В предыдущей статье я объяснил, как операционная система Windows 2000 использует объекты групповой политики Group Policy Objects (GPOs) и определяет последовательность их применения. Но невозможно правильно контролировать Group Policy до тех пор, пока не будет до конца ясен процесс обработки политики, позволяющий точно регулировать ее. Поскольку GPO можно связать с сайтами, доменами или организационными единицами, имеется возможность контролировать применение системой Windows 2000 групповой политики на отдельных уровнях. Можно использовать варианты обработки на уровне GPO для контроля применения GPO системой Windows 2000, не обращая внимания на сайты, домены или OU, с которыми этот объект связан. Можно использовать варианты обработки на уровне привязок для осуществления контроля применения GPO операционной системой Windows 2000 в пределах отдельного сайта, домена или OU, с которым связаны GPO. Другие настройки позволяют приспособить систему Windows 2000 для использования Group Policy на уровне компьютера или пользователя.
Обработка на уровне GPO
Как я объяснял ранее, GPO имеет параметры настройки, относящиеся к конфигурации компьютера и профилю пользователя Widows 2000. Объект GPO хранит компьютерные установки в папке Computer Configuration, а установки пользователя - в User Configuration нижележащего уровня. Если создать GPO, который содержит только компьютерные установки, можно отключить блок User Configuration для сокращения времени регистрации пользователя в системе. Кроме того, если определить только установки пользователя, то можно отключить блок Computer Configuration для сокращения времени запуска системы. Для отключения любого блока GPO нужно перейти к Administrative Tools, Active Directory Users and Computers. Затем следует щелкнуть правой кнопкой мыши на домене или OU, с которым связан GPO, указать на Properties и выбрать закладку Group Policy. Далее нужно выбрать соответствующий GPO и указать на Properties. Зайдите на закладку General, которая показана на Экране 1, и установите флажок Disable Computer Configuration settings или Disable User Configuration settings. Эти настройки соответствуют двум уровням GPO.
При отключении блоков Computer Configuration или User Configuration в GPO система Windows 2000 выключает эти блоки на каждом сайте, домене или OU, с которым связан GPO. Следовательно, перед тем как изменить уровень GPO, необходимо определить, как изменения будут затрагивать эти сайты, домены и OU. Для просмотра полного списка связанных элементов необходимо открыть Properties диалогового окна GPO и зайти на закладку Links, которая показана на Экране 2. Выберите домен из списка Domain и укажите Find Now. Система Windows 2000 будет искать заданный домен и отобразит каждый сайт и OU, с которым связан GPO (привязка домена будет также показана в списке, если GPO применена на уровне домена). Поскольку GPO можно связать c различными доменами, необходимо найти все домены, которые появятся в списке.
Точно регулировать область действия GPO можно через список управления доступом ACL к GPO, в котором указано, кто имеет право на доступ к GPO, и к каким компьютерам и пользователям Windows 2000 применяет GPO. Для доступа к ACL нужно открыть диалоговое окно Properties данного GPO и зайти на закладку Security, которая показана на Экране 3. Когда запускается компьютер с Windows 2000, являющийся членом домена Windows 2000, он регистрируется в Active Directory (AD) и использует соответствующую учетную запись в AD для просмотра своего домена, сайтов и OU, определяя, какой GPO необходимо использовать. Когда Group Policy применяется к компьютеру, система Windows 2000 выясняет, имеет ли право учетная запись компьютера на доступ, и применяет Group Policy для каждого GPO. Если такого права нет, то операционная система Windows 2000 игнорирует GPO для этого компьютера. Учетные записи пользователя требуют прав доступа как Read, так и Apply Group Policy; Windows 2000 проводит идентичный процесс определения во время регистрации пользователя в сети и всякий раз, когда система Windows 2000 снова применяет Group Policy.
Как показано на Экране 3, Authenticated Users (т.е. все учетные записи компьютера и пользователя) имеют оба нужных полномочия по умолчанию. Когда требуется отключить применение GPO на определенный компьютер или пользователя в OU, можно открыть список ACL данного объекта GPO и добавить элемент контроля доступа, запрещающий использовать право Apply Group Policy, для групп или учетных записей, которые нужно исключить. Для просмотра GPO необходимо иметь право Read; для редактирования GPO требуется право Write.
Обработка на уровне привязки
Существует важное отличие между обработкой на уровне GPO и на уровне привязок GPO. Несмотря на то, что обработка на уровне GPO используется во всех сайтах, доменах или OU, с которыми связан GPO, обработка на уровне привязки применяется только на сайте, в домене или OU, с которыми непосредственно связан GPO. Также существуют различия между удалением GPO и удалением связи с GPO. Если при выборе GPO на закладке Group Policy нажать Delete, Windows 2000 спросит, что вы хотите удалить: весь GPO или только привязку. Когда удаляется объект GPO, он исчезает из каждого сайта, домена или OU, с которым был связан. Когда удаляется только связь, то другие сайты, домены или OU, с которыми связан GPO, остаются незатронутыми. Можно выбрать один из трех вариантов канального уровня обработки опций.
Блокировка наследования политики. Администраторы используют этот вариант для изолирования доменов или OU от групповых политик, определенных для сайта или OU более высокого уровня. При выборе флажка Block Policy inheritance в закладке Group Policy, устанавливается запрет на использование объектов GPO, применяемых выше на уровне домена или OU. При блокировании наследования политики на уровне домена, система Windows 2000 не применяет любой GPO, связанный с сайтом. Когда блокируется политика наследования на уровне OU, система Windows 2000 не применяет GPO домена или высокоуровневого OU на компьютеры или пользователей в этом OU. Тем не менее, нужно иметь в виду, что Windows 2000 всегда применяет локальный GPO компьютера, не обращая внимания на установку Block Policy inheritance.
Не переписывать. Администраторы обычно включают эту установку на уровне домена для наложения политики корпоративного пароля и учетных записей. Установка No Override аннулирует все низкоуровневые установки Block Policy inheritance. Например, когда вы включаете No Override при привязке GPO на уровне сайта, Windows 2000 применяет этот GPO ко всем компьютерам в этом сайте, не обращая внимания на установку Block Policy inheritance домена или OU. Когда включается No Override при привязке GPO на уровне домена или OU, система Windows 2000 применяет это GPO ко всем компьютерам и пользователям, не обращая внимания на установки Block Policy inheritance любого низкоуровневого OU. Для включения или отключения установки No Override необходимо выбрать соответствующий GPO из закладки Group Policy и указать Options. Затем поставьте флажок No Override, как показано на Экране 4.
Отключать. Отключение привязки к GPO полезно, когда необходимо временно исключить воздействие GPO на конфигурацию (например, во время отладки политики или в случае приостановки ограничения). Когда отключается привязка GPO к сайту, домену или OU, система Windows 2000 не применяет GPO к этому сайту, домену или OU. Отключение предпочтительнее, чем удаление привязки, поскольку потом GPO проще восстановить. Для изменения установки Disabled для GPO нужно выбрать соответствующий GPO из закладки Group Policy и указать Options. Затем нужно выставить флажок Disabled, как показано на Экране 4.
Обработка на уровне системы и пользователя
Существует и другой набор параметров обработки, такой как установки внутри каждого GPO; определяются эти установки на системном или пользовательском уровне. Напомню, что каждый GPO содержит папки нижележащего уровня Computer Configuration и User Configuration; другими словами, каждый GPO имеет папку Group Policy ниже
\computer configuration\administrative templates\ systemи другую папку ниже
\user configuration\administrative templates\ systemкак показано на Экране 5. Эти папки содержат установки, контролирующие применение системой Windows 2000 Group Policy к каждому компьютеру и пользователю, которые связаны с этим GPO.
Изменение установок Computer Configuration для одного GPO может затронуть применение всех GPO. Например, предположим, вы зашли в Marketing OU, создали новый GPO и выбрали установку на уровне системы Disable background refresh of Group Policy. Далее, при запуске компьютера или обновлении политики в этом OU система столкнется с новым GPO и изменит установку локальной конфигурации системы. После внесения изменений система отключит фоновое обновление любого GPO, а не только GPO, для которого была включена установка.
Отключение фонового обновления Group Policy. Система Windows 2000 периодически применяет Group Policy после начального запуска системы или при регистрации пользователя. Установка Disable background refresh of Group Policy отключает повторное применение при регистрации пользователя в системе. Установка применяется к обоим ветвям в GPO, как к Computer Configuration, так и к User Configuration.
Интервал обновления Group Policy для компьютеров. Эта установка контролирует частоту, на которой система Windows 2000 обновляет Group Policy для рабочих станций с установленной операционной системой Windows 2000 Professional и автономных серверов с системой Windows 2000 (не контроллеров домена). Можно использовать эту установку для указания двух величин: количества минут между обновлениями и смещения, которое система Windows 2000 использует для защиты от одновременного повторного считывания Group Policy с контроллера домена каждым компьютером. Система Windows 2000 вычисляет произвольное значение между нулевой точкой и смещением, а затем добавляет это значение в первую величину после каждого обновления, чтобы определить промежуток времени, через который произойдет следующее обновление. По умолчанию, Windows 2000 обновляет политики каждые 90 минут и выставляет максимальное смещение от 30 минут. Установка применяется в политиках в ветви Computer Configuration каждого GPO.
Интервал обновления Group Policy для пользователей. Подобно установке Group Policy refresh interval for computers, установка Group Policy refresh interval for users контролирует частоту обновления User Configuration системой Windows 2000. Установка воздействует на ветвь политик User Configuration каждого GPO.
Асинхронное применение Group Policy для компьютеров во время запуска. По умолчанию, система Windows 2000 не предоставляет доступа к системе до тех пор, пока Windows 2000 не закончит применение Group Policy. Когда включается установка Apply Group Policy for computers asynchronously during startup, система Windows 2000 позволяет пользователям выполнить регистрацию до окончания применения Group Policy. Система выводит на экран сообщение Applying computer settings until application is complete. Хотя обычно при включении этой установки проблем не возникает, некоторые политики не срабатывают до тех пор, пока не будет проведена повторная регистрация или система Windows 2000 повторно не применит Group Policy. Эта установка воздействует на блок политик Computer Configuration каждого GPO.
Асинхронное применение Group Policy для пользователей во время запуска. По умолчанию, после ввода пользователем имени и пароля, система Windows 2000 не выводит на экран рабочий стол пользователя до тех пор, пока не завершит выполнение ветви User Configuration установок Group Policy. Когда включается установка Apply Group Policy for users asynchronously during logon, пользователи получают доступ к меню Start и рабочему столу до окончания выполнения приложения. Некоторые политики не срабатывают до следующей регистрации в системе или до тех пор, пока система Windows 2000 не обновит Group Policy. Эта установка применяется к блоку политик под User Configuration каждого объекта GPO.
Пока пользователи не заявят, что им не нравится длительное время запуска или регистрации в системе, я рекомендую оставить обе применяемые установки отключенными для того, чтобы можно было гарантировать использование Group Policy.
Обратный способ обработки Group Policy пользователя. Когда система Windows 2000 применяет блок User Configuration любой Group Policy, она определяет подходящий GPO, основываясь на домене пользователя и его OU, и применяет установки из блока User Configuration этого GPO. Другими словами, система Windows 2000 применяет установки User Configuration, основываясь на учетной записи пользователя в AD (т.е. кем является пользователь) и не обращая внимания на расположение учетной записи компьютера (т.е. с какого компьютера пользователь входит в сеть).
Однако из этого правила есть исключение. Например, возможно, у вас имеются общедоступные компьютеры, для которых требуется определить особые установки User Configuration, независимо от того, кто входит в сеть. В такой ситуации необходимо создать OU, включающую в себя такие компьютеры, затем создать GPO, связанный с этой OU, и включить GPO-установку User Group Policy loopback processing mode. Когда включается эта установка, необходимо выбрать один из двух способов. Способ Replace предписывает системе Windows 2000 игнорировать установки пользователя User Configuration (т.е. установки User Configuration, основанные на учетной записи пользователя в AD) и вместо них применить системные установки User Configuration (т.е. установки User Configuration, основанные на принадлежности системы в AD). Способ Merge предписывает системе Windows 2000 сначала применить установки User Configuration пользователя, затем задействовать системные установки User Configuration. Всякий раз, когда возникает конфликтная ситуация, системные установки имеют приоритет.
Обнаружение медленного канала связи Group Policy. Эта установка позволяет установить порог (в килобитах) для связей в медленной сети. Порог по умолчанию устанавливается в 500 килобит. Система Windows 2000 использует этот порог для того, чтобы определить момент, когда нужно задержать применение Group Policy.
Задержка применения Group Policy
Система Windows 2000 разделяет политики Group Policy на девять категорий обработки: Registry, Internet Explorer (IE) Maintenance, Software Installation, Folder Redirection, Scripts, Security, IP Security (IPSec), Encrypting File System (EFS) recovery и Disk Quota. Каждая категория соответствует тому или иному параметру Group Policy (например, политика обработки реестра Registry), который находится в папке
\computer configuration\administrative templates\ system\group policyкак показано на Экране 5.
Можно задержать применение категории Group Policy для предотвращения снижения производительности рабочей станции, пока операционная система Windows 2000 применяет Group Policy. Также можно задержать применение для предотвращения непредвиденных изменений, которые могут происходить на рабочем столе пользователя в тот момент, когда создается ограничение для Desktop или Start Menu & Taskbar (например, отключается закладка Screen Saver на Control Panel, Display; удаляется сетевой диск в Windows Explorer), в то время как пользователь регистрируется в сети (эти ограничения находятся в \user configuration\administrative templates). Для управления категорией нужно нажать правую кнопку мыши на соответствующей установке под
\computer configuration\administrative templates\ system\group policyи выбрать Properties. Отметьте Enabled, затем выберите один или несколько флажков для запуска следующих сценариев.
Разрешить обработку через медленное сетевое соединение. Выберите эту установку для разрешения обработки, пока компьютер подключен к контроллеру домена через медленное сетевое соединение (в соответствии с описанием, которое установили для использования установки Group Policy slow link detection). Обратите внимание, что для задержки обработки необходимо убрать флажки.
Не применять при обработке в фоновом режиме. Эту установку следует выбрать для задержки обработки в течение фоновых обновлений, пока пользователь входит в систему. Эта установка задерживает обновления в отдельных категориях, тогда как установка Disable background refresh of Group Policy обновляется во всех категориях.
Выполнять, даже если объекты Group Policy не изменились. Эта установка позволяет отслеживать, какая из двух определенных категорий системы Windows 2000 применяется, даже если политики не были изменены. Например, с помощью этой установки можно предписывать системе Windows 2000 постоянно применять категорию на тот случай, если пользователи отключат ограничения, которые выполнены через Group Policy. Для задержки применения нужно снять флажок.
В Таблице 1 перечислены все категории и соответствующие установки Group Policy, показывающие расположение политик, для которых категория контролирует применение; также идентифицирована каждая из трех ситуаций обработки, которая может задержать любую категорию.
Все и сразу
Group Policy обеспечивает полный набор установок для конфигураций компьютера и пользователя. Во избежание осложнений в Group Policy необходимо минимизировать использование таких установок как No Override и Block Policy inheritance и изменять список ACL доступа к GPO только тогда, когда это необходимо. Чтобы Group Policy были понятными, лучше использовать варианты, которые предлагаются в окне GPO Properties, закладке Group Policy. Чтобы отслеживать, кто какие политики получит, рекомендуется использовать OU, а не ограничения с помощью разрешений на доступ к GPO, и прибегать к ограничениям только в исключительных случаях, которые требуют полного изменения иерархии существующих OU.
Рэнди Франклин Смит - президент компании Monterey Technology Group, занимающейся обучением и консалтингом в области защиты Windows NT. Связаться с ним можно по адресу: rsmith@montereytechgroup.com.