Совет недели по групповым политикам 7 – настройка работы групповых политик
Посетителей: 8999
| Просмотров: 15334 (сегодня 0)
Шрифт:
Насколько вы знаете, параметры групповых политик, которые расположены в узлах «Конфигурация компьютера» и «Конфигурация пользователя» применяются при загрузке операционной системы и, соответственно, при выполнении пользователем входа в систему, а также каждые 90 – 120 минут. Ранее, в своих статьях я уже не раз указывал на тот факт, что при помощи приоритетов объектов групповых политик, сами параметры политик в разных объектах применяются последовательно. А именно, сначала применяются локальные объекты групповых политик, после них политики, связанные с сайтом, затем с доменом и политики, связанные с подразделениями, причем, начиная от подразделения первого уровня и заканчивая подразделением, где расположен сам объект, к которому применяются параметры групповой политики. Помимо этого, при помощи клиентского расширения CSE, предназначенного для поддержки установки программного обеспечения (Group Policy Software Installation, GPSI), вы можете автоматизировать процесс установки программного обеспечения средствами функционала групповых политик. Если все компьютеры вашей организации расположены в одном здании и подключены к быстрому сетевому подключению, то развертывание программного обеспечения будет осуществляться без каких-либо проблем. Но если пользователи вашей организации расположены в разных зданиях или даже городах и удаленный пользователь подключается к сети с медленным сетевым подключением, некоторые параметры расширений CSE групповых политик не будут к ним применяться. Когда клиент выполняет обновление групповой политики, то он тестирует производительность сети и определяет, используется ли медленное подключение, скорость которого по умолчанию составляет 500 Кбит/с. В совете этой недели я расскажу вам о том, как можно управлять параметрами настройки групповых политик, которые имеют отношение ко всем перечисленным выше нюансам. Итак, для того чтобы настроить параметры, отвечающие за работу групповых политик, выполните следующие действия:
Прежде всего, стоит отметить, что настраивать эти параметры групповых политик целесообразно для тех компьютеров и пользователей, которые входят в домен Active Directory. Поэтому, сначала на контроллере домена, откройте оснастку «Управление групповой политикой», в дереве консоли разверните узел «Лес: %имя леса%», узел «Домены», затем узел с названием вашего домена, после чего узел «Объекты групповой политики». В узле «Объекты групповой политики» создайте объект GPO, выберите его, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Изменить»;
В оснастке «Редактор управления групповыми политиками», в дереве консоли перейдите в узел Конфигурация компьютера\Административные шаблоны\Система\Групповая политика, как показано на следующей иллюстрации:
Для начала изменим интервал обновления групповой политики для компьютеров вашей организации, а также, в случае необходимости, для контроллеров домена. Для этого вам нужно открыть параметр политики «Интервал обновления групповой политики для компьютеров». Этот параметр политики позволяет вам указать частоту фонового обновления параметров групповых политик, расположенных в узле «Конфигурация компьютера», а также во избежание одновременных запросов обновлений от клиентов с одинаковым интервалом обновления, указать степень варьирования интервала обновления (интервал смещения). Интервалом смещения называется число, определяющее случайное число минут, которое формирует случайное смещение в интервале обновления групповых политик. Если вы укажите большее число, то вы тем самым зададите широкий диапазон смещения и существенно снизите вероятность перекрытия запросов клиента, но стоит учесть, что обновления могут быть существенно замедлены. Стоит обратить внимание на то, что по умолчанию значением для частоты фонового обновления установлены 90 минут, а значение интервала смещения равняется 30 минутам. Соответственно, из-за этого мы и получаем те 90 – 120 минут, о которых я говорил в самом начале этой статьи. Для изменения этого параметра, в диалоговом окне свойств данного параметра установите переключатель на опцию «Включить». В текстовом поле «Это параметр позволяет настроить частоту обновления групповой политики» укажите частоту фонового обновления в минутах, например, 60, а в текстовом поле интервала смещения, который расположен снизу, укажите интервал смещения, например, 20 минут, как показано на следующей иллюстрации:
Рис. 2. Настройка интервала обновления групповой политики для компьютеров
Стоит отметить, что если вы хотите настроить интервал обновления групповой политики для контроллеров доменов, то вам нужно изменить параметр политики «Интервал обновления групповой политики для контроллеров доменов», где значениями по умолчанию для интервала обновления и интервала смещения установлены 5 минут и 0, соответственно. Если вы укажите для интервала обновления значение 0, то групповые политики будут обновляться каждые 7 секунд. В большинстве случаев значения, указанного по умолчанию будет достаточно и можно не изменять данных параметр. Помимо этого, не стоит забывать, что если вам нужно настроить интервалы обновления для пользователей вашей организации, то вам нужно изменить идентичный параметр политики, расположенный в узле Конфигурация пользователя\Административные шаблоны\Система\Групповая политика;
Как вы знаете, большинство общесистемных параметров, а также параметров, которые могут настраиваться пользователями, можно редактировать при помощи групповых политик. Но также, вполне очевидно то, что практически любой администратор не может проследить за всеми возможными нюансами и некоторые параметры могут настраиваться локально, при помощи оснастки «Редактор локальной групповой политики», что иногда может противоречить корпоративной политике. Именно поэтому, вы можете запретить обработку и применение всех локальных объектов групповой политики, чтобы применялись только объекты доменной групповой политики. Для этого откройте параметр политики «Выключение обработки локальных объектов групповой политики» и в соответствующем диалоговом окне установите переключатель на опцию «Включить», а затем нажмите на кнопку «ОК», как показано ниже:
Рис. 3. Выключение обработки локальных объектов групповой политики
Как я уже упомянул ранее, каждое клиентское расширение настроено для обработки групповой политики или отмены обработки параметров в случае применения медленного подключения. Например, расширение CSE GPSI, о котором шла речь выше не выполняет обработки параметров групповой политики через медленное подключение. Если вам все-таки необходимо устанавливать программное обеспечение непосредственно при помощи клиентского расширения установки программ, вы можете настроить пропускную скорость подключения, которая определяется как медленное соединение. Стоит обратить внимание на то, что для выполнения обработки политики компьютера и политики пользователя, также как и в случае с интервалами обновления, предусмотрено два отдельных параметра политики, которые можно найти в узле «Конфигурация компьютера» и «Конфигурация пользователя», соответственно. Чтобы изменить скорость подключения, откройте параметр политики «Обнаружение медленных подключений для групповых политик», в соответствующем диалоговом окне установите переключатель на опцию «Включить», а затем в соответствующем текстовом поле укажите новое значение в диапазоне от 0 до 4 294 967 200, которое будет означать скорость передачи (Кбит/с). Если вы укажите значение равное 0, то все подключения будут считаться быстрыми. Параметры данной политики представлены на следующей иллюстрации:
Рис. 4. Изменение порогового значения, отвечающего за медленные подключения для групповой политики
Последний параметр, который мы с вами сегодня рассмотрим, позволяет запретить вашим пользователям использовать протоколирование результирующей политики на клиентском компьютере. Для того чтобы запретить использовать RSoP, откройте параметр политики «Отключить протоколирование RSoP» и установите переключатель на опции «Включить», как показано ниже:
Рис. 5. Отключение возможности протоколирования RSoP
После того как вы настроили все необходимые параметры групповой политики, можно закрыть оснастку «Редактор управления групповой политики». Теперь осталось только связать созданный нами объект групповой политики с подразделением, содержащим учетные записи компьютеров, для которых должны применяться параметры текущего объекта групповой политики. В дереве консоли оснастки «Управление групповой политикой» выберите подразделение, содержащее учетные записи компьютеров ваших пользователей, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Связать существующий объект групповой политики». В отобразившемся диалоговом окне «Выбор объекта групповой политики» выберите данный объект групповой политики и нажмите на кнопку «ОК».
В результате применения отконфигурированных параметров групповых политик, для ваших пользователей будут настроены: интервал обновления групповой политики с интервалом смещения, на пользователей не будут распространяться обновления объектов локальной групповой политик, будет указано новое значение медленного сетевого подключения, а также им будет запрещено использовать протоколирование результирующей групповой политики.