Windows Server 2003.

Дополнительные сведения о мастере моделирования групповой политики см. в разделе Использование моделирования групповой политики и результатов групповой политики для оценки параметров групповой политики данного руководства.

Подготовка к развертыванию в рабочей среде

После тщательного тестирования изменений групповой политики в промежуточной среде уже можно приступать к развертыванию новых или измененных объектов групповой политики в рабочей среде. Однако прежде чем делать это, следует оценить, потребуется ли в процессе переноса сопоставление участников безопасности или UNC-путей, содержащихся в объектах групповой политики, с другими значениями.

Определение требований сопоставления при переносе

Подготовительная среда может быть тестовым доменом в рабочем домене, отдельным, но надежным тестовым лесом или отдельным тестовым лесом без отношений доверия. В любом случае при развертывании новых или измененных объектов групповой политики в рабочей среде, вероятно, будет создаваться и использоваться таблица миграции. Таблицы миграции удовлетворяют трем разным требованиям сопоставления, приведенным далее.

• Необходимо сопоставить каждый элемент управления доступом в одном или нескольких объектах групповой политики с другими участниками безопасности при выполнении миграции этих объектов групповой политики в рабочую среду. В элементах управления доступом объекта управления доступом содержится описание, какие пользователи, компьютеры и группы компьютеров будут обрабатывать этот объект групповой политики, и какие пользователи или группы пользователей могут просматривать и редактировать параметры политики или удалять этот объект групповой политики.
• Необходимо сопоставить участники безопасности в параметрах политики безопасности или перенаправления папок, заданных в одном или нескольких объектах групповой политики. В частности такие политики, как назначение прав пользователя, группы с ограниченным доступом, файловая система, реестр или системные службы, позволяют задавать конкретных пользователей или группы, которые могут иметь доступ к этим ресурсам или настраивать их. Идентификатор безопасности (ИД безопасности) для такого пользователя или группы хранится в объекте групповой политики и при выполнении миграции этого объекта может быть изменен для отражения пользователей и групп рабочего домена.
• Необходимо сопоставить UNC-пути при задании параметров политики установки программного обеспечения, перенаправления папок или сценариев, которые ссылаются на UNC-пути. Например в объекте групповой политики может быть ссылка на сценарий, хранящийся во внешнем местоположении, таком как общий ресурс NETLOGON, на удаленном сервере. При переносе объекта групповой политики может потребоваться сопоставить этот путь с другим путем. Обычно UNC-пути связаны с конкретной средой, и при миграции объекта групповой политики в рабочую среду может потребоваться их изменение.

Если какие-либо из этих трех условий справедливы, то потребуется создание таблицы миграции, которая может использоваться при миграции объектов групповой политики для сопоставления значений в тестовых объектах групповой политики с правильными значениями в рабочей среде.

Создание таблиц миграции

Для создания и редактирования таблиц миграции используется редактор таблиц миграции, включенный в консоль управления групповыми политиками. Этот редактор можно вызвать одним из двух способов, приведенных далее.

• Можно запустить редактор таблиц миграции и создать или отредактировать таблицу миграции во время операции копирования или импорта консоли управления групповыми политиками. В этом случае редактор таблиц миграции запускается в отдельном окне, что позволяет создать новую таблицу миграции или отредактировать существующую.
• Можно запустить редактор таблиц миграции в автономном режиме (независимо от операции импорта или копирования), а затем создать или отредактировать таблицу миграции перед выполнением миграции объекта групповой политики в рабочую среду.

Можно также создавать таблицы миграции с помощью демонстрационных сценариев, как описывается далее в этом разделе.

Одно из преимуществ предварительного создания таблицы миграции состоит в том, что таким образом гарантируется точное соответствие заданных параметров миграции требованиям до начала развертывания. Следовательно перед началом перемещения тестовых объектов групповой политики в рабочую среду необходимо сначала создать одну или несколько таблиц миграции для объектов групповой политики, которые требуется перенести. Обратите внимание, что одна таблица миграции может использоваться для нескольких объектов групповой политики. Можно использовать одну таблицу миграции, включающую все возможные комбинации участников безопасности и UNC-путей для конкретной миграции из промежуточного в рабочий домен. В этом случае можно применять ту же таблицу миграции к каждому объекту групповой политики, разворачиваемому из промежуточного в рабочий домен, и соответствующие участники безопасности и пути будут корректно сопоставлены.

Использование автономного редактора таблиц миграции

Для запуска редактора таблиц миграции в автономном режиме следует выполнить программу Mtedit.exe в папке установки консоли управления групповыми политиками. Редактор таблиц миграции открывается с пустой таблицей миграции, которую можно заполнить вручную, вводя элементы в сетку, или автоматически с помощью одного из способов автозаполнения.

Автоматическое заполнение таблицы миграции

Самым простым способом начала создания таблицы миграции является использование одной из функций автоматического заполнения, доступных из меню Сервис в редакторе таблиц миграции. Можно автоматически заполнять таблицу миграции как из резервной копии объекта групповой политики, так и из реального объекта групповой политики. Для автоматического заполнения таблицы миграции используется процедура, приведенная далее.

Автоматическое заполнение таблицы миграции

1. Выберите автоматическое заполнение таблицы из реально существующих объектов групповой политики или из резервных копий. Когда миграция объекта групповой политики из промежуточной в рабочую среду будет подготовлена, можно указать «Заполнить из объекта групповой политики» по отношению к реально существующему объекту групповой политики в промежуточной среде для запуска таблицы миграции. Процесс автоматического заполнения таблицы из резервной копии объекта групповой политики такой же, только необходимо будет предоставить путь к резервной копии объекта групповой политики. В этом случае при наличии нескольких резервных копий объектов групповой политики отображается список, из которого можно выбрать нужные. Обратите внимание, что при автоматическом заполнении одной таблицы миграции можно выбрать несколько объектов групповой политики или их резервных копий. Это позволяет использовать одну таблицу миграции для всех объектов групповой политики в домене.
2. Укажите, должны ли включаться участники безопасности из DACL для объекта групповой политики. При автоматическом заполнении таблицы миграции можно выбрать вариант включения участников безопасности из DACL для объекта групповой политики. Если выбран этот вариант, то участники безопасности из DACL объекта групповой политики включаются в таблицу миграции вместе с участниками безопасности, на которые имеются ссылки в параметрах объекта групповой политики. Дублированные исходные участники безопасности не повторяются в таблице миграции. Редактор таблиц миграции поддерживает множество разных типов объектов, которые могут быть сопоставлены. Описание этих типов объектов приведено в таблице 10.
   

   Таблица 10. Типы объектов. поддерживаемые в таблице миграции

   Тип объекта	Используются для сопоставления
   Пользователь	Отдельные учетные записи пользователей.
   Глобальная группа домена	Глобальные группы домена.
   Локальная группа домена	Локальные группы домена.
   Универсальная группа	Универсальные группы.
   Компьютер	Имена компьютеров. Например отдельные компьютеры могут получить разрешения на чтение и применение групповой политики в объекте групповой политики.
   UNC-пути	UNC-пути используются в политике установки программного обеспечения.
   Текст или ИД безопасности	Неопределенные участники безопасности. Например можно ссылаться на участники безопасности в объекте групповой политики по имени, а не по ИД безопасности (указать «administrators», а не «DomainX\Administrators»); или может быть невозможно сопоставить участники безопасности для определения типа. Такой тип сопоставления может возникнуть, если устанавливается ограниченная групповая политика безопасности, и вместо сопоставления имени с реальным доменом вводится имя группы. В этом случае имя группы хранится в объекте групповой политики как заданное имя, а не как соответствующий имени ИД безопасности. Редактор таблиц миграции рассматривает такой участник безопасности как текст или ИД безопасности. Кроме того, можно вводить строковые ИД безопасности в редактор таблиц миграции. В этом случае тип объекта должен быть задан как «Текст или ИД безопасности», поскольку тип объекта не распознается редактором таблиц миграции.

3. Измените имя назначения для каждого участника безопасности и UNC-пути. После заполнения таблицы миграции можно выбрать изменение поля «Имя назначения» для каждой записи. По умолчанию имя назначения совпадает с исходным именем, что означает, что в качестве источника в конечном объекте групповой политики будет использоваться тот же участник безопасности или UNC-путь. В этом случае значение копируется без изменений, и в сопоставлениях не производится никаких изменений. Обычно требуется изменить это поле для одного или нескольких исходных элементов при миграции объекта групповой политики из тестовой среды в рабочую. Чтобы изменить поле назначения, можно ввести элемент или щелкнуть правой кнопкой мыши это поле и выбрать соответствующий пункт меню.
4. Доступны два пункта меню – Обзор и Задать объект назначения. Пункт меню Обзор позволяет выбрать участник безопасности в любом надежном домене. В пункте меню Задать объект назначения можно выбрать один из трех приведенных далее вариантов.
   
   • Объект назначения отсутствует. Если выбран параметр Объект назначения отсутствует, то участник безопасности не включается в конечный объект групповой политики при миграции. Для записей UNC-путей этот параметр недоступен.
   • Установка соответствия по относительному имени. Если выбран параметр Установка соответствия по относительному имени, то предполагается, что имя участника безопасности уже существует в конечном домене, и это имя будет использовано для сопоставления. Например, если исходное имя группы для домена test.contoso.com – «Domain Admins», и выполняется миграция объекта групповой политики в домен contoso.com, то имя Domain Admins@test.contoso.com будет сопоставлено с именем Domain Admins@contoso.com. Чтобы операция импорта или копирования выполнилась успешно, эта группа должна уже существовать в конечном домене. Для записей UNC-путей этот параметр недоступен.
   • Как в источнике. Если выбран параметр Как в источнике, то один и тот же участник безопасности используется как в исходном, так и в конечном объектах групповой политики. Соответственно запись безопасности остается не измененной. Обратите внимание, что этот параметр имеет практическое применение только при выполнении миграции из тестового домена, находящегося в одном лесу с рабочим доменом, или при выполнении миграции из тестового домена, находящегося в другом лесу, который имеет отношения доверия с рабочим лесом. Необходимое требование для успешного сопоставления исходного имени состоит в том, чтобы это имя могло быть введено пользователями и компьютерами в рабочем лесу.
   Существуют некоторые ограничения параметров, доступных для конечного имени. UNC-пути поддерживают только параметр Как в источнике, или можно вручную ввести другой UNC-путь. Участники безопасности, обозначенные как «текст или ИД безопасности», не поддерживают параметр Установка соответствия по относительному имени.
   
   Также важно отметить, что при выполнении сопоставления одного типа группы с другим будет выдано предупреждение. Например, если имеется исходный участник безопасности, являющийся глобальной группой домена, а в качестве конечного выбран участник, являющийся локальной группой домена, будет выведено предупреждение о том, что конечное имя имеет тип, отличный от типа исходного имени. Если затем попытаться проверить файл, то процесс проверки завершится неудачно, но эту таблицу миграции еще можно будет использовать для выполнения миграции. Обратите внимание, что таблица миграции не поддерживает сопоставление с встроенной группой безопасности, такой как группа «Администраторы».
   Если потребуется удалить строку из редактора таблиц миграции, выделите нужную строку, щелкните ее правой кнопкой мыши и нажмите Удалить.
5. Проверьте таблицу миграции. Перед сохранением таблицы миграции ее следует проверить. Для этого выберите в меню Сервис команду Проверить. Процесс проверки определяет правильность XML-формата файла и допустимость конечных имен с точки зрения миграции. Например, если указан UNC-путь для конечного объекта, и этот путь не существует, то процесс проверки отобразит предупреждающее сообщение. В частности процесс проверки выполняет следующие действия:
   
   • проверяет существование конечных участников безопасности и UNC-путей;
   • проверяет отсутствие параметров «Установка соответствия по относительному имени» и «Объект назначения отсутствует» в исходных записях для UNC-путей, поскольку такие параметры не поддерживаются;
   • проверяет, соответствует ли тип каждой конечной записи в таблице типу в Active Directory.
   Если данные вводятся вручную, то процесс проверки становится особенно важным для гарантий, что ошибка в записи не помешает успешному выполнению миграции. Следует отметить, что проверка файла сопоставления может завершиться неудачно из-за того, что пользователь, редактирующий файл, не имеет возможности разрешить участники безопасности или UNC-пути, указанные в файле. Однако это не означает, что файл не будет работать должным образом во время миграции, если предположить, что пользователь, выполняющий миграцию, может разрешить имена этих участников безопасности и UNC. В сообщениях проверки указывается, была ли причиной неудачного завершения синтаксическая ошибка в таблице, или же средство проверки просто не может разрешить имя участника безопасности или UNC-путь. В случае неудачи из-за невозможности разрешить имя следует проверить, имеется ли достаточный доступ к исходным и конечным ресурсам во время фактической миграции.
6. По окончании редактирования таблицы следует сохранить полученный в результате MIGTABLE-файл, последовательно выбрав в меню пункты Файл и Сохранить.

Ввод элементов таблицы миграции вручную

Если решено не использовать средство автозаполнения, или если необходимо вводить данные вручную, необходимо при вводе придерживаться соответствующих форматов, чтобы таблица миграции была правильной. В таблице 11 показаны соответствующие форматы для каждого типа объектов, поддерживаемого в таблице миграции. Следует отметить, что эти форматы обязательны как в исходном, так и в конечном полях.

Таблица 11. Необходимые форматы для объектов миграции

Тип объекта	Необходимый формат
Пользователь	а. UPN – пользователь@суффикс_UPN б. SAM – имя_домена_NetBIOS\пользователь в. DNS – имя_домена_DNS\пользователь Например MonicaB@contoso.com, contoso\MonicaB или contoso.com\MonicaB.
Глобальная группа домена	а. UPN – группа@суффикс_UPN б. SAM – имя_домена_NetBIOS\группа в. DNS – имя_домена_DNS\группа Например DomainAdmins@contoso.com, contoso\DomainAdminsB или contoso.com\DomainAdmins.
Локальная группа домена	а. UPN – группа@суффикс_UPN б. SAM – имя_домена_NetBIOS\группа в. DNS – имя_домена_DNS\группа Например Administrators@contoso.com, contoso\Administrators или contoso.com\Administrators.
Универсальная группа	а. UPN – группа@суффикс_UPN б. SAM – имя_домена_NetBIOS\группа в. DNS – имя_домена_DNS\группа Например EnterpriseAdmins@contoso.com, contoso\EnterpriseAdmins или contoso.com\EnterpriseAdmins.
Компьютер	а. UPN – имя_компьютера$@суффикс_UPN б. SAM – имя_домена_NetBIOS\имя_компьютера$ в. DNS – имя_домена_DNS\имя_компьютера$ Например server1$@contoso.com, contoso\server1$ или contoso.com\server1$. Знак «$» указывает скрытую учетную запись компьютера.
UNC-путь	\\имя_сервера\имя_общего_ресурса\. Например \\server1\packages.
Текст или ИД безопасности	Строка или строковое представление ИД безопасности. Например "MonicaB" или "S-1-5-21-1473733259-1489586486-3363071491-1005". ИД безопасности нельзя указывать в конечном поле.

Создание таблицы миграции с помощью сценария

Если требуется автоматизировать процесс создания таблиц миграции, можно воспользоваться демонстрационным сценарием консоли управления групповыми политиками CreateMigrationTable.wsf. Можно также использовать этот сценарий вместо редактора таблиц миграции для создания начальной таблицы миграции, а затем изменять эту таблицу с помощью редактора.

Сценарий CreateMigrationTable.wsf поддерживает автоматическое заполнение таблицы миграции с помощью местоположения текущего объекта групповой политики или резервной копии этого объекта. Этот сценарий можно читать из всех объектов групповой политики в домене. В таком случае все возможные участники безопасности, обнаруженные в объектах групповой политики промежуточного домена, вставляются в таблицу миграции, и эту единственную таблицу миграции можно использовать для миграции любого объекта групповой политики из промежуточного в рабочий домен.

Следует отметить, что этот сценарий всегда включает участники безопасности, которые являются частью DACL объекта групповой политики, в отличие от редактора таблиц миграции, в котором есть возможность исключить эти участники безопасности. В этом сценарии также имеется возможность установить для конечного имени параметр «Установка соответствия по относительному имени» вместо установленного по умолчанию «Как в источнике». Для применения относительного именования используется параметр /MapByName.

Следующая команда иллюстрирует использование сценария. В этой команде объект групповой политики с именем Finance OU Desktop Policy располагается в промежуточном домене с именем staging.contoso.com. Эта команда выполняет автоматическое заполнение таблицы миграции с именем FinanceStaging.migtable из текущего объекта групповой политики:

Cscript.exe CreateMigrationTable.wsf c:\migtables\FinanceStaging.migtable /GPO: "Finance OU Desktop Policy" /domain:staging.contoso.com

Чтобы создать таблицу миграции не из реально существующего объекта групповой политики, а из его резервной копии, следует просто добавить в синтаксис команды параметр /BackupLocation и указать путь к папке, в которой содержится эта резервная копия. Обратите внимание, что если указан параметр /BackupLocation, и в папке по заданному пути находится несколько резервных копий объектов групповой политики, то для заполнения таблицы миграции будут использованы все возможные резервные копии объектов групповой политики.

Окончательная подготовка к развертыванию

На финальном этапе перед развертыванием в рабочей среде следует выполнить резервное копирование промежуточных объектов групповой политики. Резервное копирование необходимо, если для выполнения миграции из промежуточной в рабочую среду используется импорт объектов групповой политики. Метод импорта требуется в том случае, когда промежуточная среда находится в лесу, отличном от леса рабочего домена, и не имеющем отношений доверия с ним, или когда необходимо обновление существующего в рабочей среде объекта групповой политики. С помощью консоли управления групповыми политиками можно восстановить один или несколько объектов групповой политики, а с помощью демонстрационного сценария BackupGPO.wsf можно восстановить один или все объекты групповой политики в промежуточном домене. Чтобы восстановить объект групповой политики с помощью консоли управления групповыми политиками, в дереве консоли щелкните правой кнопкой мыши объект групповой политики, который нужно восстановить, а затем выберите команду Резервное копирование.

Чтобы выполнить резервное копирование объекта групповой политики с помощью сценария BackupGPO.wsf, запустите этот сценарий из папки Program Files\Microsoft Group Policy\GPMC Sample Scripts. С помощью следующего синтаксиса команды в командной строке выполняется резервное копирование объекта групповой политики Finance OU Workstation Security Policy в домене staging.contoso.com в папку c:\gpobacks:

Cscript.exe backupgpo.wsf "Finance OU Workstation Security Policy" c:\gpobacks /comment:"Backup prior to prod" /domain:staging.contoso.com

В приведенный выше синтаксис включены комментарии, указывающие цель резервного копирования.

Развертывание подготовленных объектов групповой политики в рабочей среде

После построения промежуточной среды, ее синхронизации с рабочей средой, тестирования новых и измененных объектов групповой политики и создания таблиц миграции можно приступать к выполнению фактического развертывания в рабочей среде.

Меры предосторожности при развертывании

Чтобы обеспечить непрерывное обслуживание пользователей, рекомендуется предусмотреть некоторые меры предосторожности при миграции подготовленных объектов групповой политики в рабочую среду. Хотя миграция новых объектов групповой политики обычно происходит быстро и не оказывает заметного влияния на пользователей и компьютеры в рабочей среде, целесообразно выполнять такие изменения тогда, когда они могут повлиять на минимально возможное количество пользователей. Обычно это происходит в часы наименьшей активности пользователей, когда пользователи не работают в сети.

Следует помнить, что при обновлении объекта групповой политики это обновление сначала выполняется в контроллере домена, который в текущий момент времени консоль управления групповыми политиками считает целевым для конкретного домена. Если для выполнения миграции используется консоль управления групповыми политиками, можно нажать элемент Домены в дереве консоли, чтобы увидеть, какой контроллер домена в текущий момент используется для каждого управляемого домена. Чтобы изменить этот контроллер домена, перед выполнением миграции изменений в дереве консоли управления групповыми политиками дважды щелкните правой кнопкой мыши имя домена, выберите пункт меню Изменить контроллер домена и укажите новый контроллер домена.

Репликация объекта групповой политики

Следует помнить, что изменения объекта групповой политики распространяются согласно топологиям репликации Active Directory и Sysvol, и следовательно репликация во все местоположения развертывания Active Directory по всему миру может занять больший период времени. Также следует помнить, что объект групповой политики сравнивает две части – ту, которая хранится и реплицируется как часть Active Directory, и ту, которая хранится и реплицируется как часть Sysvol. Поскольку это два разных объекта, которые нужно реплицировать в сети, оба этих объекта должны быть синхронизированы перед применением нового объекта групповой политики.

Увидеть состояния репликации конкретного контроллера домена можно с помощью консоли управления групповыми политиками. В дереве консоли управления групповыми политиками разверните узел Объекты групповой политики в лесу или домене, содержащем объекты групповой политики, которые требуется применить, а затем нажмите вкладку Подробности в панели подробностей. Если объект групповой политики синхронизирован в этом контроллере домена, то номера версий Active Directory и Sysvol будут идентичными для конфигураций пользователя и компьютера. Тем не менее номера версий пользователей не обязательно должны соответствовать номерам версий компьютера.

Требования к выполнению развертывания

Основное требование, о котором следует помнить при подготовке миграции подготовленных объектов групповой политики в рабочую среду, состоит в том, что должны быть достаточные разрешения для конечных объектов групповой политики. Обычно для выполнения развертывания требуется только доступ на чтение в исходном домене. В зависимости от конфигурации промежуточной среды перед миграцией может потребоваться выполнение некоторых особых этапов. При выполнении операции копирования будут нужны достаточные разрешения для создания нового объекта групповой политики в конечном домене. При выполнении импорта резервной копии объекта групповой политики потребуется право на чтение файлов резервных копий, где бы они ни располагались, и достаточные разрешения на изменение существующего объекта групповой политики, который является целью операции импорта. Наконец таблица миграции, созданная для каждого объекта групповой политики, которому она необходима, должна храниться там, где она будет доступна во время выполнения миграции. В следующем контрольном списке сведены элементы, которые необходимо проверить перед выполнением миграции.

• Для операции копирования Убедитесь, что конечный домен имеет отношения доверия с исходным доменом, и что имеются разрешения на создание объекта групповой политики в этом конечном домене. Подтвердить разрешения на создание объекта групповой политики в домене можно с помощью консоли управления групповыми политиками. В дереве консоли управления групповыми политиками разверните узел Объекты групповой политики в конечном домене и нажмите вкладку Делегирование, чтобы проверить, какие пользователи и группы могут создавать новые объекты групповой политики в этом домене.
• Для операции импорта Убедитесь, что имеется доступ к файлам резервных копий объектов групповой политики, и что имеется разрешение на редактирование параметров объекта групповой политики в конечном объекте групповой политики.
• Если используется таблица миграции (MIGTABLE-файл): убедитесь, что имеется доступ к этому файлу из консоли управления групповыми политиками.

Примеры развертывания

Следующие два примера иллюстрируют развертывание объектов групповой политики из промежуточной в рабочую среду. В первом примере промежуточный домен расположен в одном лесу с рабочим доменом. Во втором примере промежуточный домен расположен в отдельном лесу, не имеющем отношений доверия с рабочим доменом. При использовании отдельного промежуточного леса, имеющего отношения доверия с рабочим доменом, порядок действий тот же, что и в первом примере, в котором промежуточный домен находится в рабочем лесу.

Развертывание в рабочий домен в том же лесу или из промежуточного леса с отношениями доверия

Когда промежуточный домен находится в рабочем лесу, или когда имеется отдельный промежуточный лес, имеющий отношения доверия с рабочим доменом, метод развертывания зависит от того, является ли объект групповой политики новым или измененным. Если объект групповой политики создается заново и не существует в рабочем домене, для его развертывания следует использовать метод копирования. Если разворачивается обновление существующего объекта групповой политики, необходимо воспользоваться методом импорта, чтобы обновить параметры рабочего объекта групповой политики параметрами из резервной копии промежуточного объекта групповой политики.

В этом примере будет разворачиваться новый объект групповой политики с именем «Политика безопасности на рабочих станциях отдела продаж» из промежуточного домена в рабочий домен с помощью консоли управления групповыми политиками. На рисунке 11 показаны конфигурации промежуточного и рабочего доменов и соответствующая таблица миграции.

Перед началом развертывания загрузите исходный и конечный домены в консоль управления групповыми политиками. Если выполняется копирование из отдельного леса с отношениями доверия, откройте в консоли управления групповыми политиками оба леса.

Развертывание нового объекта групповой политики методом копирования

1. В дереве консоли управления групповыми политиками разверните узел Объекты групповой политики в промежуточном домене.
2. Щелкните правой кнопкой мыши объект групповой политики, который планируется копировать, а затем выберите команду Копировать.
3. В дереве консоли управления групповыми политиками щелкните правой кнопкой мыши узел Объекты групповой политики в рабочем домене, а затем выберите команду Вставить. Откроется мастер копирования.
4. На странице приветствия мастера копирования нажмите кнопку Далее.
5. Выберите пункт Сохранить или мигрировать разрешения в начальных объектах групповой политики, а затем нажмите кнопку Далее.
   
   Этот параметр позволяет сопоставлять DACL промежуточного объекта групповой политики с его эквивалентом в рабочем домене с помощью таблицы миграции. Если выбран первый параметр, Использовать разрешения по умолчанию для новых объектов групповой политики, то этот объект групповой политики получит разрешения по умолчанию, которые будут применяться ко всем новым объектам групповой политики в рабочем домене.
6. После того как мастер выполнить сканирование исходного объекта групповой политики для определения требований сопоставления любых участников безопасности или UNC-путей, нажмите кнопку Далее.
7. На странице Миграция ссылок выберите Использование этой таблицы миграции для сопоставления с новыми значениями в новых объектах групповой политики.
   
   Этот параметр позволяет выбрать таблицу миграции для использования в качестве части развертывания. Поскольку выполняется миграция нового объекта групповой политики из промежуточной среды в рабочую, необходимо выбрать этот параметр. Другой параметр,Копирование идентично из исходного объекта, оставляет все участники безопасности и UNC-пути в новом объекте групповой политики точно такими, как и в исходном объекте.
8. Если требуется, чтобы вся миграция останавливалась в том случае, если участник безопасности или UNC-путь, существующий в исходном объекте групповой политики, отсутствует в таблице миграции, то на той же странице выберите параметр Использование только таблицы миграции.
   
   Если этот параметр выбран, то мастер будет пытаться сопоставить все участники безопасности и UNC-пути с помощью указанной таблицы миграции. Это полезно для обеспечения того, что учетные записи имеются для всех участников безопасности и UNC-путей в таблице миграции.
9. Нажмите кнопку Далее.
10. На странице завершения мастера подтвердите, что заданы правильные параметры миграции, и нажмите кнопку Готово.
    
    После нажатия кнопки Готово начинается миграция промежуточного объекта групповой политики. Следует помнить, что новый объект групповой политики создается в рабочем домене, но еще не связывается с какими-либо объектами-контейнерами.
11. После того как мастер выполнить операцию копирования, щелкните правой кнопкой мыши сайт Active Directory, домен или подразделение, с которыми требуется связать скопированный объект групповой политики, а затем выберите команду Связать существующий объект групповой политики.
12. В диалоговом окне Выбор объекта групповой политики выберите только что скопированный объект групповой политики.

После того как новый объект групповой политики будет связан, и репликация завершится, этот объект начинает реально существовать в рабочем домене.

Использование сценария для выполнения развертывания путем копирования

Развертывание путем копирования можно также выполнить с помощью сценария CopyGPO.wsf. Этот сценарий копирует объект групповой политики из промежуточного домена в рабочий с помощью единственной команды. Для выполнения операции копирования, описанной в предыдущей процедуре, используется следующая команда:

Cscript CopyGPO.wsf "Sales OU Workstation Security Policy" "Sales OU Workstation Security Policy" /SourceDomain:staging.contoso.com /TargetDomain:contoso.com /SourceDC:staging-dc1 /TargetDC:prod-DC1 /migrationtable:c:\migtables\SalestoProd.migtable /CopyACL

Первые два аргумента в этой команде задают одно и то же имя для исходного и конечного объектов групповой политики. Следующие четыре аргумента задают имена исходного и конечного доменов и контроллеров доменов в каждом их них. Аргумент /migrationtable указывает используемую таблицу миграции, а аргумент /CopyACL используется для сохранения DACL исходного объекта групповой политики и применяет указанную таблицу миграции для сопоставления исходных DACL с их эквивалентами в рабочем домене.

Развертывание в рабочем домене из промежуточного леса без отношений доверия

При развертывании объекта групповой политики из промежуточного леса, не имеющего отношений доверия с рабочим лесом, используется только операция импорта. Импорт можно также использовать для развертывания обновления существующего объекта групповой политики в рабочем домене, даже если между промежуточным и рабочим доменами существуют отношения доверия.

Предварительные требования для операции импорта

Перед выполнением развертывания в этом примере убедитесь, что выполнены приведенные далее действия.

• При развертывании нового объекта групповой политики с помощью консоли управления групповыми политиками необходимо создать в рабочем домене новый, пустой объект групповой политики, который может служить конечным объектом для операции импорта. помните, что операция импорта консоли управления групповыми политиками работает путем импорта параметров политик из резервной копии объекта групповой политики в существующий конечный объект групповой политики. Однако можно также воспользоваться сценарием ImportGPO.wsf для автоматического создания нового объекта групповой политики как части процесса импорта.
• Перед началом импорта убедитесь, что в промежуточном домене выполнено резервное копирование тех объектов групповой политики, которые планируется развернуть в рабочем домене. Это необходимо, поскольку операция импорта использует не реально существующие объекты групповой политики, а их резервные копии.
• Если для выполнения импорта используется не сценарий, а консоль управления групповыми политиками, то можно выполнить откат текущего объекта групповой политики в рабочей среде перед выполнением импорта. Следует всегда выполнять откат существующего в рабочей среде объекта групповой политики перед развертыванием новой версии, если имеются какие-либо проблемы с развертыванием. Таким образом, в консоли управления групповыми политиками можно выполнить операцию восстановления, чтобы восстановить предыдущую версию объекта групповой политики.

После выполнения этих задач воспользуйтесь процедурой, приведенной далее, для развертывания нового объекта групповой политики с помощью операции импорта.

Развертывание нового объекта групповой политики с помощью операции импорта

1. В дереве консоли управления групповыми политиками разверните узел Объекты групповой политики в рабочем домене.
2. Правой кнопкой мыши щелкните объект групповой политики и выберите команду Параметры импорта. Откроется окно мастера параметров импорта.
3. На странице приветствия нажмите кнопку Далее.
4. На странице Резервное копирование объекта групповой политики выберите Резервное копирование, чтобы выполнить резервное копирование существующего в рабочей среде объекта групповой политики перед импортом.
5. В диалоговом окне Резервное копирование объекта групповой политики укажите местоположение, в котором должна сохраняться резервная копия этого объекта, введите описание для этого резервного копирования и нажмите Выполнить резервное копирование.
6. После завершения резервного копирования объекта групповой политики выводится сообщение об успешном выполнении резервного копирования. Нажмите кнопку ОК.
7. На странице Резервное копирование объекта групповой политики нажмите кнопку Далее.
8. На странице Местоположение резервной копии укажите папку, в которой находится резервная копия промежуточного объекта групповой политики, который требуется импортировать.
   
   Необходимо иметь доступ к той папке, в которой находятся резервные копии промежуточных объектов групповой политики. Если резервные копирования выполнялись на сервере в промежуточном лесу, то может потребоваться сопоставить с этой папкой диск компьютера, на котором выполняется операция импорта, с помощью учетных данных из промежуточного леса.
9. Нажмите кнопку Далее.
10. На странице Исходный объект групповой политики выберите промежуточный объект групповой политики, который требуется импортировать, и нажмите кнопку Далее.
11. На странице Проверка архива мастер будет проверять параметры политики в резервной копии для определения ссылок на участники безопасности или UNC-пути, которые требуется перенести, и по окончании отобразит результаты этого сканирования.
12. Нажмите кнопку Далее.
13. На странице Миграция ссылок выберите Использование этой таблицы миграции для сопоставления с новыми значениями в новых объектах групповой политики, а затем укажите путь к таблице миграции, созданной для данной миграции.
    
    Этот параметр позволяет выбрать таблицу миграции для использования в качестве части развертывания. Поскольку объект групповой политики разворачивается из промежуточного домена, не имеющего отношений доверия с рабочим доменом, для выполнения миграции сведений об участниках безопасности и UNC-путях необходимо использовать таблицу миграции. В противном случае участники безопасности и UNC-пути, на которые имеются ссылки в лесу без отношений доверия, не смогут быть разрешены рабочим доменом.
14. Если требуется, чтобы вся миграция останавливалась в том случае, если участник безопасности или UNC-путь, существующий в исходном объекте групповой политики, отсутствует в таблице миграции, то на той же странице выберите параметр Использование только таблицы миграции.
    
    Этот параметр используется для импорта объекта групповой политики только в том случае, если все участники безопасности, обнаруженные в резервной копии, учтены в таблице миграции.
15. Нажмите кнопку Далее.
16. На странице завершения мастера подтвердите, что заданы правильные параметры миграции, и нажмите кнопку Готово. После нажатия кнопки Готово начинается миграция промежуточного объекта групповой политики. После того как мастер завершит операцию импорта, появится сообщение об успешном выполнении импорта.
17. Нажмите кнопку ОК.

Если для выполнения этого импорта был создан новый рабочий объект групповой политики, необходимо связать этот новый объект с соответствующим объектом-контейнером. Чтобы связать объект групповой политики с соответствующим объектом-контейнером, в рабочем домене дерева консоли управления групповыми политиками щелкните правой кнопкой мыши сайт Active Directory, домен или подразделение, с которым требуется связать импортированный объект групповой политики, нажмите Связать существующий объект групповой политики, укажите объект групповой политики для связывания и нажмите кнопку ОК. После того как новый объект групповой политики будет связан, и репликация завершится, этот объект начинает реально существовать в рабочем домене.

Использование сценария для выполнения развертывания путем импорта

Существует возможность также выполнить развертывание путем импорта с помощью сценария ImportGPO.wsf. Этот сценарий позволяет импортировать резервную копию объекта групповой политики в рабочий домен. Если конечный объект групповой политики еще не существует, этот сценарий позволяет также в качестве части процесса создать новый объект групповой политики для получения импорта. Для выполнения операции импорта, описанной в предыдущей процедуре, используется следующая команда:

Cscript ImportGPO.wsf c:\gpobacks "Sales OU Workstation Security Policy" "Sales OU Workstation Security Policy" /CreateIfNeeded /MigrationTable:c:\migtables\salesprod.migtable /Domain:contoso.com

Первый аргумент в этой команде задает местоположение файлов резервных копий объектов групповой политики. Второй аргумент задает имя резервной копии объекта групповой политики, из которой выполняется импорт параметров (вместо имени можно указать ИД резервной копии, который является 128-битовым значением GUID, созданным служебной программой резервного копирования для уникальной идентификации этой резервной копии). Третий аргумент задает имя конечного объекта групповой политики, в который будет производиться импорт параметров. Аргумент /CreateIfNeeded указывает, что если конечный объект групповой политики еще не существует, то его следует создать перед выполнением импорта. Аргумент /MigrationTable задает путь и имя для файла таблицы миграции. Аргумент /Domain предоставляет DNS-имя конечного домена.

Откат

В случае возникновения проблем с объектом групповой политики после его развертывания из промежуточной в рабочую среду лучшим способом выполнения отката развертывания будет использование резервной копии объекта групповой политики, которая была создана для восстановления первоначального объекта групповой политики. Для выполнения восстановления можно также воспользоваться сценарием RestoreGPO.wsf. Рекомендуется также в качестве части процесса развертывания создать набор сценариев для выполнения автоматического отката всех изменений с помощью сценария RestoreGPO.wsf. Если потребуется выполнить откат, то этот сценарий готов к использованию и требует лишь минимальных изменений.

Источник: http://technet.microsoft.com/ru-ru/library/cc754948(v=ws.10).aspx

Групповая политика Windows Server 2008 используется для управления конфигурациями групп компьютеров и пользователей, в том числе для управления параметрами политики, прописываемыми в реестре, параметрами безопасности, развертыванием программного обеспечения, сценариями, перенаправлением папок и предпочтениями.
Предпочтения групповой политики (новая возможность в Windows Server 2008) — это более двадцати расширений групповой политики, увеличивающих количество настраиваемых параметров политики в объекте групповой политики. В отличие от параметров групповой политики предпочтения не устанавливаются принудительно. Пользователи могут изменить предпочтения после начального развертывания. Сведения о предпочтениях групповой политики см. в статье Общие сведения о предпочтениях групповой политики (страница может быть на английском языке).

Благодаря использованию групповой политики можно значительно снизить в организации совокупную стоимость владения ПО. Разработку групповой политики могут осложнить различные факторы, например большое количество параметров политики, необходимость взаимодействия с несколькими политиками и параметры наследования. Благодаря тщательному планированию, проектированию, тестированию и развертыванию решения на основе бизнес-требований организации можно обеспечить стандартизированные функции, системы безопасности и средства управления, необходимые организации.

Общие сведения о групповой политике

Групповая политика позволяет управлять через Active Directory параметрами пользователей и компьютеров с операционными системами Windows Server 2008, Windows Vista, Windows Server 2003 и Windows XP. Помимо задания с помощью групповой политики конфигураций групп пользователей и компьютеров, групповую политику также можно использовать для управления серверами путем настройки многочисленных параметров работы сервера и параметров безопасности.

Создаваемые параметры групповой политики хранятся в объекте групповой политики. Для создания и изменения объектов групповой политики используется консоль управления групповыми политиками (GPMC). При использовании консоли управления групповыми политиками для привязки объекта групповой политики к выбранным сайтам, доменам и подразделениям Active Directory хранящиеся в этом объекте параметры политики применяются к пользователям и компьютерам в соответствующих объектах Active Directory. Подразделение представляет собой контейнер Active Directory самого нижнего уровня, к которому можно применить параметры групповой политики.

Для принятия правильных решения при разработке групповой политики необходимо четко понимать бизнес-потребности организации, соглашения об уровне обслуживания, а также требования к безопасности, сети и информационным технологиям. Путем анализа существующей среды и требований пользователей, определения бизнес-целей, которые необходимо достичь с помощью групповой политики, и следования данным рекомендациям по проектированию инфраструктуры групповой политики можно выработать подход, наилучшим образом отвечающий потребностям организации.

Процесс внедрения решения групповой политики

Процесс внедрения решения групповой политики включает этапы планирования, проектирования, развертывания и обслуживания решения.

При планировании структуры групповой политики убедитесь в том, что разрабатываемая структура подразделений позволяет упростить управление групповой политикой и соответствует соглашениям об уровне обслуживания. Разработайте эффективные операционные процедуры работы с объектами групповой политики. Убедитесь в том, что вам известны все проблемы взаимодействия с групповыми политиками, и определите, будет ли групповая политика использоваться для развертывания программного обеспечения.

На этапе проектирования выполняются указанные ниже задачи.

• Определение области применения групповой политики.
• Определение параметров политики, применимых ко всем корпоративным пользователям.
• Классификация пользователей и компьютеров на основе их ролей и расположения.
• Планирование конфигурации настольных компьютеров на основе потребностей пользователей и требований, предъявляемых к компьютерам.

Грамотно спланированная структура гарантирует успешное развертывание групповой политики.

Этап развертывания начинается с подготовки в тестовой среде. Процесс включает следующие действия:

• Разработка стандартных конфигураций настольных компьютеров.
• Фильтрация области применения объектов групповой политики.
• Задание исключений для наследования групповой политики по умолчанию.
• Делегирование администрирования групповой политики.
• Оценка действующих параметров политики с помощью моделирования групповой политики.
• Оценка результатов с помощью результатов групповой политики.

Подготовка в тестовой среде критически важна. Тщательно протестируйте реализацию групповой политики в тестовой среде перед развертыванием в рабочей среде. После завершения подготовки и тестирования перенесите объект групповой политики в рабочую среду с помощью консоли управления групповыми политиками. Рассмотрите возможность поэтапного внедрения групповой политики: вместо развертывания 100 новых параметров групповой политики подготовьте и разверните сначала несколько параметров, чтобы убедиться в работоспособности инфраструктуры групповой политики.

Наконец, подготовьтесь к обслуживанию групповой политики, установив процедуры для работы с объектами групповой политики и устранения неполадок с помощью консоли управления групповыми политиками.

Примечание

Расширенное управление групповыми политиками корпорации Microsoft расширяет возможности консоли управления групповыми политиками и предоставляет средства комплексного управления изменениями и улучшенного управления объектами групповой политики. Дополнительные сведения о расширенном управлении групповыми политиками см. на веб-сайте Microsoft Desktop Optimization Pack (MDOP) (страница может быть на английском языке) (http://go.microsoft.com/fwlink/?LinkId=100757).

Действия, которые необходимо выполнить перед тем, как приступить к проектированию решения групповой политики

Перед проектированием реализации групповой политики необходимо изучить текущую среду, а также выполнить ряд подготовительных действий в указанных ниже областях.

• Active Directory: убедитесь в том, что структура подразделений Active Directory для всех доменов в лесу поддерживает применение групповой политики. Дополнительные сведения см. ниже в разделе Проектирование структуры подразделений, поддерживающей групповую политику.
• Сеть: убедитесь в том, что сеть соответствует требованиям технологий управления изменениями и конфигурациями. Например, поскольку групповая политика имеет дело с полными именами доменов, для правильной обработки параметров групповой политики в лесу должна быть запущена служба DNS.
• Безопасность: составьте список используемых в домене групп безопасности. Тесно поработайте с администраторами безопасности, поскольку на них будет возложена ответственность за администрирование подразделений и создание структур, требующих применения фильтров групп безопасности. Дополнительные сведения о фильтрации объектов групповой политики см. ниже в подразделе «Применение объектов групповой политики к выбранным группам (фильтрация)» раздела Определение области применения групповой политики.
• ИТ-требования: составьте список владельцев-администраторов и корпоративных стандартов администрирования для доменов и подразделений, входящих в ваш домен. Это позволит разработать грамотный план делегирования и гарантировать надлежащее наследование групповой политики.

Примечание
Групповая политика основана на сетевых технологиях, технологиях безопасности и Active Directory, поэтому крайне важно знать все эти технологии. Перед внедрением групповой политики настоятельно рекомендуется изучить все эти концепции.

Требования к администрированию групповой политики

Для применения групповой политики в организации должна использоваться технология Active Directory, а на соответствующих настольных компьютерах и серверах должны быть установлены операционные системы Windows Server 2008, Windows Vista, Windows Server 2003 или Windows XP.

По умолчанию создавать и связывать объекты групповой политики могут только члены групп «Администраторы домена» и «Администраторы предприятия», однако эти полномочия можно делегировать другим пользователям. Дополнительные сведения о требованиях к администрированию групповой политики см. ниже в разделе Делегирование администрирования групповой политики.

Консоль управления групповыми политиками

Консоль управления групповыми политиками позволяет единообразно управлять всеми аспектами групповой политики в нескольких лесах организации. С помощью консоли управления групповыми политиками можно управлять по сети всеми объектами групповой политики, фильтрами инструментария управления Windows (WMI) и разрешениями, связанными с групповой политикой. Рассматривайте консоль управления групповыми политиками как основную точку доступа к групповой политике, в которой сосредоточены все средства управления групповой политикой.

Консоль управления групповыми политиками состоит из набора интерфейсов с поддержкой сценариев, предназначенных для управления групповой политикой, и пользовательского интерфейса на основе консоли управления (MMC). В ОС Windows Server 2008 входит 32- и 64-разрядная версия консоли управления групповыми политиками.

Ниже перечислены возможности консоли управления групповыми политиками.

• Импорт и экспорт объектов групповой политики.
• Копирование и вставка объектов групповой политики.
• Резервное копирование и восстановление объектов групповой политики.
• Поиск объектов групповой политики.
• Работа с отчетами.
• Моделирование групповой политики. Позволяет имитировать данные результирующей политики (RsoP) для планирования развертывания групповой политики перед реализацией в рабочей среде.
• Результаты групповой политики. Позволяют получить данные результирующей политики для просмотра взаимодействия с объектом групповой политики, а также для устранения неполадок, связанных с развертыванием групповой политики.
• Поддержка таблиц миграции, упрощающих импорт и копирование объектов групповой политики между доменами и лесами. Таблица миграции — это файл, в котором ссылки на пользователей, группы, компьютеры и UNC-пути в исходном объекте групповой политики сопоставляются новым значениям в конечном объекте групповой политики.
• Создание HTML-отчетов о параметрах объектов групповой политики и данных результирующей политики; отчеты можно сохранять и печатать.
• Интерфейсы с поддержкой сценариев, позволяющие выполнять все операции, доступные в консоли управления групповыми политиками. Сценарии нельзя использовать для изменения отдельных параметров политики в объекте групповой политики.

Примечание

В ОС Windows Server 2008 не входят примеры сценариев для консоли управления групповыми политиками из предыдущих версий консоли. Однако примеры сценариев для консоли управления групповыми политиками для Windows Server 2008 можно загрузить на странице Примеры сценариев для консоли управления групповыми политиками (страница может быть на английском языке). Дополнительные сведения об использовании примеров сценариев для консоли управления групповыми политиками см. ниже в разделе Использование сценариев для управления групповой политикой.

Консоль управления групповыми политиками значительно упрощает управление развернутой групповой политикой и позволяет воспользоваться всеми преимуществами групповой политики благодаря простому и мощному интерфейсу управления групповой политикой.

Проектирование структуры подразделений, поддерживающей групповую политику

В среде Active Directory параметры групповой политики задаются путем привязки объектов групповой политики к сайтам, доменам и подразделениям. Как правило, большинство объектов групповой политики задается на уровне подразделений, поэтому необходимо убедиться в том, что структура подразделений поддерживает стратегию управления клиентскими компьютерами на основе групповой политики. Некоторые параметры групповой политики задаются на уровне домена, например политики работы с паролями. Крайне незначительное количество параметров применяется на уровне сайтов. Грамотно спроектированная структура подразделений, отражающая административную структуру организации и использующая все преимущества наследования объектов групповой политики, упрощает применение групповой политики. Например, грамотно спроектированная структура подразделений позволяет избежать дублирования определенных объектов групповой политики, что, в свою очередь, позволяет применять такие объекты к различным частям организации. Если возможно, создайте подразделения, позволяющие делегировать административные полномочия и реализовывать групповую политику.

При проектировании подразделений необходимо найти баланс между требованиями к делегированию административных полномочий независимо от потребностей групповой политики и необходимостью ограничить область применения групповой политики. Ниже приведены рекомендации по проектированию подразделений, позволяющие справиться с проблемами делегирования и задания области применения.

• Делегирование административных полномочий: можно создавать подразделения в домене и делегировать административные полномочия для конкретных подразделений определенным пользователям или группам. Структура подразделений может зависеть от требований к делегированию административных полномочий.
• Применение групповой политики: при проектировании структуры подразделений подумайте сначала об объектах, которыми необходимо управлять. Возможно, вам необходимо создать структуру, в которой подразделения организованы по рабочим станциям, серверам и пользователям ближе к верхнему уровню. В зависимости от модели администрирования можно классифицировать подразделения по географическому положению и сделать их либо дочерними, либо родительскими по отношению к другим подразделениям, а затем дублировать структуру для каждого расположения, чтобы избежать необходимости репликации между различными сайтами. Добавляйте подразделения на нижние уровни только в том случае, если это позволит упростить применение групповой политики либо если необходимо делегировать административные полномочия на нижние уровни.

При использовании структуры, в которой подразделения содержат однородные объекты, например объекты пользователей либо объекты компьютеров, но не оба типа объектов одновременно, можно легко отключать разделы объекта групповой политики, которые не применяются к определенному типу объектов. Такой подход к проектированию структуры подразделений, приведенный на рис. 1, позволяет упростить структуру и увеличить скорость применения групповой политики. Не забывайте, что объекты групповой политики, привязанные к высоким уровням структуры подразделений, наследуются по умолчанию, что снижает потребность в дублировании объектов групповой политики или в привязке одного объекта групповой политики к нескольким контейнерам.

При проектировании структуры Active Directory самое главное — это простота администрирования и делегирования.

Применение групповой политики к новым учетным записям пользователей и компьютеров

Новые учетные записи пользователей и компьютеров по умолчанию создаются в контейнерах CN=Users и CN=Computers. К этим контейнерам невозможно непосредственно применить параметры групповой политики, хотя эти контейнеры наследуют объекты групповой политики, связанные с доменом. Чтобы применить групповую политику к контейнерам пользователей и компьютеров по умолчанию, необходимо воспользоваться новыми средствами Redirusr.exe и Redircomp.exe.

Программы Redirusr.exe (для учетных записей пользователей) и Redircomp.exe (для учетных записей компьютеров) входят в состав ОС Windows Server 2008. С помощью этих средств можно изменить расположение по умолчанию, в котором создаются новые учетные записи пользователей и компьютеров, что позволяет применять объекты групповой политики непосредственно к создаваемым объектам пользователей и компьютеров. Эти средства расположены на серверах с ролью служб Active Directory в каталоге %windir%\system32.

Однократно запустив для каждого домена средства Redirusr.exe и Redircomp.exe, администратор домена может указать подразделения, в которые во время создания будут помещаться все создаваемые учетные записи пользователей и компьютеров. Это позволяет администраторам управлять подобными неназначенными учетными записями с помощью групповой политики до того, как им будет назначено окончательное подразделение. Рассмотрите возможность ограничения с помощью групповой политики подразделений, используемых для новых учетных записей пользователей и компьютеров, чтобы повысить безопасность этих учетных записей.

Дополнительные сведения о перенаправлении учетных записей пользователей и компьютеров см. в статье 324949 базы знаний Microsoft «Перенаправление контейнеров пользователей и компьютеров в доменах Windows Server 2003» (страница может быть на английском языке) (http://go.microsoft.com/fwlink/?LinkId=100759).

Вопросы, связанные с сайтами и репликацией

После определения подходящих параметров политики необходимо принять во внимание физические аспекты Active Directory, включающие географическое положение сайтов, физическое размещение контроллеров домена и скорость репликации.

Объекты групповой политики хранятся как в Active Directory, так и в папке Sysvol на каждом контроллере домена. Для этих расположений используются разные механизмы репликации. При подозрении, что объект групповой политики не был реплицирован между контроллерами домена, воспользуйтесь для диагностики проблем средством Gpotool.exe из набора ресурсов.

Дополнительные сведения о средстве Gpotool.exe см. на сайте справки и поддержки Microsoft (страница может быть на английском языке) (http://go.microsoft.com/fwlink/?LinkId=109283). Для загрузки средств из набора ресурсов для Windows Server 2008 перейдите в раздел «Набор ресурсов для Windows Server 2008» Центра загрузки Microsoft (страница может быть на английском языке) (http://go.microsoft.com/fwlink/?LinkId=4544).

Размещение контроллера домена может представлять проблему при использовании низкоскоростных подключений, как правило, для клиентов на удаленных сайтах. Если скорость сетевого соединения между клиентом и контроллером домена падает ниже установленного по умолчанию порогового значения (500 килобит в секунду), по умолчанию применяются только параметры административного шаблона (через реестр), новое расширение «Беспроводная политика» и параметры безопасности. Все остальные параметры групповой политики по умолчанию не применяются. Однако это поведение можно изменить с помощью групповой политики.

Пороговое значение для низкоскоростных подключений можно изменить с помощью политики «Обнаружение медленных подключений для групповой политики» как для пользователей, так и для компьютеров. При необходимости также можно указать, какие расширения групповой политики будут обрабатываться на подключениях, скорость которых не превышает порогового значения. Даже в этом случае имеет смысл разместить в удаленном расположении локальный контроллер домена для обслуживания потребностей в управлении.

Обеспечение соответствия соглашениям об уровне обслуживания

В некоторых ИТ-отделах соглашения об уровне обслуживания используются для регламентации работы служб. Например, в соглашении об уровне обслуживания может оговариваться максимальная продолжительность времени, отведенного на запуск компьютера и вход в систему, продолжительность использования компьютера после входа пользователя в систему и т. д. В соглашениях об уровне обслуживания часто устанавливаются стандарты на время реагирования служб. Например, в соглашении об уровне обслуживания может указываться время, в течение которого пользователю разрешается получить новое приложение или получить доступ к ранее отключенной возможности. На время реакции службы влияют такие факторы, как топология сайтов и репликации, расположение контроллеров домена и местонахождение администраторов групповой политики.

Чтобы сократить время, необходимое для обработки объекта групповой политики, воспользуйтесь одной из приведенных ниже стратегий.

• Если в объекте групповой политики содержатся только параметры конфигурации компьютера или параметры конфигурации пользователя, отключите неиспользуемые параметры политики. После этого конечный компьютер не будет сканировать отключенные разделы объекта групповой политики, а время обработки сократится. Сведения об отключении разделов объекта групповой политики см. ниже в разделе Отключение в объекте групповой политики разделов «Конфигурация пользователя» или «Конфигурация компьютера».
• Если возможно, объедините несколько маленьких объектов групповой политики в один большой. При этом уменьшится количество объектов групповой политики, применяемых к пользователю или компьютеру. Чем меньше объектов групповой политики применяется к пользователю или компьютеру, тем меньше время запуска и входа в систему и тем проще устранять неполадки, связанные со структурой политики.
• Изменения, вносимые в объекты групповой политики, реплицируются на контроллеры домена, что приводит к необходимости загрузки новых данных на клиентские и иные компьютеры. При наличии больших или сложных объектов групповой политики, требующих частых изменений, рассмотрите возможность создания нового объекта групповой политики, содержащего только постоянно обновляемые разделы. Проверьте этот подход на практике, чтобы определить, перевешивают ли преимущества от минимизации нагрузки на сеть и сокращения времени обработки на конечных компьютерах недостатки, связанные с усложнением структуры объектов групповой политики и, как следствие, с повышенной сложностью при устранении неполадок.
• Внедрите процесс управления изменениями групповой политики и записывайте в журнал все изменения, вносимые в объекты групповой политики. Это позволит выявлять и устранять проблемы, связанные с объектами групповой политики. Это также позволит обеспечить соответствие соглашениям об уровне обслуживания, в рамках которых требуется вести журналы. Рассмотрите возможность использования для внедрения процесса управления изменениями и управления объектами групповой политики средства расширенного управления групповыми политиками.

Определение целей использования групповой политики

При планировании развертывания групповой политики определите конкретные бизнес-требования и то, каким образом их можно реализовать с помощью групповой политики. После этого можно выделить наиболее подходящие под эти требования параметры политики и конфигурации.

Цели при каждой реализации групповой политики меняются в зависимости от расположения пользователей, требований конкретной работы, уровня компьютерной грамотности пользователей и корпоративных требований к безопасности. В некоторых случаях может потребоваться отключить на компьютерах пользователей ряд функций, чтобы пользователи не смогли изменить файлы конфигурации системы (что может отрицательно сказаться на производительности компьютера), либо удалить приложения, не являющиеся необходимыми для работы. В остальных случаях групповая политика используется для настройки параметров операционной системы, параметров браузера Internet Explorer и задания политики безопасности.

Четкое понимание текущей среды и потребностей организации позволяет разработать план, наилучшим образом соответствующий требованиям организации. Сбор сведений о типах пользователей, например производственных рабочих и наборщиков данных, а также о существующих и планируемых конфигурациях компьютеров, является одной из важных задач. На основе этих сведений можно определить цели групповой политики.

Оценка существующих корпоративных практик

Чтобы выделить необходимые параметры групповой политики, начните с оценки принятых в корпоративной среде практик. Ниже перечислены факторы, которые необходимо учитывать.

• Требования для различных типов пользователей.
• Текущие ИТ-роли, например различные административные обязанности, распределенные по группам администраторов.
• Существующие корпоративные политики безопасности.
• Иные требования безопасности, предъявляемые к серверам и клиентским компьютерам.
• Модель распространения программного обеспечения.
• Конфигурация сети.
• Расположения хранения данных и процедуры обработки данных.
• Принятые процедуры управления пользователями и компьютерами.

Определение целей использования групповой политики

Далее, в рамках процесса определения целей групповой политики, определите указанные ниже факторы.

• Назначение каждого объекта групповой политики.
• Владелец каждого объекта групповой политики — лицо, запрашивающее параметр политики и ответственное за него.
• Количество используемых объектов групповой политики.
• Контейнер, соответствующий каждому объекту групповой политики (сайт, домен или подразделение).
• Типы параметров политики, хранящихся в каждом объекте групповой политики, и соответствующие параметры политики для пользователей и компьютеров.
• Процедура задания исключений для принятого по умолчанию порядка обработки групповой политики.
• Порядок задания параметров фильтрации для групповой политики.
• Устанавливаемые приложения и их расположение.
• Общие сетевые ресурсы, используемые для перенаправления папок.
• Расположение запускаемых сценариев входа в систему, выхода из системы, запуска и завершения работы компьютера

Планирование администрирования групповой политики

При проектировании и внедрении решения групповой политики также важно спланировать администрирование групповой политики. Наличие процедур администрирования для отслеживания объектов групповой политики и управления ими гарантирует, что все изменения вносятся надлежащим образом.

Чтобы упростить и упорядочить управление групповой политикой, воспользуйтесь приведенными ниже рекомендациями.

• Всегда подготавливайте групповую политику на основе приведенного ниже процесса предварительного развертывания.
  
  
  • Используйте моделирование групповой политики, чтобы понять, каким образом новый объект групповой политики будет взаимодействовать с существующими объектами групповой политики.
  • Разворачивайте новые объекты групповой политики в тестовой среде, моделирующей рабочую среду.
  • Используйте результаты групповой политики, чтобы узнать, какие параметры объекта групповой политики фактически применяются в тестовой среде.
• Используйте консоль управления групповыми политиками для регулярного резервного копирования объектов групповой политики.
• Используйте консоль управления групповыми политиками для управления групповой политикой по всей организации.
• Не изменяйте установленные по умолчанию политику доменов и политику контроллеров домена, если это не является необходимым. Вместо этого создайте новый объект групповой политики на уровне домена и настройте его таким образом, чтобы переопределить параметры политики по умолчанию.
• Разработайте соглашение о присвоении объектам групповой политики имен, четко определяющих назначение каждого объекта.
• Назначьте каждому объекту групповой политики только одного администратора. При этом работа одного администратора не будет пересекаться с работой других.

Windows Server 2008 и консоль управления групповыми политиками позволяет делегировать различным группам администраторов полномочия на изменение и привязку объектов групповой политики. При отсутствии адекватных процедур управления объектами групповой политики администраторы могут дублировать параметры объектов групповой политики или создавать объекты групповой политики, конфликтующие с параметрами политики, установленными другим администратором, либо не соответствующие корпоративным стандартам. Подобные конфликты могут отрицательно повлиять на настройки рабочего стола пользователей, привести к росту числа обращений в службу технической поддержки и затруднить устранение неполадок, связанных с объектами групповой политики.

Выявление проблем, связанных с взаимодействием

При планировании внедрения групповой политики в смешанной среде необходимо учитывать возможные проблемы, связанные с взаимодействием. В ОС Windows Server 2008 и Windows Vista имеется множество новых параметров групповой политики, отсутствующих в Windows Server 2003 и Windows XP. Однако даже в том случае, когда на клиентских компьютерах и серверах в организации установлены в основном ОС Windows Server 2003 и Windows XP, следует использовать консоль управления групповыми политиками из Windows Server 2008, поскольку она содержит новейшие параметры политики. При применении объекта групповой политики с новыми параметрами политики к предыдущей версии операционной системы, которая не поддерживает эти параметры, проблем не возникнет.

Параметры политики, поддерживаемые только Windows Server 2008 и Windows Vista, будут просто проигнорированы на компьютерах с ОС Windows Server 2003 и Windows XP Professional. Чтобы узнать, какие параметры политики применяются в конкретных операционных системах, см. раздел Поддерживается описания параметра политики, в котором указывается, какие операционные системы могут считывать данный параметр.

Определение момента, когда применяются изменения групповой политики

Изменения параметров групповой политики могут не сразу вступить в силу для настольных компьютеров пользователей, поскольку изменения, внесенные в объект групповой политики, должны сначала реплицироваться на соответствующий контроллер домена. Кроме того, для загрузки групповой политики клиентам предоставляется период обновления продолжительностью 90 минут (со случайным смещением, не превышающим 30 минут). Таким образом, лишь в редких случаях измененный параметр групповой политики применяется немедленно. Компоненты объекта групповой политики хранятся как в Active Directory, так и в папке Sysvol на контроллерах домена. Репликация объекта групповой политики на другие контроллеры домена выполняется с использованием двух указанных ниже независимых механизмов.

• Репликация в Active Directory контролируется встроенной системой репликации Active Directory. По умолчанию репликация между контроллерами домена на одном сайте занимает, как правило, менее минуты. Этот процесс в низкоскоростных сетях может проходить медленнее.
• Репликация папки Sysvol контролируется службой репликации файлов или репликацией распределенной файловой системы DFS. На сайтах репликация службы репликации файлов выполняется каждые 15 минут. Если контроллеры домена расположены на разных сайтах, репликация выполняется через заданные промежутки времени на основе топологии сайтов и расписания; минимальный интервал составляет 15 минут.

Примечание
Если крайне необходимо немедленно применить изменение к конкретной группе пользователей или компьютеров на определенном сайте, можно подключиться к ближайшему к этим объектам контроллеру домена и внести изменения в конфигурацию на данном контроллере домена, чтобы соответствующие пользователи первыми получили обновленные параметры политики.

Интервал обновления политики

Основными механизмами обновления групповой политики являются запуск компьютера и вход в систему. Групповая политика также регулярно обновляется через указанные интервалы времени. Интервал обновления политики влияет на скорость применения изменений к объектам групповой политики. По умолчанию клиентские и серверные компьютеры с ОС Windows Server 2008, Windows Vista, Windows Server 2003 и Windows XP выполняют проверку на наличие изменений объектов групповой политики каждые 90 минут со случайным смещением, величина которого не превышает 30 минут.

Контроллеры домена с ОС Windows Server 2008 и Windows Server 2003 выполняют проверку на наличие изменений политики компьютеров каждые пять минут. Политику опроса изменений можно изменить с помощью одного из следующих параметров политики: Интервал обновления групповой политики для компьютеров, Интервал обновления групповой политики для контроллеров домена и Интервал обновления групповой политики для пользователей. Однако не рекомендуется сокращать интервал между обновлениями из-за потенциального увеличения сетевого трафика дополнительной нагрузки на контроллеры домена.

Включение обновления групповой политики

При необходимости можно включить обновление групповой политики на локальном компьютере вручную, не дожидаясь автоматического обновления в фоновом режиме. Чтобы обновить параметры политики пользователя или компьютера, введите в окне командной строки команду gpupdate. Запустить обновление групповой политики с помощью консоли управления групповыми политиками нельзя. Команда gpupdate запускает фоновое обновление политики на локальном компьютере, на котором эта команда была выполнена.

Дополнительные сведения о команде gpupdate см. ниже в разделе Изменение интервала обновления групповой политики.

Примечание
Чтобы некоторые параметры политики, например параметры перенаправления папок и назначения приложений, вступили в силу, необходимо, чтобы пользователь вышел из системы и вошел в систему снова. Назначенные компьютерам приложения устанавливаются только после перезапуска компьютера.

Выявление проблем, связанных с установкой программного обеспечения

Хотя с помощью групповой политики можно устанавливать приложения, особенно в малых и средних организациях, необходимо определить, является ли такое решение оптимальным. При использовании групповой политики для установки приложений назначенные приложения устанавливаются или обновляются только после перезапуска компьютера или при входе пользователя в систему.

При использовании для развертывания программного обеспечения System Center Configuration Manager 2007 (ранее Systems Management Server (SMS)) пользователю предоставляются функции уровня предприятия, недоступные при использовании групповой политики, например нацеливание на основе инвентаризации, отчеты о состоянии и расписания. По этой причине групповую политику можно использовать для настройки настольных компьютеров и задания параметров безопасности системы и прав доступа, а Configuration Manager — для развертывания приложений. Такой подход позволяет контролировать пропускную способность путем планирования установки приложений на нерабочее время.

Выбор средств зависит от конкретных требований, конкретной среды и потребности в дополнительных функциях и дополнительных средств безопасности, предоставляемых Configuration Manager. Дополнительные сведения о Configuration Manager см. на веб-сайте System Center Configuration Manager (страница может быть на английском языке) (http://go.microsoft.com/fwlink/?LinkId=109285).

Разработка модели групповой политики

Главная цель — спроектировать структуру объектов групповой политики на основе бизнес-требований. Не забывая о компьютерах и пользователях в организации, определите, какие параметры политики необходимо принудительно установить в организации и какие параметры политики применимы ко всем пользователям или компьютерам. Также определите, какие параметры политики будут использоваться для настройки параметров компьютеров и пользователей в соответствии с их типом, функцией и ролью. После этого сгруппируйте различные типы параметров политики в объекты групповой политики и свяжите их с соответствующими контейнерами Active Directory.

Также необходимо помнить о модели наследования групповой политики и способе задания приоритетов. По умолчанию параметры, заданные в объектах групповой политики, связанных с верхними уровнями сайтов, доменов и подразделений Active Directory, наследуются всеми подразделениями на нижних уровнях. Унаследованную политику можно переопределить в объекте групповой политики, привязанному к нижнему уровню.

Например, с помощью объекта групповой политики, привязанного к верхнему уровню, можно задать стандартные обои рабочего стола, а для определенного подразделения задать другие обои. Для этого необходимо привязать второй объект групповой политики к конкретному подразделению нижнего уровня. Поскольку объекты групповой политики нижнего уровня применяются в последнюю очередь, второй объект групповой политики переопределит объект групповой политики на уровне домена и предоставит данному конкретному подразделению нижнего уровня другой набор параметров групповой политики. Механизм наследования по умолчанию можно изменить с помощью параметров «Блокировать наследование» и «Принудительно».

Ниже приведены рекомендации по настройке структуры групповой политики под потребности конкретной организации.

• Определите, есть ли параметры политики, которые всегда следует принудительно применять к конкретным группам пользователей и компьютеров. Создайте объекты групповой политики, включите в них эти параметры, свяжите их с соответствующим сайтом, доменом или подразделением и обозначьте эти связи как принудительные. При задании этого параметра принудительно устанавливаются параметры политики объекта групповой политики верхнего уровня, а возможность переопределения объектами групповой политики в контейнерах Active Directory нижнего уровня отключается. Например, если задать объект групповой политики на уровне домена и указать, что он применяется принудительно, политики, содержащиеся в этом объекте, будут применяться ко всем подразделениям в домене; объекты групповой политики, связанные с подразделениями нижнего уровня, не будут переопределять групповую политику домена.

Примечание
Параметры «Принудительно» и «Блокировать наследование политики» следует использовать осторожно. Широкое использование этих возможностей может затруднить устранение неполадок, поскольку администраторам других объектов групповой политики не сразу будет понятно, почему определенные параметры политики применяются или не применяются.

• Определите, какие параметры политики будут применяться ко всей организации и рассмотрите возможность привязки таких параметров к домену. Для копирования объектов групповой политики и импорта параметров политики объекта групповой политики также можно воспользоваться консолью управления групповыми политиками, создавая таким образом идентичные объекты групповой политики в различных доменах.
• Свяжите объекты групповой политики со структурой подразделения (или сайта), после чего с помощью групп безопасности выборочно примените эти объекты к конкретным пользователям или компьютерам.
• Классифицируйте типы компьютеров и роли (должностные обязанности) пользователей в организации, сгруппируйте их в подразделения, создайте объекты групповой политики для настройки среды каждого подразделения и свяжите объекты групповой политики с соответствующими подразделениями.
• Перед развертыванием объектов групповой политики в рабочей среде создайте промежуточную среду для тестирования выбранной стратегии управления на основе групповой политики. Рассматривайте этот этап как подготовку к развертыванию. Этот этап гарантирует, что развернутая групповая политика будет соответствовать целям управления. Этот процесс описан ниже в разделе Подготовка развертывания групповой политики.

Определение области применения групповой политики

Чтобы определить область применения объектов групповой политики, ответьте на приведенные ниже вопросы.

• К каким контейнерам будут привязаны объекты групповой политики?
• Какие фильтры безопасности будут использоваться для объектов групповой политики?
  
  С помощью фильтров безопасности можно указать, какие пользователи и компьютеры будут получать и применять параметры безопасности в объекте групповой политики. Фильтры групп безопасности определяют, применяется ли объект групповой политики к группам, пользователям или компьютерам целиком; их нельзя использовать выборочно для отдельных параметров политики в объекте групповой политики.
• Какие WMI-фильтры будут применяться?
  
  WMI-фильтры позволяют динамически задавать область действия объектов групповой политики при помощи атрибутов конечного компьютера.

Кроме того, не забывайте, что по умолчанию объекты групповой политики наследуются (совокупно) и применяются ко всем компьютером и пользователям в контейнере Active Directory и его дочерних контейнерах. Объекты групповой политики обрабатываются в следующем порядке: локальная групповая политика, сайт, домен и подразделение; последующие объекты групповой политики переопределяют параметры, хранящиеся в предшествующих объектах групповой политики. Метод наследования по умолчанию заключается в оценке групповой политики, начиная с контейнера Active Directory, наиболее удаленного от объекта компьютера или пользователя. Контейнер Active Directory, ближайший к компьютеру или пользователю, переопределяет параметры групповой политики, заданные в контейнере Active Directory более высокого уровня, если для связи этого объекта групповой политики не задан параметр Принудительно (не перекрывать) или к домену либо подразделению не применен параметр политики Блокировать наследование политики. В первую очередь обрабатываются локальные объекты групповой политики, поэтому параметры политики из объектов групповой политики, связанные с контейнерами Active Directory, переопределяют параметры локальной политики.

Другая проблема заключается в том, что, хотя к контейнеру Active Directory можно привязать несколько объектов групповой политики, необходимо учитывать приоритеты обработки. Связь объекта групповой политики с наименьшим номером в списке Ссылки на объекты групповой политики (отображается на вкладке Связанные объекты групповой политики консоли управления групповыми политиками) обладает по умолчанию наивысшим приоритетом. Однако если для одной или нескольких связей объектов групповой политики задан параметр Принудительно, приоритет получает связь с параметром Принудительно более высокого уровня.

Если говорить коротко, то параметр Принудительно является свойством связи, а параметр Блокировать наследование политики — свойством контейнера. Параметр Принудительно приоритетнее параметра Блокировать наследование политики. Кроме того, параметры политики можно отключить непосредственно в объекте групповой политики четырьмя другими способами: можно отключить сам объект групповой политики; можно отключить в объекте групповой политики параметры компьютеров, параметры пользователей или все параметры.

Консоль управления групповыми политиками значительно упрощает выполнение этих задач благодаря возможности просматривать наследование объектов групповой политики по всей организации и управлять связями из одной консоли управления (MMC). На рис. 2 показано наследование групповой политики так, как оно отображается в консоли управления групповыми политиками.

Примечание

Для просмотра всех сведений о наследовании и предшествовании связей объектов групповой политики с доменом, сайтом или подразделением необходимо обладать правами на чтение сайта, домена или подразделения, содержащего связи объектов групповой политики, а также на чтение самих объектов групповой политики. Если пользователь обладает правами на чтение сайта, домена или подразделения, но не обладает правами на чтение хотя бы одного из связанных с этими контейнерами объектов групповой политики, этот объект будет отображаться как Недоступный объект групповой политики, а пользователь не сможет прочитать имя объекта групповой политики и иные сведения об этом объекте.

Определение необходимого количества объектов групповой политики

Необходимое количество объектов групповой политики зависит от выбранного подхода к проектированию, сложности среды, конкретных целей и области применения проекта. Если в организации есть лес со множеством доменов или несколько лесов, количество объектов групповой политики, необходимых для каждого домена, будет разным. Для доменов, поддерживающих сложные бизнес-среды с разнородным составом пользователей, как правило, требуется больше объектов групповой политики, чем для более простых доменов меньшего размера.

По мере увеличения количества объектов групповой политики, необходимых для поддержки работы организации, возрастает объем работы администраторов групповой политики. Существует ряд мер, которые можно предпринять для упрощения администрирования групповой политики. Основная идея заключается в том, чтобы сгруппировать в единый объект групповой политики параметры политики, применяемые к указанной группе пользователей и компьютеров и администрируемые одной и той же группой администраторов. Далее, если к различным группам пользователей и компьютеров предъявляются общие требования и только для некоторых групп требуются последовательные изменения, рассмотрите возможность применения общих требований ко всем этим группам пользователей и компьютеров с помощью одного объекта групповой политики, привязанного к высокому уровню структуры Active Directory. Затем добавьте объекты групповой политики, применяющие к соответствующему подразделению дополнительные изменения. Такой подход не всегда возможен или практически целесообразен, поэтому из этого правила могут быть исключения. Если такие исключения есть, документируйте их.

Примечание

При обработке объектов групповой политики для одного пользователя или компьютера поддерживается не более 999 объектов групповой политики. При превышении максимального количества объекты групповой политики обрабатываться не будут. Это ограничение влияют только на количество объектов групповой политики, применяемых одновременно, и не влияет на количество объектов групповой политики, которые можно создавать и сохранять в домене.

Помните, что количество объектов групповой политики, применяемых к компьютеру, влияет на время запуска, а количество объектов групповой политики, применяемых к пользователю, влияет на время входа в сеть. Чем больше количество объектов групповой политики, связанных с пользователем (особенно количество параметров политики в этих объектах), тем больше времени требуется на их обработку при входе пользователя в систему. При входе в систему применяется каждый объект групповой политики из пользовательской иерархии сайтов, доменов и подразделений при условии, что пользователь обладает разрешениями «Чтение» и «Применение групповой политики». В консоли управления групповыми политиками разрешения «Чтение» и «Применение групповой политики» обрабатываются единым блоком под названием «Фильтры безопасности».

Если вы используете фильтры безопасности и отменяете для пользователя или группы разрешение «Применение групповой политики», также отмените разрешение «Чтение», если только не требуется, чтобы по какой-либо причине у пользователя был доступ на чтение. (При использовании консоли управления групповыми политиками об этом можно не беспокоиться, поскольку в данной консоли это выполняется автоматически.) Если разрешение «Применить групповую политику» не задано, а разрешение «Чтение» задано, объект групповой политики будет по-прежнему проверяться (но не применяться) каждым пользователем или компьютером, входящим в иерархию подразделений, с которой связан этот объект. Такая проверка слегка увеличивает время входа в систему.

Всегда проверяйте решение групповой политики в тестовой среде, чтобы убедиться в том, что заданные параметры политики не увеличивают до неприемлемой величины время, проходящее до появления экрана входа в систему, и соответствуют соглашениям об уровне обслуживания настольных компьютеров. На этапе подготовки входите в систему с тестовой учетной записью, чтобы оценить суммарное воздействие нескольких объектов групповой политики на объекты среды.

Привязка объектов групповой политики

Чтобы применить к пользователям и компьютерам параметры политики объекта групповой политики, необходимо связать объект групповой политики с сайтом, доменом или подразделением. С помощью консоли управления групповыми политиками на каждый сайт, домен или подразделение можно добавить одну или несколько связей с объектами групповой политики. Имейте в виду, что создание и привязка объектов групповой политики является правом, затрагивающим конфиденциальные данные, которое следует делегировать только надежным администраторам, разбирающимся в групповой политике.

Привязка объектов групповой политики к сайту

Если в организации используется ряд параметров политики (например, определенные параметры сети или конфигурации прокси-сервера), применяемых к компьютерам, физически расположенным в одном месте, то только такие параметры подходят для включения в параметр политики сайта. Поскольку сайты и домены не зависят друг от друга, возможна ситуация, при которой для привязки к сайту объекта групповой политики компьютерам на этом сайте потребуется связываться через различные домены. В этом случае необходимо убедиться в надежности каналов связи.

Если параметры политики не соответствуют однозначным образом компьютерам на одном сайте, лучше связать объект групповой политики не с сайтом, а с доменом или структурой подразделений.

Привязка объектов групповой политики к домену

Свяжите объекты групповой политики с доменом, если необходимо применить эти объекты ко всем пользователям и компьютерам в домене. Например, администраторы безопасности часто создают объекты групповой политики уровня домена для принудительной установки корпоративных стандартов. Такие объекты групповой политики можно создавать с включенным параметром консоли управления групповыми политиками Принудительно, гарантирующим, что другие администраторы не смогут переопределить эти параметры политики.

Важно

Если необходимо изменить параметры политики, содержащиеся в объекте групповой политики «Используемая по умолчанию доменная политика», рекомендуется создать новый объект групповой политики, связать его с доменом и присвоить ему параметр Принудительно. Обычно объекты групповой политики «Используемая по умолчанию доменная политика» и «Используемая по умолчанию политика контроллеров домена» изменять не следует.

Как следует из названия, объект групповой политики «Используемая по умолчанию доменная политика» также связан с доменом. Объект групповой политики «Используемая по умолчанию доменная политика» создается при установке в домене первого контроллера домена и при первом входе администратора в систему. Этот объект групповой политики содержит параметры политики учетных записей уровня домена, политику паролей, политику блокировки учетных записей и политику Kerberos, которая принудительно устанавливается контроллерами домена в домене. Все контроллеры домена загружают значения этих параметров политики учетных записей из объекта групповой политики «Используемая по умолчанию доменная политика». Для применения политик учетных записей к учетным записям домена эти параметры политики необходимо развернуть в объекте групповой политики, связанном с доменом. При задании параметров политики учетных записей на более низком уровне, например на уровне подразделения, параметры политики влияют только на локальные учетные записи (учетные записи, не принадлежащие домену) на компьютерах, входящих в это подразделение и его дочерние подразделения.

Перед внесением изменений в объекты групповой политики по умолчанию обязательно сделайте резервные копии этих объектов с помощью консоли управления групповыми политиками. Если при изменении объектов групповой политики по умолчанию возникнут проблемы, а вернуться обратно к предыдущему или исходному состоянию будет невозможно, то для восстановления исходного состояния политик по умолчанию можно будет воспользоваться средством Dcgpofix.exe, описанным в следующем разделе. Кроме того, при использовании расширенного управления групповыми политиками ведется запись всех вносимых изменений, что позволяет вернуться к предыдущему или исходному состоянию.

Восстановление объектов групповой политики «Используемая по умолчанию доменная политика» и «Контроллер домена по умолчанию»

Средство Dcgpofix.exe — программа командной строки, предназначенная для полного восстановления исходного состояния объектов групповой политики «Используемая по умолчанию доменная политика» и «Контроллер домена по умолчанию» в случае сбоя или невозможности использования консоли управления групповыми политиками. Средство Dcgpofix.exe входит в состав ОС Windows Server 2008 и Windows Server 2003 и находится в папке C:\Windows\system32\.

Средство Dcgpofix.exe восстанавливает только параметры политики, хранившиеся в объектах групповой политики по умолчанию на момент их создания. Средство Dcgpofix.exe не восстанавливает другие объекты групповой политики, создаваемые администраторами; оно предназначено только для аварийного восстановления объектов групповой политики по умолчанию.

Примечание
Средство Dcgpofix.exe не сохраняет данные, созданные приложениями, например Configuration Manager или Exchange.

Ниже приведен синтаксис команд Dcgpofix.exe.

DcGPOFix [/ignoreschema] [/Target: Domain | DC | BOTH]

В таблице 1 приведены параметры командной строки для средства Dcgpofix.exe.

Таблица 1. Параметры командной строки средства Dcgpofix.exe

Параметр	Описание параметров
/ignoreschema	По умолчанию версия средства Dcgpofix, входящая в состав ОС Windows Server 2008, работает только с доменами Windows Server 2008. При использовании этого параметра проверка схемы не выполняется, что позволяет работать не только с доменами Windows Server 2008.
/target: DOMAIN или	Указывает, что необходимо восстановить объект групповой политики «Используемая по умолчанию доменная политика».
/target: DC или	Указывает, что необходимо восстановить объект групповой политики «Используемая по умолчанию политика контроллеров домена».
/target: BOTH	Указывает, что необходимо восстановить объекты групповой политики «Используемая по умолчанию доменная политика» и «Используемая по умолчанию политика контроллеров домена».

Дополнительные сведения о средстве Dcgpofix.exe см. на странице Dcgpofix.exe (страница может быть на английском языке) (http://go.microsoft.com/fwlink/?LinkId=109291).

Привязка объектов групповой политики к структуре подразделений

Объекты групповой политики обычно привязываются к структуре подразделений, поскольку такой подход обеспечивает наибольшую гибкость и управляемость. Пример:

• Пользователей и компьютеры можно помещать в подразделения и удалять их оттуда.
• При необходимости структуру подразделений можно изменить.
• Можно работать с малыми группами пользователей, к которым предъявляются одинаковые административные требования.
• Пользователей и компьютеры можно упорядочить таким образом, чтобы каждый администратор управлял своей группой пользователей или компьютеров.

Разбиение объектов групповой политики на объекты, ориентированные на пользователей, и объекты, ориентированные на компьютеры, позволяет сделать среду групповой политики более простой для понимания и облегчить устранение неполадок. Однако при разнесении пользовательских и компьютерных компонентов по отдельным объектам групповой политики количество объектов групповой политики может увеличиться. Чтобы скомпенсировать этот недостаток, настройте параметр Состояние объекта групповой политики таким образом, чтобы отключить неиспользуемые разделы конфигурации объекта групповой политики для пользователей и компьютеров и сократить время, затрачиваемое на применение соответствующего объекта групповой политики.

Изменение порядка привязки объектов групповой политики

Для каждого сайта, домена и подразделения порядок привязки определяет порядок применения объектов групповой политики. Чтобы изменить порядковый номер связи, необходимо изменить порядок привязки, переместив каждую связь вверх или вниз по списку на нужное место. Связи с меньшими номерами имеют больший приоритет для соответствующего сайта, домена или подразделения.

Например, если после добавления шести связей с объектами групповой политики необходимо, чтобы последняя добавленная связь получила наивысший приоритет, можно изменить порядок привязки таким образом, чтобы эта связь получила номер 1. Для изменения порядка привязки объектов групповой политики для сайта, домена или подразделения воспользуйтесь консолью управления групповыми политиками.

Использование фильтров безопасности для применения объектов групповой политики к выбранным группам

По умолчанию объект групповой политики применяется ко всем пользователям и компьютерам на связанном сайте, в домене или подразделении. Однако к объекту групповой политики можно применить фильтры безопасности, позволяющие применить этот объект только к конкретному пользователю, членам группы безопасности Active Directory или компьютеру. Фильтры безопасности применяются путем изменения разрешений на объект групповой политики. Путем сочетания фильтров безопасности с соответствующим размещением в подразделениях можно задать любое желаемое множество пользователей или компьютеров.

Чтобы применить объект групповой политики к указанному пользователю, группе безопасности или компьютеру, пользователь, группа или компьютер должны одновременно обладать на этот объект разрешениями «Чтение» и «Применение групповой политики». По умолчанию для членов группы «Прошедшие проверку» разрешениям «Чтение» и «Применение групповой политики» присвоено значение Разрешить. В консоли управления групповыми политиками оба эти разрешения обрабатываются единым блоком с помощью фильтров безопасности.

Чтобы задать разрешения на конкретный объект групповой политики таким образом, чтобы этот объект применялся только к указанным пользователям, группам безопасности или компьютерам (а не ко всем пользователям, прошедшим проверку), в дереве консоли управления групповыми политиками разверните узел Объекты групповой политики в лесу и домене, в котором находится этот объект групповой политики. Щелкните объект групповой политики и в области сведений на вкладке Область в разделе Фильтры безопасности удалите группуПрошедшие проверку, нажмите кнопку Добавить и добавьте нового пользователя, группу или компьютер.

Например, если необходимо применить объект групповой политики только к определенному подмножеству пользователей в подразделении, удалите из раздела Фильтры безопасности группу Прошедшие проверку. Затем добавьте новую группу безопасности с разрешениями фильтров безопасности, содержащую подмножество пользователей, к которым необходимо применить объект групповой политики. Объект групповой политики будет применяться только к членам этой группы, относящимся к сайту, домену или подразделению, к которому привязан данный объект; к членам этой группы, относящимся к другим сайтам, доменам или подразделениям, объект применяться не будет.

В некоторых случаях бывает необходимо, чтобы определенные параметры групповой политики не применялись к членам группы «Администраторы». Для этого выполните одно из указанных ниже действий.

• Создайте отдельное подразделение для администраторов и выведите это подразделение из иерархии, к которой применяется большинство параметров управления. В этом случае к администраторам не будет применяться большинство параметров политики, применяемых к обычным пользователям. Если это отдельное подразделения является непосредственным дочерним подразделением домена, единственные параметры политики, которые будут применяться к администраторам, — это параметры, входящие в объекты групповой политики, связанные либо с доменом, либо с сайтом. Как правило, в такие объекты групповой политики входят только самые общие, широко используемые параметры политики, и применение этих параметров к администраторам вполне приемлемо. Если это неприемлемо, для подразделения администраторов можно задать параметр Блокировать наследование.
• Сделайте так, чтобы администраторы использовали отдельные административные учетные записи только при выполнении задач администрирования. При выполнении других задач администраторы по-прежнему будут управляемыми пользователями.
• В консоли управления групповыми политиками настройте фильтры безопасности таким образом, чтобы параметры политики применялись только к пользователям, не являющимся администраторами.

Применение WMI-фильтров

С помощью WMI-фильтров можно контролировать применение объектов групповой политики. С каждым объектом групповой политики можно связать только один WMI-фильтр; однако один и тот же WMI-фильтр можно связать с несколькими объектами групповой политики. Перед тем, как связать WMI-фильтр с объектом групповой политики, этот фильтр необходимо создать. WMI-фильтр обрабатывается на конечном компьютере в процессе обработки групповой политики. Объект групповой политики применяется только в том случае, если WMI-фильтр принимает значение «true» (истина). На компьютерах с ОС Windows 2000 WMI-фильтры не обрабатываются, поэтому объекты групповой политики применяются всегда.

Примечание

WMI-фильтры рекомендуется использовать в основном для обработки исключений. WMI-фильтры — это достаточно мощное решение для применения объектов групповой политики к конкретным пользователям и компьютерам, однако поскольку эти фильтры обрабатываются каждый раз при обработке групповой политики, это приводит к увеличению времени запуска и входа в систему. Кроме того, для WMI-фильтров невозможно задать время ожидания. Следовательно, эти фильтры следует использовать только при необходимости.

В консоли управления групповыми политиками с WMI-фильтрами можно выполнять следующие действия: создание и удаление, привязка и отмена привязки, копирование и вставка, импорт и экспорт, а также просмотр и изменение атрибутов.

WMI-фильтры можно использовать только в том случае, если по крайней мере на одном контроллере домена в домене установлена ОС Windows Server 2008 или Windows Server 2003 либо для этого домена была выполнена команда ADPrep с параметром /Domainprep. Если это условие не выполняется, раздел Фильтрация WMI на вкладке Область для объектов групповой политики и узел Фильтры WMI в домене отображаться не будут. На рис. 3 приведены описанные в данном разделе элементы.

Задание параметров фильтрации WMI

WMI предоставляет данные с конечного компьютера. Эти данные могут включать перечень оборудования и программного обеспечения, параметры и сведения о конфигурации, в том числе данные из реестра, драйверов, файловой системы, Active Directory, протокола SNMP, установщика Windows и сети. На основе этих данных администраторы могут создавать WMI-фильтры, состоящие из одного или нескольких запросов и позволяющие контролировать применение объектов групповой политики. Фильтр обрабатывается на конечном компьютере. Если WMI-фильтр принимает значение «true» (истина), объект групповой политики применяется к конечному компьютеру; в противном случае объект групповой политики не применяется. На клиентских компьютерах и серверах с ОС Windows 2000 WMI-фильтры не обрабатываются, поэтому объекты групповой политики применяются всегда. При отсутствии WMI-фильтров объекты групповой политики применяются всегда.

WMI-фильтры можно использовать для нацеливания параметров групповой политики на основе различных объектов и иных параметров. В таблице 2 приведен пример условий запроса, которые можно задать для WMI-фильтров.

Таблица 2. Примеры WMI-фильтров

Запрашиваемые данные WMI	Пример условий запроса
Службы	Компьютеры, на которых запущена служба DHCP
Реестр	Компьютеры, на которых задан указанный раздел или запись реестра
Журнал событий Windows	Компьютеры, от которых поступили сведения о произошедшем за последние пять минут событии аудита
Версия операционной системы	Компьютеры с ОС Windows Server 2003 и более поздних версий
Перечень оборудования	Компьютеры с процессором Pentium III
Конфигурация оборудования	Компьютеры с сетевыми адаптерами, работающими на уровне 3
Связи служб	Компьютеры, на которых какие-либо службы зависят от службы SQL

Хотя путем совместного использования параметров групповой политики и WMI-фильтров можно выполнять ограниченное нацеливание для развертывания программного обеспечения на основе инвентаризации, этого не рекомендуется делать по указанным ниже причинам.WMI-фильтр состоит из одного или нескольких запросов на языке WQL (WMI Query Language). WMI-фильтр применяется к каждому параметру политики в объекте групповой политики, поэтому если к различным параметрам политики предъявляются различные требования фильтрации, то в этом случае администраторам необходимо создать отдельные объекты групповой политики. WMI-фильтры обрабатываются на конечном компьютере после определения списка потенциальных объектов групповой политики и фильтрации на основе членства в группах безопасности.

• Для каждого объекта групповой политики можно указать только один WMI-фильтр. Если в разных приложениях предъявляются различные требования к инвентаризации, для выполнения этих требований потребуется множество WMI-фильтров и, следовательно, множество объектов групповой политики. Увеличение количества объектов групповой политики приводит к увеличению времени запуска и входа в систему, а также к увеличению накладных расходов, связанных с управлением.
• На обработку WMI-фильтров может потребоваться существенное время, что может привести к увеличению времени запуска и входа в систему. Точное время зависит от структуры запроса.

Примеры WMI-фильтров

Как было показано выше, WMI-фильтры наиболее полезны для обработки исключений. Путем фильтрации по определенным условиям можно применять конкретные объекты групповой политики только к указанным пользователям и компьютерам. В следующем разделе описываются WMI-фильтры, иллюстрирующие данный метод.

Нацеливание на основе операционной системы

В данном примере администратору требуется развернуть корпоративную политику наблюдения, но только для компьютеров с ОС Windows Vista. Администратор может создать, например, такой WMI-фильтр:

Select * from Win32_OperatingSystem where Caption like "%Vista%"

В большинстве WMI-фильтров используется пространство имен Root\CimV2, и этот параметр заполнен в консоли управления групповыми политиками по умолчанию.

Поскольку WMI-фильтры не обрабатываются на компьютерах с ОС Windows 2000, к таким компьютерам всегда применяются фильтрованные объекты групповой политики. Однако эту проблему можно обойти, создав два объекта групповой политики и присвоив объекту с параметрами для Windows 2000 более высокий приоритет (используя порядок привязки). Затем создайте для этого объекта групповой политики для Windows 2000 соответствующий WMI-фильтр и применяйте этот фильтр только в том случае, если на компьютере установлена ОС Windows 2000 (а не Windows Vista и Windows XP). Компьютер с ОС Windows 2000 будет принимать объект групповой политики для Windows 2000, параметры которого будут переопределять параметры политики, содержащиеся в объекте групповой политики для Windows Vista и Windows XP. К клиентским компьютерам с ОС Windows Vista и Windows XP будут применяться все параметры политики, содержащиеся в объекте групповой политики для Windows Vista и Windows XP.

Нацеливание на основе перечня оборудования

В данном примере администратору требуется установить новый диспетчер сетевых подключений только на настольные компьютеры, оснащенные модемами. Администратор может развернуть этот пакет с помощью следующего WMI-фильтра:

Select * from Win32_POTSModem Where Name = " MyModem"

При совместном использовании групповой политики и WMI-фильтров необходимо помнить от том, что WMI-фильтр применяется ко всем параметрам политики в объекте групповой политики. Если к разным развертываниям предъявляются различные требования, необходимо использовать несколько объектов групповой политики и создать для каждого объекта отдельный WMI-фильтр.

Нацеливание на основе конфигурации

В данном примере администратору требуется, чтобы объект групповой политики не применялся к компьютерам, поддерживающим многоадресную рассылку. Чтобы выявить компьютеры, поддерживающие многоадресную рассылку, администратор может воспользоваться следующим фильтром:

Select * from Win32_NetworkProtocol where SupportsMulticasting = true

Нацеливание на основе объема места на диске и типа файловой системы

В данном примере администратору требуется выбрать компьютеры, на разделе C, D или E которых больше 10 мегабайт (МБ) свободного места. Разделы должны располагаться на одном или нескольких локальных несъемных дисках, и на них должна использоваться файловая система NTFS. Чтобы выявить компьютеры, удовлетворяющие этим условиям, администратор может воспользоваться следующим фильтром:

SELECT * FROM Win32_LogicalDisk WHERE (Name = " C:"  OR Name = " D:"  OR Name = " E:" ) AND DriveType = 3 AND FreeSpace > 10485760 AND FileSystem = " NTFS"

В предыдущем примере условие DriveType = 3 представляет локальный диск, а свободное место на диске (FreeSpace) измеряется в байтах (10 МБ = 10 485 760 байт).

Чтобы создать фильтр WMI

1. В дереве консоли управления групповыми политиками правой кнопкой мыши щелкните узел Фильтры WMI в лесу и домене, куда требуется добавить фильтр WMI.
2. Нажмите кнопку Создать.
3. В диалоговом окне Новый фильтр WMI введите в поле Имя имя создаваемого WMI-фильтра, а в поле Описание введите описание фильтра.
4. Нажмите кнопку Добавить.
5. В диалоговом окне Запрос WMI оставьте заданное по умолчанию пространство имен или укажите другое пространство имен, выполнив одно из указанных ниже действий.
   
   • В поле Пространство имен введите то имя пространства имен, которое требуется использовать для запроса WMI. Значение по умолчанию — root\CimV2. В большинстве случаев это значение изменять не требуется.
   • Нажмите кнопку Обзор, выберите из списка пространство имен, а затем нажмите кнопку ОК.
6. Введите запрос WMI в поле Запрос, а затем нажмите кнопку ОК.
7. Чтобы ввести дополнительные запросы, повторите действия 4-6 для каждого добавляемого запроса.
8. По окончании добавления запросов нажмите кнопку Сохранить.

WMI-фильтр готов к привязке.

Использование наследования групповой политики

Часто бывает полезно создать объект групповой политики с корпоративными стандартами. Здесь «корпоративный стандарт» означает параметры политики, применяемые к широкому кругу пользователей в организации. В качестве примера ситуации, в которой создание объекта групповой политики может оказаться полезным, можно привести следующее бизнес-требование: «Только полномочные пользователи могут иметь доступ к командной строке или редактору реестра». С помощью механизма наследования групповой политики можно применить эти корпоративные стандарты с различными настройками параметров политики для разных групп пользователей.

Один из способов сделать это — присвоить значения параметрам политики Запретить доступ к командной строке и Сделать недоступными средства редактирования реестра в объекте групповой политики (например, в объекте «Политика обычного пользователя»), связанном с подразделением (например, с подразделением «Учетные записи пользователей»). При этом параметры политики будут применены ко всем пользователям в данном подразделении. Затем создайте объект групповой политики, например объект «Политика администратора», в котором администраторам будет явным образом разрешен доступ к командной строке и средствам редактирования реестра. Свяжите с подразделением «Администраторы» этот объект групповой политики, который переопределяет параметры политики, заданные в объекте групповой политики «Политика обычного пользователя». Этот подход проиллюстрирован на рис. 4.

Если другой группе пользователей требуется доступ к командной строке, но не к реестру, можно создать еще один объект групповой политики, предоставляющий пользователям такие права. Доступ к средствам редактирования реестра по-прежнему будет запрещен, поскольку новый объект групповой политики не переопределяет параметры для средств работы с реестром, заданные в объекте групповой политики «Политика обычного пользователя». Как правило, объект групповой политики с корпоративными стандартами включает больше параметров политики и параметров конфигурации, чем объекты, приведенные в предыдущем примере. Например, объекты групповой политики с корпоративными стандартами обычно используются для достижения указанных ниже целей.

• Запрет пользователям доступа ко всем потенциально опасным и необязательным для работы функциям.
• Задание прав доступа, параметров безопасности и разрешений на файловую систему и реестр для серверов и рабочих станций.

Как правило, объекты групповой политики привязываются к структуре подразделений, а не к доменам и сайтам. Если модель подразделений основана на структуре пользователей, рабочих станций и серверов, это упрощает выбор и настройку параметров политики для корпоративных стандартов. В объектах групповой политики также можно отключить неиспользуемые разделы, связанные с пользователями или компьютерами, чтобы упростить управление групповой политикой.

При задании значений по умолчанию для параметров политики, связанных с безопасностью, например ограничений членства в группе, прав доступа к файловой системе и прав доступа к реестру, важно помнить о том, что эти параметры политики работают по принципу «остается последняя запись», а также о том, что параметры политики не объединяются. Этот принцип продемонстрирован в приведенном ниже примере.

Пример: принцип «остается последняя запись»

Администратор создает объект групповой политики «Рабочие станции по умолчанию», в котором определяется членство в локальной группе «Опытные пользователи» групп «Техническая поддержка» и «Служба поддержки». Группа «Банковские операции» хочет добавить в этот список группу «Поддержка банковских операций» и создает с этой целью новый объект групповой политики «Рабочие станции по умолчанию». Если в новом объекте групповой политики в качестве членов группы «Опытные пользователи» не будут указаны все три группы, права группы «Опытные пользователи» получит только группа «Поддержка банковских операций».

Развертывание групповой политики

Перед развертыванием групповой политики убедитесь в том, что вы умеете работать с объектами групповой политики, в том числе создавать объекты групповой политики, импортировать параметры политики, архивировать и восстанавливать объекты групповой политики, редактировать и связывать эти объекты, задавать исключения для наследования объектов групповой политики по умолчанию, создавать фильтры применения объектов групповой политики, делегировать администрирование, а также использовать моделирование групповой политики для планирования, а результаты групповой политики — для оценки применения объекта групповой политики.

Перед развертыванием в рабочей среде всегда полностью тестируйте объекты групповой политики в безопасной среде. Чем тщательнее вы спланируете, спроектируете и протестируете объекты групповой политики перед развертыванием, тем проще будет создать, внедрить и обслуживать оптимально развернутую групповую политику. Важность тестирования и предварительного развертывания в этом контексте невозможно переоценить. Тесты должны близко имитировать рабочую среду.

Проект не считается завершенным, пока не будут протестированы и проверены все существенные изменения и стратегия развертывания. Тщательное тестирование стратегии внедрения объекта групповой политики невозможно без настройки объектов групповой политики с использованием конкретных параметров политики, например параметров безопасности и параметров управления настольными компьютерами и данными. Выполните это для каждой группы пользователей и компьютеров в сети. Воспользуйтесь тестовой средой для развертывания, тестирования и проверки конкретных объектов групповой политики. Воспользуйтесь всеми преимуществами мастера моделирования и мастера результатов консоли управления групповыми политиками.

Также рассмотрите возможность поэтапного внедрения групповой политики. Вместо развертывания 100 новых параметров групповой политики подготовьте и разверните несколько параметров, чтобы убедиться в работоспособности инфраструктуры групповой политики.

Дополнительные сведения о подготовке развертывания групповой политики см. ниже в разделе Подготовка развертывания групповой политики.

Создание объектов групповой политики и работа с ними

Поскольку изменения, вносимые в объекты групповой политики, вступают в силу немедленно, не привязывайте объект групповой политики к контейнеру в рабочей среде (к сайту, домену или подразделению) до тех пор, пока он не будет полностью протестирован в тестовой среде. При разработке объекта групповой политики рекомендуется либо не связывать его с контейнерами, либо связывать его с тестовым подразделением.

В данном разделе описан процесс создания и развертывания объектов групповой политики. Дополнительные сведения о тестировании перед развертыванием конфигураций групповой политики см. в разделе Подготовка развертывания групповой политики.

В приведенных ниже процедурах показано, как создавать и изменять объекты групповой политики с помощью консоли управления групповыми политиками.

Создание несвязанного объекта групповой политики

1. В дереве консоли управления групповой политикой (GPMC) правой кнопкой мыши щелкните узел Объекты групповой политики в лесу и домене, в которых требуется создать несвязанный объект групповой политики.
2. Нажмите кнопку Создать.
3. В диалоговом окне Новый объект групповой политики укажите имя для нового объекта групповой политики и нажмите кнопку ОК.

Для изменения объекта групповой политики воспользуйтесь приведенной ниже процедурой.

Изменение объекта групповой политики

1. В дереве консоли управления групповыми политиками разверните узел Объекты групповой политики в лесу и домене, содержащих изменяемый объект групповой политики.
2. Щелкните правой кнопкой мыши объект групповой политики, который необходимо изменить, и выберите команду Изменить.
3. В дереве консоли разверните необходимые элементы, чтобы найти объект, содержащий параметры политики, которые требуется изменить. Щелкните этот объект, чтобы просмотреть в области сведений связанные с ним параметры политики.
4. В области сведений дважды щелкните имена параметров политики, которые необходимо изменить. Обратите внимание, что в некоторых параметрах политики, например параметрах развертывания нового пакета установки программного обеспечения, используется уникальный пользовательский интерфейс.
5. В диалоговом окне Свойства измените параметры политики необходимым образом и нажмите кнопку ОК.

Привязка объекта групповой политики

Основной способ применения параметров политики в объекте групповой политики к пользователям и компьютерам заключается в привязке объекта групповой политики к контейнеру Active Directory. Объекты групповой политики можно привязать к трем типам контейнеров Active Directory: к сайтам, доменам и подразделениям. Один объект групповой политики можно привязать к нескольким контейнерам Active Directory.

Объекты групповой политики хранятся отдельно для каждого домена. Например, при привязке объекта групповой политики к подразделению этот объект не сохраняется в данном подразделении. Объект групповой политики — это доменный объект, который можно привязать к любому контейнеру в лесу. В пользовательском интерфейсе консоли управления групповыми политиками отражается различие между связями и собственно объектами групповой политики.

В консоли управления групповыми политиками существующий объект групповой политики можно связать с контейнерами Active Directory одним из указанных ниже способов.

• Щелкните сайт, домен или подразделение правой кнопкой мыши и выберите в контекстном меню пункт Связать существующий объект групповой политики. Это эквивалентно выбору команды Добавить на вкладке Групповая политика, которая отображалась в оснастке «Active Directory — пользователи и компьютеры» до установки консоли управления групповыми политиками. Для этого требуется, чтобы в домене уже был задан объект групповой политики.
• Перетащите объект групповой политики из элемента Объекты групповой политики в подразделение, с которым требуется связать этот объект. Перетаскивание работает только внутри одного домена.

С помощью консоли управления групповыми политиками также можно одновременно создать объект групповой политики и связать его с контейнером, как показано в следующем разделе.

Создание и привязка объекта групповой политики

Чтобы создать объект групповой политики и связать его с сайтом, доменом или подразделением, необходимо сначала создать объект в домене, после чего связать его с необходимым контейнером.

Это эквивалентно нажатию кнопки Создать на вкладке Групповая политика, которая отображалась в оснастке «Active Directory — пользователи и компьютеры» до установки консоли управления групповыми политиками. Хотя эта операция представлена в консоли управления групповыми политиками в виде одного действия, фактически выполняются два действия: в домене создается объект групповой политики, который затем связывается с сайтом, доменом или подразделением.

Создание объекта групповой политики и его привязка к сайту, домену или подразделению

1. В дереве консоли управления групповыми политиками разверните узел Объекты групповой политики в лесу и домене, содержащих объект групповой политики, который необходимо связать.
2. Щелкните домен или подразделение правой кнопкой мыши и выберите в контекстном меню пункт Создать объект групповой политики в этом домене и связать его.
3. В диалоговом окне Новый объект групповой политики введите имя для нового объекта групповой политики и нажмите кнопку ОК.

Чтобы отменить привязку объекта групповой политики (то есть удалить связь между объектом и сайтом, доменом или подразделением), воспользуйтесь приведенной ниже процедурой.

Удаление связи между объектом групповой политики и сайтом, доменом или подразделением

1. В дереве консоли управления групповыми политиками разверните узел Объекты групповой политики в лесу и домене, содержащих объект групповой политики, для которого необходимо отменить привязку.
2. Щелкните объект групповой политики, для которого необходимо отменить привязку.
3. В области сведений откройте вкладку Область.
4. Если откроется окно с приведенным ниже сообщением, закройте его, нажав кнопку ОК (также можно указать, чтобы это сообщение больше не появлялось при создании и привязке нового объекта групповой политики).
   
   «Выбрана связь с объектом групповой политики (GPO). За исключением изменения свойств связи, внесенные здесь изменения являются глобальными для GPO и будут влиять на все остальные расположения, в которых связан этот объект GPO».
5. В разделе Связи щелкните правой кнопкой мыши объект Active Directory, связь с которым необходимо удалить, и выберите в контекстном меню пункт Удалить связи.

Примечание

Удаление связи с объектом групповой политики отличается от удаления самого объекта. При удалении только связи с объектом групповой политики сам объект не удаляется, равно как и все остальные связи этого объекта с другими доменами. Однако при удалении объекта групповой политики пользователю будет предложено удалить объект и все связи между этим объектом и контейнерами в выбранном домене. При этом не удаляются связи объекта групповой политики с другими доменами. Перед удалением объекта групповой политики из текущего домена обязательно удалите все связи объекта с другими доменами.

Отключение в объекте групповой политики разделов «Конфигурация пользователя» или «Конфигурация компьютера»

При создании объекта групповой политики, в котором задаются только параметры политики, связанные с пользователями, раздел «Конфигурация компьютера» можно отключить. Это позволит слегка сократить время запуска компьютера, поскольку раздел «Конфигурация компьютера» объекта групповой политики не будет проверяться на наличие параметров политики. При настройке параметров политики, связанных только с компьютерами, в объекте групповой политики можно отключить раздел «Конфигурация пользователя».

На рис. 5 приведены элементы консоли управления групповыми политиками, используемые в соответствующей процедуре.

Отключение в объекте групповой политики разделов «Конфигурация пользователя» или «Конфигурация компьютера»

1. В дереве консоли управления групповыми политиками разверните узел Объекты групповой политики в лесу и домене, содержащих объект групповой политики с параметрами политики, которые необходимо отключить.
2. Щелкните правой кнопкой мыши объект групповой политики, содержащий параметры политики, которые необходимо отключить.
3. Выберите в списке Состояние объекта групповой политики один из указанных ниже пунктов.
   
   • Все параметры политики отключены
   • Параметры конфигурации компьютера отключены
   • Включено (по умолчанию)
   • Параметры конфигурации пользователя отключены

Особенности работы с объектами групповой политики, связанными с сайтами

Объекты групповой политики, связанные с сайтами, используются для задания параметров прокси-серверов, принтеров и сетей. Каждый объект групповой политики, связанный с сайтом, применяется ко всем компьютерам на этом сайте независимо от того, к какому домену в лесу относится тот или иной компьютер. Это влечет за собой указанные ниже последствия.

• Убедитесь в том, что компьютеры не получают доступ к объекту групповой политики сайта через глобальную сеть, что может привести к значительному падению производительности.
• Для управления объектами групповой политики сайтов по умолчанию необходимо входить в группу «Администраторы предприятия» или «Администраторы домена» в корневом домене леса.
• Репликация Active Directory между контроллерами домена, относящимися к различным сайтам, выполняется реже, чем репликация между контроллерами домена, относящимися к одному сайту, и только в запланированные промежутки времени. Репликация службы репликации файлов между сайтами не регламентируется расписанием репликации для связей сайтов; эта проблема не возникает при репликации в пределах одного сайта.
  
  Расписание и частота репликации службы каталогов являются свойствами связей, соединяющих сайты. Частота межсайтовой репликации по умолчанию — раз в три часа. Чтобы изменить это значение, воспользуйтесь приведенной ниже процедурой.
  
  

  Изменение частоты межсайтовой репликации

  1. Откройте компонент «Active Directory - сайты и службы».
  2. В дереве консоли последовательно разверните узлы Сайты, Межсайтовый транспорт, IP-адрес и щелкните папку межсайтового транспорта, в которой хранится связь сайта, для которой необходимо настроить межсайтовую репликацию.
  3. В области сведений щелкните правой кнопкой мыши связь сайтов, для которой необходимо настроить частоту межсайтовой репликации, и выберите в контекстном меню пункт Свойства.
  4. На вкладке Общие в поле Реплицировать каждые введите или выберите количество минут между репликациями.
  5. Нажмите кнопку ОК.

Изменение частоты или расписания репликации может оказать существенное влияние на групповую политику. Предположим, например, что частота репликации составляет раз в три часа или реже, а пользователь создает объект групповой политики и связывает его с подразделением в домене, которое охватывает несколько сайтов. Пока объект групповой политики дойдет до всех пользователей в этом подразделении, может пройти несколько часов.

Если большинство пользователей в подразделении находятся в удаленном расположении, а на этом сайте есть контроллер домена, то проблему с задержкой при межсайтовой репликации можно обойти, выполнив все операции групповой политики на контроллере домена этого сайта.

Настройка параметров политики пользователя в режиме обработки замыкания

Параметр политики Режим обработки замыкания пользовательской групповой политики — это расширенный параметр, предназначенный для поддержания одинаковой конфигурации компьютера независимо от того, кто входит в систему. Этот параметр политики подходит для определенных жестко управляемых сред со специализированными компьютерами, например для компьютерных классов, общественных киосков и приемных пунктов. Этот параметр политики можно включить, например, для специализированного сервера, в частности для сервера терминалов. При включении режима обработки замыкания система (в зависимости от компьютера) применяет к компьютеру одни и те же параметры политики пользователя для любого входящего в систему пользователя.

При применении к пользователям объектов групповой политики, как правило, один и тот же набор параметров политики пользователя применяется к этим пользователям при входе в систему на любом компьютере. При включении в объекте групповой политики режима обработки замыкания параметры политики пользователя можно настроить таким образом, чтобы они зависели от компьютера, на котором пользователь входит в систему. Такие параметры политики применяются независимо от того, какой пользователь вошел в систему. При включении режима обработки замыкания убедитесь в том, что в объекте групповой политики включены разделы «Конфигурация компьютера» и «Конфигурация пользователя».

Чтобы настроить режим обработки замыкания, запустите консоль управления групповыми политиками, откройте в ней объект групповой политики и включите в разделе Конфигурация компьютера\Политики\Административные шаблоны\Система\Групповая политикипараметр Режим обработки замыкания пользовательской групповой политики. Доступны два указанных ниже режима.

• Режим слияния: в этом режиме список объектов групповой политики для пользователя формируется во время входа в систему. Затем формируется список объектов групповой политики для компьютера. Далее список объектов групповой политики добавляется в конец списка объектов групповой политики для пользователя. В результате объекты групповой политики для компьютера получают более высокий приоритет, чем объекты групповой политики для пользователя. Если параметры политики конфликтуют между собой, параметры политики пользователя в объектах групповой политики компьютера будут применены вместо обычных параметров политики пользователя.
• Режим замены: в этом режиме список объектов групповой политики для пользователя не формируется. Вместо него используется только список объектов групповой политики на основе объекта компьютера. К пользователю применяются параметры из раздела «Конфигурация пользователя» входящих в список объектов групповой политики.

Делегирование администрирования групповой политики

Возможно, структура групповой политики потребует делегирования определенных задач администрирования групповой политики. Определение степени централизации или распределения административного управления групповой политикой является одним из наиболее важных факторов при оценке потребностей организации. В организациях, в которых используется модель централизованного администрирования, ИТ-отдел предоставляет услуги, принимает решения и задает стандарты для всей компании. В организациях, в которых используется модель распределенного администрирования, у каждого подразделения имеется свой ИТ-отдел.

Ниже перечислены задачи групповой политики, которые можно делегировать.

• Управление отдельными объектами групповой политики (например, предоставление прав на изменение или чтение объекта групповой политики).
• Выполнение указанных ниже задач групповой политики над сайтами, доменами и подразделениями.
  
  
  • Управление связями групповой политики для указанного сайта, домена или подразделения
  • Анализ моделирования групповой политики для объектов в указанном контейнере (не применимо к сайтам).
  • Чтение результатов групповой политики для объектов в указанном контейнере (не применимо к сайтам).
• Создание объектов групповой политики.
• Создание WMI-фильтров.
• Изменение отдельных WMI-фильтров и управление ими.

Основываясь на принятой в организации модели администрирования, определите, какие аспекты управления конфигурацией лучше всего реализовать на уровне сайтов, доменов и подразделений. Также распределите обязанности на уровне сайтов, доменов и подразделений между администраторами и группами администраторов на каждом уровне.

Принимая решение о делегировании полномочий на уровне сайтов, доменов и подразделений, учитывайте перечисленные ниже факторы.

• Полномочия, делегированные на уровне доменов, распространяются на все объекты в домене, если задано разрешение наследования во всех дочерних контейнерах.
• Полномочия, делегированные на уровне подразделений, могут распространяться либо только на указанное подразделение, либо на указанное подразделение и все его дочерние подразделения.
• Управление разрешениями тем проще и эффективнее, чем выше уровень подразделения, на котором оно осуществляется.
• Полномочия, делегированные на уровне сайтов, могут распространяться на домены и объекты в доменах, отличных от домена, в котором находится объект групповой политики.

В следующих разделах рассказывается о выполнении задач делегирования с помощью консоли управления групповыми политиками.

Делегирование управления отдельными объектами групповой политики

С помощью консоли управления групповыми политиками можно легко предоставлять разрешения на объекты групповой политики дополнительным пользователям. В консоли управления групповыми политиками управление разрешениями осуществляется на уровне задач. Для объекта групповой политики можно установить пять уровней разрешений: «Чтение», «Изменение», «Изменение, удаление, изменение параметров безопасности», «Чтение (с учетом фильтрации параметров безопасности)» и «Настраиваемый». Эти уровни разрешений соответствуют фиксированному набору низкоуровневых разрешений. В таблице 3 приведены соответствующие каждому параметру низкоуровневые разрешения.

Таблица 3. Разрешения низкого уровня и разрешения GPO

Разрешение GPO	Разрешения низкого уровня
Чтение	Разрешение доступа к GPO для чтения.
Чтение (с учетом параметров фильтрации безопасности)	Этот параметр нельзя задать непосредственно; он появляется, если пользователь имеет разрешения «Чтение» и «Применение групповой политики» для объекта групповой политики, которые настраиваются в разделе «Фильтры безопасности» на вкладке Область объекта групповой политики.
Изменение параметров	Разрешения «Чтение», «Запись», «Создание дочерних объектов», «Удаление дочерних объектов».
Изменение параметров, удаление и изменение параметров безопасности	Разрешения «Чтение», «Запись», «Создание дочерних объектов», «Удаление дочерних объектов», «Удаление», «Изменение разрешений» и «Изменение владельца». При этом предоставляется полный контроль над объектом групповой политики, за исключением того, что не будет задано разрешение «Применение групповой политики».
Пользовательские разрешения	Все остальные комбинации прав, например отказ в предоставлении разрешений, относятся к пользовательским разрешениям. Пользовательские права нельзя задать с помощью кнопки Добавить. Чтобы задать эти права, необходимо нажать кнопку Дополнительно, а затем изменить права напрямую.

Чтобы предоставить разрешения для объекта групповой политики пользователю или группе, используйте следующую процедуру.

Предоставление разрешений для объекта групповой политики пользователю или группе

1. В дереве консоли управления групповыми политиками разверните узел Объекты групповой политики в лесу и домене, содержащих изменяемый объект групповой политики.
2. Выберите объект групповой политики, для которого следует предоставить разрешения.
3. В области сведений откройте вкладку Делегирование.
4. Нажмите кнопку Добавить.
5. В диалоговом окне Выбор пользователей, компьютеров или групп укажите пользователя или группу, которым следует предоставить разрешения, и нажмите кнопку ОК.
6. В диалоговом окне Добавление группы или пользователя в списке Разрешения выберите уровень разрешений, который нужно назначить этой группе или пользователю, и нажмите кнопку ОК.

Обратите внимание, что разрешение «Применение групповой политики», используемое для фильтрации параметров безопасности, нельзя задать на вкладке Делегирование. Поскольку разрешение «Применение групповой политики» используется для определения области применения объектов групповой политики, это разрешение задается для объектов групповой политики на вкладке Область в консоли управления групповыми политиками. Чтобы предоставить пользователю или группе разрешение «Применение групповой политики» в отношении объекта групповой политики, на вкладке Область для соответствующего объекта групповой политики нажмите кнопку Добавить, а затем укажите пользователя или группу. Имя пользователя или группы появится в списке Фильтры безопасности. Предоставление пользовательских разрешений членам группы «Фильтры безопасности» на вкладке Область фактически задает оба разрешения «Чтение» и «Применение групповой политики».

В таблице 4 приведены параметры разрешений безопасности по умолчанию для объекта групповой политики.

Таблица 4. Разрешения безопасности по умолчанию для объектов групповой политики

Группа безопасности	Разрешения
Пользователи, прошедшие проверку	Чтение (с учетом фильтрации параметров безопасности)
КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ	Чтение
«Администраторы предприятия», «Администраторы домена», «Владельцы-создатели», SYSTEM	Изменение параметров, удаление, изменение параметров безопасности

Примечание
Поскольку администраторы также являются входят в группу «Прошедшие проверку», то для них запись управления доступом (ACE) «Применение групповой политики» по умолчанию задана как Разрешить. Поэтому параметры политики применяются к ним так же, как если бы они находились в контейнере, с которым связан объект групповой политики.

Делегирование задач групповой политики в сайтах, доменах и подразделениях

Можно делегировать следующие три задачи (разрешения) групповой политики отдельно для каждого контейнера в Active Directory:

• Связывание объектов групповой политики с контейнером Active Directory (сайт, домен или подразделение)
• Выполнение анализа моделирования групповой политики для объектов в том контейнере (домены и подразделения)
• Чтение данных результатов групповой политики для объектов в том контейнере (домены и подразделения)

Чтобы делегировать административные задачи, необходимо предоставить разрешение, соответствующее задаче, для нужного контейнера Active Directory, используя консоль управления групповыми политиками.

По умолчанию члены группы «Администраторы домена» имеют разрешение на привязку объектов групповой политики для доменов и подразделений, а члены групп «Администраторы предприятия» и «Администраторы домена» в корневом домене леса могут управлять связями сайтов. Используя консоль управления групповыми политиками, можно делегировать разрешения дополнительным группам и пользователям.

По умолчанию доступ к моделированию групповой политики и удаленный доступ к данным результатов групповой политики имеют только члены групп «Администраторы предприятия» и «Администраторы домена». Чтобы делегировать администраторам более низкого уровня доступ к этим данным, необходимо настроить соответствующие разрешения в консоли управления групповыми политиками.

Делегирование задач администрирования групповой политики путем изменения соответствующих разрешений для контейнеров в Active Directory описано в следующих процедурах.

Делегирование задач администрирования групповой политики в сайте, домене или подразделении

1. В консоли управления групповыми политиками выберите имя сайта, домена или подразделения, куда требуется делегировать задачи администрирования групповой политики.
2. В области сведений для сайта, домена или подразделения откройте вкладку Делегирование.
3. В списке Разрешение выберите один из следующих параметров: Связанные объекты GPO, Анализ моделирования групповой политики или Чтение данных результатов групповой политики. Для сайтов можно выбрать только Связанные объекты GPO.
4. Чтобы делегировать задачу новому пользователю или группе, нажмите кнопку Добавить, а затем укажите пользователя или группу для добавления.
5. Чтобы изменить параметр Применяется к для существующего разрешения (изменить контейнер Active Directory, к которому применяется разрешение, предоставленное отдельному пользователю или группе), щелкните правой кнопкой мыши пользователя или группу в списке Группы и пользователи, а затем выберите пункт Только этот контейнер или Этот контейнер и дочерние контейнеры.
6. Чтобы удалить существующего пользователя или группу из списка пользователей и групп, которым было предоставлено указанное разрешение, выберите нужного пользователя или группу в списке Группы или пользователи и нажмите кнопку Удалить. Для выполнения этой процедуры необходимо быть членом группы Администраторы домена.
7. Чтобы добавить или удалить пользовательские разрешения:
   
   1. Нажмите кнопку Дополнительно на вкладке Безопасность.
   2. В разделе Имена групп или пользователей выберите пользователя или группу, чьи разрешения необходимо изменить.
   3. В окне Разрешения измените нужным образом разрешения и нажмите кнопку ОК.

Делегирование создания объектов групповой политики

Возможность создания объектов групповой политики в домене задается разрешением, которое назначается отдельно для каждого домена. По умолчанию создавать объекты групповой политики могут только члены групп «Администраторы домена», «Администраторы предприятия», «Владельцы-создатели групповой политики» и SYSTEM.

Член группы «Администраторы домена» может делегировать создание объектов групповой политики любой группе или пользователю. Есть два способа предоставления пользователю или группе такого разрешения, причем оба предоставляют идентичные разрешения.

• Добавление пользователя или группы в группу «Владельцы-создатели групповой политики». Это был единственный способ до появления консоли управления групповыми политиками.
• Использование консоли управления групповыми политиками для явного предоставления разрешения на создание объектов групповой политики пользователю или группе. Для этого в дереве консоли управления групповой политикой выберите пункт Объекты групповой политики, откройте вкладку Делегирование, а затем измените разрешения нужным образом.

Если член группы «Владельцы-создатели групповой политики», не являющийся администратором, создает объект групповой политики, то этот пользователь становится владельцем-создателем этого объекта, может изменять его и менять разрешения для него. Однако члены группы «Владельцы-создатели групповой политики» не могут связывать объекты групповой политики с контейнерами, если им отдельно не было делегировано право на такую операцию для конкретного сайта, домена или подразделения. Членство в группе «Владельцы-создатели групповой политики» дает полный неадминистративный контроль только над теми объектами групповой политики, которые создают сами пользователи. Члены группы «Владельцы-создатели групповой политики» не имеют разрешений по отношению к объектам групповой политики, которые они не создавали.

Примечание
Когда администратор создает объект групповой политики, члены группы «Администраторы домена» становятся владельцами-создателями этого объекта. По умолчанию члены группы «Администраторы домена» могут изменять все объекты групповой политики в домене.

Право на привязку объектов групповой политики делегируется отдельно от права создавать такие объекты и права их изменять. Чтобы группы могли создавать и связывать объекты групповой политики, необходимо обязательно делегировать оба права этим группам. По умолчанию пользователи, не входящие в группу «Администраторы домена», не могут управлять ссылками, что не позволяет им использовать консоль управления групповыми политиками для создания и связывания объектов групповой политики. При этом пользователи, не входящие в группу «Администраторы домена», могут создать несвязанный объект групповой политики, если они входят в группу «Владельцы-создатели групповой политики». После того, как пользователь, не входящий в группу «Администраторы домена», создаст несвязанный объект групповой политики, администратор домена или другой пользователь, которому были делегированы разрешения на привязку объектов групповой политики к контейнерам, может необходимым образом привязать этот объект.

Поскольку группа «Владельцы-создатели групповой политики» является глобальной группой домена, в нее не могут входить члены, не входящие в этот домен. Поэтому для того, чтобы делегировать пользователям, не входящим в этот домен, разрешения на создание объектов групповой политики, необходимо использовать консоль управления групповыми политиками для явного предоставления таким пользователям соответствующих разрешений.

Для этого следует создать новую локальную группу домена в этом домене (например «GPCO—Внешний») и предоставить этой группе разрешения на создание объектов групповой политики в этом домене, а затем добавить в эту группу глобальные группы из внешних доменов. Группу «Владельцы-создатели групповой политики» можно продолжать использовать для предоставления разрешений на создание объектов групповой политики пользователям и группам в этом домене.

Делегирование создания WMI-фильтров

Пользователю или группе можно делегировать любой из следующих двух уровней разрешений для создания WMI-фильтров.

• Владелец-создатель: Разрешает пользователю или группе создавать новые WMI-фильтры в домене, но не дает разрешения на управление фильтрами, созданными другими пользователями.
• Полный доступ: Разрешает пользователю или группе создавать WMI-фильтры и предоставляет полный контроль над всеми WMI-фильтрами в домене, включая новые фильтры, созданные после предоставления пользователям этого разрешения.

Чтобы делегировать эти разрешения, используйте консоль управления групповыми политиками. В дереве консоли управления групповыми политиками выберите пункт Фильтры WMI. В области сведений откройте вкладку Делегирование, а затем делегируйте разрешения должным образом.

Делегирование разрешений для управления отдельными WMI-фильтрами

Пользователю или группе можно делегировать любой из следующих двух уровней разрешений для управления отдельным WMI-фильтром.

• Изменение. Разрешает пользователю или группе изменять выбранный WMI-фильтр.
• Полный доступ: Разрешает пользователю или группе изменять или удалять выбранный WMI-фильтр, а также менять его параметры безопасности.

Чтобы делегировать эти разрешения, используйте консоль управления групповыми политиками. В дереве консоли управления групповой политикой (GPMC) выберите WMI-фильтр, для которого нужно делегировать разрешения. В области сведений откройте вкладкуДелегирование, а затем делегируйте разрешения должным образом.

Все пользователи имеют доступ на Чтение для всех WMI-фильтров. Консоль управления групповыми политиками не позволяет удалить это разрешение. В случае удаления разрешения на Чтение произойдет сбой обработки групповой политики на конечном компьютере.

Определение процедур управления групповой политикой

Чтобы поддерживать управляемость групповой политикой в будущем, необходимо разработать процедуры управления, гарантирующие изменение объектов групповой политики санкционированным и управляемым способом. Особое внимание нужно уделить обеспечению того, чтобы все новые объекты групповой политики и изменения в существующих объектах групповой политики были надлежащим образом подготовлены перед развертыванием в производственной среде. Кроме того, необходимо регулярно создавать резервные копии объектов групповой политики.

В некоторых организациях за управление различными аспектами групповой политики могут отвечать различные группы специалистов. Например, группа развертывания программного обеспечения, как правило, занимается параметрами политики в разделах Конфигурация пользователя\Политики\Конфигурация программ\Установка программ и Конфигурация компьютера\Политики\Конфигурация программ\Установка программ. Остальные параметры политики, относящиеся к таким компонентам как сценарии и перенаправление папок, едва ли представляют интерес для этой группы.

Чтобы уменьшить уровень сложности и свести к минимуму вероятность внесения ошибок, целесообразно создавать отдельные объекты групповой политики для различных групп администраторов. Другой способ состоит в ограничении доступа администраторов к групповой политике той ее частью, для изменения которой у них есть полномочия. Можно использовать параметр политики Запрещенные/Разрешенные оснастки\Внешние оснастки, чтобы ограничить доступ администраторов к оснасткам. Этот параметр политики доступен при изменении объекта групповой политики в разделе Конфигурация пользователя\Политика\Шаблоны администрирования\Компоненты Windows\Консоль управления MMC. Параметр политики Запрещенные/Разрешенные оснастки\Внешние оснастки относится к интерфейсу пользователя, доступному с помощью редактора, дополняющего консоль управления групповыми политиками. Следует помнить, что некоторым группам специалистов может потребоваться доступ к внешним оснасткам нескольких типов.

Примечание
Параметры политики ММС действуют только в отношении интерфейса пользователя, доступного с помощью ММС; использование программных средств для изменения групповой политики позволяет изменять любые параметры объекта групповой политики.

Чтобы получить дополнительную информацию об этих и других параметрах групповой политики, дважды щелкните мышью параметр политики в области сведений при изменении объекта групповой политики, а затем откройте вкладку Объяснение в диалоговом окне Свойстваполитики. Чтобы эта информация была всегда доступна при выбор параметра политики, необходимо включить режим Расширенный вид. По умолчанию это представление включено.

Указание контроллера домена для изменения групповой политики

В каждом домене консоль управления групповыми политиками использует один и тот же контроллер домена для всех операций в этом домене. Сюда относятся все операции с объектами групповой политики, расположенными в этом домене, а также всеми остальными объектами в этом домене, например подразделениями и группами безопасности.

Консоль управления групповыми политиками также использует один и тот же контроллер домена для всех операций с сайтами. Этот контроллер домена используется для чтения и записи сведений о ссылках на объекты групповой политики, существующие на любом указанном сайте, но информация о самих объектах групповой политики поступает от контроллеров домена в тех доменах, где размещаются эти объекты групповой политики.

По умолчанию при добавлении нового домена к консоли консоль управления групповыми политиками использует для операций в этом домене контроллер домена, обладающий ролью хозяина операций эмулятора основного контроллера домена (PDC) в этом домене. Для управления сайтами консоль использует эмулятор основного контроллера домена в домене пользователя по умолчанию.

Выбор контроллеров домена очень важен для администраторов, чтобы избежать конфликтов при репликации. Это особенно важно, поскольку данные объектов групповой политики находятся в Active Directory и Sysvol, где действуют независимые механизмы репликации для репликации данных объектов групповой политики на различные контроллеры домена в домене. Если два администратора одновременно изменяют один и тот же объект групповой политики на разных контроллерах домена, возможно, что изменения, внесенные одним администратором, будут переопределены другим администратором в зависимости от задержки репликации.

Чтобы избежать этого, консоль управления групповыми политиками по умолчанию использует эмулятор основного контроллера домена в каждом домене. Это помогает гарантированно защитить от потери данных всех администраторов, использующих один и тот же контроллер домена. Тем не менее администратору не всегда удобно использовать основной контроллер домена для изменения объектов групповой политики. Например, если администратор находится в удаленном сайте или большинство пользователей либо компьютеров, по отношению к которым действует объект групповой политики, являются удаленными, то администратор может использовать целевой контроллер домена в удаленном местоположении. Например, если администратор находится в Японии, а эмулятор основного контроллера домена — в Нью-Йорке, неудобно полагаться на связь через глобальную сеть, чтобы получить доступ к этому эмулятору.

Важно
Если несколько администраторов управляют общим объектом групповой политики, то все они должны использовать один и тот же контроллер при изменении конкретного объекта групповой политики, чтобы избежать конфликтов в службе репликации файлов.

Чтобы указать контроллер домена, который следует использовать для данного домена или для всех сайтов в лесе, следует использовать команду Сменить контроллер домена в консоли управления групповыми политиками. В любом случае будут доступны следующие четыре варианта:

• Контроллер домена с маркером хозяина операций для эмулятора PDC(по умолчанию);
• Любой доступный контроллер домена;
• Любой доступный контроллер домена под управлением Windows Server 2003 или более поздней версии ОС;
• Этот контроллер домена (в этом случае необходимо выбрать контроллер домена).

Выбранный вариант используется всякий раз, когда открывается сохраненная консоль, пока он не будет изменен.

Эта настройка сохраняется в MSC-файле и используется, когда этот файл открывается. В общем случае не рекомендуется использовать параметр Любой доступный контроллер домена, если только выполняемые операции не ограничены чтением.

Медленные каналы и обработка групповой политики

Иногда групповая политика не применяется, если скорость подключения снижается ниже порогового значения. Поэтому в случае, если решение групповой политики подразумевает применение политики по медленным каналам связи или с помощью удаленного доступа, необходимо продумать параметры политики для выявления медленного канала.

Хотя медленные каналы связи и удаленный доступ сходны между собой, обработка групповой политики в каждом из этих случаев разнится. Подключение компьютера к локальной сети это еще не означает передачу данных по быстрому каналу связи, равно как и подключение с помощью удаленного доступа не означает передачу данных по медленному каналу связи. По умолчанию значение скорости передачи данных, при котором групповая политика считает канал связи медленным, составляет 500 килобит в секунду (Кбит/с) и меньше. Это пороговое значение можно изменить, используя групповую политику. Следующий раздел содержит описание этапов обработки групповой политики и способ, с помощью которого групповая политика в Windows Server 2008 определяет скорости передачи данных по каналу связи.

Этапы обработки групповой политики

Обработка групповой политики происходит в три этапа. Каждый этап процесса является отдельным набором сценариев обработки. При обработке групповой политики служба групповой политики перебирает все сценарии по мере прохода всех этапов. Этапы обработки групповой политики:

• Стадия предварительной обработки: указывает начальный экземпляр обработки групповой политики и собирает сведения, необходимые для обработки групповой политики.
• Стадия обработки: использует сведения, собранные на этапе предварительной обработки, для циклического обхода всех расширений групповой политики, в рамках которого параметры политики применяются к пользователю или компьютеру.
• Стадия постобработки: сообщает об окончании экземпляра обработки политики и регистрирует результат завершения обработки экземпляра: успешная обработка, обработка с предупреждениями или сбой.

Служба групповой политики полагается на надежную связь с контроллером домена для получения сведений о компьютере или пользователе. Помимо этого служба использует контроллер домена для обнаружения объектов групповой политики в области компьютера или пользователя.

Метод определения скорости передачи данных по каналу связи групповой политикой

Процесс обнаружения медленного канала связи для групповой политики в Windows Server 2008 был усовершенствован. В групповой политике в Windows Server 2003 поиск контроллера домена осуществляется клиентом с помощью протокола ICMP; это позволяет определить доступность контроллера домена и скорость передачи данных по каналу связи между клиентом и контроллером домена. В Windows Server 2008 служба групповой политики определяет скорость передачи данных по каналу связи, используя для оценки текущего ТСР-трафика между клиентом и контроллером домена службу сведений о подключенных сетях. Эта оценка выполняется на этапе предварительной обработки.

Служба групповой политики запрашивает службу сведений о подключенных сетях, чтобы начать оценку пропускной способности ТСР на сетевом интерфейсе, обслуживающем контроллер домена, сразу после обнаружения контроллера домена службой групповой политики. На этапе предварительной обработки служба групповой политики продолжает обмениваться данными с контроллером домена, чтобы определить роль данного компьютера (контроллер домена или рядовой сервер), вошедшего пользователя и объекты групповой политики в области компьютера или пользователя. После этого служба групповой политики запрашивает службу сведений о подключенных сетях, чтобы остановить оценку трафика ТСР и предоставить оценочную пропускную способность канала связи между компьютером и контроллером домена на основе результатов оценки. Как указывалось ранее, по умолчанию групповая политика считает канал связи медленным, если результат оценки, проведенной службой сведений о подключенных сетях, составляет менее 500 Кбит/с.

Можно использовать параметр политики, чтобы определить медленный канал связи для применения групповой политики, как описано в следующих разделах.

Задание параметров групповой политики для обнаружения медленного канала связи

Возможен частичный контроль над тем, какие расширения групповой политики обрабатываются по медленному каналу связи. По умолчанию при обработке по медленному каналу связи обрабатываются не все компоненты групповой политики. В таблице 5 представлены параметры по умолчанию, используемые для обработки групповой политики по медленным каналам связи.

Таблица 5. Параметры обработки групповой политики по медленным каналам связи по умолчанию

Параметр	Значение по умолчанию
Безопасность	Вкл. (невозможно отключить)
IP-безопасность	Вкл.
EFS	Вкл.
Политики ограничения использования программ	Вкл.
Беспроводное подключение	Вкл.
Административные шаблоны	Вкл. (невозможно отключить)
Установка программного обеспечения	Откл.
Сценарии	Откл.
Перенаправление папок	Откл.
Планировщик пакетов QoS	Вкл.
Дисковые квоты	Откл.
Сопоставление зон Internet Explorer	Вкл.
Обслуживание IE	Вкл.
Предпочтения групповой политики	Вкл.
Поиск Windows	Вкл.
Подключения развернутых принтеров	Откл.
Групповая политика 802.3	Вкл.
Автономные файлы (Microsoft)	Вкл.

Чтобы настроить параметры обнаружения медленного канала связи групповой политикой для компьютеров, при изменении объекта групповой политики используйте параметр политики Обнаружение медленных подключений для групповой политики, который находится в разделе Конфигурация компьютера\Политики\Административные шаблоны\Система\Групповая политика. Скорость подключения измеряется в Кбит/с.Можно использовать параметр групповой политики, чтобы определить медленный канал связи для применения и обновления групповой политики. Значение по умолчанию классифицирует канал со скоростью передачи данных меньше 500 Кбит/с как медленный.

Чтобы настроить этот параметр политики для пользователей, используйте параметр политики Обнаружение медленных подключений для групповой политики в разделе Конфигурация пользователя\Политики\Административные шаблоны\Система\Групповая политика.

Параметр политики Таймаут для профилей пользователей для медленных сетевых подключений для профилей пользователей находится в разделе Конфигурация компьютера\Политики\Административные шаблоны\Система\Профили пользователей. Этот параметр политики позволяет групповой политике проверять производительность сетевого подключения файлового сервера, на котором размещен профиль пользователя. Это действие необходимо, поскольку профили пользователей могут храниться где угодно, а сервер может не поддерживать протокол IP. При настройке этого параметра политики скорость подключения необходимо указать в Кбит/с и миллисекундах.

Важно

Если включен параметр политики Не определять медленные подключения, то параметр политики Таймаут для профилей пользователей для медленных сетевых подключений игнорируется. Кроме того, при включенном параметре политики Удалять кэшированные копии перемещаемых профилей не поддерживается локальная копия перемещаемого профиля, которую можно было бы загрузить в случае обнаружения медленного подключения.

Настройка обработки по медленным каналам связи в клиентских расширениях в политике компьютера

Почти вся групповая политика применяется как последовательность клиентских расширений, например безопасность, административные шаблоны и перенаправление папок. Имеется политика компьютера, которая разрешает настройку поведения в случае медленного канала связи для каждого клиентского расширения. Эти параметры политики можно использовать, чтобы определять поведение клиентских расширений при обработке групповой политики. Имеется не более трех вариантов настройки каждого параметра политики. Параметр Разрешить обработку через медленное сетевое подключение управляет обработкой параметров политики по медленным каналам связи. Другие два варианта можно использовать, чтобы не обрабатывать параметр политики в фоновом режиме или обновить и вновь применить этот параметр даже в том случае, если параметры политики не были изменены. Дополнительные сведения о политике для клиентских расширений см. в разделе Обнаружение медленных подключений для групповой политики данного руководства.

Некоторые расширения передают большие объемы данных, поэтому обработка по медленному каналу связи может существенно снизить производительность. По умолчанию по медленному каналу связи обрабатываются только параметры политики, имеющие отношение к безопасности и административным шаблонам.

Настроить параметры обработки групповой политики можно для следующих параметров политики:

• Установка программного обеспечения
• IP-безопасность
• Восстановление EFS
• Дисковая квота
• Настройка Internet Explorer
• Сценарии
• Перенаправление папок
• Реестр
• Безопасность
• Проводное подключение
• Беспроводное подключение
• Предпочтения групповой политики

Настройка этих параметров политики описана в разделе Контролирование клиентских расширений с помощью групповой политики далее в данном руководстве.

Групповая политика и подключения удаленного доступа

Обработка групповой политики через подключение удаленного доступа отличается от обработки по медленному каналу связи. При использовании подключения удаленного доступа групповая политика применяется следующим образом.

• Когда пользователи выбирают вариант удаленного подключения перед входом на конечный компьютер через удаленное подключение, применяются параметры групповой политики как пользователя, так и компьютера, если этот компьютер входит в домен, к которому сервер удаленного доступа принадлежит или которому он доверяет. Однако параметры политики установки программного обеспечения для компьютера не обрабатываются, а сценарии загрузки для компьютера не выполняются, поскольку политика компьютера обрабатывается, как правило, перед появлением экрана входа в систему. При этом для удаленного подключения применение политики компьютера выполняется в качестве фонового обновления в процессе входа в систему.
• После завершения обработки кэшированных учетных данных и установления подключения удаленного доступа групповая политика не применяется (кроме фонового обновления).

Групповая политика не применяется к компьютерам, которые входят в рабочую группу, поскольку политика компьютера никогда не применяется к компьютерам из рабочей группы.

Контролирование клиентских расширений с помощью групповой политики

Ряд компонентов групповой политики содержит клиентские расширения (реализованные, как правило, в виде DLL-файлов), которые отвечают за обработку и применение параметров групповой политики на конечном компьютере.

Для каждого клиентского расширения порядок обработки объектов групповой политики поступает из списка объектов групповой политики, который определяется обработчиком групповой политики в процессе обработки. Каждое клиентское расширение обрабатывает результирующий список объектов групповой политики.

Политика компьютера существует для того, чтобы контролировать поведение всех клиентских расширений групповой политики. Каждая политика содержит до трех параметров, а некоторые содержат специальные параметры конфигурации. Чтобы настроить политики компьютера для клиентских расширений, при изменении объекта групповой политики следует открыть папку Конфигурация компьютера\Политики\Административные шаблоны\Система\Групповая политика и дважды щелкнуть мышью политику для соответствующего расширения.

Можно настроить следующие параметры политики компьютера:

• Разрешить обработку через медленное сетевое подключение. Некоторые расширения передают большие объемы данных, поэтому обработка по медленному каналу связи может существенно снизить производительность. По умолчанию по медленному каналу связи обрабатываются только параметры политики, имеющие отношение к безопасности и административным шаблонам. Эту политику можно настроить, чтобы разрешить обработку других клиентских расширений по медленному каналу связи. В качестве критерия определения медленного канала связи используется параметр политики медленного канала связи для групповой политики. Дополнительные сведения см. в разделе Обнаружение медленных подключений для групповой политики данного руководства.
• Не применять во время периодической фоновой обработки. Windows применяет политику компьютера при загрузке, а затем через каждые 90 минут работы. Кроме того, операционная система применяет политику пользователя при входе пользователя на компьютере, а затем в фоновом режиме приблизительно через каждые 90 минут. Параметр Не применять во время периодической фоновой обработки позволяет переопределить это поведение и предотвратить выполнение групповой политики в фоновом режиме.

Примечание
Расширения «Перенаправление папок» и «Установка программного обеспечения» обрабатывают групповую политику только при загрузке и входе пользователя в сеть, поскольку обработка этих политик в фоновом режиме ведет к возникновению рисков — у пользователей могут быть открыты приложения и файлы.

• Обрабатывать, даже если объекты групповой политики не изменились. Если объекты групповой политики на сервере не изменяются, то, как правило, нет необходимости все время повторно применять их к конечному компьютеру, если только не требуется переопределить возможные локальные изменения. Поскольку пользователи, выполняющие роль локальных администраторов, могут иметь достаточно полномочий для изменения тех частей реестра, где хранятся параметры групповой политики, то может потребоваться вновь применить эти параметры политики в процессе входа в систему или во время периодической фоновой обработки, чтобы восстановить нужное состояние компьютера.

Например, предположим, что групповая политика определяет особый набор параметров безопасности для файла. Пользователь, который вошел в систему с учетными данными администратора, изменяет эти параметры безопасности. Чтобы отменить внесенные изменения, включите параметр Обрабатывать, даже если объекты групповой политики не изменились; тогда параметры безопасности, заданные в групповой политике, будут вновь применены при следующем обновлении политики. Аналогичные соображения относятся и к приложениям: когда этот параметр включен, в случае, если групповая политика устанавливает приложение, а пользователь удаляет приложение или его значок, то приложение будет вновь объявлено при следующем входе пользователя на компьютер.

По умолчанию параметры политики безопасности, получаемые от групповой политики, применяются каждые 16 часов (960 минут), даже если объект групповой политики не был изменен. Чтобы изменить этот период по умолчанию, используйте запись реестраMaxNoGPOListChangesInterval в следующем подразделе:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon \GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}.

Эта запись имеет тип данных REG_DWORD, а значение определяет период в минутах.

Внимание
Неверные действия при изменении реестра могут серьезно повредить систему. Перед изменением реестра создайте резервную копию всех важных данных.

Групповая политика и Sysvol

Сведения параметров политики в объектах групповой политики хранятся в двух местоположениях: Active Directory и папке Sysvol контроллеров домена. Контейнер Active Directory также называют контейнером групповой политики, а папка Sysvol содержит шаблон групповой политики. Контейнер групповой политики содержит атрибуты, которые используются для развертывания объектов групповой политики в доменах, подразделениях и сайтах. Контейнер групповой политики также содержит путь к шаблону групповой политики, где хранится большинство параметров групповой политики.

К информации, хранящейся в шаблоне групповой политики, относятся параметры безопасности, файлы сценариев, сведения для развертывания приложений, настройки и параметры групповой политики, основанные на административных шаблонах. Административные шаблоны (ADMX-файлы) предоставляют сведения о параметрах групповой политики для элементов, отображаемых в разделе Административные шаблоны. В групповой политике для Windows Server 2008 административные шаблоны можно хранить либо локально, либо централизованно — в папке Sysvol. Для централизованного хранения административных шаблонов необходимо сначала создать папку PolicyDefinitions в общей папке Sysvol на соответствующем контроллере домена, а затем скопировать в эту папку файлы административных шаблонов, которые нужно применить по всему домену.

Обновления Sysvol реплицируются на все контроллеры домена в этом домене, что приводит к увеличению сетевого трафика и нагрузки на контроллеры домена. Поэтому, чтобы свести к минимуму влияние этой операции на домен, рекомендуется назначить копирование административных шаблонов в Sysvol в расписании на нерабочее время.

Файлы административных шаблонов в Windows Server 2008 и Windows Vista делятся на ADMX-файлы (не зависящие от языка) и ADML-файлы (для конкретного языка). Эти форматы файлов заменяют формат файлов ADM, использовавшийся в предыдущих версиях Windows; в нем применялся защищенный язык разметки. ADML-файлы — это XML-файлы на языке ADM, которые хранятся в папке для конкретного языка. Например, ADML-файлы для английского языка (США) хранятся в папке с именем «en-US». По умолчанию в папке %Systemroot%\PolicyDefinitions на локальном компьютере хранятся все ADMX-файлы и ADML-файлы для всех языков, использование которых разрешено на этом компьютере.

Чтобы загрузить файлы административных шаблонов для Windows Server 2008, см. страницу «Административные шаблоны (ADMX) для Windows Server 2008» (http://go.microsoft.com/fwlink/?LinkId=116434 (может быть на английском языке).

Преимущества хранения ADMX-файлов в папке Sysvol

Создание и использование центрального хранилища административных шаблонов дает два основных преимущества. Первое преимущество состоит в наличии централизованного реплицируемого хранилища для административных шаблонов домена. Консоль управления групповыми политиками, входящая в состав Windows Server 2008, всегда использует центральное хранилище административных шаблонов вместо локальных версий административных шаблонов. Это позволяет обойтись одним набором утвержденных административных шаблонов для всего домена.

Другое преимущество хранения административных шаблонов в папке Sysvol состоит в возможности предоставления административных шаблонов на разных языках. Это особенно полезно для сред, которые охватывают разные страны или используют разные языки. Например, если административные шаблоны хранятся в папке Sysvol, то администратор домена может просматривать параметры политики административных шаблонов на английском языке, тогда как другой администратор этого домена просматривает те же параметры политики на французском языке.

Дополнительные сведения об управлении ADMX-файлами и создании центральной зоны см. в статье «Пошаговое руководство по управлению ADMX-файлами групповой политики» (http://go.microsoft.com/fwlink/?LinkId=75124 (может быть на английском языке).

Недостатки хранения ADMX-файлов в папке Sysvol

Преимущества создания и использования центрального хранилища административных шаблонов весьма существенны, но они также сопряжены с определенными, хоть и небольшими, издержками. Консоль управления групповыми политиками считывает полный набор файлов административных шаблонов при изменении, моделировании или создании отчета для объекта групповой политики. Поэтому консоли приходится считывать эти файлы по сети. Если принято решение создать центральное хранилище административных шаблонов, консоль управления групповыми политиками следует подключать к самому ближнему контроллеру домена.

Примечание
Дополнительный сетевой трафик, создаваемый при использовании центрального хранилища, сопутствует исключительно использованию консоли управления групповыми политиками. Клиенты, которые применяют и обрабатывают групповую политику, не считывают административные шаблоны.

Обновление Sysvol

В групповой политике для версий Microsoft Windows, предшествующих Windows Vista, при изменении параметров политики административных шаблонов на локальных компьютерах в папку Sysvol на контроллере домена в домене автоматически передаются новые ADM-файлы. В групповой политике для Windows Server 2008 и Windows Vista при изменении параметров политики административных шаблонов на локальных компьютерах новые ADMX- или ADML-файлы не передаются в папку Sysvol автоматически. Это изменение поведения реализовано с целью уменьшения сетевой нагрузки и снижения требований к дисковому пространству, а также во избежание конфликтов между ADMX-файлами и ADML-файлами при внесении изменений в параметры политики административных шаблонов с компьютеров с различными языковыми стандартами. Чтобы обеспечить отражение всех локальных обновлений в папке Sysvol, необходимо вручную скопировать обновленные ADMX- или ADML-файлы из папки PolicyDefinitions на локальном компьютере в папку Sysvol\PolicyDefinitions на соответствующем контроллере домена.

Изменение интервала обновления групповой политики

Изменить интервал обновления политики по умолчанию можно с помощью одного из следующих параметров политики: Интервал обновления групповой политики для компьютеров, Интервал обновления групповой политики для контроллеров домена и Интервал обновления групповой политики для пользователей. Используя эти параметры политики, можно задать частоту обновления в диапазоне от 0 до 64 800 минут (45 дней).

Важно
Если выбрать 0 минут в качестве интервала обновления, то компьютер будет пытаться обновлять групповую политику каждые 7 секунд. Тем не менее такие частые обновления могут негативно повлиять на работу пользователей и увеличить сетевой трафик; в связи с этим сверхкороткие интервалы обновления подходят только для тестовой среды.

Чтобы запретить обновление групповой политики во время использования компьютера, включите параметр политики Отключить фоновое обновление групповой политики. Если этот параметр политики включен, система будет ожидать выхода текущего пользователя из системы, чтобы затем обновить параметры групповой политики.

Интервал обновления групповой политики для компьютеров

Этот параметр политики указывает, как часто Windows обновляет групповую политику для компьютеров в фоновом режиме. Он определяет частоту обновления в фоновом режиме только для параметров групповой политики компьютера. По умолчанию Windows обновляет групповую политику компьютера в фоновом режиме каждые 90 минут со случайным смещением от 0 до 30 минут. Помимо фоновых обновлений, групповая политика для компьютера всегда обновляется при загрузке системы. Этот параметр политики доступен в разделеКонфигурация компьютера\Политики\Административные шаблоны\Система\Групповая политика.

Интервал обновления групповой политики для контроллеров домена

Этот параметр политики указывает, как часто Windows обновляет групповую политику в фоновом режиме на контроллерах домена. По умолчанию Windows обновляет групповую политику для контроллеров домена каждые пять минут. Этот параметр политики доступен в разделеКонфигурация компьютера\Политики\Административные шаблоны\Система\Групповая политика.

Интервал обновления групповой политики для пользователей

Этот параметр политики указывает, как часто Windows обновляет групповую политику в фоновом режиме исключительно для параметров групповой политики пользователей. Помимо фоновых обновлений, групповая политика для пользователей всегда обновляется при входе пользователей в систему. Этот параметр политики доступен в разделе Конфигурация пользователя\Политики\Административные шаблоны\Система\Групповая политика.

Отключить фоновое обновление групповой политики

Этот параметр политики запрещает Windows применять параметры групповой политики во время использования компьютера. Этот параметр политики применяется к групповой политике для компьютеров, пользователей и контроллеров домена. Этот параметр политики доступен в разделе Конфигурация компьютера\Политики\Административные шаблоны\Система\Групповая политика.

Использование параметров командной строки для обновления политики

Используя программу Gpupdate.exe, можно обновлять параметры политики, развернутые на конкретном компьютере. В таблице 6 представлено описание параметров Gpupdate.exe. Программу Gpupdate.exe можно использовать в среде Windows Server 2008, Windows Vista, Windows Server 2003 и Windows XP.

Программа Gpudate.exe использует следующий синтаксис:

gpupdate [/target:{computer|user}] [/force] [/wait:value] [/logoff] [/boot] [/sync]

Таблица 6. Параметры Gpudate.exe

Параметр	Описание
/target:{computer|user}	В зависимости от указанной цели, программа Gpudate.exe обрабатывает параметры политики для компьютера, параметры политики для текущего пользователя или оба эти набора параметров. По умолчанию обрабатываются параметры политики как для компьютера, так и для пользователя.
/force	Повторное применение всех параметров политики и игнорирование оптимизаций обработки. По умолчанию применяются только измененные параметры политики.
/wait:значение	Служит для указания периода в секундах, в течение которого ожидается завершение обработки политики. Значение по умолчанию — 600 секунд. Значение 0 означает, что ожидания нет; значение –1 задает бесконечное ожидание.
/logoff	Завершение сеанса работы на компьютере после выполнения обновления политики. Это требуется для клиентских расширений групповой политики, которые обрабатываются не во время цикла фонового обновления, а при входе пользователя в систему, например «Перенаправление папок» и «Установка программного обеспечения» для пользователя. Этот параметр не оказывает никакого влияния, если не вызываются расширения, требующие выхода пользователя из системы.
/boot	Перезагрузка компьютера после завершения обновления политики. Это действие требуется для клиентских расширений групповой политики, которые обрабатываются не во время цикла фонового обновления, а при перезагрузке компьютера, например «Установка программного обеспечения» для компьютера. Этот параметр не оказывает никакого влияния, если не вызываются расширения, требующие перезагрузки компьютера.
/sync	Принудительная синхронизация следующего применения политики на переднем плане. Обработка групповой политики на переднем плане происходит при загрузке компьютера и входе пользователя в систему. Используя параметр /target, можно указать применение политики на переднем плане для пользователя, компьютера или для них обоих. Если этот параметр указан вместе с параметрами /force и /wait, то они игнорируются.
/?	Вывод справочных сведений в командной строке.

Использование моделирования групповой политики и результатов групповой политики для оценки параметров групповой политики

Прежде чем развертывать групповую политику в производственной среде, важно определить воздействие настроенных параметров политики по отдельности и в сочетании. Основной механизм оценки развертывания групповой политики состоит в создании промежуточной среды и входе в нее с помощью тестовой учетной записи. Это лучший способ оценки влияния и взаимодействия всех применяемых параметров объектов групповой политики. Подготовка развертывания групповой политики совершенно необходима для создания успешной управляемой среды. Дополнительные сведения см. в разделе Подготовка развертывания групповой политики данного руководства.

Для сетей Active Directory, где имеется по меньшей мере один контроллером домена Windows Server 2008, можно использовать моделирование групповой политики в консоли управления групповыми политиками для имитации развертывания объектов групповой политики на любом конечном компьютере. Основным средством просмотра фактического применения объектов групповой политики является использование результатов групповой политики в консоли управления групповыми политиками.

Использование моделирования групповой политики для имитации результирующей политики

Мастер моделирования групповой политики в консоли управления групповыми политиками служит для оценки и моделирования суммарного эффекта объектов групповой политики. Кроме того, моделирование групповой политики способно имитировать такие факторы, как членство в группе безопасности, оценка WMI-фильтров, а также последствия перемещения объектов компьютера или пользователя в другой контейнер Active Directory. Имитация осуществляется службой, которая работает на контроллерах домена под управлением Windows Server 2008 или Windows Server 2003. Эти расчетные параметры политики передаются в формате HTML и отображаются в консоли управления групповыми политиками на вкладке Параметры в области сведений для выбранного запроса. Чтобы развернуть или скрыть параметры политики в каждом элементе, нажмите кнопку Показать все или Скрыть, чтобы просмотреть все параметры политики или лишь некоторые из них. Для моделирования групповой политики, необходимо наличие по меньшей мере одного контроллера домена под управлением Windows Server 2008 или Windows Server 2003; также обязательно разрешение Анализ моделирования групповой политики в домене или подразделении, где содержатся объекты, для которых планируется выполнить запрос.

Чтобы запустить мастер, в дереве консоли управления групповыми политиками правой кнопкой мыши щелкните пункт Моделирование групповой политики (или активный контейнер Active Directory), а затем выберите пункт Мастер моделирования групповой политики. При запуске мастера из контейнера Active Directory мастер подставляет в поля Контейнер для пользователя и компьютера различающееся LDAP-имя этого контейнера.

После завершения работы мастера результаты отображаются так, как если бы они формировались по единому объекту групповой политики. Эти результаты сохраняются в виде запроса, представленного новым элементом в разделе Моделирование групповой политики консоли управления групповыми политиками. В столбце Результирующий объект групповой политики указывается, какой объект групповой политики отвечает за конкретный параметр политики. Чтобы увидеть более подробную информацию (например, какие объекты групповой политики пытались задать данный параметр политики, но не смогли), щелкните правой кнопкой мыши элемент запроса и выберите пункт Дополнительные параметры. После этого откроется оснастка «Результирующая политика». При просмотре свойств параметров политики в оснастке «Результирующая политика» следует обратить внимание на то, что каждый параметр политики имеет вкладку Приоритет.

Следует помнить о том, что моделирование групповой политики не включает оценку каких-либо локальных объектов групповой политики. Поэтому в некоторых случаях может наблюдаться различие между фактическими результатами и моделированием. Чтобы сохранить результаты моделирования, щелкните правой кнопкой мыши запрос и выберите команду Сохранить отчет.

Примечание
В Windows Server 2008 и Windows Vista имеется новый параметр политики — Выключить обработку локальных объектов групповой политики. Этот параметр позволяет отключить обработку локальной групповой политики. Этот параметр политики находится в разделе Конфигурация компьютера\Политики\Административные шаблоны\Система\ Групповая политика.

Использование результатов групповой политики для определения результирующей политики

Мастер результатов групповой политики используется для определения параметров групповой политики, которые будут задействованы для компьютера или пользователя, путем получения данных результирующей политики от конечного компьютера. В отличие от моделирования групповой политики результаты групповой политики выявляют фактические параметры групповой политики, примененные к конечному компьютеру. Конечный компьютер должен работать под управлением ОС Windows XP Professional или более поздней версии.

Параметры политики представляются в формате HTML и отображаются в окне обозревателя консоли управления групповыми политиками на вкладках Сводка и Параметры в области сведений для выбранного запроса. Чтобы развернуть или скрыть параметры политики в каждом элементе, нажмите кнопку Показать все или Скрыть, чтобы просмотреть все параметры политики или лишь некоторые из них. Чтобы получить удаленный доступ к данным результатов групповой политики для пользователя или компьютера, необходимо иметь разрешениеУдаленный доступ к данным результатов групповой политики для домена или подразделения, где находится данный пользователь или компьютер, либо быть членом локальной группы администраторов на соответствующем компьютере и располагать сетевым подключением к конечному компьютеру.

Чтобы запустить мастер, щелкните правой кнопкой мыши элемент Результаты групповой политики, а затем выберите пункт Мастер результатов групповой политики.

После завершения работы мастера консоль управления групповыми политиками создает отчет, в котором отображаются данные результирующей политики для пользователя и компьютера, указанных в мастере. В столбце Результирующий объект групповой политикиуказывается, какой объект групповой политики отвечает за конкретный параметр политики (вкладка Параметры).

Чтобы сохранить результаты, щелкните запрос правой кнопкой мыши и выберите команду Сохранить отчет.

Использование программы Gpresult.exe для оценки параметров политики

Чтобы получить на локальном компьютере те же данные, которые предоставляет мастер результатов групповой политики в консоли управления групповыми политиками, можно запустить программу Gpresult.exe. По умолчанию программа Gpresult.exe возвращает параметры политики, которые действуют на компьютере, на котором она запущена.

Для Windows Server 2008 и Windows Vista с пакетом обновления 1 (SP1) Gpresult.exe использует следующий синтаксис:

gpresult [/s  [/u \ /p ]] [/scope {user|computer}] [/user ] [/r | /v | /z] [/x | /h  [/f]]

В таблице 7 описаны параметры Gpresult.exe.

Таблица 7. Параметры Gpresult.exe

Параметр	Описание
/s <компьютер>	Служит для указания имени или IP-адреса удаленного компьютера. (Не используйте обратную косую черту.) По умолчанию используется локальный компьютер.
/u <домен>\<пользователь>	Служит для выполнения команды с использованием разрешений учетной записи пользователя, указанного в формате <пользователь> или <домен\пользователь>. По умолчанию команда выполняется с использованием разрешений пользователя, вошедшего на данный момент на компьютер и запустившего эту команду.
/p <пароль>	Служит для указания пароля учетной записи пользователя, заданной в параметре /u.
/scope {user | computer}	Служит для отображения результатов для компьютера или пользователя. Допустимыми значениями параметра /scope являются user или computer. Если параметр /scope не указывать, программа Gpresult отображает параметры политики для компьютера и пользователя.
/user <имя_конечного_пользователя>	Служит для указания имени пользователя, данные результирующей политики которого должны быть отображены.
/r	Служит для отображения сводных данных результирующей политики.
/v	Служит для вывода подробных сведений о политике.
/z	Служит для вывода всех доступных сведений о групповой политике. Поскольку при указании этого параметра выводится больше данных, чем при указании параметра /v, при использовании этого параметра следует перенаправить вывод данных в текстовый файл (например, gpresult /z >политика.txt).
/x <имя_файла>	Служит для сохранения отчета в формате XML в местоположении и в файле с именем, заданными параметром <имя_файла> (параметр действителен в Windows Server 2008 и Windows Vista SP1).
/h <имя_файла>	Служит для сохранения отчета в формате HTML в местоположении и в файле с именем, заданными параметром <имя_файла> (параметр действителен в Windows Server 2008 и Windows Vista SP1).
/f	Заставляет Gpresult перезаписать файл с именем, заданным в параметре /x или /h.
/?	Вывод справочных сведений в командной строке.

Откройте командную строку с повышенными правами. Чтобы открыть командную строку с повышенными правами, нажмите кнопку Пуск, щелкните правой кнопкой мыши на пункте Командная строка, а затем выберите команду Запуск от имени администратора.Запуск Gpresult.exe на компьютере

1. В командной строке введите команду gpresult /h gpresult.html /f.
2. Чтобы просмотреть файл, в командной строке введите команду Start gpresult.html.

Резервное копирование, восстановление, миграция и копирование объектов групповой политики

Консоль управления групповыми политиками предоставляет средства для резервного копирования, восстановления, миграции и копирования имеющихся объектов групповой политики. Эти возможности имеют важное значение для обслуживания развертывания групповой политики в случае ошибки или аварии. Они позволяют обойтись без ручного воссоздания утраченных или поврежденных объектов групповой политики и повторения этапов планирования, тестирования и развертывания. План операций, проводящихся с групповой политикой, должен включать регулярное создание резервных копий всех объектов групповой политики. Все администраторы групповой политики должны получить информацию об использовании консоли управления групповыми политиками для восстановления объектов групповой политики.

Консоль управления групповыми политиками также предоставляет механизмы для копирования и импорта объектов групповой политики из одного домена или между доменами. Консоль управления групповыми политиками можно использовать для миграции имеющегося объекта групповой политики, например из существующего домена в новый развернутый домен. Можно копировать объекты групповой политики или импортировать параметры групповой политики из одного объекта в другой. Эти операции помогают сэкономить время и избежать осложнений, позволяя вновь использовать содержимое имеющихся объектов групповой политики. Копирование объектов групповой политики позволяет перейти от промежуточной среды непосредственно к рабочей, если были настроены надлежащие отношения доверия между средами. Импорт объектов групповой политики позволяет переносить параметры политики из резервной копии объекта в имеющийся объект, что особенно полезно в ситуациях, где отсутствует отношение доверия между исходным и конечным доменами. Если необходимо повторно использовать объекты групповой политики, копирование также позволяет комфортно перемещать объекты групповой политики из одной рабочей среды в другую.

Использование консоли управления групповыми политиками для работы с объектами групповой политики

Чтобы создавать резервные копии объектов групповой политики, необходимо иметь по меньшей мере разрешение на чтение объектов групповой политики и разрешение на запись в папку, в которой хранятся эти резервные копии. Рисунок 6 поможет идентифицировать элементы, используемые в процедурах, описанных ниже.

Использование консоли управления групповыми политиками для резервного копирования объектов групповой политики и просмотра резервных копий объектов

Операция резервного копирования приводит к созданию резервной копии рабочего объекта групповой политики в файловой системе. Местоположением резервной копии может быть любая папка, для которой имеется разрешение на запись. После резервного копирования объектов групповой политики для отображения и использования содержимого папки резервного копирования следует использовать консоль управления групповыми политиками — это можно делать как через пользовательский интерфейс, так и программным путем, используя сценарий. Не следует работать с архивными объектами групповой политики непосредственно в файловой системе. После резервного копирования объектов групповой политики консоль управления групповыми политиками используется для работы с архивными объектами групповой политики с помощью операций импорта и восстановления.

Примечание

Можно создать резервную копию нескольких экземпляров одного объекта в одной папке, поскольку консоль управления групповыми политиками уникально идентифицирует каждый архивный экземпляр и предоставляет механизмы, позволяющие выбирать нужный экземпляр архивированного объекта для работы с ним. Например, можно отображать только самые последние резервные копии при просмотре содержимого папки резервного копирования с помощью консоли управления групповыми политиками. Это может быть полезно при создании резервных копий объекта групповой политики после его изменения в условиях наличия необходимости восстановления предыдущей версии этого объекта в будущем.

Резервное копирование всех объектов групповой политики в домене

1. В дереве консоли управления групповыми политиками раскройте лес или домен, содержащий объекты групповой политики, резервное копирование которых нужно выполнить.
2. Правой кнопкой мыши щелкните пункт Объекты групповой политики и выберите команду Архивировать все.
3. В диалоговом окне Архивация объекта групповой политики введите путь к папке, где следует сохранять резервные копии объектов групповой политики. Также можно нажать кнопку Обзор, чтобы открыть папку, в которой нужно сохранять резервные копии объектов групповой политики; после этого следует нажать кнопку ОК.
4. Введите описание объектов групповой политики, резервное копирование которых нужно выполнить, и нажмите кнопку Архивировать.
5. После завершения операции резервного копирования, появятся сводные данные с перечнем объектов групповой политики, резервные копии которых успешно созданы, а также тех объектов, резервные копии которых не удалось создать.
6. Нажмите кнопку ОК.

Резервное копирование отдельного объекта групповой политики

1. В дереве консоли управления групповыми политиками разверните узел Объекты групповой политики в лесу или домене, где содержится объект групповой политики, резервную копию которого нужно создать.
2. Щелкните правой кнопкой мыши объект, резервную копию которого нужно создать, и выберите команду Архивировать.
3. В диалоговом окне Архивация объекта групповой политики введите путь к папке, где следует сохранить резервную копию этого объекта групповой политики. Также можно нажать кнопку Обзор, чтобы открыть папку, в которой нужно сохранить резервную копию объекта групповой политики; после этого следует нажать кнопку ОК.
4. Введите описание объекта групповой политики, резервную копию которого нужно создать, и нажмите кнопку Архивировать.
5. После завершения операции резервного копирования результат этой операции будет указан в сводных данных.
6. Нажмите кнопку ОК.

Просмотр списка резервных копий объектов групповой политики

1. В дереве консоли управления групповыми политиками раскройте лес или домен, содержащий объекты групповой политики, резервное копирование которых нужно выполнить.
2. Правой кнопкой мыши щелкните пункт Объекты групповой политики и выберите команду Управление архивацией.
3. В диалоговом окне Управление архивацией введите путь к папке, где хранятся резервные копии объектов групповой политики, которые нужно просмотреть. Также можно нажать кнопку Обзор, чтобы открыть папку, в которой хранятся резервные копии объектов групповой политики; после этого следует нажать кнопку ОК.
4. Чтобы задать отображение только последней версии объектов групповой политики в списке Архивные объекты GPO, установите флажок Показывать только последнюю версию каждого объекта GPO. Нажмите кнопку Закрыть.

Важно
Необходимо защитить резервные копии объектов групповой политики путем предоставления разрешения на доступ к папке, в которой эти объекты сохраняются, только уполномоченным администраторам. Используйте разрешения безопасности в файловой системе, где создаются резервные копии этих объектов групповой политики.

Использование консоли управления групповыми политиками для восстановления объектов групповой политики

Объекты групповой политики также можно восстанавливать. Эта операция восстанавливает резервную копию объекта групповой политики в том же домене, в котором она была создана. При этом нельзя восстановить объект групповой политики из резервной копии в домене, который отличается от исходного домена этого объекта.

Восстановление предыдущей версии имеющегося объекта групповой политики

1. В дереве консоли управления групповыми политиками разверните узел Объекты групповой политики в лесу или домене, где содержатся объекты групповой политики, которые нужно восстановить.
2. Правой кнопкой мыши щелкните объект, предыдущую версию которого нужно восстановить, а затем выберите команду Восстановить из архива.
3. Когда откроется Мастер восстановления объекта групповой политики, следуйте инструкциям в мастере, а затем нажмите кнопку Готово.
4. После завершения операции восстановления результат этой операции будет указан в сводных данных. Нажмите кнопку ОК.

Восстановление удаленного объекта групповой политики

1. В дереве консоли управления групповыми политиками разверните лес или домен, содержащий объект групповой политики, который нужно восстановить.
2. Правой кнопкой мыши щелкните пункт Объекты групповой политики и выберите команду Управление архивацией.
3. В диалоговом окне Управление архивацией нажмите кнопку Обзор, а затем найдите файл, содержащий резервную копию объектов групповой политики.
4. В списке Архивные объекты GPO выберите объект, который требуется восстановить, и нажмите кнопку Восстановить.
5. В ответ на предложение подтвердить операцию восстановления нажмите кнопку ОК.
6. После завершения операции восстановления результат этой операции будет указан в сводных данных. Нажмите кнопку ОК. Нажмите кнопку Закрыть.

Резервное копирование и восстановление данных WMI-фильтров, параметров политики IPsec и ссылок на подразделения

Ссылки на WMI-фильтры и политики IPsec хранятся в объектах групповой политики и архивируются в их составе. При восстановлении объекта эти ссылки сохраняются, если базовые объекты по-прежнему существуют в Active Directory. При этом ссылки на подразделения не являются частью данных резервной копии и не будут восстановлены во время операции восстановления.

Параметры политики, хранящиеся вне объектов групповой политики, например данные WMI-фильтров и параметры политики IPsec, не архивируются и не восстанавливаются во время этих процессов. Чтобы создать резервную копию и восстановить небольшое число WMI-фильтров, необходимо выбрать элемент Фильтры WMI в консоли управления групповыми политиками или отдельный WMI-фильтр в этом элементе, а затем воспользоваться командой Импорт или Экспорт по необходимости. Информацию об импорте или экспорте WMI-фильтров см. в разделе «Импорт WMI-фильтра» или «Экспорт WMI-фильтра» в справке консоли управления групповыми политиками. Поскольку с помощью этих команд можно импортировать или экспортировать только один WMI-фильтр за раз, этот подход рекомендуется использовать только в случае, если необходимо архивировать или восстановить небольшое число WMI-фильтров.

Для архивации и восстановления большого числа WMI-фильтров необходимо использовать программу командной строки Ldifde, как описано в статье «Пользовательская проверка. Импорт и экспорт WMI-фильтров» (http://go.microsoft.com/fwlink/?linkid=109519 — страница может быть на английском языке).

Примечание

Ldifde — это программа командной строки, встроенная в Windows Server 2008. Это средство доступно, если установлена роль сервера служб Active Directory облегченного доступа к каталогам или доменных служб Active Directory. Чтобы воспользоваться Ldifde, необходимо выполнить команду Ldifde в командной строке с повышенными правами. Дополнительную информацию о Ldifde см. в соответствующей статье (http://go.microsoft.com/fwlink/?LinkId=110104 — страница может быть на английском языке).

Назначение политики IPsec объекту групповой политики приводит к регистрации указателя на политику IPsec внутри атрибута ipsecOwnersReference объекта групповой политики. Сам объект содержит только ссылку на политику IPsec, заданную различающимся LDAP-именем. Групповая политика используется только для доставки назначения политики службе IPsec компьютера. Служба IPsec компьютера затем получает политику IPsec из Active Directory, поддерживает локальный текущий кэш политики и сохраняет его актуальность, используя интервал опроса, заданный в самой политике IPsec.

Чтобы создать резервную копию или восстановить параметры политики IPsec необходимо использовать команды Экспортировать политики и Импортировать политики в оснастке управления политикой IP-безопасности. Команда Экспортировать политики позволяет экспортировать все локальные политики IPsec и сохранить их в IPSEC-файле.

Использование консоли управления групповыми политиками для копирования объектов групповой политики и импорта параметров объектов групповой политики

Консоль управления групповыми политиками позволяет копировать объекты групповой политики как в одном домене, так и между доменами, а также импортировать параметры групповой политики из одного объекта в другой. Эти операции следует выполнять в рамках процесса подготовки перед развертыванием в производственной среде. Эти операции также полезны для миграции объектов групповой политики из одной производственной среды в другую.

Несмотря на то, что набор параметров политики, составляющий объект групповой политики, логически является единым целым, данные для одного объекта хранятся в нескольких местах и в различных форматах. Некоторые данные содержатся в Active Directory, а другие данные хранятся в папке Sysvol на контроллерах домена. Это означает, что нельзя скопировать объекты групповой политики простым копированием папки с одного компьютера на другой. При этом консоль управления групповыми политиками предоставляет встроенную поддержку, которая позволяет безопасно и относительно просто выполнить эту операцию.

Операция копирования копирует имеющийся текущий объект групповой политики в нужный конечный домен. В рамках этого процесса всегда создается новый объект. Конечным доменом может быть любой доверенный домен, в котором у пользователя есть право создавать новые объекты групповой политики. Просто добавьте нужные леса и домены в консоль управления групповыми политиками и используйте ее для копирования и вставки (или перетаскивания) нужных объектов групповой политики из одного домена в другой. Для копирования объекта групповой политики необходимо иметь разрешение на создание объектов групповой политики в конечном домене.

При копировании объектов групповой политики помимо параметров политики в составе самого объекта можно также скопировать список управления доступом на уровне пользователей (DACL) объекта. Это помогает гарантировать, что новый объект, созданный в рамках операции копирования, будет иметь те же параметры делегирования и фильтрации параметров безопасности, что и исходный объект.

Импортирование объектов групповой политики позволяет переносить параметры политики из резервной копии объекта в имеющийся объект. При импорте объекта групповой политики переносятся только параметры этого объекта; имеющаяся фильтрация параметров безопасности или ссылки на конечный объект не изменяются. Импортирование объекта групповой политики полезно при миграции объектов групповой политики между средами, у которых нет отношений доверия, поскольку требуется доступ только к резервной копии объектов, а не к объектам в рабочей среде. Поскольку операция импорта лишь изменяет параметры политики, то для ее выполнения достаточно иметь разрешение на изменение конечного объекта групповой политики.

При копировании или импорте объекта групповой политики можно задать таблицу миграции, если объект содержит участники безопасности или UNC-пути, которые, возможно, потребуется изменить при копировании в конечный домен. Для создания и изменения таблиц миграции используется редактор таблиц миграции (MTE). Таблицы миграции описаны в следующем разделе^ Использование таблиц миграции.

Копирование объекта групповой политики

1. В дереве консоли управления групповыми политиками раскройте узел Объекты групповой политики в лесу и домене, содержащем копируемый объект групповой политики.
2. Щелкните правой кнопкой мыши объект групповой политики, который следует скопировать, и выберите команду Копировать.
3. Выполните одно из следующих действий.
   
   • Чтобы создать копию объекта в этом же домене, где находится исходный объект, щелкните правой кнопкой мыши пункт Объекты групповой политики, а затем выберите команду Вставить.
   • Чтобы создать копию объекта в другом домене (этого или другого леса), разверните конечный домен, щелкните правой кнопкой мыши пункт Объекты групповой политики, а затем выберите команду Вставить.
   • При копировании внутри домена выберите команду Использовать разрешения по умолчанию для новых объектов GPO или Сохранить существующие разрешения и нажмите кнопку ОК.
4. При копировании в другой домен или из другого домена следуйте инструкциям в мастере, который при этом запустится, а затем нажмите кнопку Готово.

Импорт параметров политики из резервной копии объекта групповой политики в объект групповой политики

1. В дереве консоли управления групповыми политиками разверните узел Объекты групповой политики в лесу и домене, содержащем объект групповой политики, в который требуется импортировать параметры политики.
2. Щелкните правой кнопкой мыши объект групповой политики, в который требуется импортировать параметры политики, а затем выберите пункт Импорт параметров.
3. Далее следуйте инструкциям в открывшемся окне мастера импорта параметров и по окончании нажмите кнопку Готово.
4. После завершения операции импорта появится сводка с указанием успешного выполнения импорта. Нажмите кнопку ОК.

Использование таблиц миграции

Поскольку некоторые данные в объекте групповой политики относятся к конкретному домену и при копировании в другой домен могут оказаться недействительными, в консоли управления групповыми политиками предусмотрены таблицы миграции. Таблица миграции – это просто таблица, задающая соответствие между исходным и конечным значениями. На рисунке 7 показана таблица миграции в редакторе таблиц миграции консоли управления групповыми политиками.
Во время операции копирования или импорта таблица миграции преобразует ссылки в объекте групповой политики в новые ссылки, которые будут работать в конечном домене. Таблицы миграции можно использовать для выполнения обновления участников безопасности и UNC-путей до новых значений как части операции копирования или импорта. Таблицы миграции сохраняются с расширениями MIGTABLE имен файлов, но фактически представляют собой XML-файлы. Для создания или редактирования таблиц миграции не требуется знания языка XML; консоль управления групповыми политиками предоставляет редактор для работы с таблицами миграции.

Таблица миграции состоит из одного или нескольких сопоставленных элементов. Каждый сопоставленный элемент состоит из исходного типа, исходной ссылки и конечной ссылки. Если таблица миграции задается во время выполнения операции копирования или импорта, то при записи параметров политики в конечный объект групповой политики каждая ссылка на исходный элемент заменяется ссылкой на конечный элемент. Перед использованием таблицы миграции следует убедиться, что ссылки на конечные элементы, заданные в этой таблице миграции, уже существуют.

Приведенные далее элементы могут содержать участники безопасности и могут изменяться с помощью таблицы миграции.

• Параметры политики безопасности следующих типов:
  
  
  • назначение прав пользователей;
  • ограниченные группы;
  • системные службы;
  • файловая система;
  • реестр.
• Дополнительные параметры политики перенаправления папки.
• Список управления доступом на уровне пользователей (DACL) объекта групповой политики, если он был утилизирован во время операции копирования.
• Список управления доступом на уровне пользователей (DACL) в объектах установки программного обеспечения, который утилизируется только в случае, когда указан вариант копирования DACL объекта групповой политики.

Кроме того, приведенные далее элементы могут содержать UNC-пути, которые, возможно, потребуется обновить до новых значений в качестве части операции импорта или копирования, поскольку серверы в исходном домене могут быть недоступны из домена, в который мигрируется объект групповой политики.

• Параметры групповой политики перенаправления папки.
• Параметры групповой политики, связанные с установкой программного обеспечения.
• Ссылки на сценарии (такие как сценарии входа и запуска), которые хранятся вне исходного объекта групповой политики. Сам сценарий не копируется в качестве части операции копирования или импорта объекта групповой политики, если он хранится вне исходного объекта групповой политики.

Дополнительные сведения об использовании таблиц миграции см. в разделе Подготовка развертывания групповой политики данного руководства.

Сопровождение групповой политики

После развертывания групповой политики для ее реализации может потребоваться обычное сопровождение и изменение по мере изменения предприятия и его потребностей, а также по мере возрастания опыта работы с групповой политикой. Установив контрольные процедуры для создания, связи, редактирования, импорта параметров политики, резервного копирования и восстановления объектов групповой политики, можно сократить до минимума обращения в службу поддержки, вызванные неадекватно запланированными развертываниями групповой политики. Также можно упростить устранение неполадок объектов групповой политики и помочь снизить общие затраты на компьютеры в сети предприятия.

Установив контрольные механизмы объектов групповой политики, можно создать объекты групповой политики, которые будут отличаться следующими качествами:

• соответствовать корпоративным стандартам;
• обеспечивать отсутствие конфликтов своих параметров политики с параметрами политики, заданными другими.

Для устранения проблем, связанных с объектами групповой политики, можно использовать мастер результатов групповой политики консоли управления групповыми политиками (GPMC), чтобы идентифицировать возможные ошибки развертывания групповой политики. Дополнительные сведения об этом средстве см. в разделе Использование моделирования групповой политики и результатов групповой политики для оценки параметров групповой политики данного руководства. Можно также воспользоваться мастером моделирования групповой политики консоли управления групповыми политиками (GPMC), чтобы оценить последствия установки новых параметров групповой политики до их развертывания в рабочей среде.

Всякий раз при развертывании новых технологических решений, таких как беспроводные сети, необходимо проверять совместимость имеющихся конфигураций групповой политики с новой технологией. Для облегчения управления разными технологиями в групповой политике предусмотрены разные параметры политик, например параметры для политик беспроводных сетей (IEEE 802.11) (расположенные в разделе Конфигурация компьютера\Политики\Параметры Windows\Параметры безопасности), служб терминалов (расположенные в разделахКонфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows и Конфигурация пользователя\Политики\Административные шаблоны\Компоненты Windows), а также параметры политик для многих других технологий.

Изменение параметров групповой политики может вызвать значительные последствия. При выполнении обслуживания групповой политики необходимо предпринять разумные меры предосторожности: протестировать предполагаемые изменения и оценить их действие в среде подготовки развертывания.

Обсуждение групповой политики для переименования домена

Имена доменов являются важной составляющей соответствующего функционирования реализации групповой политики. В семействе Windows Server 2008 можно переименовать домен с помощью средств переименования домена (Rendom.exe и GPfixup.exe), которые включены в Windows Server 2008. Средства переименования домена обеспечивают безопасный и поддерживаемый способ переименования одного или нескольких доменов (и разделов каталогов приложений) в лесу Active Directory.

Важно
Необходимо выполнить резервное копирование всех объектов групповой политики с помощью консоли управления групповыми политиками после переименования домена. После переименования домена невозможно будет восстанавливать резервные копии, сделанные до переименования этого домена.

Переименование одного или нескольких доменов – это сложный процесс, требующий полного планирования и понимания процедур переименования доменов. Необходимо также изменить все объекты групповой политики, на которые может повлиять переименование домена, чтобы они работали правильно. Для модификации объектов групповой политики используется средство Gpfixup.exe, включенное в Windows Server 2008. Gpfixup.exe восстанавливает объекты групповой политики и их ссылки в каждом переименованном домене. После операции переименования домена необходимо восстанавливать объекты и ссылки групповой политики, чтобы обновить старое имя домена, включенное в эти объекты и их ссылки.

Важно
Дополнительные сведения о процессе переименования домена см. на веб-сайте Windows Server 2008 TechCenter (http://go.microsoft.com/fwlink/?LinkId=100876 — страница может быть на английском языке).

Использование сценариев для управления групповой политикой

Можно загрузить демонстрационные сценарии, использующие интерфейсы консоли управления групповыми политиками, и записать много операций, поддерживаемых этой консолью. Демонстрационные сценарии консоли управления групповыми политиками формируют основу для набора средств по созданию сценариев, который модно использовать для решения конкретных административных проблем. Например можно выполнить запросы для поиска в домене всех объектов групповой политики, имеющих повторяющиеся имена, или для создания списка всех объектов групповой политики домена, чьи параметры политики отключены полностью или частично. Эти сценарии также иллюстрируют ключевые объекты и методы сценариев, обеспечивая таким образом обзор многих административных задач, которые можно выполнять с помощью консоли управления групповыми политиками. Сведения об этих сценариях см. на странице демонстрационных сценариев консоли групповых политик (http://go.microsoft.com/fwlink/?LinkId=109520) (может быть на английском языке).

По умолчанию при загрузке демонстрационных сценариев консоли управления групповыми политиками они устанавливаются в папку Program Files\Microsoft Group Policy\GPMC Sample Scripts. Демонстрационные сценарии направляют вывод в окно команд, и их следует запускать с помощью программы Cscript.exe. Если Cscript.exe не является обработчиком WSH по умолчанию, то придется явно указывать Cscript.exe в командной строке. Например, введите d: \Program Files\Microsoft Group Policy\GPMC Sample Scripts>cscript ListAllGPOs.wsf. Чтобы сделать Cscript.exe обработчиком WSH по умолчанию, введите в командной строке cscript //h:cscript.

Многие из этих демонстрационных сценариев основываются на библиотеке распространенных вспомогательных функций, которая находится в файле Lib_CommonGPMCFunctions.js. Если эти сценарии копируются в другое местоположение, то необходимо скопировать туда же и данный файл библиотеки, чтобы сценарии могли работать.

Подготовка развертывания групповой политики

Групповая политика Windows Server 2008 предоставляет мощные возможности по развертыванию изменений конфигураций во всей организации. Как и любые другие изменения в организации, развертывания и текущие обновления групповой политики требуют тщательного планирования и тестирования для обеспечения высокодоступной и безопасной архитектуры. С помощью функций, включенных в консоль управления групповыми политиками, можно создавать тестовый, промежуточный и рабочий процессы развертывания, что гарантирует предсказуемость и целостность во время развертываний групповой политики.

Обзор подготовки развертывания групповой политики

Групповая политика является мощным средством конфигурирования операционных систем Windows Server 2008, Windows Vista, Windows Server 2003 и Windows XP в организации. Такая возможность воздействовать на конфигурации сотен и даже тысяч компьютеров требует хорошего практического опыта управления изменениями, чтобы изменения, вносимые в объекты групповой политики, гарантированно давали ожидаемые результаты для тех, для кого они предназначены, т.е. для пользователей и компьютеров.

Во многих организациях имеются процессы управления изменениями для обеспечения тщательного тестирования новых конфигураций и развертываний в нерабочей среде до их применения в рабочей среде.

Во многих процессах управления изменениями различаются тестовая среда, используемая для тестирования изменений, и промежуточная среда, которая является средой предварительной обработки, подобной рабочей среде, и последней остановкой на пути развертывания изменений в рабочую среду. В данном разделе термины «тестовая» и «промежуточная» являются взаимозаменяемыми, и различия между ними как физическими средами не делаются. Однако с помощью методов, описанный в этом разделе, можно создать отдельные тестовую и промежуточную среды, если это необходимо для процесса управления изменениями.

Эффективные процессы управления изменениями не менее важны для обеспечения успешного развертывания изменений групповой политики, поскольку групповая политика может воздействовать на все, от параметров реестра до параметров безопасности, при развертывании программного обеспечения на компьютере. В дополнение к размещаемому групповой политикой большому числу параметров конфигурации объекты групповой политики можно связывать с множеством разных областей, и их действие может фильтроваться по пользователям, компьютерам или группам безопасности. Возможность подготовки объектов групповой политики в тестовой среде и последующей проверки их воздействия до развертывания в рабочей среде исключительно важна для обеспечения устойчивой и надежной работы инфраструктуры Windows. Создание промежуточной среды имеет большое значение для любого успешного развертывания групповой политики в инфраструктуре Active Directory. При создании такой среды можно выбрать несколько вариантов. Эти варианты включаются с помощью функций консоли управления групповыми политиками.

Для создания промежуточной среды, подобной рабочей среде, можно сочетать функции консоли управления групповыми политиками и сценарии. Затем с помощью этой промежуточной среды можно тестировать новые или измененные объекты групповой политики. После проверки этих объектов групповой политики можно с помощью консоли управления групповыми политиками выполнить их миграцию в рабочие домены.

Процесс подготовки групповой политики

Процесс подготовки групповой политики состоит из создания промежуточной среды, имитирующей рабочую среду, тестирования новых параметров групповой политики в этой среде и последующего развертывания этих параметров политик в рабочей среде. Конкретный подход к развертыванию зависит от конфигурации промежуточной среды.

При формировании промежуточной среды для групповой политики сначала просто определяется имеющееся оборудование, которое можно использовать для создания архитектуры, аналогичной рабочей среде, а затем устанавливается соответствующая логическая структура. Затем с помощью средств консоли управления групповыми политиками можно импортировать параметры рабочей групповой политики в промежуточную среду. После создания этой среды выполняется тестирование групповой политики, включающее реализацию изменений и оценку их воздействия на тестовых пользователей и компьютеры, имитирующих реальных пользователей и компьютеры. После проверки изменений можно снова воспользоваться средствами консоли управления групповыми политиками, чтобы выполнить миграцию измененных или новых параметров групповой политики в рабочую среду.

Обслуживать групповую политику и продолжать оценивать изменения приходится на постоянной основе. Следовательно, необходимо все время поддерживать синхронизацию промежуточной и рабочей сред. Для постоянного обслуживания промежуточной среды можно воспользоваться средствами консоли управления групповыми политиками, такими как демонстрационные сценарии, а также функции резервного копирования, обычного копирования и импорта.

Примечание

Для облегчения создания и тестирования разнообразных сценариев групповой политики можно использовать виртуализацию на основе низкоуровневой оболочки Windows Server 2008. С помощью виртуальных машин можно создавать безопасную автономную среду, точно воспроизводящую работу физических серверов и клиентов. Сведения о виртуализации Windows Server 2008 см. в статье «Виртуализация и консолидация» (http://go.microsoft.com/fwlink/?LinkId=109521) (может быть на английском языке).

Возможности обслуживания и подготовки развертывания в консоли управления групповыми политиками

Далее приводятся разные функции для подготовки и обслуживания групповой политики, имеющиеся в консоли управления групповыми политиками.

• Мастер моделирования групповой политики для планирования развертываний групповых политик.
• Мастер результатов групповой политики для просмотра взаимодействия с объектом групповой политики и устранения неполадок.
• Возможность использования единого интерфейса консоли управления Microsoft (консоли GPMC) для управления групповыми политиками во всей организации. Операции управления включают импорт и экспорт, обычное и резервное копирование, а также восстановление объектов групповой политики.

Наиболее важными функциями консоли управления групповыми политиками для подготовки групповой политики являются резервное копирование, импорт, обычное копирование и таблицы миграции. Эти функции позволяют выполнять подготовку объектов групповой политики и их миграцию в лесах и доменах.

Резервное копирование и импорт

В консоли управления групповыми политиками имеется возможность выполнять резервное копирование одного или нескольких объектов групповой политики. Затем эти резервные копии можно использовать для восстановления отдельных объектов групповой политики в их первоначальном состоянии (с помощью операции восстановления), или же можно импортировать параметры политик в существующие объекты групповой политики, заменяя таким образом все предыдущие параметры политик. Эта операция восстановления используется только для восстановления объекта групповой политики в том же домене, из которого была сделана его резервная копия.

В отличие от операции восстановления операция импорта используется в случаях, когда резервная копия какого-либо объекта групповой политики была сделана в том же домене, в другом домене или даже в другом ненадежном лесу, например в тестовом лесу, изолированном от рабочего леса. Следует отметить, что хотя операции восстановления и импорта применяются к объектам групповой политики, для которых ранее было выполнено резервное копирование, восстановление предлагает дополнительные возможности. Операции резервного копирования, импорта и обычного копирования будут использоваться для выполнения подготовки и миграции объектов групповой политики в рабочую среду.

Рисунок 8 иллюстрирует операцию импорта. В данном случае объект групповой политики X в тестовом лесу содержит некоторое количество участников безопасности, назначенных праву пользователя на локальный вход в систему («Log on Locally»). Выполняется резервное копирование этого объекта групповой политики и последующий его импорт в рабочий лес. Во время операции импорта первоначальные участники безопасности сопоставляются с новыми участниками безопасности, существующими в рабочем домене.

Копирование

С помощью средства копирования в консоли управления групповыми политиками можно щелкнуть правой кнопкой мыши объект групповой политики, скопировать его в одном домене и вставить в новый домен. В такой операции при копировании объекта групповой политики в новый домен создается новый объект групповой политики. В этом состоит отличие от операции импорта, в которой существующий объект групповой политики стирается и затем перезаписывается. Однако в новый объект групповой политики копируются только параметры политики исходного объекта групповой политики. Ссылки области управления (SOM-ссылки), списки управления доступом (ACL) и ссылки WMI-фильтров для исходного объекта групповой политики не копируются в новый объект групповой политики. Для операции копирования необходимо, чтобы конечный домен был надежным для исходного домена. Для выполнения операции копирования необходимо быть членом локальный группы «Администраторы» или делегированным пользователем, имеющим следующие права:

• права на чтение исходного объекта групповой политики и в исходном домене;
• право на создание объектов групповой политики в конечном домене (в домене, в который копируется новый объект групповой политики).

В операциях импорта и копирования консоль управления групповыми политиками поддерживает возможность выполнения для участников безопасности и UNC сопоставления между ссылками на эти объекты в исходном и конечном объектах групповой политики.

Рисунок 9 иллюстрирует операцию копирования. В данном случае выполняется миграция объекта групповой политики из домена B в домен C, и некоторые из связанных с ним участников безопасности сопоставляются с новыми участниками безопасности в домене C.

Таблицы миграции

В объектах групповой политики могут содержаться ссылки на участники безопасности и UNC-пути как часть параметров политики. Например в параметрах политики безопасности можно контролировать, какие пользователи или группы могут запускать и останавливать определенную службу Windows. Рисунок 10 иллюстрирует параметры безопасности, которые можно применить к службе сообщений. В данном случае для этих параметров безопасности можно сопоставить участники безопасности в промежуточной среде с участниками безопасности в рабочей среде с помощью таблиц миграции.
Кроме того, в объекте групповой политики имеется дескриптор безопасности, который содержит DACL, используемый для управления возможностью определенных компьютеров, пользователей или групп обрабатывать объект групповой политики и возможностью пользователей создавать, изменять и редактировать этот объект групповой политики. Участники безопасности, включенные в DACL объекта групповой политики, могут также учитываться при развертывании этого объекта групповой политики из одного домена в другой.

Таблицы миграции также поддерживают сопоставление UNC-путей, которые могут существовать в политике установки программного обеспечения, перенаправления папок или сценариев. Чтобы согласовать эти пути, имеющие какие-либо различия в тестовой и рабочей средах, можно с помощью таблиц миграции заменить имена сервера и общих ресурсов при миграции параметров групповой политики.

Если выполняется миграция объекта групповой политики, созданного в другом домене или лесу, в текущую рабочую среду, то необходимо модифицировать соответствующие ссылки участников безопасности, чтобы отразить ссылки, находящиеся в рабочем домене. В консоли управления групповыми политиками имеется редактор таблиц миграции, с помощью которого можно создавать файл сопоставления для участников безопасности и UNC-путей. Редактор таблиц миграции создает файл в формате XML с расширением MIGTABLE; в этом файле задаются исходные и конечные участники безопасности или UNC-пути для миграции объекта групповой политики. Дополнительные сведения о редакторе таблиц миграции сообщения см. в разделе Создание таблиц миграции далее в этом руководстве.

Создание промежуточной среды

Первый этап подготовки групповой политики и ее развертывания состоит в создании промежуточной среды. Сюда входит построение тестовой инфраструктуры, которая отражает инфраструктуру рабочей среды и позволяет тестировать новые или измененные параметры групповой политики без воздействия на реальных пользователей и компьютеры.

В этой точке необходимо принять решение о размещении промежуточной среды и ее отношениях доверия с рабочей средой. Можно выбрать один из следующих вариантов:

• промежуточный домен в рабочем лесу;
• промежуточный лес без отношений доверия с рабочим лесом;
• промежуточный лес с отношениями доверия с рабочим лесом.

Каждый вариант имеет свои преимущества и недостатки, как показано в таблице 8.

Таблица 8. Выбор подхода к созданию промежуточной среды

Подход	Преимущества	Недостатки
Подготовительный домен в рабочем лесу	·         Для перемещения объектов групповой политики между промежуточной и рабочей средами может использоваться операция копирования консоли управления групповыми политиками. ·         Могут использоваться существующие службы рабочей инфраструктуры (например DNS, DHCP). ·         Реализация может требовать меньшего количества аппаратуры, чем в случае полностью изолированной рабочей среды, для которой необходима поддерживающая инфраструктура. ·         Проще сохранять синхронизацию с рабочей средой, поскольку все параметры политик и службы находятся в одном лесу. ·         При миграции из домена в домен в рабочем лесу может потребоваться меньшее использование таблиц миграции (например, некоторые участники безопасности могут повторно использоваться независимо от домена).	·         Возможна недостаточная изоляция от рабочей среды, что не позволит гарантировать отсутствие влияния тестирования на рабочую среду. (Например связанные с сайтами объекты групповой политики непросто тестировать, поскольку сайты занимают домены в лесу. Участники безопасности могут повторно использоваться независимо от домена.) ·         Возможно ограниченное подтверждение, если для тестирования необходимо внесение изменений в среду.
Подготовительный лес без отношений доверия с рабочим лесом	·         Полная изоляция от рабочей среды; обеспечивается максимальная защита от воздействия тестовых объектов групповой политики на реальные компьютеры и пользователей. ·         Отсутствуют перекрытия параметров безопасности промежуточной и рабочей сред; администраторам промежуточного или рабочего леса не требуется доступ к обоим лесам. ·         Обеспечивается гибкость; администраторы могут свободно экспериментировать с параметрами и конфигурациями политик без воздействия на рабочую среду.	·         Трудно сохранять синхронизацию с рабочим лесом. ·         Без доверительных отношений перемещения данных и параметров политик между лесами более обременительны. ·         Для перемещения объектов групповой политики, содержащих участники безопасности или UNC-пути, из промежуточной среды в рабочую необходимы таблицы миграции. ·         Для выполнения миграции объектов групповой политики нельзя использовать операцию копирования консоли управления групповыми политиками; необходимо использовать операцию импорта консоли управления групповыми политиками.
Подготовительный лес с отношениями доверия с рабочим лесом	·         Для перемещения объектов групповой политики между промежуточной и рабочей средами может использоваться операция копирования консоли управления групповыми политиками. ·         Частичная изоляция от рабочей среды. ·         Обеспечивается гибкость; администраторы могут свободно экспериментировать с параметрами и конфигурациями политик без воздействия на рабочую среду. ·         Для сопоставления UNC-путей могут не понадобиться таблицы миграции, поскольку все пути должны быть доступны благодаря текущим отношениям доверия.	·         Трудно сохранять синхронизацию с рабочим лесом. ·         Отношения доверия между промежуточной и рабочей средами дают возможность пользователям из одной среды получать доступ к ресурсам в другой среде. ·         Для перемещения объектов групповой политики, содержащих участники безопасности, из промежуточной среды в рабочую необходимы таблицы миграции.

Рассмотрим преимущества и недостатки, приведенные в таблице 8, при выборе подхода к созданию промежуточной среды. После того как выбор будет сделан, можно будет определить требования к оборудованию для промежуточной среды.

Необходимое оборудование

Независимо от выбранного подхода к созданию промежуточной среды потребуется выделить некоторое дополнительное оборудование для формирования промежуточной среды. Количество необходимого оборудования зависит от вида тестирования, которое будет выполняться, и от специфичности требований тестирования групповой политики. Например рабочие среды, состоящие из компьютеров, связанных медленными сетевыми подключениями, могут повлиять на применение групповой политики в Windows, поскольку некоторые параметры групповой политики не могут применяться в случае медленных сетевых подключений. Поэтому важно, чтобы тестовая среда полностью отражала эту ситуацию, чтобы получить точную картину воздействия изменений групповой политики на рабочую среду. В такой ситуации может быть полезна консоль управления групповыми политиками, в которой существует возможность моделирования влияния обработки групповой политики в медленных подключениях. Однако может оказаться, что полностью отразить рабочую среду невозможно, пока для промежуточной среды не будут предоставлены достаточные системные ресурсы и сетевое оборудование. Цель состоит в создании тестовой и промежуточной среды, отражающей производительность и поведение компьютеров и пользователей в рабочей среде, когда групповая политика применяет новые или измененные объекты групповой политики.

Подготовка промежуточной среды

После выбора подхода к созданию промежуточной среды и настройки оборудования установите Windows Server 2008 и Active Directory на промежуточных серверах в целях подготовки к синхронизации конфигурации рабочей и промежуточной сред. В большинстве случаев необходимо убедиться, что на компьютерах в промежуточной среде установлены те же операционная система, пакеты обновления и исправления, что и на компьютерах в рабочей среде. Это важно для гарантированного получения целостных результатов теста. Кроме того, следует убедиться, что поддерживающая инфраструктура, например DNS, распределенная файловая система (DFS) и связанные службы, тоже сконфигурированы так же, как в рабочей среде. DNS особенно важна для соответствующей обработки объектов групповой политики. Если будет принято решение использовать подход, в котором промежуточный домен или структура подразделения размещается в рабочем лесу, то для служб имен можно будет использовать существующую инфраструктуру рабочей DNS.

Важно
Консоль управления групповыми политиками Windows Server 2008 можно использовать для управления объектами групповой политики в доменах Windows Server 2008, Windows Server 2003 и Windows 2000.

Если для промежуточной среды строится отдельный лес, необходимо решить проблему интеграции служб имен. В зависимости от типов созданных отношений доверия службы имен должны включать DNS или WINS. Может потребоваться создание отдельной инфраструктуры DNS для промежуточной среды. В частности это будет справедливо при использовании в рабочем лесу безопасной DNS, интегрированной с Active Directory, поскольку зоны безопасности, интегрированные с Active Directory, не могут поддерживать динамическую регистрацию клиентов из внешних лесов. Если планируется создание отношений доверия между промежуточным и рабочим лесами, инфраструктуры служб имен в каждом лесу должны быть осведомлены друг о друге. После полной настройки промежуточной среды с помощью основных элементов, необходимых для разворачивания групповой политики, следует этап синхронизации промежуточной и рабочей сред.

Синхронизация промежуточной и рабочей сред

После создания основной архитектуры промежуточной среды, отражающей рабочую среду, следует убедиться, что все параметры безопасности и объектов групповой политики идентичны в этих двух средах. Для синхронизации также необходимо, чтобы в обеих средах были в достаточной степени представлены подразделения, пользователи, компьютеры и группы, поскольку должна быть возможность тестирования ссылок объектов групповой политики и влияния фильтров групп безопасности в том состоянии, в каком они будут присутствовать в рабочей среде.

Любая тестовая среда должна гарантированно отражать рабочую среду настолько точно, насколько это возможно. Для облегчения процесса начальной синхронизации тестовой среды с рабочей средой и последующего сохранения этой синхронизации на постоянной основе можно загрузить и запустить два демонстрационных сценария консоли управления групповыми политиками, CreateXMLFromEnvironment.wsf и CreateEnvironmentFromXML.wsf. Как уже упоминалось ранее, по умолчанию демонстрационные сценарии консоли управления групповыми политиками устанавливаются в папку Program Files\Microsoft Group Policy\GPMC Sample Scripts.

Сценарий CreateXMLFromEnvironment.wsf работает в пределах рабочего домена, сохраняет сведения о политиках в файле формата XML и создает резервные копии всех объектов групповой политики, обнаруженных в рабочем домене. Следует заметить, что этот сценарий работает только в пределах одного домена, а не в пределах всего леса. Сценарий CreateEnvironmentFromXML.wsf использует этот файл формата XML и все резервные копии объектов групповой политики, созданные сценарием CreateXMLFromEnvironment.wsf, для повторного создания объектов групповой политики и других объектов рабочего домена в промежуточном домене. В таблице 9 приводятся объекты и параметры политик, которые захватывает сценарий CreateXMLFromEnvironment.wsf, и показываются дополнительные объекты, которые можно захватить с помощью параметров командной строки при запуске этого сценария.

Таблица 9. Объекты, захватываемые сценарием CreateXMLFromEnvironment.wsf

Тип объекта	Охватывается сценарием	Дополнительные параметры командной строки
Все объекты групповой политики и их параметры в домене или подразделении	Да	Чтобы захватить параметры объектов групповой политики, необходимо предоставить шаблон пути с помощью параметра /TemplatePath для указания расположения файловой системы, в которой должны храниться резервные копии объектов групповой политики. Если шаблон пути не задан, то резервное копирование объектов групповой политики не выполняется. Можно исключить разрешения объектов групповой политики с помощью параметра /ExcludePermissions.
Подразделения	Да	Можно захватывать только часть дерева подразделения, воспользовавшись параметром /StartingOU и задав для пути стиля DN значение OU.
Ссылки объектов групповой политики и атрибуты ссылок (например «отключено», «блокировать наследование»)	Да, кроме ссылок объектов сайта, которые не захватываются	Нет
Разрешения, связанные с политикой	Да	Можно исключить разрешения с помощью параметра /ExcludePermissions.
WMI-фильтры	Да	Нет
Пользователи	По выбору	Учетные записи пользователей не захватываются, пока не будет указан параметр /IncludeUsers.
Группы безопасности	Да	По умолчанию сценарием захватываются только группы безопасности, заданные в подразделениях. Охват групп можно расширить, включив все группы в контейнер «Пользователи» и в корень домена с помощью параметра /IncludeAllGroups.
Компьютеры	Нет	Нет
Сайты	Нет	Нет

Если для некоторого количества пользователей не будут указаны пароли в XML-файле, то сценарий CreateEnvironmentfromXML.wsf предложит ввести пароль. Все пользователи, пароли которых не указаны в XML-файле, будут созданы с этим паролем. Также следует заметить, что этот сценарий не захватывает компьютеры. Это происходит потому, что объекты «компьютер» в Active Directory соответствуют физическим аппаратным ресурсам, которые могут быть разными в рабочей и промежуточной средах. И наконец, сценарий не захватывает ни сайты, ни ссылки объектов групповой политики на сайты. Поскольку сайты могут распределяться на несколько доменов и оказывать влияние на репликацию Active Directory, рекомендуется повторно создать эти объекты и ссылки на них объектов групповой политики в промежуточной среде вручную.Существует несколько моментов, которые необходимо учитывать при использовании сценария CreateXMLFromEnvironment.wsf. Во-первых, если используется параметр /IncludeUsers для захвата объектов «пользователь», то при повторном создании этих объектов в промежуточном домене потребуется указывать пароль для каждого захваченного пользователя. Это можно сделать, вручную отредактировав итоговый XML-файл и добавив пароль для каждого пользователя.

Пример. Создание файла в формате XML в рабочей среде

Предположим, что имеется рабочий домен с именем Contoso.com. Требуется экспортировать параметры групповой политики и соответствующие сведения для создания нового промежуточного домена для тестирования объекта групповой политики. В данном примере предполагается, что решено захватить объекты групповой политики из всего домена и включить учетные записи пользователей и группы. Далее приводятся задачи, которые необходимо выполнить для экспорта нужных сведений.

Создание XML-файла в рабочей среде

1. Для извлечения необходимых данных необходимо иметь достаточные разрешения в рабочем домене. Должны быть права на чтение всех захватываемых объектов, включая объекты групповой политики, подразделения, пользователей и группы (и их членов).
2. Создайте папку для хранения файла в формате XML, описывающего сведения, собранные сценарием.
3. Создайте папку для хранения резервных копий объектов групповой политики, извлекаемых сценарием.
4. Выполните сценарий CreateXMLFromEnvironment.wsf из папки установки. Если cscript.exe не является обработчиком сервера сценариев Windows (WSH) по умолчанию, то перед именем сценария следует указать команду cscript. В данном примере введите в командной строке следующее:
   
   Cscript "%programfiles%\Microsoft Group Policy\GPMC Sample Scripts\CreateXmlFromEnvironment.wsf".\production.xml /Domain:contoso.com /DC:contoso-dc1 /TemplatePath:.\GPObackups /IncludeUsers
   

Эта команда создает файл Production.xml в формате XML в той папке, в которой выполняется сценарий. Резервные копии объектов групповой политики создаются во вложенной папке с именем GPObackups текущей папки. Если перед путями production.xml и GPObackups указан знак «\» (обратная косая черта), то сценарий будет использовать относительный путь и создаст XML-файл и папки резервных копий объектов групповой политики в текущем каталоге, в котором он выполняется. Использование относительного пути облегчает копирование XML-файла и резервных копий в другие местоположения, из которых они могут быть восстановлены.

Сценарий начинает захват на уровне домена Contoso.com. Можно также запустить сценарий на уровне подразделения. В этом случае необходимо указать параметр /StartingOU в дополнение к параметру /Domain. Если параметр /Domain не задан, то подразумевается текущий домен. Параметр /DC указывает, что сценарий должен использовать контроллер домена contoso-dc1, а параметр /TemplatePath указывает, что резервные копии охваченных объектов групповой политики сохраняются в папке GPOBackups. Наконец параметр /IncludeUsers обеспечивает захват сценарием также и учетных записей пользователей.

Внимание
Файлы в формате XML, созданные сценарием CreateXMLFromEnvironment.wsf, можно открывать и редактировать в текстовом редакторе или в любом редакторе XML. Однако необходимо осознавать, что файлы в формате XML должны придерживаться определенного синтаксиса. Изменение этого синтаксиса может повлиять на возможность чтения этого файла сценарием CreateEnvironmentFromXML.wsf.

После запуска сценария CreateXMLFromEnvironment.wsf и захвата им рабочей среды необходимо запустить сценарий CreateEnvironmentFromXML.wsf, который использует в качестве входного файл формата XML, созданный сценарием CreateXMLFromEnvironment.wsf. Сценарий CreateEnvironmentFromXML.wsf должен запускаться из промежуточного домена, или же можно запустить его с компьютера, не входящего в промежуточный домен, если отношения доверия с промежуточным доменом уже настроены.

Импорт рабочих объектов групповой политики в промежуточный домен

Сценарий CreateEnvironmentFromXML.wsf предоставляет несколько разных вариантов, с помощью которых можно подготовить создание объектов групповой политики в промежуточной среде. Самый простой вариант включает предоставление этому сценарию файла в формате XML, созданного в рабочем домене, и при желании направление операции этого сценария в контроллер домена в промежуточном домене. Этот сценарий создает в промежуточном домене объекты групповой политики и связанные с ними объекты в соответствии с данными, которые были охвачены в рабочем домене. Для изменения этого процесса в сценарии предусмотрено некоторое количество параметров командной строки, которые приводятся далее.

• Undo. Этот параметр удаляет из промежуточной среды все объекты (объекты групповой политики и их разрешения, подразделения, WMI-фильтры, пользователей и группы), которые были заданы файлом в формате XML. Этот параметр используется, когда требуется отменить изменения, внесенные в промежуточном домене.
• ExcludePolicy Settings. Этот параметр создает в конечном домене объекты групповой политики, но без параметров политик. Его следует использовать, если параметры политики ни одного объекта групповой политики импортировать не требуется, достаточно только создать некоторые подразделения, пользователей и группы пользователей, которые могут быть охвачены.
• ExcludePermissions. Если указан этот параметр, то сценарий игнорирует все связанные с групповой политикой разрешения, содержащиеся в файле формата XML. Вместо этих разрешений при создании новых объектов групповой политики и других объектов в промежуточной среде используются разрешения по умолчанию.
• MigrationTable. Этот параметр дает возможность указать MIGTABLE-файл, который создается с помощью редактора таблиц миграции для задания сопоставления участников безопасности и UNC-путей в рабочей среде с соответствующими участниками безопасности и UNC-путями в промежуточной среде.
• ImportDefaultGPOs. Этот параметр выполняет импорт параметров политик в используемую по умолчанию доменную политику и в используемую по умолчанию политику контроллеров домена, если параметры политик для этих объектов групповой политики заданы в XML-файле. Если этот параметр не указан, то объекты групповой политики не будут изменяться.
• CreateUsersEnabled. Этот параметр создает учетные записи пользователей включенными (вместо отключенных).
• PasswordForUsers. Этот параметр дает возможность указать пароль для всех пользователей, пароли которых не заданы в XML-файле. Для всех пользователей, пароли которых не заданы в XML-файле, будет использоваться один и тот же пароль.
• Q. Этот параметр запускает сценарий в тихом режиме, если все необходимые параметры указаны в командной строке. Без этого параметра будет выдаваться предупреждение, что данный сценарий должен использоваться только для создания промежуточных сред, и при необходимости будут запрашиваться пароли для всех пользователей, пароли которых не заданы в XML-файле.

Пример. Заполнение промежуточного домена данными из файла в формате XML

Предположим, что промежуточной средой является домен test.contoso.com, и этот домен находится в том же лесу, что и рабочий домен, охваченный ранее в этой главе. Если промежуточный домен не находится в одном лесу с рабочим доменом, то этапы заполнения промежуточного домена будут те же, но может потребоваться другое сопоставление участников безопасности с помощью таблиц миграции.

Заполнение промежуточного домена из XML-файла

1. Убедитесь, что сценарий CreateEnvironmentFromXML.wsf запускается с достаточными разрешениями в промежуточном домене. Сценарий должен запускаться пользователем, имеющим права администратора домена или аналогичные права в домене.
2. Убедитесь, что имеется доступ к файлу в формате XML и к резервным копиям объектов групповой политики, созданным в рабочем домене с помощью сценария CreateXMLFromEnvironment.wsf.
   
   При запуске CreateEnvironmentFromXML.wsf нужно только сослаться на XML-файл (не на местоположение резервных копий объектов групповой политики) в параметрах командной строки. В этом файле содержатся пути к файлам резервных копий объектов групповой политики. Следовательно, когда задается XML-файл для сценария CreateEnvironmentFromXML.wsf, этот сценарий использует любые файлы резервных копий объектов групповой политики в папке, указанной при запуске сценария CreateXMLFromEnvironment.wsf. Если сценарий CreateXMLFromEnvironment.wsf запускался с помощью команды, как показано в примере Создание файла в формате XML в рабочей среде, то этот XML-файл будет указывать, что резервные копии находятся во вложенной папке текущей папки. Если при запуске сценария CreateXMLFromEnvironment.wsf относительный путь не использовался, то имеется три способа обеспечить обнаружение нужных файлов сценарием CreateEnvironmentFromXML.wsf:
   • скопировать структуру указанной папки из местоположения, в котором она была создана, в такое же местоположение (по тому же пути) на локальный компьютер, на котором запускается сценарий CreateEnvironmentFromXML.wsf;
   • указать при первом создании XML-файла не локальный диск, а сетевую папку (эта сетевая папка также должна быть доступна из местоположения, в котором запускается сценарий CreateEnvironmentFromXML.wsf);
   • отредактировать XML-файл, изменив записи путей так, чтобы они указывали на другое местоположение для файлов резервных копий объектов групповой политики.
3. Запустите сценарий CreateEnvironmentFromXML.wsf из папки «Scripts» в папке установки консоли управления групповыми политиками. Если cscript.exe не является обработчиком WSH по умолчанию, то перед именем сценария следует указать команду cscript. В данном примере введите в командной строке следующее:
   
   Cscript CreateEnvironmentFromXml.wsf /xml:c:\staging\production.xml /Domain:test.contoso.com /DC:test-dc1
   

Сценарий отображает предупреждение, что он предназначен только для создания промежуточных сред, а затем приглашает ввести пароль для объектов «пользователь». Если при запуске сценария используется параметр /Q, и пароль вводится с помощью параметраPasswordForUsers, то эти сообщения не отображаются. При подтверждении, что следует продолжить выполнение, сценарий отображает состояние обработки XML-файла и объектов групповой политики. Затем можно с помощью средства «Active Directory – пользователи и компьютеры» и консоли управления групповыми политиками проверить успешное создание пользователей, групп и объектов групповой политики и подтвердить, что все этапы выполнены правильно.

Поддержка синхронизации промежуточной и рабочей сред

Сценарии CreateXMLFromEnvironment.wsf и CreateEnvironmentFromXML.wsf используются для создания начальной промежуточной среды из рабочей среды. Но для поддержания групповой политики, включая тестирование новых и измененных объектов групповой политики, необходимы постоянные усилия. Как можно поддерживать синхронизацию промежуточной и рабочей сред на постоянной основе? Рассматривавшиеся ранее сценарии предоставляют метод заполнения объектов групповой политики «все или ничего» – они не предназначены для захвата и импорта только определенных объектов групповой политики.

Функции резервного копирования и импорта в консоли управления групповыми политиками предоставляют возможность выборочной синхронизации конкретных объектов групповой политики между рабочей и промежуточной средами. Средство резервного копирования используется для создания резервной копии параметров политики и безопасности рабочего объекта групповой политики. Затем можно импортировать эту резервную копию в существующий объект групповой политики в промежуточном домене, синхронизируя его таким образом с рабочим объектом групповой политики. Дополнительные сведения о резервном копировании и импорте объектов групповой политики см. в разделе Примеры развертывания.

Тестирование групповой политики в промежуточной среде

После создания промежуточной среды и синхронизации групповой политики с рабочей средой можно начинать тестирование запланированных изменений групповой политики. Лучший механизм тестирования групповой политики состоит в использовании комбинации средств «Результаты групповой политики» и «Моделирование групповой политики», имеющихся в консоли управления групповыми политиками, и применении реальных учетных записей пользователей и компьютеров в тестовой среде для обработки фактических объектов групповой политики.

Средство «Результаты групповой политики» используется, когда к компьютеру и пользователю применялись новые параметры объекта групповой политики, и необходимо проверить, действительно ли были применены все предполагаемые параметры политики. Моделирование групповой политики может использоваться для определения, как повлияет изменение местоположения пользователя или компьютера в пространстве имен Active Directory или изменение членства в группе пользователя или компьютера, а также для изучения влияния медленного подключения или политики замыкания на себя. Средство «Моделирование групповой политики» позволяет выполнить тестирование последствий изменения без фактического внесения изменений, а средство «Результаты групповой политики» показывает, что происходит на самом деле. Средство «Результаты групповой политики» работает на конечном компьютере, поэтому необходимо иметь доступ к этому компьютеру. Средство «Моделирование групповой политики» работает в контроллере домена, поэтому должен быть контроллер домена, в котором можно выполнять процесс моделирования. Следует отметить, что с помощью средства моделирования групповой политики можно моделировать параметры политики на компьютерах под управлением операционных систем Windows Server 2008, Windows Vista, Windows Server 2003 и Windows XP Professional. Необходимо помнить, что моделирование групповой политики имитирует обработку политики, а средство «Результаты групповой политики» показывает влияние фактически обработанных политик.

Тестирование путем входа как тестовый пользователь

Первый и лучший способ тестирования групповой политики состоит во внесении действительных изменений в объекты групповой политики промежуточного домена и последующем тестировании результатов путем входа в рабочие станции с тестовыми учетными записями пользователей для получения результатов изменений. Таким способом можно исследовать, как изменения будут влиять на пользователей.

Тестирование с помощью средства «Результаты групповой политики»

Для получения подробных отчетов об объектах групповой политики, которые применяются к пользователям и компьютерам, можно использовать мастер результатов групповой политики в консоли управления групповыми политиками, если эта консоль установлена на тестовом компьютере. В противном случае можно использовать версию результатов групповой политики для командной строки, чтобы создать отчеты о том, какие объекты групповой политики применялись к пользователю или компьютеру. Затем согласно полученным результатам можно внести необходимые изменения в тестовые объекты групповой политики. Результаты групповой политики используются после обработки всей групповой политики для конкретного пользователя или компьютера, чтобы получить сведения о том, какие параметры политики были применены. Результаты собираются путем запроса результирующей политики на компьютере под управлением Windows Server 2008, Windows Vista, Windows Server 2003 или Windows XP, обрабатывавшем групповую политику. Таким образом мастер возвращает параметры политики, которые действительно применялись, а не предполагаемые параметры политики. Результат будет тот же, что и при использовании программы Gpresult.exe с параметром /h.

Дополнительные сведения о мастере результатов групповой политики см в разделе Использование моделирования групповой политики и результатов групповой политики для оценки параметров групповой политики данного руководства.

Тестирование с помощью средства «Моделирование групповой политики»

Второй способ тестирования групповой политики состоит в использовании мастера моделирования групповой политики консоли управления групповыми политиками для моделирования изменений среды до того, как они действительно будут сделаны. Моделирование групповой политики позволяет выполнять гипотетическое тестирование объектов «пользователь» и «компьютер» перед рабочим развертыванием для исследования, как будут применяться параметры групповой политики при внесении таких изменений, как перемещение пользователя или компьютера в другое подразделение, изменение их членства в группе безопасности или изменения действующих WMI-фильтров. Однако следует помнить, что результаты, полученные с помощью моделирования групповой политики, относятся к смоделированным, а не к фактическим параметрам групповой политики. Следовательно, после моделирования сценария, удовлетворяющего потребностям, всегда лучше воспользоваться мастером результатов групповой политики, чтобы проверить предполагаемые параметры политики.

Поскольку моделирование групповой политики не позволяет указывать предполагаемые изменения параметров политики в объекте групповой политики, необходимо вносить предполагаемые изменения в промежуточные объекты групповой политики, а затем запускать мастер моделирования групповой политики для данного подразделения, пользователя или компьютера, чтобы определить результат политики.

Моделирование групповой политики также позволяет моделировать поведение групповой политики, когда компьютеры обрабатывают политику в медленных сетевых подключениях, которые могут определить, какие именно расширения групповой политики обрабатываются. Если компьютер подключен к контроллеру домена посредством медленного сетевого подключения, то такие расширения групповой политики, как установка программного обеспечения и перенаправление папки, не обрабатываются.

Моделирование групповой политики может имитировать скорость медленного подключения и использовать ее для определения, какие параметры политики будут действенными для моделируемого пользователя или компьютера. Кроме того, моделирование групповой политики поддерживает тестирование влияния режима замыкания на себя групповой политики. Если режим замыкания на себя включен, то одни и те же параметры политики применяются к компьютеру независимо от того, какой пользователь вошел в этот компьютер. Следует заметить, что необходимо задавать моделирование режима замыкания на себя в мастере моделирования групповой политики; режим замыкания на себя не моделируется по умолчанию.

С помощью мастера моделирования групповой политики можно указывать определение медленного подключения, режим замыкания на себя или и то, и другое. Для режима замыкания на себя можно выбрать замену или объединение политик пользователей. В режиме замены все обычные параметры политики пользователя заменяются параметрами, заданными в пользовательской конфигурации объектов групповой политики, которые применяются к объекту «компьютер» (параметрами политики замыкания на себя). В режиме объединения обычные параметры политики пользователя объединяются с параметрами политики замыкания на себя. Когда элемент политики в обычных параметрах политики пользователя противоречит параметрам политики замыкания на себя, применяются параметры замыкания на себя.

Примечание

Процесс моделирования групповой политики выполняется в контроллере домена. И наоборот, программа Gpresults или мастер результатов групповой политики выполняется на компьютере под управлением операционной системы Windows Server 2008, Windows Vista, Windows Server 2003 или Windows XP, обрабатывавшем групповую политику. Средство «Результаты групповой политики» использует поставщика WMI результирующей политики для создания сведений об обработке групповой политики. Средству моделирования групповой политики для выполнения анализа требуется служба поставщика результирующей политики в контроллере домена под управлением Windows Server 2008 или Windows Server 2003.

Дополнительные сведения о мастере моделирования групповой политики см. в разделе Использование моделирования групповой политики и результатов групповой политики для оценки параметров групповой политики данного руководства.

Подготовка к развертыванию в рабочей среде

После тщательного тестирования изменений групповой политики в промежуточной среде уже можно приступать к развертыванию новых или измененных объектов групповой политики в рабочей среде. Однако прежде чем делать это, следует оценить, потребуется ли в процессе переноса сопоставление участников безопасности или UNC-путей, содержащихся в объектах групповой политики, с другими значениями.

Определение требований сопоставления при переносе

Подготовительная среда может быть тестовым доменом в рабочем домене, отдельным, но надежным тестовым лесом или отдельным тестовым лесом без отношений доверия. В любом случае при развертывании новых или измененных объектов групповой политики в рабочей среде, вероятно, будет создаваться и использоваться таблица миграции. Таблицы миграции удовлетворяют трем разным требованиям сопоставления, приведенным далее.

• Необходимо сопоставить каждый элемент управления доступом в одном или нескольких объектах групповой политики с другими участниками безопасности при выполнении миграции этих объектов групповой политики в рабочую среду. В элементах управления доступом объекта управления доступом содержится описание, какие пользователи, компьютеры и группы компьютеров будут обрабатывать этот объект групповой политики, и какие пользователи или группы пользователей могут просматривать и редактировать параметры политики или удалять этот объект групповой политики.
• Необходимо сопоставить участники безопасности в параметрах политики безопасности или перенаправления папок, заданных в одном или нескольких объектах групповой политики. В частности такие политики, как назначение прав пользователя, группы с ограниченным доступом, файловая система, реестр или системные службы, позволяют задавать конкретных пользователей или группы, которые могут иметь доступ к этим ресурсам или настраивать их. Идентификатор безопасности (ИД безопасности) для такого пользователя или группы хранится в объекте групповой политики и при выполнении миграции этого объекта может быть изменен для отражения пользователей и групп рабочего домена.
• Необходимо сопоставить UNC-пути при задании параметров политики установки программного обеспечения, перенаправления папок или сценариев, которые ссылаются на UNC-пути. Например в объекте групповой политики может быть ссылка на сценарий, хранящийся во внешнем местоположении, таком как общий ресурс NETLOGON, на удаленном сервере. При переносе объекта групповой политики может потребоваться сопоставить этот путь с другим путем. Обычно UNC-пути связаны с конкретной средой, и при миграции объекта групповой политики в рабочую среду может потребоваться их изменение.

Если какие-либо из этих трех условий справедливы, то потребуется создание таблицы миграции, которая может использоваться при миграции объектов групповой политики для сопоставления значений в тестовых объектах групповой политики с правильными значениями в рабочей среде.

Создание таблиц миграции

Для создания и редактирования таблиц миграции используется редактор таблиц миграции, включенный в консоль управления групповыми политиками. Этот редактор можно вызвать одним из двух способов, приведенных далее.

• Можно запустить редактор таблиц миграции и создать или отредактировать таблицу миграции во время операции копирования или импорта консоли управления групповыми политиками. В этом случае редактор таблиц миграции запускается в отдельном окне, что позволяет создать новую таблицу миграции или отредактировать существующую.
• Можно запустить редактор таблиц миграции в автономном режиме (независимо от операции импорта или копирования), а затем создать или отредактировать таблицу миграции перед выполнением миграции объекта групповой политики в рабочую среду.

Можно также создавать таблицы миграции с помощью демонстрационных сценариев, как описывается далее в этом разделе.

Одно из преимуществ предварительного создания таблицы миграции состоит в том, что таким образом гарантируется точное соответствие заданных параметров миграции требованиям до начала развертывания. Следовательно перед началом перемещения тестовых объектов групповой политики в рабочую среду необходимо сначала создать одну или несколько таблиц миграции для объектов групповой политики, которые требуется перенести. Обратите внимание, что одна таблица миграции может использоваться для нескольких объектов групповой политики. Можно использовать одну таблицу миграции, включающую все возможные комбинации участников безопасности и UNC-путей для конкретной миграции из промежуточного в рабочий домен. В этом случае можно применять ту же таблицу миграции к каждому объекту групповой политики, разворачиваемому из промежуточного в рабочий домен, и соответствующие участники безопасности и пути будут корректно сопоставлены.

Использование автономного редактора таблиц миграции

Для запуска редактора таблиц миграции в автономном режиме следует выполнить программу Mtedit.exe в папке установки консоли управления групповыми политиками. Редактор таблиц миграции открывается с пустой таблицей миграции, которую можно заполнить вручную, вводя элементы в сетку, или автоматически с помощью одного из способов автозаполнения.

Автоматическое заполнение таблицы миграции

Самым простым способом начала создания таблицы миграции является использование одной из функций автоматического заполнения, доступных из меню Сервис в редакторе таблиц миграции. Можно автоматически заполнять таблицу миграции как из резервной копии объекта групповой политики, так и из реального объекта групповой политики. Для автоматического заполнения таблицы миграции используется процедура, приведенная далее.

Автоматическое заполнение таблицы миграции

1. Выберите автоматическое заполнение таблицы из реально существующих объектов групповой политики или из резервных копий. Когда миграция объекта групповой политики из промежуточной в рабочую среду будет подготовлена, можно указать «Заполнить из объекта групповой политики» по отношению к реально существующему объекту групповой политики в промежуточной среде для запуска таблицы миграции. Процесс автоматического заполнения таблицы из резервной копии объекта групповой политики такой же, только необходимо будет предоставить путь к резервной копии объекта групповой политики. В этом случае при наличии нескольких резервных копий объектов групповой политики отображается список, из которого можно выбрать нужные. Обратите внимание, что при автоматическом заполнении одной таблицы миграции можно выбрать несколько объектов групповой политики или их резервных копий. Это позволяет использовать одну таблицу миграции для всех объектов групповой политики в домене.
2. Укажите, должны ли включаться участники безопасности из DACL для объекта групповой политики. При автоматическом заполнении таблицы миграции можно выбрать вариант включения участников безопасности из DACL для объекта групповой политики. Если выбран этот вариант, то участники безопасности из DACL объекта групповой политики включаются в таблицу миграции вместе с участниками безопасности, на которые имеются ссылки в параметрах объекта групповой политики. Дублированные исходные участники безопасности не повторяются в таблице миграции. Редактор таблиц миграции поддерживает множество разных типов объектов, которые могут быть сопоставлены. Описание этих типов объектов приведено в таблице 10.
   

   Таблица 10. Типы объектов. поддерживаемые в таблице миграции

   Тип объекта	Используются для сопоставления
   Пользователь	Отдельные учетные записи пользователей.
   Глобальная группа домена	Глобальные группы домена.
   Локальная группа домена	Локальные группы домена.
   Универсальная группа	Универсальные группы.
   Компьютер	Имена компьютеров. Например отдельные компьютеры могут получить разрешения на чтение и применение групповой политики в объекте групповой политики.
   UNC-пути	UNC-пути используются в политике установки программного обеспечения.
   Текст или ИД безопасности	Неопределенные участники безопасности. Например можно ссылаться на участники безопасности в объекте групповой политики по имени, а не по ИД безопасности (указать «administrators», а не «DomainX\Administrators»); или может быть невозможно сопоставить участники безопасности для определения типа. Такой тип сопоставления может возникнуть, если устанавливается ограниченная групповая политика безопасности, и вместо сопоставления имени с реальным доменом вводится имя группы. В этом случае имя группы хранится в объекте групповой политики как заданное имя, а не как соответствующий имени ИД безопасности. Редактор таблиц миграции рассматривает такой участник безопасности как текст или ИД безопасности. Кроме того, можно вводить строковые ИД безопасности в редактор таблиц миграции. В этом случае тип объекта должен быть задан как «Текст или ИД безопасности», поскольку тип объекта не распознается редактором таблиц миграции.

3. Измените имя назначения для каждого участника безопасности и UNC-пути. После заполнения таблицы миграции можно выбрать изменение поля «Имя назначения» для каждой записи. По умолчанию имя назначения совпадает с исходным именем, что означает, что в качестве источника в конечном объекте групповой политики будет использоваться тот же участник безопасности или UNC-путь. В этом случае значение копируется без изменений, и в сопоставлениях не производится никаких изменений. Обычно требуется изменить это поле для одного или нескольких исходных элементов при миграции объекта групповой политики из тестовой среды в рабочую. Чтобы изменить поле назначения, можно ввести элемент или щелкнуть правой кнопкой мыши это поле и выбрать соответствующий пункт меню.
4. Доступны два пункта меню – Обзор и Задать объект назначения. Пункт меню Обзор позволяет выбрать участник безопасности в любом надежном домене. В пункте меню Задать объект назначения можно выбрать один из трех приведенных далее вариантов.
   
   • Объект назначения отсутствует. Если выбран параметр Объект назначения отсутствует, то участник безопасности не включается в конечный объект групповой политики при миграции. Для записей UNC-путей этот параметр недоступен.
   • Установка соответствия по относительному имени. Если выбран параметр Установка соответствия по относительному имени, то предполагается, что имя участника безопасности уже существует в конечном домене, и это имя будет использовано для сопоставления. Например, если исходное имя группы для домена test.contoso.com – «Domain Admins», и выполняется миграция объекта групповой политики в домен contoso.com, то имя Domain Admins@test.contoso.com будет сопоставлено с именем Domain Admins@contoso.com. Чтобы операция импорта или копирования выполнилась успешно, эта группа должна уже существовать в конечном домене. Для записей UNC-путей этот параметр недоступен.
   • Как в источнике. Если выбран параметр Как в источнике, то один и тот же участник безопасности используется как в исходном, так и в конечном объектах групповой политики. Соответственно запись безопасности остается не измененной. Обратите внимание, что этот параметр имеет практическое применение только при выполнении миграции из тестового домена, находящегося в одном лесу с рабочим доменом, или при выполнении миграции из тестового домена, находящегося в другом лесу, который имеет отношения доверия с рабочим лесом. Необходимое требование для успешного сопоставления исходного имени состоит в том, чтобы это имя могло быть введено пользователями и компьютерами в рабочем лесу.
   Существуют некоторые ограничения параметров, доступных для конечного имени. UNC-пути поддерживают только параметр Как в источнике, или можно вручную ввести другой UNC-путь. Участники безопасности, обозначенные как «текст или ИД безопасности», не поддерживают параметр Установка соответствия по относительному имени.
   
   Также важно отметить, что при выполнении сопоставления одного типа группы с другим будет выдано предупреждение. Например, если имеется исходный участник безопасности, являющийся глобальной группой домена, а в качестве конечного выбран участник, являющийся локальной группой домена, будет выведено предупреждение о том, что конечное имя имеет тип, отличный от типа исходного имени. Если затем попытаться проверить файл, то процесс проверки завершится неудачно, но эту таблицу миграции еще можно будет использовать для выполнения миграции. Обратите внимание, что таблица миграции не поддерживает сопоставление с встроенной группой безопасности, такой как группа «Администраторы».
   Если потребуется удалить строку из редактора таблиц миграции, выделите нужную строку, щелкните ее правой кнопкой мыши и нажмите Удалить.
5. Проверьте таблицу миграции. Перед сохранением таблицы миграции ее следует проверить. Для этого выберите в меню Сервис команду Проверить. Процесс проверки определяет правильность XML-формата файла и допустимость конечных имен с точки зрения миграции. Например, если указан UNC-путь для конечного объекта, и этот путь не существует, то процесс проверки отобразит предупреждающее сообщение. В частности процесс проверки выполняет следующие действия:
   
   • проверяет существование конечных участников безопасности и UNC-путей;
   • проверяет отсутствие параметров «Установка соответствия по относительному имени» и «Объект назначения отсутствует» в исходных записях для UNC-путей, поскольку такие параметры не поддерживаются;
   • проверяет, соответствует ли тип каждой конечной записи в таблице типу в Active Directory.
   Если данные вводятся вручную, то процесс проверки становится особенно важным для гарантий, что ошибка в записи не помешает успешному выполнению миграции. Следует отметить, что проверка файла сопоставления может завершиться неудачно из-за того, что пользователь, редактирующий файл, не имеет возможности разрешить участники безопасности или UNC-пути, указанные в файле. Однако это не означает, что файл не будет работать должным образом во время миграции, если предположить, что пользователь, выполняющий миграцию, может разрешить имена этих участников безопасности и UNC. В сообщениях проверки указывается, была ли причиной неудачного завершения синтаксическая ошибка в таблице, или же средство проверки просто не может разрешить имя участника безопасности или UNC-путь. В случае неудачи из-за невозможности разрешить имя следует проверить, имеется ли достаточный доступ к исходным и конечным ресурсам во время фактической миграции.
6. По окончании редактирования таблицы следует сохранить полученный в результате MIGTABLE-файл, последовательно выбрав в меню пункты Файл и Сохранить.

Ввод элементов таблицы миграции вручную

Если решено не использовать средство автозаполнения, или если необходимо вводить данные вручную, необходимо при вводе придерживаться соответствующих форматов, чтобы таблица миграции была правильной. В таблице 11 показаны соответствующие форматы для каждого типа объектов, поддерживаемого в таблице миграции. Следует отметить, что эти форматы обязательны как в исходном, так и в конечном полях.

Таблица 11. Необходимые форматы для объектов миграции

Тип объекта	Необходимый формат
Пользователь	а. UPN – пользователь@суффикс_UPN б. SAM – имя_домена_NetBIOS\пользователь в. DNS – имя_домена_DNS\пользователь Например MonicaB@contoso.com, contoso\MonicaB или contoso.com\MonicaB.
Глобальная группа домена	а. UPN – группа@суффикс_UPN б. SAM – имя_домена_NetBIOS\группа в. DNS – имя_домена_DNS\группа Например DomainAdmins@contoso.com, contoso\DomainAdminsB или contoso.com\DomainAdmins.
Локальная группа домена	а. UPN – группа@суффикс_UPN б. SAM – имя_домена_NetBIOS\группа в. DNS – имя_домена_DNS\группа Например Administrators@contoso.com, contoso\Administrators или contoso.com\Administrators.
Универсальная группа	а. UPN – группа@суффикс_UPN б. SAM – имя_домена_NetBIOS\группа в. DNS – имя_домена_DNS\группа Например EnterpriseAdmins@contoso.com, contoso\EnterpriseAdmins или contoso.com\EnterpriseAdmins.
Компьютер	а. UPN – имя_компьютера$@суффикс_UPN б. SAM – имя_домена_NetBIOS\имя_компьютера$ в. DNS – имя_домена_DNS\имя_компьютера$ Например server1$@contoso.com, contoso\server1$ или contoso.com\server1$. Знак «$» указывает скрытую учетную запись компьютера.
UNC-путь	\\имя_сервера\имя_общего_ресурса\. Например \\server1\packages.
Текст или ИД безопасности	Строка или строковое представление ИД безопасности. Например "MonicaB" или "S-1-5-21-1473733259-1489586486-3363071491-1005". ИД безопасности нельзя указывать в конечном поле.

Создание таблицы миграции с помощью сценария

Если требуется автоматизировать процесс создания таблиц миграции, можно воспользоваться демонстрационным сценарием консоли управления групповыми политиками CreateMigrationTable.wsf. Можно также использовать этот сценарий вместо редактора таблиц миграции для создания начальной таблицы миграции, а затем изменять эту таблицу с помощью редактора.

Сценарий CreateMigrationTable.wsf поддерживает автоматическое заполнение таблицы миграции с помощью местоположения текущего объекта групповой политики или резервной копии этого объекта. Этот сценарий можно читать из всех объектов групповой политики в домене. В таком случае все возможные участники безопасности, обнаруженные в объектах групповой политики промежуточного домена, вставляются в таблицу миграции, и эту единственную таблицу миграции можно использовать для миграции любого объекта групповой политики из промежуточного в рабочий домен.

Следует отметить, что этот сценарий всегда включает участники безопасности, которые являются частью DACL объекта групповой политики, в отличие от редактора таблиц миграции, в котором есть возможность исключить эти участники безопасности. В этом сценарии также имеется возможность установить для конечного имени параметр «Установка соответствия по относительному имени» вместо установленного по умолчанию «Как в источнике». Для применения относительного именования используется параметр /MapByName.

Следующая команда иллюстрирует использование сценария. В этой команде объект групповой политики с именем Finance OU Desktop Policy располагается в промежуточном домене с именем staging.contoso.com. Эта команда выполняет автоматическое заполнение таблицы миграции с именем FinanceStaging.migtable из текущего объекта групповой политики:

Cscript.exe CreateMigrationTable.wsf c:\migtables\FinanceStaging.migtable /GPO: "Finance OU Desktop Policy" /domain:staging.contoso.com

Чтобы создать таблицу миграции не из реально существующего объекта групповой политики, а из его резервной копии, следует просто добавить в синтаксис команды параметр /BackupLocation и указать путь к папке, в которой содержится эта резервная копия. Обратите внимание, что если указан параметр /BackupLocation, и в папке по заданному пути находится несколько резервных копий объектов групповой политики, то для заполнения таблицы миграции будут использованы все возможные резервные копии объектов групповой политики.

Окончательная подготовка к развертыванию

На финальном этапе перед развертыванием в рабочей среде следует выполнить резервное копирование промежуточных объектов групповой политики. Резервное копирование необходимо, если для выполнения миграции из промежуточной в рабочую среду используется импорт объектов групповой политики. Метод импорта требуется в том случае, когда промежуточная среда находится в лесу, отличном от леса рабочего домена, и не имеющем отношений доверия с ним, или когда необходимо обновление существующего в рабочей среде объекта групповой политики. С помощью консоли управления групповыми политиками можно восстановить один или несколько объектов групповой политики, а с помощью демонстрационного сценария BackupGPO.wsf можно восстановить один или все объекты групповой политики в промежуточном домене. Чтобы восстановить объект групповой политики с помощью консоли управления групповыми политиками, в дереве консоли щелкните правой кнопкой мыши объект групповой политики, который нужно восстановить, а затем выберите команду Резервное копирование.

Чтобы выполнить резервное копирование объекта групповой политики с помощью сценария BackupGPO.wsf, запустите этот сценарий из папки Program Files\Microsoft Group Policy\GPMC Sample Scripts. С помощью следующего синтаксиса команды в командной строке выполняется резервное копирование объекта групповой политики Finance OU Workstation Security Policy в домене staging.contoso.com в папку c:\gpobacks:

Cscript.exe backupgpo.wsf "Finance OU Workstation Security Policy" c:\gpobacks /comment:"Backup prior to prod" /domain:staging.contoso.com

В приведенный выше синтаксис включены комментарии, указывающие цель резервного копирования.

Развертывание подготовленных объектов групповой политики в рабочей среде

После построения промежуточной среды, ее синхронизации с рабочей средой, тестирования новых и измененных объектов групповой политики и создания таблиц миграции можно приступать к выполнению фактического развертывания в рабочей среде.

Меры предосторожности при развертывании

Чтобы обеспечить непрерывное обслуживание пользователей, рекомендуется предусмотреть некоторые меры предосторожности при миграции подготовленных объектов групповой политики в рабочую среду. Хотя миграция новых объектов групповой политики обычно происходит быстро и не оказывает заметного влияния на пользователей и компьютеры в рабочей среде, целесообразно выполнять такие изменения тогда, когда они могут повлиять на минимально возможное количество пользователей. Обычно это происходит в часы наименьшей активности пользователей, когда пользователи не работают в сети.

Следует помнить, что при обновлении объекта групповой политики это обновление сначала выполняется в контроллере домена, который в текущий момент времени консоль управления групповыми политиками считает целевым для конкретного домена. Если для выполнения миграции используется консоль управления групповыми политиками, можно нажать элемент Домены в дереве консоли, чтобы увидеть, какой контроллер домена в текущий момент используется для каждого управляемого домена. Чтобы изменить этот контроллер домена, перед выполнением миграции изменений в дереве консоли управления групповыми политиками дважды щелкните правой кнопкой мыши имя домена, выберите пункт меню Изменить контроллер домена и укажите новый контроллер домена.

Репликация объекта групповой политики

Следует помнить, что изменения объекта групповой политики распространяются согласно топологиям репликации Active Directory и Sysvol, и следовательно репликация во все местоположения развертывания Active Directory по всему миру может занять больший период времени. Также следует помнить, что объект групповой политики сравнивает две части – ту, которая хранится и реплицируется как часть Active Directory, и ту, которая хранится и реплицируется как часть Sysvol. Поскольку это два разных объекта, которые нужно реплицировать в сети, оба этих объекта должны быть синхронизированы перед применением нового объекта групповой политики.

Увидеть состояния репликации конкретного контроллера домена можно с помощью консоли управления групповыми политиками. В дереве консоли управления групповыми политиками разверните узел Объекты групповой политики в лесу или домене, содержащем объекты групповой политики, которые требуется применить, а затем нажмите вкладку Подробности в панели подробностей. Если объект групповой политики синхронизирован в этом контроллере домена, то номера версий Active Directory и Sysvol будут идентичными для конфигураций пользователя и компьютера. Тем не менее номера версий пользователей не обязательно должны соответствовать номерам версий компьютера.

Требования к выполнению развертывания

Основное требование, о котором следует помнить при подготовке миграции подготовленных объектов групповой политики в рабочую среду, состоит в том, что должны быть достаточные разрешения для конечных объектов групповой политики. Обычно для выполнения развертывания требуется только доступ на чтение в исходном домене. В зависимости от конфигурации промежуточной среды перед миграцией может потребоваться выполнение некоторых особых этапов. При выполнении операции копирования будут нужны достаточные разрешения для создания нового объекта групповой политики в конечном домене. При выполнении импорта резервной копии объекта групповой политики потребуется право на чтение файлов резервных копий, где бы они ни располагались, и достаточные разрешения на изменение существующего объекта групповой политики, который является целью операции импорта. Наконец таблица миграции, созданная для каждого объекта групповой политики, которому она необходима, должна храниться там, где она будет доступна во время выполнения миграции. В следующем контрольном списке сведены элементы, которые необходимо проверить перед выполнением миграции.

• Для операции копирования Убедитесь, что конечный домен имеет отношения доверия с исходным доменом, и что имеются разрешения на создание объекта групповой политики в этом конечном домене. Подтвердить разрешения на создание объекта групповой политики в домене можно с помощью консоли управления групповыми политиками. В дереве консоли управления групповыми политиками разверните узел Объекты групповой политики в конечном домене и нажмите вкладку Делегирование, чтобы проверить, какие пользователи и группы могут создавать новые объекты групповой политики в этом домене.
• Для операции импорта Убедитесь, что имеется доступ к файлам резервных копий объектов групповой политики, и что имеется разрешение на редактирование параметров объекта групповой политики в конечном объекте групповой политики.
• Если используется таблица миграции (MIGTABLE-файл): убедитесь, что имеется доступ к этому файлу из консоли управления групповыми политиками.

Примеры развертывания

Следующие два примера иллюстрируют развертывание объектов групповой политики из промежуточной в рабочую среду. В первом примере промежуточный домен расположен в одном лесу с рабочим доменом. Во втором примере промежуточный домен расположен в отдельном лесу, не имеющем отношений доверия с рабочим доменом. При использовании отдельного промежуточного леса, имеющего отношения доверия с рабочим доменом, порядок действий тот же, что и в первом примере, в котором промежуточный домен находится в рабочем лесу.

Развертывание в рабочий домен в том же лесу или из промежуточного леса с отношениями доверия

Когда промежуточный домен находится в рабочем лесу, или когда имеется отдельный промежуточный лес, имеющий отношения доверия с рабочим доменом, метод развертывания зависит от того, является ли объект групповой политики новым или измененным. Если объект групповой политики создается заново и не существует в рабочем домене, для его развертывания следует использовать метод копирования. Если разворачивается обновление существующего объекта групповой политики, необходимо воспользоваться методом импорта, чтобы обновить параметры рабочего объекта групповой политики параметрами из резервной копии промежуточного объекта групповой политики.

В этом примере будет разворачиваться новый объект групповой политики с именем «Политика безопасности на рабочих станциях отдела продаж» из промежуточного домена в рабочий домен с помощью консоли управления групповыми политиками. На рисунке 11 показаны конфигурации промежуточного и рабочего доменов и соответствующая таблица миграции.

Перед началом развертывания загрузите исходный и конечный домены в консоль управления групповыми политиками. Если выполняется копирование из отдельного леса с отношениями доверия, откройте в консоли управления групповыми политиками оба леса.

Развертывание нового объекта групповой политики методом копирования

1. В дереве консоли управления групповыми политиками разверните узел Объекты групповой политики в промежуточном домене.
2. Щелкните правой кнопкой мыши объект групповой политики, который планируется копировать, а затем выберите команду Копировать.
3. В дереве консоли управления групповыми политиками щелкните правой кнопкой мыши узел Объекты групповой политики в рабочем домене, а затем выберите команду Вставить. Откроется мастер копирования.
4. На странице приветствия мастера копирования нажмите кнопку Далее.
5. Выберите пункт Сохранить или мигрировать разрешения в начальных объектах групповой политики, а затем нажмите кнопку Далее.
   
   Этот параметр позволяет сопоставлять DACL промежуточного объекта групповой политики с его эквивалентом в рабочем домене с помощью таблицы миграции. Если выбран первый параметр, Использовать разрешения по умолчанию для новых объектов групповой политики, то этот объект групповой политики получит разрешения по умолчанию, которые будут применяться ко всем новым объектам групповой политики в рабочем домене.
6. После того как мастер выполнить сканирование исходного объекта групповой политики для определения требований сопоставления любых участников безопасности или UNC-путей, нажмите кнопку Далее.
7. На странице Миграция ссылок выберите Использование этой таблицы миграции для сопоставления с новыми значениями в новых объектах групповой политики.
   
   Этот параметр позволяет выбрать таблицу миграции для использования в качестве части развертывания. Поскольку выполняется миграция нового объекта групповой политики из промежуточной среды в рабочую, необходимо выбрать этот параметр. Другой параметр,Копирование идентично из исходного объекта, оставляет все участники безопасности и UNC-пути в новом объекте групповой политики точно такими, как и в исходном объекте.
8. Если требуется, чтобы вся миграция останавливалась в том случае, если участник безопасности или UNC-путь, существующий в исходном объекте групповой политики, отсутствует в таблице миграции, то на той же странице выберите параметр Использование только таблицы миграции.
   
   Если этот параметр выбран, то мастер будет пытаться сопоставить все участники безопасности и UNC-пути с помощью указанной таблицы миграции. Это полезно для обеспечения того, что учетные записи имеются для всех участников безопасности и UNC-путей в таблице миграции.
9. Нажмите кнопку Далее.
10. На странице завершения мастера подтвердите, что заданы правильные параметры миграции, и нажмите кнопку Готово.
    
    После нажатия кнопки Готово начинается миграция промежуточного объекта групповой политики. Следует помнить, что новый объект групповой политики создается в рабочем домене, но еще не связывается с какими-либо объектами-контейнерами.
11. После того как мастер выполнить операцию копирования, щелкните правой кнопкой мыши сайт Active Directory, домен или подразделение, с которыми требуется связать скопированный объект групповой политики, а затем выберите команду Связать существующий объект групповой политики.
12. В диалоговом окне Выбор объекта групповой политики выберите только что скопированный объект групповой политики.

После того как новый объект групповой политики будет связан, и репликация завершится, этот объект начинает реально существовать в рабочем домене.

Использование сценария для выполнения развертывания путем копирования

Развертывание путем копирования можно также выполнить с помощью сценария CopyGPO.wsf. Этот сценарий копирует объект групповой политики из промежуточного домена в рабочий с помощью единственной команды. Для выполнения операции копирования, описанной в предыдущей процедуре, используется следующая команда:

Cscript CopyGPO.wsf "Sales OU Workstation Security Policy" "Sales OU Workstation Security Policy" /SourceDomain:staging.contoso.com /TargetDomain:contoso.com /SourceDC:staging-dc1 /TargetDC:prod-DC1 /migrationtable:c:\migtables\SalestoProd.migtable /CopyACL

Первые два аргумента в этой команде задают одно и то же имя для исходного и конечного объектов групповой политики. Следующие четыре аргумента задают имена исходного и конечного доменов и контроллеров доменов в каждом их них. Аргумент /migrationtable указывает используемую таблицу миграции, а аргумент /CopyACL используется для сохранения DACL исходного объекта групповой политики и применяет указанную таблицу миграции для сопоставления исходных DACL с их эквивалентами в рабочем домене.

Развертывание в рабочем домене из промежуточного леса без отношений доверия

При развертывании объекта групповой политики из промежуточного леса, не имеющего отношений доверия с рабочим лесом, используется только операция импорта. Импорт можно также использовать для развертывания обновления существующего объекта групповой политики в рабочем домене, даже если между промежуточным и рабочим доменами существуют отношения доверия.

Предварительные требования для операции импорта

Перед выполнением развертывания в этом примере убедитесь, что выполнены приведенные далее действия.

• При развертывании нового объекта групповой политики с помощью консоли управления групповыми политиками необходимо создать в рабочем домене новый, пустой объект групповой политики, который может служить конечным объектом для операции импорта. помните, что операция импорта консоли управления групповыми политиками работает путем импорта параметров политик из резервной копии объекта групповой политики в существующий конечный объект групповой политики. Однако можно также воспользоваться сценарием ImportGPO.wsf для автоматического создания нового объекта групповой политики как части процесса импорта.
• Перед началом импорта убедитесь, что в промежуточном домене выполнено резервное копирование тех объектов групповой политики, которые планируется развернуть в рабочем домене. Это необходимо, поскольку операция импорта использует не реально существующие объекты групповой политики, а их резервные копии.
• Если для выполнения импорта используется не сценарий, а консоль управления групповыми политиками, то можно выполнить откат текущего объекта групповой политики в рабочей среде перед выполнением импорта. Следует всегда выполнять откат существующего в рабочей среде объекта групповой политики перед развертыванием новой версии, если имеются какие-либо проблемы с развертыванием. Таким образом, в консоли управления групповыми политиками можно выполнить операцию восстановления, чтобы восстановить предыдущую версию объекта групповой политики.

После выполнения этих задач воспользуйтесь процедурой, приведенной далее, для развертывания нового объекта групповой политики с помощью операции импорта.

Развертывание нового объекта групповой политики с помощью операции импорта

1. В дереве консоли управления групповыми политиками разверните узел Объекты групповой политики в рабочем домене.
2. Правой кнопкой мыши щелкните объект групповой политики и выберите команду Параметры импорта. Откроется окно мастера параметров импорта.
3. На странице приветствия нажмите кнопку Далее.
4. На странице Резервное копирование объекта групповой политики выберите Резервное копирование, чтобы выполнить резервное копирование существующего в рабочей среде объекта групповой политики перед импортом.
5. В диалоговом окне Резервное копирование объекта групповой политики укажите местоположение, в котором должна сохраняться резервная копия этого объекта, введите описание для этого резервного копирования и нажмите Выполнить резервное копирование.
6. После завершения резервного копирования объекта групповой политики выводится сообщение об успешном выполнении резервного копирования. Нажмите кнопку ОК.
7. На странице Резервное копирование объекта групповой политики нажмите кнопку Далее.
8. На странице Местоположение резервной копии укажите папку, в которой находится резервная копия промежуточного объекта групповой политики, который требуется импортировать.
   
   Необходимо иметь доступ к той папке, в которой находятся резервные копии промежуточных объектов групповой политики. Если резервные копирования выполнялись на сервере в промежуточном лесу, то может потребоваться сопоставить с этой папкой диск компьютера, на котором выполняется операция импорта, с помощью учетных данных из промежуточного леса.
9. Нажмите кнопку Далее.
10. На странице Исходный объект групповой политики выберите промежуточный объект групповой политики, который требуется импортировать, и нажмите кнопку Далее.
11. На странице Проверка архива мастер будет проверять параметры политики в резервной копии для определения ссылок на участники безопасности или UNC-пути, которые требуется перенести, и по окончании отобразит результаты этого сканирования.
12. Нажмите кнопку Далее.
13. На странице Миграция ссылок выберите Использование этой таблицы миграции для сопоставления с новыми значениями в новых объектах групповой политики, а затем укажите путь к таблице миграции, созданной для данной миграции.
    
    Этот параметр позволяет выбрать таблицу миграции для использования в качестве части развертывания. Поскольку объект групповой политики разворачивается из промежуточного домена, не имеющего отношений доверия с рабочим доменом, для выполнения миграции сведений об участниках безопасности и UNC-путях необходимо использовать таблицу миграции. В противном случае участники безопасности и UNC-пути, на которые имеются ссылки в лесу без отношений доверия, не смогут быть разрешены рабочим доменом.
14. Если требуется, чтобы вся миграция останавливалась в том случае, если участник безопасности или UNC-путь, существующий в исходном объекте групповой политики, отсутствует в таблице миграции, то на той же странице выберите параметр Использование только таблицы миграции.
    
    Этот параметр используется для импорта объекта групповой политики только в том случае, если все участники безопасности, обнаруженные в резервной копии, учтены в таблице миграции.
15. Нажмите кнопку Далее.
16. На странице завершения мастера подтвердите, что заданы правильные параметры миграции, и нажмите кнопку Готово. После нажатия кнопки Готово начинается миграция промежуточного объекта групповой политики. После того как мастер завершит операцию импорта, появится сообщение об успешном выполнении импорта.
17. Нажмите кнопку ОК.

Если для выполнения этого импорта был создан новый рабочий объект групповой политики, необходимо связать этот новый объект с соответствующим объектом-контейнером. Чтобы связать объект групповой политики с соответствующим объектом-контейнером, в рабочем домене дерева консоли управления групповыми политиками щелкните правой кнопкой мыши сайт Active Directory, домен или подразделение, с которым требуется связать импортированный объект групповой политики, нажмите Связать существующий объект групповой политики, укажите объект групповой политики для связывания и нажмите кнопку ОК. После того как новый объект групповой политики будет связан, и репликация завершится, этот объект начинает реально существовать в рабочем домене.

Использование сценария для выполнения развертывания путем импорта

Существует возможность также выполнить развертывание путем импорта с помощью сценария ImportGPO.wsf. Этот сценарий позволяет импортировать резервную копию объекта групповой политики в рабочий домен. Если конечный объект групповой политики еще не существует, этот сценарий позволяет также в качестве части процесса создать новый объект групповой политики для получения импорта. Для выполнения операции импорта, описанной в предыдущей процедуре, используется следующая команда:

Cscript ImportGPO.wsf c:\gpobacks "Sales OU Workstation Security Policy" "Sales OU Workstation Security Policy" /CreateIfNeeded /MigrationTable:c:\migtables\salesprod.migtable /Domain:contoso.com

Первый аргумент в этой команде задает местоположение файлов резервных копий объектов групповой политики. Второй аргумент задает имя резервной копии объекта групповой политики, из которой выполняется импорт параметров (вместо имени можно указать ИД резервной копии, который является 128-битовым значением GUID, созданным служебной программой резервного копирования для уникальной идентификации этой резервной копии). Третий аргумент задает имя конечного объекта групповой политики, в который будет производиться импорт параметров. Аргумент /CreateIfNeeded указывает, что если конечный объект групповой политики еще не существует, то его следует создать перед выполнением импорта. Аргумент /MigrationTable задает путь и имя для файла таблицы миграции. Аргумент /Domain предоставляет DNS-имя конечного домена.

Откат

В случае возникновения проблем с объектом групповой политики после его развертывания из промежуточной в рабочую среду лучшим способом выполнения отката развертывания будет использование резервной копии объекта групповой политики, которая была создана для восстановления первоначального объекта групповой политики. Для выполнения восстановления можно также воспользоваться сценарием RestoreGPO.wsf. Рекомендуется также в качестве части процесса развертывания создать набор сценариев для выполнения автоматического отката всех изменений с помощью сценария RestoreGPO.wsf. Если потребуется выполнить откат, то этот сценарий готов к использованию и требует лишь минимальных изменений.

Источник: http://technet.microsoft.com/ru-ru/library/cc754948(v=ws.10).aspx