Групповая политика является комплексным инструментом, позволяющим централизованно управлять компьютерами и пользователями системы Windows 2000. Но если вы не имеете представления о том, как Windows 2000 применяет Group Policy, можно ненароком свести на нет одну за другой все возможности системы. Например, когда вы зададите важные установки системы защиты во всей сети, обнаружится, что на части систем они почему-то отключены. Такие ошибки могут причинять неудобство, когда они касаются административных установок, но могут быть и разрушительными, если речь идет о системе безопасности. Для эффективного использования Group Policy необходимо понять, как Windows 2000 применяет объекты групповой политики Group Policy Objects (GPO) для реализации политик; последовательность применения GPO и вариантов обработки объектов, которые позволяют точнее регулировать использование GPO.
АЗБУКА GPO
Объект GPO является набором установок конфигурации, которые охватывают практически каждую область конфигурации компьютера с системой Windows 2000 и профиля пользователей. Каждый GPO разделен на две подпапки: конфигурация компьютера Computer Configuration и конфигурация пользователя User Configuration. Windows 2000 использует установки из папки Computer Configuration во время загрузки компьютера и установки из папки User Configuration, когда пользователь регистрируется в сети. Потом Windows 2000 периодически использует Group Policy во время работы компьютера или когда пользователь зарегистрирован в сети. Можно настроить периодичность и условия, в соответствии с которыми система Windows 2000 применяет политики различных типов.
Каждый компьютер с системой Windows 2000 хранит локальный объект GPO. Чтобы можно было одновременно управлять различными компьютерами и пользователями, система Windows 2000 позволяет связывать GPO с контейнерами Active Directory (AD), такими как организационные единицы (OU); затем Windows 2000 применяет связанные GPO ко всем компьютерам или пользователям в этих контейнерах. Если вы привязали различные GPO к контейнеру, то система Windows 2000 будет придерживаться особых правил использования соответствующих объектов GPO в заданной последовательности, что облегчает настройку при наличии исключений. Настройка исключений позволяет сначала определить основные установки, затем определить исключения (без повторения основных установок) для подмножества компьютеров или пользователей.
ПОСЛЕДОВАТЕЛЬНОСТЬ ПРИМЕНЕНИЯ GROUP POLICY
Каждый GPO является полным набором установок компьютера и пользователя. Вы можете выставить значения для большинства установок GPO или не выставлять установки - Not configured (то есть Windows 2000 не будет предпринимать никаких действий). Неопределенные установки предписывают системе Windows 2000 не изменять существующие установки (например, установки, предварительно определенные на другом уровне) и не влиять на конфигурацию.
Различные объекты GPO применяются к компьютеру или пользователю, а некоторые из этих GPO, возможно, содержат несовместимые установки. Когда разные GPO определяют значения для одинаковых установок, GPO, применяемый последним, имеет приоритет. Следовательно, необходимо понять последовательность применения GPO в Windows 2000, которая показана на Рисунке 1.
Когда компьютер загружается, Windows 2000 использует папку Computer Configuration, являющуюся частью групповой политики. Операционная система сначала применяет GPO, хранящийся на локальном компьютере, затем GPO, наложенные на уровне узла, потом на уровне домена, а затем те, что заданы для организационных единиц OU (в порядке от высших к низшим), в которые входит компьютер. Когда пользователь регистрируется в сети, Windows 2000 использует другую часть Group Policy - это User Configuration. User Configuration применяется в той же последовательности, что и Computer Configuration, за исключением того, что Windows 2000 задействует GPO, которые связаны с доменом и OU, для применения к учетной записи пользователя в домене и в соответствии с вхождением ее в подразделения OU, а не в соответствии с размещением компьютера в AD, как изображено на Рисунке 2. Последовательность применения политик User Configuration начинается с локального объекта GPO пользователя, зарегистрировавшегося на машине. Затем накладываются GPO, связанные с узлом, потом с доменом пользователя, затем с организационными единицами OU (в порядке от высших к низшим), которые содержат учетную запись пользователя.
Локальный GPO компьютера. Каждый компьютер хранит один объект GPO локально. Когда компьютер загружается или пользователь регистрируется в сети, Windows 2000 сначала применяет локальный GPO компьютера. Если компьютер не является членом домена, Windows 2000 использует только локальный GPO, и все его установки вступают в силу. Если компьютер является членом домена, этот GPO оказывает минимальное влияние, поскольку все GPO, наложенные в AD, которые использует Windows 2000, могут не принимать во внимание установки локального GPO. Для доступа к настройкам локального GPO компьютера запустите mmc.exe из меню Start системы Windows 2000, добавьте оснастку Group Policy и выберите Local Computer.
GPO, связанные с узлом. Когда компьютер является членом домена, система Windows 2000 использует все GPO, наложенные на уровне узла. (Узел - это объекты AD, описывающие физическую инфраструктуру сети.) Используйте GPO, связанные с узлом, только в том случае, когда необходимо определить установки (например, параметры сети), которые являются специфичными для инфраструктуры сети компьютеров. Для просмотра списка GPO узла обратитесь к пункту Administrative Tools\Active Directory Sites и Services. Щелкните правой кнопкой мыши на узле, выберите Properties и закладку Group Policy. Система Windows 2000 не поставляется с какими-либо встроенными GPO, привязанными к узлу, и администраторы нечасто определяют GPO на уровне узла.
GPO, привязанные к домену. Затем система Windows 2000 применяет к компьютерам, или пользователям, если говорить о User Configuration, все GPO, привязанные к домену. Групповые политики, которые определены на этом уровне, применяют все компьютеры и пользователи текущего домена, и они переписывают GPO узла и локальные GPO. В ненастроенном состоянии установки GPO, связанные с доменом, не изменяют заданные значения в ранее сконфигурированных GPO, связанных с узлом. Домены являются границей наследования политик Group Policy: система Windows 2000 не применяет объекты GPO родительского домена к дочернему домену. Для просмотра списка объектов GPO, связанных с доменом, обратитесь к Administrative Tools, Active Directory Users и Computers. Нажмите правую кнопку мыши на имени домена, в котором находится компьютер или пользователь, щелкните Properties и выберите закладку Group Policy. Система Windows 2000 поставляется с одним встроенным GPO, привязанным к домену: Default Domain Policy.
GPO, связанные с OU. В заключение система Windows 2000 использует объекты GPO, которые можно связать с любой OU, в которую входит компьютер или пользователь, если говорить о User Configuration. Если компьютер или пользователь входят в более чем одну OU, то Windows 2000 применяет связанные с ними GPO в порядке от высшей OU к низшей. Так как объект GPO, применяемый последним, не принимает во внимание установки ранее используемого GPO, низший GPO, привязанный к OU, не принимает во внимание высший GPO, привязаный к OU, всякий раз, когда оба GPO определяют значение для одинаковых установок. На Рисунке 3 показаны установки конфигурации для компьютера в дочерней OU; Windows 2000 будет использовать отдельные GPO, привязанные к OU, так же хорошо, как GPO, привязанный к домену компьютера. Для просмотра GPO, привязанных к OU, нажмите правую кнопку мыши на OU, укажите Properties и выберите закладку Group Policy.
Имейте в виду, что важную роль играют различия между GPO и связью с GPO. При удалении GPO операционная система Windows 2000 больше не использует GPO ни при каких обстоятельствах. При удалении связи Windows 2000 все же использует GPO в других контейнерах AD, с которыми этот GPO связан. Представим себе, что GPO аналогичен инструкции для персонала (HR), которую можно разослать различным отделам в компании. Когда инструкция больше не нужна, ее можно отменить только для одного отдела (то есть удалить связь с GPO). Если инструкция больше не действует в рамках всей компании, ее можно удалить (то есть удалить GPO). Если отделу необходимо придерживаться инструкции, но с исключениями, можно создать дополнение и присоединить его к инструкции для этого отдела (то есть создать второй связанный GPO, который имеет более высокий приоритет, чем исходный GPO).
Операционная система Windows 2000 применяет GPO в прямом порядке. Настоящая сложность Group Policy заключается в вариантах управления этим процессом, о котором пойдет речь во второй части статьи.
Рэнди Франклин Смит - президент компании Monterey Technology Group, занимающейся обучением и консалтингом в области защиты Windows NT. Связаться с ним можно по адресу: rsmith@montereytechgroup.com.