Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Групповая политика позволяет управлять параметрами пользователя и компьютера на компьютерах под управлением операционных систем Windows Server и Windows Client. Помимо использования групповой политики для определения конфигураций для групп пользователей и клиентских компьютеров, можно также использовать групповую политику для управления серверами, настраивая множество параметров операционной и безопасности для конкретного сервера.
Что такое групповая политика
Групповая политика может представлять параметры политики локально в файловой системе или в доменных службах Active Directory (AD DS). При использовании с Active Directory (AD) параметры групповой политики содержатся в объекте групповой политики (GPO). Объект групповой политики — это виртуальная коллекция параметров политики, разрешений безопасности и области управления (SOM), которые можно применить к пользователям и компьютерам в Active Directory. Объект групповой политики состоит из двух основных компонентов: контейнера групповой политики и шаблона групповой политики. Контейнер групповой политики хранится в разделе домена Active Directory, а шаблон групповой политики находится в папке SYSVOL на каждом контроллере домена (DC).
Эти компоненты реплицируются через репликацию Active Directory (AD) и либо службу репликации файлов (FRS), либо службу репликации распределенной файловой системы (DFSR).
Групповые политики включают настройки как для компьютера, так и для пользователя. Конфигурации компьютера применяются для всей системы и управляют настройками, такими как управление питанием и правила брандмауэра. Конфигурации пользователей влияют только на текущего пользователя с такими параметрами, как параметры Internet Explorer и перенаправление папок. GPO могут быть связаны с различными уровнями иерархии AD, такими как сайты, домены и организационные единицы (OU), которые определяют их область применения.
Параметры политики применяются при запуске компьютера и входе пользователя. Служба политик групп определяет применимые объекты групповой политики, запрашивая Active Directory на основе сайта, домена и членства в организационной единице (OU). A Client-side extension (CSE) applies the specific settings dictated by the GPOs, managing tasks like registry updates and security configurations. Параметры политики применяются к компьютерам при запуске и к пользователям при входе. При запуске компьютера служба групповой политики проверяет AD, чтобы определить, какие объекты групповой политики связаны и применимы к объекту компьютера, в том числе:
Сайт, в котором находится компьютер.
Домен, в котором компьютер является членом.
Родительское организационное подразделение, в которое компьютер входит напрямую, и любые другие организационные подразделения, находящиеся над родительским подразделением.
Параметры групповой политики предлагают аналогичные возможности управления, как стандартные групповые политики и управляются таким же образом. Администраторы могут создавать и управлять объектами групповой политики с помощью редактора локальных групповых политик (gpedit.msc) для локальных параметров или редактора объектов групповой политики в оснастке MMC, связанной с Active Directory, для параметров на уровне домена. Каждый объект групповой политики имеет глобальный уникальный идентификатор (GUID) и следует иерархической структуре AD для оценки политики. Глубокое понимание того, как создавать, изменять и связывать объекты групповой политики в Active Directory, важно для эффективного управления политиками. **
Объекты групповой политики хранятся как в Active Directory, так и в папке SYSVOL на каждом доменном контроллере, упрощая централизованное администрирование и обеспечение соблюдения политик.
Client-side extensions
CSE групповой политики — это изолированный компонент, отвечающий за обработку определенных параметров политики, предоставляемых инфраструктурой групповой политики. Каждый CSE управляет и сохраняет данные политики в своем собственном формате, независимо от инфраструктуры групповой политики, которая не интерпретирует и не управляет сведениями об этих данных. Основная функция групповой политики заключается в доставке параметров на компьютер, где каждый CSE применяет свою часть параметров политики из нескольких объектов групповой политики.
Представьте инфраструктуру групповой политики как систему библиотеки. Система библиотеки управляет и предоставляет книги (или данные) различным ветвям (компьютерам). Библиотека не должна понимать содержимое каждой книги; она просто гарантирует, что правильная книга попадает в нужное отделение. В этой аналогии служба групповой политики похожа на систему библиотек, предоставляя книги, не зная их содержимого. Различные параметры политики похожи на различные жанры или коллекции книг. CSE групповой политики ассоциируется с библиотекарем в каждом филиале, который знает, как управлять своей конкретной коллекцией. Так же, как каждый библиотекарь оснащен для управления их коллекцией, каждый CSE считывает сведения о параметрах политики и выполняет действия в зависимости от того, что он находит в этих параметрах.
Как работает групповая политика
Для компьютеров групповая политика применяется при запуске компьютера. Для пользователей групповая политика применяется при входе. Эта начальная обработка политики также может называться приложением политики переднего плана.
Приложение на переднем плане групповой политики может быть синхронным или асинхронным. В синхронном режиме компьютер не завершает запуск системы до тех пор, пока политика компьютера не будет применена успешно. Процесс входа пользователя не завершается до тех пор, пока политика пользователя не будет применена успешно. В асинхронном режиме, если нет изменений политики, требующих синхронной обработки, компьютер может завершить начальную последовательность до завершения применения политики компьютера. Оболочка может быть доступна пользователю до завершения применения политики пользователя. Затем система периодически применяет (обновляет) групповую политику в фоновом режиме. Во время обновления параметры политики применяются асинхронно.
Дополнительные сведения о работе групповых политик см. в разделе "Обработка групповой политики".
Что такое организационная единица
OU — это контейнер самого низкого уровня в AD, которому можно назначать параметры групповой политики. Как правило, большинство объектов групповой политики назначаются на уровне OU, поэтому убедитесь, что структура вашей OU поддерживает вашу стратегию управления клиентами на основе групповой политики. Вы также можете применить некоторые параметры групповой политики на уровне домена, особенно политики паролей. На уровне сайта применяются мало параметров политики. Хорошо разработанная структура OU, которая отражает административную структуру вашей организации и использует преимущества наследования GPO, упрощает применение групповой политики в упрощенной форме. Например, хорошо разработанная структура подразделения может предотвратить дублирование определенных объектов групповой политики, чтобы эти объекты групповой политики могли применяться к различным частям организации. По возможности создайте подразделения, чтобы делегировать административные полномочия и помочь реализовать групповую политику.
Для проектирования организационных единиц необходимо сбалансировать требования к делегированию прав администратора независимо от потребностей в групповой политике, а также определить область применения групповой политики. Вы можете создавать подразделения в домене и делегировать административный контроль для определенных подразделений определенным пользователям или группам. Используя структуру, в которой организационные единицы содержат однородные объекты, такие как пользовательские или компьютерные объекты, но не оба, можно легко отключить те разделы групповой политики, которые не применяются к определенному типу объекта. Такой подход к проектированию подразделений снижает сложность и повышает скорость применения групповой политики. Объекты групповой политики, связанные с более высокими уровнями структуры подразделения, наследуются по умолчанию для подразделений на нижнем уровне, уменьшая необходимость дублировать объекты групповой политики или связывать объект групповой политики с несколькими контейнерами.
Related content
- Обработка групповой политики
- Резервное копирование, восстановление, миграция и копирование объектов групповой политики (ГОП)
- Результаты моделирования групповой политики и групповой политики
- Консоль управления групповыми политиками (GPMC)
- Параметры групповой политики, используемые в проверке подлинности Windows