Введение
В предыдущей статье данного цикла вы узнали об очередном компоненте оснастки «Управление групповой политикой» - моделировании групповых политик. Этот компонент будет весьма полезным для вас в том случае, если вы перемещаете компьютер или пользователя между подразделениями, доменами или сайтами и хотите узнать, под область действия каких объектов групповых политик попадет перемещаемый компьютер или пользователь. В этой статье вы узнаете о компоненте «брате-близнеце» моделирования групповых политик, а именно о результирующей групповой политике. В вашей организации при наилучшем раскладе могут быть применены десятки объектов групповых политик, а если учесть все фильтры, наследования, а также исключения групповых политик, в конце концов, вам будет сложно определить, какие параметры будут применяться к пользователям, находящимся в разных отделах или филиалах предприятия. Если говорить по-простому, то операционная система Windows Server собирает групповые политики, обрабатывает все данные и сохраняет всю информацию в базе данных CIMOM через инструментарий управления Windows (WMI), непосредственно на локальном компьютере (обычно на контроллере домена). Вся эта информация включает в себя список, контент и журналируемую информацию для каждого объекта групповой политики, а также определяет, какие параметры политики были применены к пользователям и компьютерам вашей организации. При входе компьютера в сеть в базу данных CIMOM записываются такие сведения, как оборудование компьютера, параметры компонента «Программы и компоненты» оснастки «Редактор управления групповой политикой», параметры компонента «Свойства обозревателя», сценарии, параметры компонента «Перенаправление папки», а также параметры безопасности. Такая функция и называется результирующей групповой политикой (Resultant Set of Policy - RSoP).
Результирующая политика представляет собой результат применения объектов групповых политик к пользователю или компьютеру с учетом всех связей GPO, исключений, а также фильтров безопасности и WMI. RSoP предоставляет сведения обо всех параметрах политики, которые задаются администратором, включая административные шаблоны, перенаправление папки, настройку веб-браузера Internet Explorer, параметры безопасности, сценарии и установку программ. Помимо этого, результирующие политики позволяют определить набор примененных политик и их приоритеты. По сути, результирующая политика работает в двух режимах – режиме планирования и режиме журналирования (также этот режим называется режимом входа). К режиму планирования относится метод моделирования результатов групповой политики, который применяется к пользователю или компьютеру на основе конкретных переменных, который был подробно описан в предыдущей статье. Режим журналирования предоставляет информацию о результатах параметров групповых политик, которые уже применяются к существующим пользователям или компьютерам. Результирующая политика запрашивает локальный или удаленный компьютер и извлекает точные параметры, которые применяются к компьютеру или пользователю, успешно вошедшему в свой компьютер. В сформированном отчете результирующей политики отображаются даже приложения, доступные для данного пользователя или компьютера, а также любые изменения в конфигурации программ, которые были объявлены или применены, что значительно упрощает планирование сценариев и применение такой функции, как AppLocker. В этой статье вы узнаете именно о принципах работы RSoP.
Создание отчетов RSoP
Функционал клиентских и серверных операционных систем Windows позволяет вам управлять компонентом RSoP для настройки групповой политики в организации и генерировать отчеты при помощи следующих средств:
- Оснастка «Результирующая политика». Данная оснастка применяется для создания подробных отчетов о применяемых параметрах политики в двух режимах: режим журналирования и режим планирования, с понятиями которых вы уже ознакомились выше. Именно об этой оснастке и пойдет речь в последующих разделах данной статьи;
- Мастер результатов групповой политики. Компонент оснастки «Управление групповой политикой», предназначен для того, чтобы точно определять параметры применяемой к пользователю или компьютеру политики и причины их применения. О данной оснастке вы также узнаете из данной статьи;
- Утилита командной строки Gpresult. Утилита командной строки, которая предназначена для получения таких подробных сведений, как данные, предоставляемые в режиме входа RSoP, запросто экспортируемых в текстовый файл для дальнейшего анализа. О применении текущей утилиты вы узнаете в конце текущей статьи.
Использование оснастки «Результирующая политика»
Преимущество использования оснастки «Результирующая политика» заключается в том, что анализировать применение групповых политик при помощи данной оснастки вы можете как в доменной среде, так и находясь в рабочей группе. Соответственно, результат применения объектов групповых политик к пользователю или компьютеру можно просматривать как в серверной операционной системе, так и в клиентской ОС. В этом разделе вы узнаете о применении данной оснастки, а также о сохранении, изменении и обновлении запроса результирующей политики.
Открытие оснастки «Результирующая политика»
Открыть оснастку «Результирующая политика» вы можете одним из следующих способов:
- Откройте «Консоль управления MMC». Для этого нажмите на кнопку «Пуск», в поле поиска введите mmc, а затем нажмите на кнопку «Enter». Откроется пустая консоль MMC. В меню «Консоль» выберите команду «Добавить или удалить оснастку» или воспользуйтесь комбинацией клавиш Ctrl+M. В диалоге «Добавление и удаление оснасток» выберите оснастку «Результирующая политика» и нажмите на кнопку «Добавить», а затем нажмите на кнопку «ОК»;
- Воспользуйтесь комбинацией клавиш +R для открытия диалога «Выполнить». В диалоговом окне «Выполнить», в поле «Открыть» введите rsop.msc и нажмите на кнопку «ОК». Вместе с этой командой вы можете использовать такие параметры, как /RsopNamespace для указания пространства имен и /RsopTargetComp, предназначенной для указания конечного компьютера.
Если вы открываете оснастку RSoP вторым способом, то функционал результирующей политики обработает данные, согласно параметрам, которые были указаны в диалоговом окне «Выполнить». На следующей иллюстрации вы можете увидеть диалоговое окно обработки данных RSoP:
Рис. 1. Диалоговое окно «Обработка результирующей политики (RSoP)»
Генерирование отчета журналирования RSoP
В предыдущем разделе я говорил о том, что предоставление информации о результатах параметров групповых политик, которые применяются к существующим пользователям или компьютерам называется режимом журналирования RSoP. В этом разделе рассказывается о том, как можно сгенерировать отчет журналирования результирующей политики. В основном данный режим RSoP используется для выявления параметров политики, применяемых для указанного компьютера или пользователя, изучения неверных или измененных параметров политики, а также для просмотра того, как могут повлиять группы безопасности на параметры политики. Для того чтобы сгенерировать такой отчет, выполните действия, указанные в следующей процедуре:
- Откройте мастер результирующей политики из открытой оснастки «Результирующая политика». Для этого выполните одно из следующих действий:
- На первом шаге приветствия прочитайте краткое описание данного компонента и нажмите на кнопку «Далее»;
- На странице «Выбор режима» вам предлагают выбрать, для какого режима вы будете генерировать отчет RSoP. Так как в данном примере мы генерируем режим журналирования (или, иначе говоря, входа), установите переключатель на опцию «Режим входа» и нажмите на кнопку «Далее». Необходимо обратить внимание на то, что если ваш компьютер не входит в состав домена Active Directory, у вас не получится установить переключатель на опцию «Режим планирования», то есть воспользоваться функционалом моделирования групповой политики;
Рис. 3. Страница «Выбор режима» мастера результирующей политики
- На следующем шаге, странице «Выбор компьютера» вам нужно будет выбрать компьютер, для которого будет генерироваться отчет результирующей политики. Вы можете указать локальный компьютер или можете выбрать любой компьютер вашей сети, воспользовавшись стандартным диалоговым окном «Выбор компьютера», вызываемым нажатием на кнопку «Обзор». Если вы не хотите, чтобы в отчете отображались параметры политик компьютера, установите на данной странице флажок «Не отображать параметры политики для выбранного компьютера». После того как будут внесены все необходимые данные, нажмите на кнопку «Далее»;
Рис. 4. Страница «Выбор компьютера» мастера результирующей политики
- На странице «Выбор пользователя» выберите пользователя, для которого генерируется данный отчет. Вы можете выбрать текущего пользователя, под которым вы вошли в систему на данный момент или выбрать любого существующего пользователя из предоставленного списка, установив переключатель на опцию «Другого пользователя» и выбрать учетную запись из предоставленного системой списка. Также как и на предыдущей странице, вы можете отказаться от отображения параметров политики пользователя на данном шаге. Для этого просто установите переключатель на соответствующую опцию. После того как вы выберите пользователя нажмите на кнопку «Далее»;
Рис. 5. Страница «Выбор пользователя» мастера результирующей политики
- На предпоследнем шаге – странице «Сводка выбранных параметров» вы можете просмотреть все настройки генерируемого отчета результирующей политики и при необходимости нажать на кнопку «Назад», чтобы изменить несоответствующие параметры. Флажок «Сбор расширенных сведений об ошибке» данной страницы предназначен для отображения всех событий в журнале приложения на указанном ранее компьютере. Данный параметр имеет особую ценность, так как он позволяет получить сведения об ошибках на клиентских компьютерах, где вероятность возникновения ошибок больше. Недостатком применения данного параметра является то, что скорость обработки отчета в это время значительно снижается;
Рис. 6. Сводка указанных ранее параметров результирующей политики
- Страница «Завершение мастера результирующей политики» свидетельствует о завершении генерирования RSoP отчета. Нажмите на кнопку «Готово».
Рис. 7. Завершающая страница мастера результирующей политики
В рамках данной статьи генерирование отчетов режима планирования групповых политик рассматриваться не будет, так как моделирование групповой политики было подробно рассмотрено в предыдущей статье данного цикла.
Анализ отчета и выполнение дополнительных действий
После того как отчет будет сгенерирован, вы увидите, что в оснастке «Результирующая политика» будут отображаться все параметры политик, которые могли быть настроены для указанного вами компьютера и пользователя. В области сведений данной оснастки, в узлах «Конфигурация компьютера» и «Конфигурация пользователя» отображаются конфигурация программ, конфигурация Windows, а также дополнительные параметры системного реестра. Если вы открыли данную оснастку, используя команду rsop.msc без параметров, то для вас будет открыта оснастка результирующей политики с параметрами политики локального компьютера и локального пользователя.
В узле конфигурации программ, в области сведений вы можете проанализировать результаты RSoP, которые относятся к настройке программ. В узле «Конфигурация Windows» вы можете анализировать такие параметры политики, как: сценарии, параметры безопасности, где отображаются абсолютно все политики безопасности, которые вы даже не сможете найти в оснастке «Редактирование групповых политик» на клиентском компьютере. Помимо этого, открыв любую политику безопасности, вы не сможете изменить ее параметры, но для вас будет доступна новая вкладка под названием «Приоритет», в которой вы можете увидеть, какие объекты групповой политики влияют на данный параметр, в порядке от новых к старым. Также вы можете просмотреть политики веб-браузера Internet Explorer и настройки административных шаблонов, причем для административных шаблонов в области сведений будет отображаться новый столбец «Имя объекта групповой политики», в котором указывается название объекта групповой политики.
Увеличить рисунок
Рис. 8. Административные шаблоны результирующей политики
Дополнительные параметры реестра представляют собой набор параметров реестра, связанных с политикой, не имеющие связанного административного шаблона. Поскольку связь с административным шаблоном отсутствует, в объяснении параметра указываются только раздел реестра и объект групповой политики, задающий этот раздел.
При необходимости вы можете изменить набор параметров, отвечающих за содержимое вашего отчета RSoP. Для этого вам нужно в дереве консоли нажать правой кнопкой мыши на узле «%Имя_пользователя% на %имя_компьютера% - результирующая политика» и из контекстного меню выбрать команду «Изменить запрос». При выборе данной команды откроется мастер создания результирующей политики на странице «Выбор компьютера». Далее вам нужно выполнить действия, указанные в предыдущем разделе, начиная с пункта 4.
Может произойти такая ситуация, когда во время анализа вам нужно будет изменить один или несколько объектов групповой политики, которые распространяются на компьютер или пользователя, для которого проводится анализ результирующей групповой политики. В этом случае вам необходимо обновить политику RSoP на том компьютере, на котором в данный момент запущен отчет результирующей политики режима журналирования. Для того чтобы обновить отчет, нажмите правой кнопкой мыши на узле «%Имя_пользователя% на %имя_компьютера% - результирующая политика» и из контекстного меню выберите команду «Обновление запросов». Откроется диалоговое окно «Обработка результирующей политики RSoP» и через несколько минут ваш отчет будет обновлен.
Рис. 9. Обновление запросов результирующей политики
Помимо всех вышеперечисленных действий, вы можете сохранить оснастку с данными сгенерированного отчета для дальнейшего изучения и анализа. По умолчанию, при сохранении оснастки данные, которые были вами сгенерированы не сохраняются. Для того чтобы их сохранить, выполните следующие действия:
- В меню «Вид» выберите команду «Архивировать данные в файле консоли»;
- Перейдите в меню «Файл» и выберите команду «Сохранить»;
- В диалоговом окне «Сохранить как» задайте имя и выберите папку, где будет сохранена ваша оснастка со всеми данными и нажмите на кнопку «Сохранить»;
Продолжение следует.