При создании, настройке и хранении параметров групповых политик применяется подход, позволяющий работать с GPO как с документами.
После создания GPO ассоциируется с определенным контейнером Active Directory, и в результате групповые политики, хранящиеся в данном GPO, будут выполняться для всех компьютеров и пользователей, находящихся в этом контейнере. Дополнительными средствами настройки групповых политик в контейнере являются группы безопасности и дискреционные разрешения доступа.
GPO создается с помощью оснастки консоли управления Групповая политика, которая может вызываться как изолированный инструмент и в качестве расширения таких оснасток, как Active Directory—пользователи и компьютеры (Active Directory Users and Computers) или Active Directory—сайты и службы (Active Directory Site and Services). Для вызова оснастки Групповая политика в качестве расширения в окне соответствующей оснастки укажите нужный контейнер и щелкните правой кнопкой мыши. В появившемся контекстном меню выберите команду Свойства (Properties). В открывшемся окне перейдите на вкладку Групповая политика (Group Policy). С ее помощью вы сможете просматривать контейнеры Active Directory и ассоциированные с ними GPO.
Для запуска оснастки Групповая политика в виде изолированной оснастки:
- Нажмите кнопку Пуск (Start). Выберите команду Выполнить (Run). В поле ввода введите с клавиатуры gpedit.msc и нажмите кнопку ОК. Запустится консоль управления Microsoft.
- В окне консоли управления в меню Консоль (Console) выберите команду Добавить/удалить оснастку (Add/Remove Snap-in), затем нажмите кнопку Добавить (Add). В открывшемся окне выберите элемент Групповая политика и нажмите кнопку Добавить.
- В следующем окне нажмите кнопку Обзор (Browse). В открывшемся окне диалога выберите GPO, который будет загружен в оснастку (можно выбрать GPO для отдельного компьютера, подразделения, сайта или домена), и нажмите кнопку ОК. Нажмите кнопки Готово (Finish), Закрыть (Close) и ОК. (Пример окна оснастки приведен ниже, на рис. 27.1) Теперь оснастку можно сохранить в файле с любым именем.
Создать групповую политику для контейнера Active Directory можно только при наличии определенного набора условий. Необходимо иметь работающий контроллер домена Windows 2000. Пользователь, который создает групповую политику, должен обладать правами на чтение и запись в системный том контроллеров домена (папка Sysvol). Кроме того, он должен иметь право модификации выбранного контейнера Active Directory.
После запуска оснастки Групповая политика в окне структуры появляется набор узлов, которые являются расширениями этой оснастки. По умолчанию все расширения загружаются в процессе запуска оснастки. Однако их состав можно изменить с помощью средств создания индивидуальной конфигурации консоли ММС и с помощью политик, определяющих работу самой консоли. Подход, предполагающий применение расширений, позволяет пользователям создавать свои собственные расширения оснастки Групповая политика, наделяя ее способностью устанавливать дополнительные групповые политики. Любое расширение может в свою очередь состоять из расширений, поэтому оснастка Групповая политика — чрезвычайно гибкий инструмент, который можно сконфигурировать для конкретной компьютерной среды.