Скачать презентацию
Идет загрузка презентации. Пожалуйста, подождите
Презентация была опубликована 8 лет назад пользователемВалентина Александрова
1 Раздел 7 Сетевые операционные системы Тема 52. Использование групповых политик Windows 2003
2 Начиная с Windows 2000, для формирования окружения пользователей используется механизм групповых политик (group policy). Под групповой политикой понимается совокупность параметров и настроек системы, определяющая конкретное окружение пользователя. Администратор может использовать механизм групповых политик для централизованного управления средой пользователей: Управление настройками операционной системы. Назначение сценариев. Определение параметров системы безопасности. Управление приложениями. Перенаправление пользовательских папок.
3 Объекты групповой политики Параметры групповой политики хранятся в каталоге в виде объектов групповой политики (Group Policy Object, GPO). Для именования объекта групповой политики используется глобальный уникальный идентификатор (GUID). Различают два вида объектов групповой политики создаваемые в контексте службы каталога и локальные, которые создаются в процессе установки Windows 2000/XP или Windows Server Локальный объект GPO используется, когда компьютер не включен в состав домена. Объекты групповой политики размещаются в каталоге в специальных контейнерах групповой политики (Group Policy Container, GTC). В папке SYSVOL\sysvol\ \роlicies размещаются шаблоны групповой политики (Group Policy Template, GPT), которые представляют собой папки, в качестве имен которых используются глобальные уникальные идентификаторы (GUID) соответствующего объекта групповой политики. В шаблоне групповой политики размещаются административные шаблоны, сценарии и параметры безопасности.
4 Оснастка Group Policy Object Editor (GPOE - Редактор объектов групповой политики) используется для редактирования параметров объектов групповой политики (group policy objects, GPO). Оснастка GPOE может быть вызвана из оснасток Active Directory Users and Computers и Active Рис Вкладка Group Policy окна свойств подразделения. Directory Sites and Services. Для этого в окне свойств объекта, ассоциированного с сайтом, доменом или подразделением, необходимо перейти на вкладку Group Policy (рис. 52.1).
5 Рис 52.2 a) Добавление GPOEditor в консоль mmc.
6 Выбор контроллера домена Оснастка GPOE работает с объектами каталога, следовательно, все ее манипуляции с объектами должны производиться в контексте некоторого контроллера домена. Существует групповая политика, позволяющая администратору определить стратегию выбора предпочитаемого контроллера домена: Использовать основной контроллер домена; Унаследовать от оснасток Active Directory; Использовать любой доступный контроллер домена. Создание и удаление объектов групповой политики Для создания нового объекта групповой политики достаточно щелкнуть на кнопке Создать на вкладке Групповая политика (см. рис. 52.1) в окне свойств некоторого контейнера. Удаление объекта групповой политики, не привязанного к какому-либо контейнеру каталога, не вызывает трудностей. Если привязка существует, система потребует дать указания: Изъять ссылку из списка, не удаляя объекта; Изъять ссылку и окончательно удалить объект групповой политики.
7 Привязка объекта групповой политики к контейнеру A Directory Любой объект групповой политики может быть привязан к некоторому сайту, домену или подразделению. Один объект групповой политики может быть привязан к множеству контейнеров. Для выполнения привязки необходимо щелкнуть на кнопке Добавить на вкладке GPolicy окна свойств контейнера. Администратор может найти контейнеры, к которым привязан выбранный объект групповой политики. Рис Просмотр привязок выбранного объекта групповой политики
8 Структура объекта групповой политики Множество параметров, определяемых в рамках объекта групповой политики, разделено на две части: Конфигурирование компьютера предполагает определение значений для параметров, влияющих на формирование окружения любых пользователей, регистрирующихся на данном компьютере. Конфигурирование среды пользователя дает возможность управлять процессом формирования окружения конкретного пользователя, независимо от того, на каком компьютере он регистрируется в сети. Параметры групповой политики организованы в категории (рис. 52.5).
9 Рис Структура объекта групповой политики
10 Категории параметров групповой политики организованы в три контейнера в соответствии со своим назначением: Конфигурация программ; Конфигурация Windows; Административные шаблоны. Таблица Категории параметров групповой политики Категория КонтейнерОписание Software Installation Конфигурация программ Данная категория параметров используется для централизованного управления приложениями, доступными на данном компьютере, или для данного пользователя. При этом в зависимости от параметров групповой политики приложения могут либо устанавливаться принудительно, либо рекомендоваться для установки Remote Installation Service Конфигурация Windows Данная категория параметров используется для управления процессом удаленной установки на клиентском компьютере. Эта категория параметров доступна только в случае конфигурирования на уровне пользователя
11 Scripts Конфигурация Windows Категория используется для определения сценариев, которые будут выполняться при включении/выключении компьютера (Startup/Shutdown Scripts), либо при регистрации пользователя в системе или его выхода из нее (Logon/Logoff Scripts) Security Settings Конфигурация Windows Параметры данной категории используются для управления настройками безопасности клиентского компьютера. Помимо групповой политики, администратор может также использовать другие механизмы для управления настройками безопасности Folder Redirection Конфигурация Windows Посредством параметров данной категории администратор может сконфигурировать процесс перенаправления папок из пользовательского профиля (таких, например, как My Documents) на некоторый сетевой ресурс. Эта категория параметров доступна только для конфигурации пользователя Internet Explorer Maintenance Конфигурация Windows Параметры данной категории используются для настройки браузера Internet Explorer. Эта категория параметров доступна только для конфигурации пользователя
12 Windows Components Административ ные шаблоны В данной категории представлены параметры, посредством которых администратор может осуществлять управление настройками Windows- компонентов, установленных на конфигурируемой системе Start Menu and Taskbar Административ ные шаблоны Параметры данной категории позволяют администратору конфигурировать главное меню и панель задач клиентского компьютера (прежде всего, ограничивать доступную функциональность). Эта категория параметров доступна только для конфигурации пользователя Desktop Административ ные шаблоны Параметры данной категории позволяют администратору конфигурировать вид рабочего стола клиентского компьютера и его функциональность. Эта категория параметров доступна только в случае конфигурирования на уровне пользователя. Эта категория параметров доступна только для конфигурации пользователя Control Panel Административ ные шаблоны Параметры данной категории позволяют администратору управлять видимостью отдельных компонентов панели управления на клиентском компьютере. Эта категория параметров доступна только для конфигурации пользователя
13 Shared Folders Администрат ивные шаблоны Параметры данной категории позволяют управлять процессом публикации общих папок. Эта категория параметров доступна только для конфигурации пользователя Networks Администрат ивные шаблоны Данная категория параметров используется для управления конфигурацией сетевых компонентов системы System Администрат ивные шаблоны В данной категории представлены параметры, позволяющие управлять настройками реестра, влияющими на поведение системы в целом Printers Администрат ивные шаблоны Параметры данной категории используются для управления процессом публикации принтеров. Эта категория параметров доступна только для конфигурации компьютера
14 Административные шаблоны Механизм административных шаблонов позволяет администратору посредством групповой политики конфигурировать системный реестр клиентских компьютеров, попадающий под действие некоторого объекта групповой политики. Административные шаблоны задействуют два его ключа: HKEY_LOCAL_MACHINE и HKEY_CURRENT_USER. Ключ HKEY_LOCAL_MACHINE используется для определения настроек операционной системы. Ключ HKEY_CURRENT_USER используется для формирования на рабочей станции индивидуальной среды пользователя. Предпочтительным является использование ключей HKEY_LOCAL_MACHINE\software\Policies (для управления Параметрами компьютера) и HKEY_CURRENT_USER\Software\Policies (для управления средой пользователей).
15 Административные шаблоны Административный шаблон представляет собой текстовый файл в формате Unicode, в котором определяются требуемые значения параметров реестра. Данный файл имеет расширение adm и хранится в папке %SystemRoot%\inf. Файл содержит перечисление ключей и параметров реестра, которые должны быть определены администратором в процессе формирования групповой политики Администраторы могут создавать собственные варианты административных шаблонов в соответствии со стоящими перед ними задачами. Для построения административного шаблона необходимо использовать специальный язык ADM. Использование административных шаблонов возможно исключительно через механизм групповой политики: для распространения шаблона на некоторое множество компьютеров, он должен являться частью соответствующего объекта групповой политики. Чтобы сделать административный шаблон частью объекта групповой политики, следует загрузить его в оснастку GPOEditor.
16 Административные шаблоны При помощи оснастки GPOEditor администратор имеет возможность редактировать вручную параметры групповой политики. Выбрав интересующий параметр, надо открыть окно его свойств. На вкладке Параметр окна свойств можно определить значение выбранного параметра: He задан. Доступность выбранного режима удаленной установки ставится в зависимость от значения аналогичного параметра групповой политики, определенного на вышестоящем уровне; Включен. Активизирует выбранный параметр групповой политики; Отключен. Отключает выбранный параметр групповой политики.
17 Сценарии Под сценарием (scripts) понимается некоторая предопределенная последовательность команд, способных выполнятся в автоматическом режиме (т. е. без участия пользователя). Основное преимущество сценариев заключается в том, что их выполнение может осуществляться в соответствии с некоторым расписанием. Можно выделить четыре группы сценариев: сценарии, выполняемые при инициализации системы (startup scripts); сценарии, выполняемые при регистрации пользователя в системе (logon scripts); сценарии, выполняемые при выключении компьютера (shutdown scripts); сценарии, выполняемые при выходе пользователя из системы (logoff scripts).
18 Интерпретация сценариев осуществляется сервером сценариев Windows Script Host. Все сценарии, определяемые в рамках объекта групповой политики, хранятся в шаблоне групповой политики, который в свою очередь располагается в папке %SystemRoot%\SYSVOL\sysvol\ \policies\ Выполнение сценариев происходит в следующем порядке. В первую очередь выполняются сценарии инициализации (startup scripts). После этого выполняются сценарии регистрации пользователя (logon scripts). Сценарии выхода пользователя из системы и сценарии завершения работы выполняются, соответственно, в обратном порядке.
19 Сценарий должен быть создан и протестирован еще до того момента, как он будет назначен в рамках некоторого объекта групповой политики. Чтобы назначить объекту групповой политики новый сценарий, необходимо перейти к категории параметров Scripts и в панели результатов вызвать контекстное меню объекта, ассоциированного с соответствующим типом сценария. В меню надо выбрать пункт Properties (Свойства). В открывшемся окне (рис. 52.8) администратор может добавить или удалить привязку сценария к конфигурируемому объекту групповой политики. В рамках одного объекта групповой политики администратор может определить несколько сценариев одного типа. При этом администратор должен определить порядок, в котором они будут выполняться. Порядок перечисления сценариев в окне соответствует порядку их выполнения.
20 Рис Назначение сценария выхода из системы объекту групповой политики
21 Перенаправление пользовательских папок Традиционным местом размещения документов пользователей является папка Мои документы (My Documents). Профиль создается в момент первой регистрации пользователя в системе. По умолчанию локальные профили пользователя в операционных системах Windows 2000/XP и Windows Server 2003 размещаются в папке Documents and Settings (Документы и настройки). Механизм перемещаемых профилей позволяет организовать централизованное хранение всех настроек и документов пользователей на сервере. Механизм групповой политики позволяет администратору организовать перенаправление обращений пользователя к папкам пользователя, содержащим его настройки и документы, на некоторый сетевой ресурс. Так же как и в случае с перемещаемыми профилями, информация, содержащаяся в перенаправленных папках, будет доступна пользователю на любой рабочей станции. Система предоставляет прозрачный доступ к данным. Пользователь работает непосредственно с тем сетевым ресурсом, на котором находятся его папки. В табл перечислены папки пользовательского профиля, для которых допускается перенаправление.
22 Таблица Папки пользовательского профиля, для которых допускается перенаправление Папка Описание Application data В папке размещается информация, используемая приложениями. Некоторые приложения могут хранить в этой папке свои настройки, индивидуальные для каждого конкретного пользователя Desktop В папке хранятся объекты рабочего стола, включая ярлыки и файлы My Documents Папка используется для размещения документов пользователя My Pictures Папка используется для размещения графических файлов пользователя Start Menu В папке размещаются ярлыки программ главного меню
23 Режим перенаправления пользовательских папок настраивается в объектах групповой политики исключительно в конфигурации пользователя. Для определения параметров этого режима используется категория параметров Перенаправление папки. Администратор может определить индивидуально параметры перенаправления для каждой из пяти описанных папок. Для этого необходимо в контекстном меню объекта, ассоциированного с папкой, выбрать пункт Свойства. На вкладке Размещение из раскрывающегося списка Политика необходимо выбрать режим перенаправления.
24 Возможны три режима перенаправления папок. Перенаправление папки не выполняется. Чтобы выбрать данный режим, необходимо выбрать из списка значение (He определено). Основной режим. В данном режиме указанная папка для всех пользователей, подпадающих под действие редактируемого объекта групповой политики, перенаправляется на один сетевой ресурс. Данному режиму соответствует значение (Основной Перенаправлять папки всех пользователей в одно место). Расширенный режим. В этом режиме администратор может определить перенаправление папок пользователей на различные сетевые ресурсы. Выбор конкретного сетевого ресурса определяется группой, к которой принадлежит пользователь. Для выбора этого режима перенаправления в списке необходимо выбрать значение (Расширенный Указать различные места для различных групп пользователей). Ниже рассмотрим процесс настройки основного и расширенного режимов более подробно.
25 Настройка основного режима перенаправления папок В данном режиме для всех пользователей используется единая схема перенаправления папок. Папки всех пользователей перенаправляются в одну общую папку. Для выбора данной схемы в поле Размещение конечной папки следует выбрать значение Создать папку для каждого пользователя в корневой папке. В поле Корневой Путь необходимо указать общую папку, которая будет использоваться для размещения перенаправленных папок. Папки пользователей перенаправляются на некоторый сетевой ресурс, на котором для каждого пользователя создается отдельная папка. Для выбора данной схемы в списке Размещение конечной папки необходимо выбрать значение Перенаправить в следующее место. В поле Размещение конечной папки необходимо указать папку, в которую будет производиться перенаправление папок.
26 Папки пользователей перенаправляются в локальный профиль пользователя. Данная схема перенаправления необходима для того, чтобы вернуть содержимое папок из сетевого ресурса в локальный профиль пользователя. Для выбора данной схемы в списке Размещение конечной папки необходимо выбрать значение Перенаправить в место, определенное локальным профилем пользователя. Для папки My Documents (Мои документы) возможна еще одна схема перенаправления. Указанная папка может быть перенаправлена в домашнюю папку пользователя (home directory). Подобная схема перенаправления разрешена только для клиентов, находящихся под управлением операционных систем Windows XP Professional и Windows Server Для выбора данной схемы в списке Размещение конечной папки необходимо выбрать значение Перенаправить в домашнюю папку пользователя. При этом на момент перенаправления для пользователя должно быть определено месторасположение домашней папки. Для этого на вкладке Профиль окна свойств объекта, ассоциированного с пользователем, необходимо в группе элементов Домашняя папка указать требуемую папку
27 Настройка расширенного режима перенаправления папок Расширенный режим позволяет выбирать способ перенаправления папок пользователя в зависимости от его членства в группах. Благодаря этому, администратор может реализовать различные уровни обеспечения надежности для хранимых папок для разных категорий пользователей (рис ). Конфигурирование расширенного режима перенаправления папки выполняется аналогично основному режиму. Чтобы определить возможные параметры режима, надо щелкнуть по кнопке Добавить и в открывшемся окне (рис ) в поле Security Group Membership указать группу, для членов которой необходимо определить перенаправление. Остальные параметры аналогичны рассмотренным в предыдущем разделе.
28 Рис Настройка расширенного режима перенаправления папки
29 Рис Конфигурирование параметров перенаправления
30 Управление приложениями Механизм групповой политики может использоваться как средство управления процессом развертывания приложений на Windows 2000/XP- и Windows Server 2003-клиентах. Администратор может определить перечень приложений, которые будут доступны пользователям. В зависимости от выбранного режима, в процессе применения объекта групповой политики на компьютере будут установлены все необходимые приложения. Возможны следующие режимы управления процессом развертывания приложений: публикация приложений; назначение приложений пользователям', назначение приложений компьютерам. Механизм управления процессом развертывания приложений базируется на технологии Windows Installer.
31 Публикация приложений Публикация приложений может осуществляться исключительно в конфигурации пользователей. При этом пользователю, подпадающему под действие объекта групповой политики, предлагается список доступных для установки приложений. В процессе публикации приложений инсталляционные пакеты (installation package) помещаются в специальное хранилище. Для установки опубликованного приложения, пользователь должен использовать мастер Установка/удаление программ. Чтобы просмотреть список опубликованных приложений, пользователь должен щелкнуть по пиктограмме Добавить новое приложение. Чтобы опубликовать приложение, в контекстном меню контейнера Установка приложений необходимо выбрать пункт Создать пакет. Указав в открывшемся окне месторасположение инсталляционного пакета, администратор должен указать способ развертывания приложения.
32 Назначение приложений Назначение приложений предполагает создание перечня приложений, обязательных для установки. Различают два режима назначения приложений. Назначение приложений пользователям. Этот режим используется в случае определения параметров объекта групповой политики в конфигурации пользователя (user configuration). Назначение приложений компьютерам. Этот режим используется в случае настройки параметров объекта групповой политики в конфигурации компьютера (computer configuration). Внимание Если для компьютера назначено несколько приложений, их установка может потребовать значительное время. Для назначения приложения в контекстном меню контейнера Установка приложений необходимо выбрать пункт Пакет. В открывшемся окне требуется указать месторасположение инсталляционного пакета. В окне Развертывание программ администратор должен установить параметр Назначенный.
33 Построение иерархии объектов групповой политики Параметры, определенные в рамках объекта групповой политики, воздействуют только на те объекты каталога, к которым они применены. Чтобы определить множество объектов каталога, подпадающих под действие того или иного объекта групповой политики, необходимо выполнить привязку последнего к одному или нескольким контейнерам каталога. Для любого объекта групповой политики (за исключением локальных) разрешается привязка к любому из трех классов объектов каталога сайту, домену или подразделению. Любые объекты, ассоциированные с учетными записями пользователей и компьютеров, расположенные внутри этих контейнеров, подпадают под действие привязанного объекта групповой политики. Порядок применения параметров к объектам каталога: сначала применяются объекты групповой политики, привязанные к сайту, в котором находится объект каталога; после этого применяются объекты, привязанные на уровне домена, последними применяются объекты групповой политики, привязанные к подразделениям.
34 Если имеется несколько вложенных подразделений, объекты групповой политики применяются в соответствии с уровнями вложенности. Объекты групповой политики, привязанные к дочерним контейнерам, могут переопределять параметры объектов групповой политики, привязанных к вышестоящим объектам. В этом случае принято говорить о переопределении (group policy overriding) параметров объекта групповой политики. Блокировка процесса наследования параметров объектов групповой политики Администратор может управлять процессом наследования параметров объектов групповых политик. Для этого в окне оснастки Active Directory Users and Computers необходимо открыть окно свойств контейнера, к которому привязан объект групповой политики. На вкладке Group Policy (Групповая политика) необходимо установить флажок Block Policy inheritance (Блокировать наследование политики) (рис ). Запрещение переопределения параметров объектов групповой политики Для запрещения переопределения параметров объектов групповой политики в окне свойств контейнера необходимо перейти на вкладку Group Policy и щелкнуть по кнопке Параметры. В открывшемся окне (рис ) надо установить флажок No Override (He переопределять).
35 Рис Блокирование процесса Рис Запрещение переопределения наследования параметров объектов параметров объектов групповой политики групповой политики
36 Запрещение применения параметров объекта групповой политики Администратор может запретить применение параметров любых объектов групповой политики к содержимому некоторого контейнера каталога. Для этого на вкладке Group Policy окна свойств контейнера необходимо щелкнуть по кнопке Параметры и в открывшемся окне (см. рис ) установить флажок Отключить. Ограничение действия параметров групповой политики На уровне некоторой группы безопасности администратор может запретить (или наоборот разрешить) применение параметров любого объекта групповой политики. Для этого необходимо на вкладке Безопасность окна свойств выбранного объекта групповой политики указать нужную группу безопасности и установить флажок Запретить напротив разрешения Применять групповую политику (рис ). Эта процедура называется фильтрацией групповых политик (group policy filtering).
37 Рис Запрет на применение параметров данного объекта групповой политики к членам группы Администраторы предприятия
38 Предоставление полномочий на доступ к объектам групповой политики Администратор может делегировать некоторым пользователям часть обязанностей по управлению объектами групповой политики. Чтобы предоставить пользователю полномочия, необходимые для выполнения привязки объекта групповой политики на уровне определенного контейнера, администратор должен использовать мастер Delegate of Control Wizard (Мастер делегирования управления). Определение действующих политик Для работы с доменными групповыми политиками в системах Windows Server 2003 имеются появившиеся еще в Windows XP две очень полезные утилиты командной строки: GPUpdate.exe выполните эту команду, если вы изменяли групповые политики и хотите, чтобы они немедленно стали активными (сначала запустите ее с параметром /?). В Windows 2000 для этих целей использовалась команда secedit /refreshPolicy; GPResult.exe эта команда, входившая ранее в состав пакета Windows 2000 Resource Kit, стала стандартной командой системы. С ее помощью можно определить, какие настройки групповых политик фактически применяются по отношению к указанному компьютеру/пользователю.
39 Оснастка Resultant set of Policies В системах Windows XP и Windows Server 2003 имеется очень удобный инструмент для работы с групповыми политиками, который особенно оценят администраторы крупных доменов с многоуровневой иерархией объектов GPO это оснастка Resultant set of Policies (Результирующая политика). Информацию о результирующих политиках можно получать в одном из двух режимов. Режим планирования (planning mode) позволяет администраторам моделировать использование групповых политик, определенных в различных объектам GPO, при этом можно даже не выбирать целевые компьютеры и пользователей. Режим ведения журнала (logging mode) можно использовать только для определения реально действующих параметров групповых политик для пользователя, зарегистрированного на некотором компьютере.
40 Режим планирования можно применять для любого объекта каталога: домена, подразделения, пользователя и компьютера. Процедура предварительного конфигурирования оснастки Результирующая политика практически одинакова для обоих режимов, поэтому нет смысла рассматривать их индивидуально. Для примера определим, какие групповые политики применяются к пользователям, чьи учетные записи располагаются в некотором подразделении. Для этого: 1. Откроем оснастку Active Directory Users and Computers, выберем в окне структуры интересующее нас подразделение и в контекстном меню выполним команду Все задачи Результирующая политика (планирование) 2. В окне Мастера Результирующей политика (рис ) можно изменить выбранный контейнер (нажав кнопку Обзор и выбрав другой контейнер для пользовательского или компьютерного объекта) или конкретизировать запрос, установив переключатель Пользователь или Компьютер и выбрав соответствующую учетную запись (которая может находиться и в другом подразделении).
41 3. Пропустим второстепенные настройки мастера, для чего установим флажок Перейти к последней странице, не собирая дополнительных данных, и нажмем кнопку Далее. 4. После проверки правильности заданных критериев на странице Сводка выбранных параметров снова нажмем кнопку Next. Система некоторое время будет анализировать параметры политик
42 Рис Окно выбора объектов, для которых определяются результирующие политики
43 5. На последней странице мастера нажмем кнопку Готово. Процесс анализа завершен можно анализировать результаты. В окне (рис ), напоминающем окно оснастки GPOEditor, будут отображаться только те папки (ниже второго уровня), в которых имеются установленные политики. В нашем случае узел Конфигурация компьютера содержит все политики, действующие на учетные записи компьютеров, находящиеся в подразделении OU_SIV_Company, а узел Конфигурация пользователя содержит все политики, действующие на учетные записи пользователей, находящиеся в этом же подразделении. Например, в нашем примере показано, что для выбранного пользователя установлен сценарий выхода из системы (узел Logoff), а для компьютера задана политика отключения журнала событий выключения системы Display Shutdown Event Tracker; причем в столбце GPO Name можно видеть, что эта политика была установлена доменным объектом GPO. Полученные сведения можно (и полезно!) проверить с помощью утилиты GRResult и сравнить результаты.
44 Рис Оснастка Результирующая политика позволяет быстро найти действующие политики.
Еще похожие презентации в нашем архиве:
© 2024 MyShared Inc.
All rights reserved.