Общие сведения о групповой политике
Групповая политика позволяет управлять параметрами пользователя и компьютера на компьютерах под управлением операционных систем Windows Server и Windows Client. Помимо использования групповой политики для определения конфигураций для групп пользователей и клиентских компьютеров, можно также использовать групповую политику для управления серверами, настраивая множество параметров операционной и безопасности для конкретного сервера.
Что такое групповая политика
Групповая политика может представлять параметры политики в локальной файловой системе или в службах домен Active Directory. При использовании с Active Directory параметры групповой политики содержатся в объекте групповой политики (GPO). Объект групповой политики — это виртуальная коллекция параметров политики, разрешений безопасности и область управления (SOM), которые можно применить к пользователям и компьютерам в Active Directory. Объект групповой политики имеет уникальное имя, например GUID. Клиенты оценивают параметры групповой политики с помощью иерархической природы Active Directory.
Параметры политики делятся на параметры политики, влияющие на параметры компьютера и политики, влияющие на пользователя. Политики, связанные с компьютером, определяют системное поведение, параметры приложения, параметры безопасности, назначенные приложения и скрипты запуска компьютера и завершения работы компьютера. Политики, связанные с пользователем, указывают системное поведение, параметры приложения, параметры безопасности, назначенные и опубликованные приложения, сценарии входа пользователя и выхода из системы и перенаправление папок. Параметры компьютера переопределяют параметры, связанные с пользователем.
Чтобы создать групповую политику, администратор может использовать редактор локальной групповой политики (gpedit.msc), который может быть автономным инструментом и параметрами, хранящимися локально. Мы рекомендуем использовать редактор объектов групповой политики в качестве расширения для оснастки MMC, связанной с Active Directory. Редактор объектов групповой политики позволяет связать объекты групповой политики с выбранными сайтами, доменами и подразделениями Active Directory . Связывание применяет параметры политики в объекте групповой политики к пользователям и компьютерам в этих объектах Active Directory. Объекты групповой политики хранятся как в Active Directory, так и в папке SYSVOL на каждом контроллере домена.
Как работает групповая политика
Для компьютеров групповая политика применяется при запуске компьютера. Для пользователей групповая политика применяется при входе. Эта начальная обработка политики также может называться приложением политики переднего плана.
Приложение групповой политики может быть синхронным или асинхронным. В синхронном режиме компьютер не завершает работу системы до тех пор, пока политика компьютера не будет применена успешно. Процесс входа пользователя не завершается до тех пор, пока политика пользователя не будет применена успешно. В асинхронном режиме, если нет изменений политики, требующих синхронной обработки, компьютер может завершить начальную последовательность до завершения применения политики компьютера. Оболочка может быть доступна пользователю до завершения применения политики пользователя. Затем система периодически применяет (обновляет) групповую политику в фоновом режиме. Во время обновления параметры политики применяются асинхронно.
Дополнительные сведения о работе групповых политик см. в разделе "Обработка групповой политики".
Что такое подразделение (подразделение)
Подразделение — это самый низкий уровень контейнера Active Directory, которому можно назначить параметры групповой политики. Как правило, большинство объектов групповой политики назначаются на уровне подразделения, поэтому убедитесь, что структура подразделения поддерживает стратегию управления клиентами на основе групповой политики. Вы также можете применить некоторые параметры групповой политики на уровне домена, особенно политики паролей. На уровне сайта применяются несколько параметров политики. Хорошо разработанная структура подразделения, которая отражает административную структуру вашей организации и использует преимущества наследования групповой политики, упрощает применение групповой политики. Например, хорошо разработанная структура подразделения может предотвратить дублирование определенных объектов групповой политики, чтобы эти объекты групповой политики могли применяться к различным частям организации. По возможности создайте подразделения, чтобы делегировать административные полномочия и помочь реализовать групповую политику.
Для проектирования подразделения требуется балансировка требований к делегированию прав администратора независимо от потребностей групповой политики, а также необходимость область применение групповой политики. Вы можете создавать подразделения в домене и делегировать административный контроль для определенных подразделений определенным пользователям или группам. Используя структуру, в которой подразделения содержат однородные объекты, такие как пользовательские или компьютерные объекты, но не оба, можно легко отключить эти разделы объекта групповой политики, которые не применяются к определенному типу объекта. Такой подход к проектированию подразделений снижает сложность и повышает скорость применения групповой политики. Объекты групповой политики, связанные с более высокими уровнями структуры подразделения, наследуются по умолчанию для подразделений на нижнем уровне, уменьшая необходимость дублировать объекты групповой политики или связывать объект групповой политики с несколькими контейнерами.