Групповая политика

В структуре каталога Active Directory по умолчанию создаются две основные групповые политики: Default Domain Policy (политика домена по умолчанию) и Default Domain Controller’s Policy (политика контроллера домена по умолчанию). Первая применяется к домену, вторая — к контейнеру, в состав которого входит контроллер домена. Для создания собственного объекта GPO пользователь должен обладать соответствующими административными правами. По умолчанию такие права имеют группы Enterprise Administrators (администраторы предприятия) и Domain Administrators (администраторы домена).^[1]

При работе с групповыми политиками необходимо учитывать ряд особенностей:

• объекты GPO применяются к контейнерам, а не непосредственно к отдельным объектам пользователей или компьютеров;
• одна организационная единица может быть связана с несколькими объектами GPO;
• объекты GPO, привязанные к одной OU, применяются в порядке их назначения;
• объект GPO содержит параметры, относящиеся как к конфигурации компьютера, так и пользователя;
• обработку любой из этих составляющих (компьютерной или пользовательской) можно отключить;
• наследование GPO можно блокировать;
• наследование GPO можно форсировать;
• применение GPO можно фильтровать с помощью списков ACL.

Если один и тот же параметр определён в разных политиках (например, настройка графической заставки при входе), приоритет отдаётся тому значению, которое определено в GPO, находящемся ближе всего к объекту в иерархии. Таким образом, если политики P3 и P1 задают разные значения параметра logon banner, и P1 ближе к объекту, применяется значение из P1.

Если одна из политик задаёт значение параметра, а другая — нет, при применении обеих политик значение параметра будет взято из первой. Даже если для определённого контейнера нет собственных политик, он наследует параметры из вышестоящих политик, назначенных его родительским контейнерам.

Если к одному контейнеру применяются политики P4 и P5, которыми настраиваются различные параметры, порядок их применения определяется списком в окне свойств "Групповая политика". Политики применяются снизу вверх по списку. Например, если P5 выше P4, сначала применяется P4, затем P5, в результате чего значение параметра будет определено политикой P5. Чтобы изменить порядок применения, используются кнопки "Вверх"/"Вниз" на вкладке управления групповой политикой.

В Windows 2000 допускается блокировка применения отдельных частей объекта GPO, что позволяет ускорить процесс входа пользователя. Для этого в Active Directory — Пользователи и компьютеры, на вкладке "Групповая политика" выбирается нужный GPO, открываются его свойства, и блокируются параметры, относящиеся к конфигурации компьютера или пользователя. В зависимости от выбранных настроек изменённые параметры могут быть возвращены к изначальным значениям. В отличие от Windows 2000, в Windows NT 4.0 процесс очистки политик происходил некорректно, поэтому параметры иногда сохранялись даже после их отмены.

В Windows 2000 возможно заблокировать наследование политик от родительских объектов. Например, чтобы на объекты внутри определённого контейнера (например, IT) действовали только его собственные политики, устанавливается флажок Block Policy Inheritance (блокировать наследование политики). В результате все политики, назначенные выше по иерархии, более не применяются к этому контейнеру и его подчинённым. Если у какого-либо GPO включён параметр No Override (не отменять), то его параметры сохраняют приоритет и применяются даже при заблокированном наследовании в подконтейнерах.

Для отслеживания порядка применения политик и профилей в реестре по пути HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon необходимо создать параметр UserEnvDebugLevel типа REG_DWORD со значением 0x10002, затем перезагрузить компьютер. Журнал будет писаться в файл %SystemRoot%\Debug\Usermode\Userenv.log.

Кроме объектов GPO в Active Directory, в каждой системе Windows 2000 существует локальная политика (local policy), применяемая для настройки отдельных рабочих станций. Применение политик происходит в определённой последовательности: локальная политика (Local), политика участка (Site), политика домена (Domain), политика OU (Organizational Unit) — обычно обозначается как L, S, D, OU. Локальная политика всегда обладает наименьшим приоритетом.

Обновление большинства параметров (кроме сценариев входа/выхода и установки программ) осуществляется каждые 90 минут с разбросом ±30 минут, по инициативе клиента. Если номера версий политик различаются, обновляется вся политика. Для контроллеров домена обновление производится каждые 5 минут.

Групповая политика в полной мере применяется к следующим версиям операционных систем:

• Windows 2000 и Windows Server 2003 — для серверов-доменов членов и контроллеров домена.
• Windows 2000 Professional и Windows XP Professional — для клиентских рабочих станций.
• Windows NT 4.0 Workstation и Server — применяются только системные политики NT 4.0 посредством редактора poledit.exe, объектов локальной политики и Active Directory не поддерживается.
• Windows 95 и Windows 98 — применяются только системные политики с использованием отдельного редактора системных политик; поддержка объектов групповой политики Windows 2000 отсутствует.
• Windows NT 3.51, Windows 3.1 и DOS — групповая политика не применяется.

Windows NT позволяет назначать пользователю сценарии для выполнения при входе или выходе из системы; они обычно используются для предварительной настройки пользовательской среды. В Windows 2000 появились дополнительные сценарии для начала и завершения работы системы, которые могут быть назначены как на пользователя, так и на компьютер. Windows Scripting Host поддерживает сценарии на Visual Basic, Jscript и других языках, получающих доступ к функциям Windows API.

Такие сценарии поддерживаются для совместимости со старыми версиями Windows. Они размещаются в общей папке Netlogon сервера или в каталоге %SystemRoot%\system32\Repl\lmport\Scripts (использовалось в NT 4.0). Папка Netlogon располагается в каталоге SysVol и реплицируется службой FRS.

Сценарии, связанные с объектами GPO, назначаются контейнерам OU, и для их применения пользователь должен быть членом соответствующего OU. При внедрении Windows 2000 рекомендуется выполнять обновление сервера NETLOGON на последнем этапе, чтобы обеспечить совместимость с клиентами на старых версиях Windows, поскольку служба репликации FRS Windows 2000 несовместима со службами репликации NT. В Windows NT сценарии входа исполнялись с правами пользователя, в Windows 2000 — сценарии входа/выхода пользователя исполняются с его правами, а сценарии запуска/завершения системы — с правами LocalSystem.

Управление объектами GPO может быть делегировано другим ответственным лицам с помощью списков ACL. Таким образом, можно назначить отдельные права на модификацию и назначение GPO различным администраторам. Например, модифицировать сами объекты GPO могут только администраторы домена, а назначать их к определённым OU — администраторы этих OU. Это позволяет избежать несанкционированного создания или изменения политик.

Групповая политика позволяет перенаправлять ряд пользовательских папок на сетевые либо специализированные локальные ресурсы:

• Application data
• Desktop (Рабочий стол)
• My Documents (Мои документы)
• My Pictures (Мои рисунки)
• Start Menu (Главное меню)

Перенаправление папок является частью технологии IntelliMirror, обеспечивающей доступ к рабочим файлам и настройкам независимо от используемой рабочей станции, а также сохранность данных в случае выхода станции из строя.

Перенаправление настраивается на вкладке "Конфигурация пользователя" — "Параметры Windows" — "Перенаправление папок" в объекте групповой политики. Вкладка "Цель" предлагает три варианта:

• No administrative policy specified (административная политика не назначена);
• Basic (базовый) — перенаправление выполняется для всех пользователей вне зависимости от группы, с поддержкой переменных типа %username%;
• Advanced (расширенный) — для разных групп доступны разные места, возможно перенаправление на разные серверы.