Реализация области и наследования GPO
Параметры политики в объектах групповой политики определяют конфигурацию. Однако прежде чем изменения конфигурации в объекте групповой политики повлияют на компьютеры или пользователей организации, необходимо указать компьютеры или пользователей, к которым применяется объект групповой политики. Это называется определением области объекта групповой политики. Область объекта групповой политики — это коллекция пользователей и компьютеров, которые будут применять параметры в объекте групповой политики.
Внимание
Определение области GPO осуществляется путем ее связывания с подразделением, содержащим целевых пользователей и компьютеры.
Определение области объекта групповой политики
Для управления областью объектов групповой политики на основе домена можно использовать несколько методов. Первый — связь с объектом групповой политики. В доменных службах Active Directory объекты групповой политики можно связывать со следующим.
- Сайты
- Домены
- Подразделения
После этого сайт, домен или подразделение становится максимальной областью объекта групповой политики. Конфигурации, указанные параметрами политики в объекте групповой политики, влияют на все компьютеры и всех пользователей в пределах сайта, домена или подразделения, включая те из них, которые находятся в дочерних подразделениях. Объект групповой политики можно связать с несколькими доменами, подразделениями или сайтами.
Внимание
Связывание объектов групповой политики с несколькими сайтами в лесу из нескольких доменов может привести к проблемам с производительностью при применении политики, поэтому в подобных ситуациях связывания объектов групповой политики с несколькими сайтами следует избегать. Это вызвано тем, что в сети с множеством сайтов и несколькими лесами объекты групповой политики хранятся на контроллерах домена в том домене, где объекты групповой политики были созданы. Вследствие этого для получения объектов групповой политики компьютеры в других доменах могут быть вынуждены перейти по медленному каналу глобальной сети (WAN).
Область объекта групповой политики можно сузить еще сильнее с помощью одного из двух типов фильтров, описанных в следующей таблице.
Фильтр
Description
Безопасность
Указывают группы безопасности либо отдельные объекты-пользователи или объекты-компьютеры, которые относятся к области объекта групповой политики, но к которым объект групповой политики должен или не должен явно применяться.
WMI
Определяют область с помощью характеристик системы, таких как версия операционной системы или свободное место на диске.
Используйте фильтры безопасности и фильтры инструментария WMI, чтобы сузить или определить область в составе начальной области, созданной связью объекта групповой политики. Ниже приведен пример фильтра инструментария WMI, который приводит к получению списка компьютеров под управлением Windows 10.
select * from Win32_OperatingSystem where Version like "10.%"
Порядок обработки объектов групповой политики
Объекты групповой политики, которые применяются к пользователю, компьютеру или и тому и другому, не применяются все сразу. Объекты групповой политики применяются в определенном порядке. Конфликтующие параметры, которые обрабатываются позже, могут перезаписывать параметры, которые обрабатываются первыми.
Групповая политика придерживается следующего иерархического порядка обработки:
- локальные объекты групповой политики;
- объекты групповой политики, связанные с сайтами;
- объекты групповой политики, связанные с доменами;
- объекты групповой политики, связанные с подразделениями;
- объекты групповой политики, связанные с дочерними подразделениями.
Внимание
При применении групповых политик по умолчанию действует следующее правило: приоритет имеет политика, примененная последней (наиболее строго определенная политика).
Например, политика, ограничивающая доступ к панели управления и примененная на уровне домена, может быть отменена политикой, примененной на уровне подразделения, для объектов, содержащихся в данном подразделении.
При связывании с подразделением нескольких объектов групповой политики их обработка выполняется в том порядке, который указан администратором на вкладке Связанные объекты групповой политики подразделения в консоли управления групповыми политиками. По умолчанию обработка включена для всех связей объекта групповой политики. Можно отключить связь объекта групповой политики контейнера, чтобы полностью заблокировать применение объекта групповой политики для данного домена или подразделения. Например, если вы недавно внесли изменение в объект групповой политики, а оно вызывает проблемы в рабочей среде, можно отключить связь или связи до тех пор, пока проблема не будет устранена.
Примечание.
Обратите внимание, что, если объект групповой политики связан с другими контейнерами, они продолжат обрабатывать объект групповой политики, если их связи включены.
Вы также можете отключить конфигурацию пользователя или компьютера определенного объекта групповой политики независимо от пользователя или компьютера. Если известно, что один из разделов политики является пустым, отключение другого раздела может немного ускорить обработку политики. Например, если политика доставляет только конфигурацию рабочего стола пользователя, можно отключить в политике раздел компьютера.
Наследование объекта групповой политики
Параметр политики можно настроить в нескольких объектах групповой политики, что может стать причиной конфликта объектов групповой политики. В этом случае приоритет объектов групповой политики определяет, какой параметр политики применяется к клиенту. Объект групповой политики с более высокой очередностью имеет приоритет перед объектом групповой политики с более низкой очередностью. Очередность определяется в цифровом выражении. Каждый объект групповой политики имеет значение очередности. Чем меньше число, тем выше очередность. Таким образом, объект групповой политики с очередностью "один" имеет приоритет перед всеми остальными объектами групповой политики.
Поведение групповой политики по умолчанию заключается в том, что объекты групповой политики, связанные с контейнером более высокого уровня, наследуются контейнерами более низкого уровня. Когда запускается компьютер или пользователь входит в систему, расширения клиента групповой политики проверяют расположение объекта-компьютера или объекта-пользователя в доменных службах Active Directory и оценивают объекты групповой политики с областями, включающими компьютер или пользователя. Затем расширения на стороне клиента применяют параметры политики из этих объектов групповой политики. Политики применяются последовательно: сначала применяются политики, связанные с сайтом, затем политики, связанные с доменом, и, наконец, политики, связанные с подразделениями. Это последовательное применение объектов групповой политики создает эффект, называемый наследованием политики. Политики наследуются. Это означает, что результирующий набор политик (RSoP) для пользователя или компьютера представляет собой суммарное действие политик сайтов, доменов и подразделений.
Блокирование наследования
Можно настроить домен или подразделение таким образом, чтобы предотвратить наследование параметров политики. Это называется блокированием наследования. Чтобы заблокировать наследование, нажмите правую кнопку мыши или откройте контекстное меню домена или подразделения в дереве консоли управления групповыми политиками и выберите Блокировать наследование.
Параметр "Блокировать наследование" является свойством контейнера, поэтому блокирует все параметры групповой политики от объектов групповой политики, связанных с родительскими элементами в иерархии групповой политики.
Внимание
Параметр "Блокировать наследование" следует использовать с осторожностью, поскольку блокирование наследования усложняет оценку очередности и наследования групповых политик.
Совет
Фильтрация групп безопасности позволяет тщательно определить область применения объекта групповой политики: он применяется только к правильным пользователям и компьютерам, в результате чего необходимость в использовании параметра "Блокировать наследование" отпадает.
Принудительное применение связи объекта групповой политики
Применение связи объекта групповой политики можно также сделать принудительным. Для принудительного применения связи объекта групповой политики нажмите правую кнопку мыши или откройте контекстное меню для связи объекта групповой политики в дереве консоли, а затем выберите в контекстном меню пункт Принудительно.
При задании для связи объекта групповой политики значения "Принудительно" этот объект групповой политики получает наивысший уровень очередности. Параметры политики в этом объекте групповой политики имеют приоритет над любыми конфликтующими параметрами политики в других объектах групповой политики.
Внимание
Принудительная связь применяется к дочерним контейнерам, даже если эти для них установлено блокирование наследования. Параметр "Принудительно" приводит к применению политики ко всем объектам в определенной области.
Принудительное применение полезно, когда необходимо настроить объект групповой политики, определяющий конфигурацию, которая является обязательной в соответствии с корпоративными политиками безопасности и использования ИТ-систем. Поэтому необходимо убедиться в том, что другие объекты групповой политики, связанные с теми же или более низкими уровнями, не переопределяют эти параметры. Добиться этого можно путем принудительного применения связи объекта групповой политики.
Оценка очередности
Чтобы упростить оценку приоритета групповой политики, можно просто выбрать подразделение или домен, а затем выбрать вкладку наследования групповой политики. На этой вкладке отображается результирующий приоритет объектов групповой политики, учет ссылки групповой политики, порядок ссылок, блокировка наследования и принудительное применение ссылок.
Внимание
Эта вкладка не учитывает политики, связанные с сайтом, безопасность объекта групповой политики или фильтрацию инструментария WMI.