Введение
Из моих статей, возможно, вы уже многое узнали о технологии групповой политики. Например, в статье «Управление групповыми политиками в организации. Часть 2» были подробно расписаны связи объектов групповой политики, а в статье «Управление групповыми политиками в организации. Часть 3» было рассказано о приоритетах объектов GPO и о делегировании разрешений для объектов групповой политики. Соответственно, вы помните, что приоритет объекта групповой политики определяет, какой параметр политики будет применен к клиенту, а именно то, что если вы создадите объекты групповой политики и привяжите их к сайту, домену и подразделениям, то эти объекты GPO будут наследоваться на подразделения более низкого уровня, где объект GPO с более высоким приоритетом, будет иметь привилегии над объектами групповой политики с более низким приоритетом. Другими словами, при запуске клиентского компьютера, клиент групповой политики анализирует размещение объекта компьютера или пользователя в Active Directory и применяет политики в следующем порядке: объекты GPO, связанные с сайтом, затем с доменом, после чего с родительским подразделением первого уровня, а потом с подразделением, где расположен объект пользователя или компьютера. Кумулятивным результатом такого применения объектов групповой политики называется наследование политики. Но ни в одной статье не было рассказано о таком важном свойстве, как блокирование наследования, о чем, собственно, и пойдет речь в данной небольшой статье.
При помощи наследования групповой политики у вас есть возможность тщательно спланировать применение групповой политики для большинства подразделений любой организации. Но иногда бывают такие ситуации, когда для конкретного подразделения требуется блокировать все параметры групповой политики из объектов групповой политики, связанных с родителями в иерархии GPO. Другими словами, если блокировать наследование для конкретного подразделения, то применение объектов групповой политики будет начинаться только с объектов GPO, которые связаны непосредственно с текущим подразделением, а все объекты групповой политики, связанные с подразделениями более высоких уровней иерархии, а также политики, связанные с доменом или сайтом не будут применяться.
Применение блокирования наследования
По применению блокирования наследования можно рассмотреть простой пример с фиктивной организацией. Есть организация Biopharmaceutic, в которой работают 2000 пользователей в 50 подразделениях. В этой организации есть отдел «Разработка» с дочерним отделом «Отдел тестирования». Для всех подразделений применяется по одному объекту групповой политики, которые связанны с сайтом и доменом. На отдел разработчиков применяются еще три объекта GPO, причем, для объекта групповой политики «Принудительные параметры безопасности» выбрана принудительная связь. Но для работы тестировщиков, которые расположены в подразделении «Тестирование» необходимо, чтобы к ним не применялся ни один из объектов групповой политики кроме тех, которые назначены непосредственно для их подразделения. Соответственно, именно в этом случае и необходимо использовать блокирование наследования. Но тут стоит обратить внимание на то, что даже при включенном блокировании наследования на это подразделение будет применен тот объект групповой политики, для которого была установлена принудительная связь, так как этот объект получает наивысший приоритет. Для того чтобы установить блокирование наследования, выполните следующие действия:
Увеличить рисунок
Рис. 1. Порядок ссылок объектов GPO для подразделения «Тестирование»
Увеличить рисунок
Рис. 2. Блокирование наследования
- На контроллере домена, откройте оснастку «Управление групповой политикой», в дереве консоли разверните узел «Лес: %имя леса%», в данном примере этот узел называется «Лес: Biopharmaceutic.com», узел «Домены», в данном примере это домен «Biopharmaceutic.com». Так как объекты учетных записей пользователей этой компании находятся в подразделении «Пользователи», в моем случае требуется развернуть это подразделение, после чего подразделение «Разработка» и выбрать подразделение «Тестирование». Как видно на следующей иллюстрации, на вкладке «Наследование групповой политики», с данным подразделением связано 8 объектов групповой политики:
- Для того чтобы запретить наследование параметров объектов групповой политики для подразделения «Тестирование», нажмите правой кнопкой мыши на текущем подразделении и из контекстного меню выберите команду «Блокировать наследование». Как показано на следующей иллюстрации, после применения данного свойства, на значке подразделения появится синий кружок с восклицательным знаком, что свидетельствует о том, что к текущему подразделению было применено блокирование наследования;
Как видно на предыдущей иллюстрации, теперь на подразделение отдела тестирования распространяется только объект групповой политики «Объект GPO подразделения «Тестирование»», который связан непосредственно с текущим подразделением, а также принудительный объект групповой политики «Объект GPO подразделения «Разработка» 3», связанный с подразделением «Разработка», причем данный объект GPO обладает наивысшим приоритетом.
Теперь рассмотрим порядок применения объектов групповой политики к объектам учетных записей пользователей, расположенных в подразделениях «Разработка» и «Тестирование». К подразделению «Разработка» будут применены объекты групповой политики в следующем порядке: ко всему сайту Active Directory сначала применяется объект групповой политики «Объект групповой политики сайта организации». После этого применяются объекты GPO «Объект групповой политики домена BIOPHARMACEUTIC.COM» и «Default Domain Policy», которые связаны с доменом. Так как родительским подразделением является подразделение «Пользователи», то следующими применяются объекты групповой политики «Объект групповой политики подразделения «Пользователи»» и «Настройки экрана входа в систему для пользователей». И последними применяются объекты «Объект GPO подразделения «Разработка» 2», «Объект GPO подразделения «Разработка» 1» и «Объект GPO подразделения «Разработка» 3», который обладает принудительной связью. В свою очередь, для отдела «Тестирование» блокируются все указанные выше объекты GPO кроме принудительного и применяются только объекты «Объект GPO подразделения «Тестирование»» и принудительный объект «Объект GPO подразделения «Разработка» 1».
Заключение
Из этой статьи вы узнали о блокировании наследования групповой политики, позволяющей для конкретного подразделения заблокировать все параметры групповой политики из объектов групповой политики, связанных с родителями в иерархии GPO. На простом примере было рассмотрено практическое применение блокирования наследования, а также был показан порядок обработки объектов групповой политики для подразделений организации.