Создание и настройка объекта групповой политики на основе домена
Управление объектами групповой политики осуществляется с помощью двух основных средств.
- Консоль управления групповыми политиками
- Редактор "Управление групповыми политиками"
Для управления объектами групповой политики и их параметрами можно также использовать командлеты Windows PowerShell, включая описанные в следующей таблице.
Командлет
Description
New-GPO
Создает новый объект групповой политики.
New-GPLink
Связывает объект групповой политики с сайтом, доменом или подразделением.
Get-GPInheritance
Получает сведения о наследовании групповой политики для указанного домена или подразделения.
Set-GPInheritance
Блокирует или разблокирует наследование для указанного домена или подразделения.
Get-GPO
Получает один объект или все объекты групповой политики в домене.
Чем можно управлять с помощью объектов групповой политики?
Имеется две основные категории параметров политики: параметры компьютера, которые содержатся в узле Конфигурация компьютера, и параметры пользователя, которые содержатся в узле Конфигурация пользователя.
- Узел Конфигурация компьютера содержит параметры, которые применяются к компьютерам независимо от того, кто входит в систему. Параметры компьютера применяются при запуске операционной системы, при обновлениях в фоновом режиме, а также каждые следующие 90–120 минут.
- Узел Конфигурация пользователя содержит параметры, которые применяются, когда пользователь входит в систему на компьютере, при обновлениях в фоновом режиме, а также каждые следующие 90–120 минут.
В узлах Конфигурация компьютера и Конфигурация пользователя находятся узлы Политики и Параметры.
Узлы Политики в составе узлов "Конфигурация компьютера" и "Конфигурация пользователя" имеют иерархию папок, содержащих параметры политики. Поскольку существуют тысячи параметров, отдельные параметры в данном курсе не рассматриваются. Однако рассмотреть типы параметров, которые можно настроить, полезно.
Применение параметров безопасности
В операционной системе Windows Server объекты групповой политики включают большое количество связанных с безопасностью параметров, которые можно применять как к пользователям, так и к компьютерам. Например, можно принудительно применить параметры политики паролей домена для брандмауэра в Защитнике Windows, а также настроить аудит и другие параметры безопасности. Можно также настроить полные наборы назначений прав пользователя.
Управление параметрами рабочего стола и приложения
Групповую политику можно использовать для обеспечения единообразия среды рабочего стола и приложений для всех пользователей в организации. С помощью объектов групповой политики можно настроить каждый параметр, который влияет на представление пользовательской среды. Кроме того, можно настроить параметры для некоторых приложений, поддерживающих объекты групповой политики.
Развертывание программного обеспечения
С помощью групповой политики можно развертывать программное обеспечение для пользователей и компьютеров. Групповую политику можно использовать для развертывания всего программного обеспечения, доступного в формате .msi. Кроме того, можно устанавливать программное обеспечение в принудительном порядке или позволить пользователям решать, следует ли развертывать его на своих компьютерах.
Внимание
Развертывание крупных программных пакетов с помощью объектов групповой политики может оказаться не самым эффективным способом распространения приложения на компьютеры организации. В некоторых случаях эффективнее распространять приложения в составе образа настольного компьютера.
Управление перенаправлением папок
Параметр перенаправления папок упрощает создание резервных копий файлов данных пользователей. Перенаправление папок также обеспечивает пользователям доступ к данным, независимо от того, на каком компьютере они выполняют вход в систему. Кроме того, все данные пользователей можно сосредоточить в одном месте на сервере, при этом условия работы пользователей будут аналогичны хранению папок на компьютерах. Например, можно настроить перенаправление папок таким образом, чтобы перенаправлять папки документов пользователей в общую папку на сервере.
Настройка параметров сети
С помощью групповой политики можно настраивать на клиентских компьютерах различные сетевые параметры. Например, можно принудительно применять параметры для беспроводных сетей, чтобы разрешать пользователям подключаться только к определенным идентификаторам SSID сетей Wi-Fi, а также с предварительно заданными параметрами проверки подлинности и шифрования. Можно также развертывать политики, применяемые к параметрам проводной сети, а некоторые роли Windows Server используют групповую политику для настройки клиентской стороны служб, например DirectAccess.
Устранение неполадок применения объектов групповой политики?
Наследование, фильтры и исключения групповых политик являются сложными, и зачастую бывает трудно определить, какие параметры политики будут применены. RSoP — это итоговый результат применения объектов групповой политики к пользователю или компьютеру с учетом связей объектов групповой политики, исключений, таких как принудительное наследование и блокирование наследования, а также с учетом применения фильтров безопасности и инструментария WMI.
RSoP также представляет собой коллекцию средств, с помощью которых можно оценивать и моделировать применение параметров групповой политики, а также устранять связанные с ним неполадки. RSoP может отправлять запросы на локальный или удаленный компьютер и сообщать точные параметры, которые были применены к компьютеру и любому пользователю, вошедшему в систему на компьютере. RSoP также может моделировать параметры политики, которые, как ожидается, будут применены к пользователю или компьютеру в различных сценариях, включая перемещение объекта между подразделениями или сайтами либо изменение членства объекта в группе. Эти возможности RSoP помогают при управлении конфликтующими политиками и устранении связанных с ними неполадок. Для анализа RSoP имеются следующие средства:
- мастер результатов групповой политики;
- мастер моделирования групповой политики;
- GPResult.exe.
Демонстрация
Следующее видео содержит сведения о том, как создавать, настраивать и применять объекты групповой политики. Основные этапы процесса следующие.
- Откройте консоль управления групповыми политиками.
- Перейдите к контейнеру объектов групповой политики.
- Создайте новый объект групповой политики.
- Откройте объект групповой политики для редактирования и измените некоторые параметры пользователя.
- Привяжите объект групповой политики к домену
Contoso.com
. - Войдите на клиентский компьютер с правами администратора и включите удаленное управление журналом событий и инструментарий WMI через брандмауэр.
- Войдите как обычный пользователь и проверьте эффект объекта групповой политики на локальный компьютер.
- Создайте новый объект групповой политики, измените его параметры и привяжите его к подразделению. Проверьте параметры наследования.
- Измените параметры фильтрации безопасности таким образом, чтобы политика применялась только к группе, а не к пользователям, прошедшим проверку подлинности.
- Удостоверьтесь в наличии эффекта изменения наследования и фильтрации безопасности.