Среди новых технологий, появившихся в Windows Server 2008 и Windows Vista, одной из наиболее притягательных является технология настроек групповой политики (GPP), которая намного расширяет границы того, что администратор может сделать с помощью групповой политики. Настройки групповой политики предоставляют более 3000 параметров в 22 различных областях внутри объекта групповой политики (GPO) и включают в себя установку сопоставлений дисков и принтеров, а также контроль над членством в локальной группе. И особенно замечательно то, что для всего этого не нужно устанавливать новой инфраструктуры, поскольку технология работает с существующей инфраструктурой Active Directory и средой групповых политик. Чтобы заставить ее работать, достаточно административного средства и клиента DLL. В этой статье я углублюсь в настройки групповой политики, чтобы продемонстрировать как их полезность, так и простоту их развертывания и администрирования.
Совместимость настроек групповой политики
GPP можно администрировать только в среде Active Directory, содержащей минимум один сервер Windows Server 2008 или настольный компьютер Windows Vista, поскольку только они могут поддерживать новую консоль управления групповыми политиками (GPMC). GPMC необходима для поддержки и администрирования параметров GPP, она также запускает новый редактор групповых политик (GPME), отображающий GPP, которые можно администрировать.
Однако ситуация существенно другая, когда дело доходит до применения параметров, связанных с GPP; для этого поддерживаются и операционные системы, предшествовавшие Windows Server 2008 и Windows Vista. Говоря конкретно, GPP поддерживает Windows Server 2003 с пакетом обновления 1 и Windows XP Professional с пакетом обновления 2 (SP2), а также все операционные системы, появившиеся после них. На рис. 1 представлена сводка того, какие операционные системы могут администрировать GPPs и какие могут применять GPP.
Рис. 1. Поддержка операционных систем |
Операционная система | Возможность применения настроек групповой политики | Возможность управления настройками групповой политики через GPME |
Windows 2000 | Не поддерживается | Не поддерживается |
Windows XP (x86 и x64) | Поддерживается при наличии пакета обновления 2 и установки CSE | Не поддерживается |
Windows Vista (x86 и x64) | Поддерживается при наличии пакета обновления 1 (SP1) и установки CSE | Поддерживается при наличии пакета обновления 1 (SP1) и установки RSAT |
Windows Server 2003 (x86 и x64) | Поддерживается при наличии пакета обновления 1 (SP1) и установки CSE | Не поддерживается |
Windows Server 2008 (x86 и x64) | Интегрирована | Интегрирована |
Политики и настройки
Для осознания новых возможностей групповых политик, важны термины «политики» и «настройки». Определения политик и настроек основаны на некоторых ключевых областях управления групповыми политиками, включая обеспечение выполнения, гибкость, поведение реестра, нацеливание и интерфейс пользователя. Это не исчерпывающий список, но именно эти области обычно наиболее важны для администраторов.
Давайте взглянем на ключевые выгоды, предоставляемые настройками в этих областях. На рис. 2 представлено больше информации по различиям между политиками и настройками.
Рис. 2. Настройки и политики групповой политики* |
Управление областями | Настройки групповой политики | Параметры групповой политики |
Обеспечение выполнения | Соответствие настройкам не является принудительным. Интерфейс пользователя не отключается. Параметры могут быть обновлены или применены лишь однажды. | Соответствие параметрам является принудительным. Интерфейс пользователя отключается. Параметры обновляются. |
Гибкость | Элементы настроек легко создавать для параметров реестра, файлов и так далее. Отдельные параметры реестра или целые ветви реестра можно импортировать с локального удаленного компьютера. | Добавление параметров политики требует поддержки приложений и создания административных шаблонов. Нельзя создавать параметры политики для управления файлами, папками и так далее. |
Локальная политика | Недоступны в локальной групповой политике. | Доступны в локальной групповой политике. |
Осведомленность | Поддерживают не осведомленные о групповой политике приложения. | Требуют осведомленных о групповой политике приложений. |
Расположение и поведение реестра | Первоначальные параметры переписаны. Удаление элемента настроек не восстанавливает первоначальный параметр. | Первоначальные параметры не изменены. Сохраняются в ветвях политики реестра. Удаление параметра политики восстанавливает первоначальные параметры. |
Нацеливание и фильтрация | Нацеливание детализировано с интерфейсом пользователя для каждого типа элемента нацеливания. Поддерживается нацеливание на уровне отдельных элементов настроек. | Фильтрация основана на инструментарии управления (WMI) и требует написания запросов WMI. Поддерживается фильтрация на уровне объектов групповой политики. |
Пользовательский интерфейс | Предоставляет знакомый, простой в использовании интерфейс для настройки большинства параметров. | Предоставляет альтернативный интерфейс пользователя для большинства параметров политики. |
*Таблица позаимствована из "Group Policy Preferences Overview" («Обзор настроек групповой политики») за авторством Джерри Ханикатта (Jerry Honeycutt) |
Обеспечение выполнения Соблюдение GPP не обязательно; таким образом можно создавать первоначальные конфигурации, но контроль остается в руках конечного пользователя.
Гибкость GPP позволяют легко добавить любое значение реестра, файла или папки в GPO для управления. Кроме того, поскольку GPP основаны на XML, их можно эффективно копировать и вставлять в другие GPO.
Поведение реестра Все записи реестра могут контролироваться, даже когда целевой компьютер или пользователь больше не входит в область управления GPO, где настраивается значение реестра. Значения реестра можно удалять или оставлять на местах после того, как GPO более не влияет на целевой объект.
Нацеливание Каждый параметр GPP предоставляет свыше 25 фильтров нацеливания для управления тем, влияет или нет параметр на целевой объект. Примеры фильтров включают диапазон IP-адресов, членство в группе безопасности и совпадение значения реестра.
Интерфейс пользователя Интерфейс пользователя GPP намного проще и удобнее, чем для других параметров в GPO. В большинстве случаев «реальный интерфейс настройки» дублируется в GPO, делая настройку параметра простой и знакомой.
Структура и параметры настроек групповой политики
Когда GPO открывается GPME, политики и настройки очень четко разделены, как показано на рис. 3, позволяя легко увидеть, какие параметры попадают в новую область GPP. Это важно отметить, поскольку настройки ведут себя иначе, чем политики. При развертывании узлов настроек либо в конфигурации компьютера (см. рис. 4), либо в конфигурации пользователя (см. рис. 5) можно увидеть многочисленные параметры разбитыми на две категории: параметры панели управления и параметры Windows.
Рис. 3. GPME отделяет политики от настроек
Рис. 4. Настройки конфигурации компьютера
Рис. 5. Настройки конфигурации пользователя
Более сложные конфигурации
Над GPPs возможен более детализированный контроль чем над любыми другими параметрами в GPO путем использования вариантов, доступных на вкладке «Общие» для каждой настройки. Эта вкладка содержит выставляемые флажки для пяти различных вариантов, возможность настройки нацеливания и текстовое окно для описания настройки GPO, в целях документации и устранении неполадок.
Остановить обработку элементов в этом расширении при возникновении ошибки Поведение по умолчанию обработки групповой политики состоит в том, что все параметры будут обработаны, даже при наличии нескольких параметров в одними и теми же клиентскими расширениями (CSE) и сбое одного из этих расширений. Если требуется, чтобы обработка параметров внутри одного CSE остановилась после сбоя одного из параметров внутри данного CSE, включите этот вариант. Этот параметр имеет тот же охват, что и текущий GPO.
Работать в контексте безопасности вошедшего в систему пользователя (вариант пользовательской политики) При применении параметров групповой политики (как политик, так и настроек), они применяются с использованием локальной учетной записи системы. Поскольку локальная учетная запись имеет только доступ к переменным среды системы и локальным ресурсам, пользовательский контекст очевидно недоступен. Для получения доступа к переменным среды пользователя и сетевым ресурсам этот параметр можно включить с тем, чтобы он выполнял обработку настроек групповых политик с использованием учетной записи вошедшего в систему пользователя.
Удалить этот элемент, когда он больше не применяется Параметры GPP не удаляются из реестра, когда GPO удаляется с пользователя или компьютера, не удаляются они и когда пользователь или компьютер выпадают из области управления GPO. Чтобы параметры настроек удалялись, когда GPO становится неприменим к объекту пользователя или компьютера, можно включить этот вариант (хотя следует отметить, что этот вариант недоступен в некоторых расширениях, скажем в предназначенных для Internet Explorer).
Применить один раз и не применять повторно У групповой политики существует интервал обновления по умолчанию – примерно каждые 90 минут. Это обновление реализовано так, что новые параметры могут быть применены, а старые применены заново, не требуя от компьютера или пользователя перезапуска или повторного входа в систему. Если настраиваемый параметр GPP должен быть применен к компьютеру лишь однажды, без дальнейших обновлений, можно включить этот вариант. Это отличный механизм для установки первоначального массива конфигураций, на которых может влиять GPP, при сохранении для пользователя возможности создания индивидуализированной среды путем изменения параметров после входа в систему и защиты их от переписывания.
Если параметры входят в конфигурацию пользователя, GPP применит эти параметры один раз на каждом компьютере, на который входит пользователь. Если параметр входит в конфигурацию компьютера, GPP применит этот параметр один раз на каждом компьютере. Отметьте, однако, что это лишь одноразовое применение параметров. Чтобы обновить или заново применить эти параметры, необходимо сперва отменить выбор этого варианта.
Нацеливание на уровень элемента По умолчанию все пользователи и компьютеры, попадающие в область управления GPO, получат параметры внутри GPO. Чтобы эти параметры применялись лишь к части пользователей и компьютеров по умолчанию, можно использовать нацеливание. Доступно свыше 25 различных элементов нацеливания; их можно использовать отдельно или в сочетании с другими элементами. На рис. 6 показан полный список вариантов нацеливания на уровень элементов.
Рис. 6. Нацеливание на уровень элемента используется для динамического управления параметрами GPP на объектах компьютера и пользователя
Описание Текстовое окно описание позволяет документировать параметры, варианты и элементы нацеливания для каждого параметра GPP. Это текст, который будет виден при выборе определенного параметра настройки внутри GPME, без необходимости изменять сам параметр GPP, как показано на рис. 7.
Администрирование настроек групповой политики
Администрирование GPP идентично таковому для других параметров GPO. Единственная трудность, как упоминалось ранее, состоит в том, что их необходимо администрировать с компьютера, использующего Windows Server 2008 или Windows Vista с пакетом обновления 1 (SP1).
Рис. 8. Диалоговое окно новых свойств диска открывается при создании новых параметров политики для сопоставления дисков
Предположим, что необходимо настроить сопоставление дисков в конфигурации пользователя GPO. Параметр настройки для этого расположен в «Конфигурация пользователя» | «Настройки» | «Параметры Windows» | «Сопоставления дисков». Щелкнув правой кнопкой мыши параметр сопоставлений дисков, можно выбрать «Создать—Подключенный диск», что создаст новую политику, как показано на рис. 8. Здесь вводится информация для сопоставления диска, такая как расположение, локальная метка для диска и буква диска.
На этом этапе можно выбрать применение сопоставления диска к каждому пользователю, попадающему в область управления GPO, или ограничить пользователей, получающих параметр, путем настройки нацеливания на уровне элементов. Следует установить нацеливание на уровне элементов, контролирующее, какие пользователи получаю подключение диска, основываясь на их членстве в группе безопасности и путем выполнения быстрой проверки, удостоверяющейся, находится ли на их компьютере конкретный файл программы (EXE). Эта вторая проверка выполняется потому, что сопоставляемая общая папка содержит файлы, полезные только при доступе с помощью файла этой программы.
Чтобы сделать их параметрами нацеливания на уровень элемента, щелкните вкладку «Общие» в диалоговом окне свойств нового диска. Затем установите флажок рядом с «Нацеливание на уровень элемента» и нажмите кнопку «Нацеливание». Это откроет диалоговое окно редактора нацеливания. Щелкните раскрывающийся список для «Параметры элемента» и выберите «Группа безопасности». Затем щелкните «Просмотр», что позволит настроить соответствующую группу, в данном примере HR Users (см. рис. 9).
Теперь необходимо настроить путь к файлу EXE. Выберите «соответствие файлов» из раскрывающегося списка «тип соответствия» для добавления критериев. Затем введите путь файла, в данном случае C:\Program Files\ACME\HRBenefits.exe. (Примечание. Как соответствия дисков так и принципов придерживаются обновления политики переднего плана GPO. Дополнительную информацию по обновлениям политики можно извлечь из статьи по GPP, Group Policy Processing («Обработка групповой политики»).)
После этого при следующем выходе пользователя из системы и входе обратно появится сопоставленный диск, при условии, что он является членом группы безопасности HR и на его компьютере имеется файл HRBenefits.exe. Если эти условия не выполнены, буква диска не появится.
Увеличить
Рис. 9. Варианты нацеливания на уровень элемента можно сочетать
Настройки групповой политики спешат на помощь
Вот небольшой список некоторых проблем, которые я решил, используя GPP:
- Правка членства локальной группы администраторов на каждом настольном компьютере, чтобы она включала администраторов домена и локальную учетную запись администратора, но не удаляла бы существующих членов группы.
- Обеспечение того, чтобы учетная запись текущего пользователя настольного компьютера не располагалась бы в локальной группе администраторов.
- Контроль над параметрами питания на каждом настольном компьютере, дающий большую экономию энергии.
- Обновление области конфигурации служб на каждом сервере, использующем конкретную службу, чтобы режимом запуска службы всегда бы был «Автоматический».
- Динамическое подключение принтеров, чтобы при посещении пользователями портативных компьютеров филиала 1 они автоматически получали бы нужные принтеры. Аналогично, при посещении филиала 2 они получали бы нужные принтеры для этого места.
Подводя итоги
Настройки групповой политики просты в администрировании и развертывании. Поскольку эта технологии совместима с Windows Server 2003 с пакетом обновления 1 (SP1) и Windows XP с пакетом обновления 2 (SP2), почти все компании могут воспользоваться новыми настройками и даваемыми ими возможностями. Это уменьшает стоимость реализации и позволяет администраторам контролировать настольные компьютеры, необходимые для эффективного выполнения их работы.
Сочетание хорошей схемы развертывания групповой политики с нацеливанием на уровень элемента дает администраторам возможность создавать динамические конфигурации настольных компьютеров и серверов. При наличии более чем 25 доступных критериев нацеливания на уровень элемента почти любой параметр можно контролировать, чтобы применять его только в подходящей ситуации. Дополнительные сведения по групповой политике можно найти в книге Group Policy Resource Kit («Наборе материалов по групповой политике», а также на веб-узле Windows Server Group Policy («Групповая политика Windows Server».