Групповые Политики

Локальные политики — те что располагаются на конечном рабочем месте или сервере. Применяются тут же.

 GPO — Group Policy Object — собственно и есть групповая политика, точнее объект групповой политики, что включает в себя кучу параметров. Данный объект можно применить на уровне Сайта (Site), Домена (Domain) или Организационной Иденицы (OU).

GPC — Group Policy Container — контейнер для набора групповых политик. К объектам в сети применяется политика если он находится в данном контейнере.

Как себя ведут групповые политики
Порядок их применения следующий :

Local Policy > Site GPO > Domain GPO > OU GPO > Child OU GPO >…

То есть сперва применяется локальная политика. После политики Сайта, тем самым перезаписывая политики локальные. Далее Доменные, перезаписывая Локальные и Сайта. Политики Контейнера переписывают все предыдущие. И так далее с дочерними контейнерами.   Таким образом чем ближе к объекту, тем политика сильнее. То есть если на уровне Сайта что-то разрешалось, на уровне Домена запрещалось, а в Контейнере разрешалось, то результатом будет Разрешено.

gpo_amir1

 

Каждый объект групповой политики состоит из 2-х секций:
— Настройки Компьютера — применяются при загрузке компьютера, до входа пользователя в систему;
— Настройки Пользователя — применяются при входе пользователя в систему, настройки применяются ко всем пользователям;

В каждой секции подгруппы:
Software settings and Windows settings — настройки DLL на машине;
Administrative templates — настройки реестра на машине. Сюда можно загрузить новые шаблоны. Например с официального сайта Microsoft.

После создания GPO, она сохраняется в контейнере что вы выбрали. Также она будет находится в Group Policy Objects (отсюда её можно прикрепить к различным объектам):

gpo_amir3

 

Прикрепление GPO
 
Правый клик по GPO, Link/Unlink a GPO, и выбрать объект, к которому прикрепить.
gpo_amir4
Включение/Отключение настроек компьютера или пользователя
 
   У GPO есть две секции — компьютера и пользователя. Бывает, что настроена только одна из них. Потому целесообразно вторую отключить. Это уменьшит объём данных передаваемый на машину. Это можно сделать на вкладке Details:
gpo_amir5
Как узнать какие настройки сделаны в той или иной GPO

   Переходите на вкладку Settings. Тут в виде древа будут лишь те настройки, что были выставлены:
gpo_amir6
Block/Enforce наследование

   Если вы не хотите, чтобы политики «свыше» переписывали настройки в GPO конкретного контейнера, тогда нужно выделить контейнер и выбрать Block Inheritence.
gpo_amir8
Если вы хотите чтобы одна из «вышестоящих» GPO настраивала объекты в «нижестоящих» контейнерах и игнорировала Block Inheritace, то выберите Enfoce. Этим параметром нужно крайне осторожно пользоваться.

Тут видно, что 3 различные GPO наследованы:

gpo_amir7
Тут видно, что блокировка исключить все вышестоящие потилики в наследовании:
gpo_amir8 (1)
 Если включить Enforce на Default Domain Policy, то эта политика будет иметь большую силу нежели Block Inheritance:
gpo_amir9
Link Order
   Очерёдность. Когда более одной GPO привязано к одному OU, то приоритет будет иметь последняя в очереди.
gpo_amir10
Security Filtering
   Фильтр позволяет выбирать пользователей, группы, компьютеры к которым будет применяться GPO. Просто создайте группу, добавьте в неё пользователей, группы или компьютеры, а после к этой группе привяжите GPO
gpo_amir11
Если нужна большая точность фильтрации, то перейдите на вкладку Delegation, Advanced:
gpo_amir12
Каким образом обновляются GPO на компьютере:
   Политики, наследуемые от Active Directory, обновляются несколькими способами:
1. При Входе в Систему (Если сделаны настройки в части User Settings);
2. При Перезагрузке Компьютера (Если сделаны настройки в части Computer Settings);
3. Каждые 60-90 минут, компьютеры запрашивают их Домен Котроллер об обновлениях;
4. Вручную, используя команду gpupdate. Используя ключ /force обновятся все настройки, а не только разница.
Как проверить, какие политики применимы к данной машине и пользователю:
 
   RSoP — Resultant Sets of Policies — как раз это нам и нужно. То есть Результирующий Набор применяемых Политик.
1. Используйте gpresult в командной строке. Также вы можете вывести Результирующие Политики и по другим пользователям и компьютерам. Более подробную информацию получить можно используя ключи /v и /z.
Вы получите информацию какие политики применялись  какие — нет, и по какой причине были отфильтрованы.
cmd
RSoP в ММС
 

Есть два режима:
Logging Mode — какие в действительности политики применили на этой машине:
Planning Mode — какой будет результат в случае применения тех или иных настроек:http://www.petri.co.il/working_with_group_policy.htm
(как добавить оснастку)

Не является удобным средством, так как нужно будет спускаться в нужные рубрики.

gpo_amir14
Group Policy Results в GPMC

Более удобное средства для выявления применяемых политик на удалённых машинах используя централизованную консоль.
gpo_amir15
На вкладке Settings будут видны применённые настройки:
gpo_amir16

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *