Создание и настройка объекта групповой политики на основе домена

  • 10 мин

Управление объектами групповой политики осуществляется с помощью двух основных средств.

  • Консоль управления групповыми политиками
  • Редактор "Управление групповыми политиками"

Для управления объектами групповой политики и их параметрами можно также использовать командлеты Windows PowerShell, включая описанные в следующей таблице.

Командлет

Description

New-GPO

Создает новый объект групповой политики.

New-GPLink

Связывает объект групповой политики с сайтом, доменом или подразделением.

Get-GPInheritance

Получает сведения о наследовании групповой политики для указанного домена или подразделения.

Set-GPInheritance

Блокирует или разблокирует наследование для указанного домена или подразделения.

Get-GPO

Получает один объект или все объекты групповой политики в домене.

Чем можно управлять с помощью объектов групповой политики?

Имеется две основные категории параметров политики: параметры компьютера, которые содержатся в узле Конфигурация компьютера, и параметры пользователя, которые содержатся в узле Конфигурация пользователя.

  • Узел Конфигурация компьютера содержит параметры, которые применяются к компьютерам независимо от того, кто входит в систему. Параметры компьютера применяются при запуске операционной системы, при обновлениях в фоновом режиме, а также каждые следующие 90–120 минут.
  • Узел Конфигурация пользователя содержит параметры, которые применяются, когда пользователь входит в систему на компьютере, при обновлениях в фоновом режиме, а также каждые следующие 90–120 минут.

В узлах Конфигурация компьютера и Конфигурация пользователя находятся узлы Политики и Параметры.

Узлы Политики в составе узлов "Конфигурация компьютера" и "Конфигурация пользователя" имеют иерархию папок, содержащих параметры политики. Поскольку существуют тысячи параметров, отдельные параметры в данном курсе не рассматриваются. Однако рассмотреть типы параметров, которые можно настроить, полезно.

Применение параметров безопасности

В операционной системе Windows Server объекты групповой политики включают большое количество связанных с безопасностью параметров, которые можно применять как к пользователям, так и к компьютерам. Например, можно принудительно применить параметры политики паролей домена для брандмауэра в Защитнике Windows, а также настроить аудит и другие параметры безопасности. Можно также настроить полные наборы назначений прав пользователя.

Управление параметрами рабочего стола и приложения

Групповую политику можно использовать для обеспечения единообразия среды рабочего стола и приложений для всех пользователей в организации. С помощью объектов групповой политики можно настроить каждый параметр, который влияет на представление пользовательской среды. Кроме того, можно настроить параметры для некоторых приложений, поддерживающих объекты групповой политики.

Развертывание программного обеспечения

С помощью групповой политики можно развертывать программное обеспечение для пользователей и компьютеров. Групповую политику можно использовать для развертывания всего программного обеспечения, доступного в формате .msi. Кроме того, можно устанавливать программное обеспечение в принудительном порядке или позволить пользователям решать, следует ли развертывать его на своих компьютерах.

Внимание

Развертывание крупных программных пакетов с помощью объектов групповой политики может оказаться не самым эффективным способом распространения приложения на компьютеры организации. В некоторых случаях эффективнее распространять приложения в составе образа настольного компьютера.

Управление перенаправлением папок

Параметр перенаправления папок упрощает создание резервных копий файлов данных пользователей. Перенаправление папок также обеспечивает пользователям доступ к данным, независимо от того, на каком компьютере они выполняют вход в систему. Кроме того, все данные пользователей можно сосредоточить в одном месте на сервере, при этом условия работы пользователей будут аналогичны хранению папок на компьютерах. Например, можно настроить перенаправление папок таким образом, чтобы перенаправлять папки документов пользователей в общую папку на сервере.

Настройка параметров сети

С помощью групповой политики можно настраивать на клиентских компьютерах различные сетевые параметры. Например, можно принудительно применять параметры для беспроводных сетей, чтобы разрешать пользователям подключаться только к определенным идентификаторам SSID сетей Wi-Fi, а также с предварительно заданными параметрами проверки подлинности и шифрования. Можно также развертывать политики, применяемые к параметрам проводной сети, а некоторые роли Windows Server используют групповую политику для настройки клиентской стороны служб, например DirectAccess.

Устранение неполадок применения объектов групповой политики?

Наследование, фильтры и исключения групповых политик являются сложными, и зачастую бывает трудно определить, какие параметры политики будут применены. RSoP — это итоговый результат применения объектов групповой политики к пользователю или компьютеру с учетом связей объектов групповой политики, исключений, таких как принудительное наследование и блокирование наследования, а также с учетом применения фильтров безопасности и инструментария WMI.

RSoP также представляет собой коллекцию средств, с помощью которых можно оценивать и моделировать применение параметров групповой политики, а также устранять связанные с ним неполадки. RSoP может отправлять запросы на локальный или удаленный компьютер и сообщать точные параметры, которые были применены к компьютеру и любому пользователю, вошедшему в систему на компьютере. RSoP также может моделировать параметры политики, которые, как ожидается, будут применены к пользователю или компьютеру в различных сценариях, включая перемещение объекта между подразделениями или сайтами либо изменение членства объекта в группе. Эти возможности RSoP помогают при управлении конфликтующими политиками и устранении связанных с ними неполадок. Для анализа RSoP имеются следующие средства:

  • мастер результатов групповой политики;
  • мастер моделирования групповой политики;
  • GPResult.exe.

Демонстрация

Следующее видео содержит сведения о том, как создавать, настраивать и применять объекты групповой политики. Основные этапы процесса следующие.

  1. Откройте консоль управления групповыми политиками.
  2. Перейдите к контейнеру объектов групповой политики.
  3. Создайте новый объект групповой политики.
  4. Откройте объект групповой политики для редактирования и измените некоторые параметры пользователя.
  5. Привяжите объект групповой политики к домену Contoso.com.
  6. Войдите на клиентский компьютер с правами администратора и включите удаленное управление журналом событий и инструментарий WMI через брандмауэр.
  7. Войдите как обычный пользователь и проверьте эффект объекта групповой политики на локальный компьютер.
  8. Создайте новый объект групповой политики, измените его параметры и привяжите его к подразделению. Проверьте параметры наследования.
  9. Измените параметры фильтрации безопасности таким образом, чтобы политика применялась только к группе, а не к пользователям, прошедшим проверку подлинности.
  10. Удостоверьтесь в наличии эффекта изменения наследования и фильтрации безопасности.

Проверьте свои знания

1.

В домене Contoso.com в составе подразделения маркетинга администратор создает объект групповой политики под названием "Перенаправление папок". Администратор хочет, чтобы политика применялась ко всем пользователям в подразделении маркетинга, за исключением менеджеров по маркетингу. Что должен сделать администратор, чтобы предотвратить применение к менеджерам объекта групповой политики "Перенаправление папок", но разрешить применение к ним всех остальных объектов групповой политики, связанных с подразделением маркетинга?