Служба каталогів Microsoft Active Directory стала одним з найважливіших компонентів багатьох IT-середовищ. Однією з найважливіших можливостей служби Active Directory є підтримка групових політик, що дозволяють адміністраторам централізувати управління контролерами, серверами і робочими станціями домену.
Використання групової політики надає безліч очевидних переваг, є, однак, і один недолік. У великих організаціях вона може бути складна в розробці і реалізації, не кажучи вже про рішення можливих проблем. У даній статті ми з'ясуємо, як організована групова політика, і розглянемо способи усунення пов'язаних з нею проблем. В результаті ви будете готові до вирішення майже будь-яких проблем, пов'язаних з груповою політикою.
проблемні параметри
Групові політики являють собою складний механізм з безліччю складових, особливо в тому, що стосується способу їх взаємодії із загальною ідеєю та реалізацією служби Active Directory®. При пошуку рішення різних проблем, пов'язаних з мережами і доступом, необхідно завжди враховувати службу Active Directory та основи реалізації групової політики. Щоб почати процес пошуку рішення, розглянемо параметри групової політики, під час налаштування яких можуть бути допущені помилки, а потім перейдемо до більш складних проблем, які можуть виникати в роботі групової політики.
Мал. 1 Явно відображені зв'язку об'єкта GPO
Об'єкти GPO незастосовні до груп Об'єкт GPO не може застосовуватися до об'єкта групи безпеки Active Directory. За допомогою об'єкта GPO можна налаштовувати параметри тільки двох об'єктів - комп'ютерів і користувачів. Об'єкти GPO не можуть впливати на об'єкти через приналежність до груп. Наприклад, якщо об'єкт GPO пов'язаний з підрозділом Фінанси, як показано на рис. 2. він буде застосований тільки до об'єктів Дерек і Франк. Параметри об'єкта GPO не буде використовуватися до учасників групи Маркетинг, хто б в неї не входив.
Мал. 2 Підрозділ Фінанси і знаходяться в ньому об'єкти
Об'єкти, на які поширюється GPO, повинні знаходиться в межах області управління Якщо параметр об'єкта GPO не виробляє належного впливу на об'єкт, існує ще більш важливий параметр - об'єкт повинен знаходитися в межах області управління об'єкта GPO. Це означає, що даний об'єкт повинен знаходитися нижче вузла, до яких пов'язаний об'єкт GPO (досить дочірнього вузла). Наприклад, об'єкт GPO, пов'язаний з підрозділом Фінанси, чи не буде застосований до жодного з об'єктів підрозділи Маркетинг, як показано на рис. 2. Область управління об'єкта GPO простягається від вузла, з яким він пов'язаний, далі вниз по структурі служби Active Directory.
Мал. 3 Для підрозділів, розташованих на одному рівні, об'єкт GPO застосовується тільки до підрозділу, з яким він пов'язаний.
Об'єкти GPO повинні бути включені При створенні об'єкта GPO він не налаштований на внесення будь-яких змін в цільові об'єкти. Однак він включений як для комп'ютерів, так і для користувачів. Якщо одна з цих налаштувань відключена, це може бути дуже складно відстежити. Тому при налагодженні помилок застосування об'єкта GPO непогано перевірити, чи не відключені чи деякі або навіть всі об'єкти GPO. Це можна зробити в розділі Об'єкти групової політики | Політика облікових записів в консолі GPMC, перевіривши стан GPO.
Синхронне і асинхронне застосування параметрів
В об'єкті GPO можна задати спосіб застосування політики при завантаженні і вході в систему. Внесені зміни або нададуть негайний доступ до робочого столу до повного застосування всіх політик, або забезпечать застосування всіх політик до того, як користувач отримає доступ до робочого столу. На рис. 4 показано поведінку кожної операційної системи за умовчанням.
Мал. 4 Обробка за замовчуванням на клієнті
Якщо потрібно змінити дану поведінку, можна модифікувати наступний параметр політики:
Більшість адміністраторів вважають за краще синхронне зміна політики для забезпечення застосування всіх політик до того, як користувач отримає доступ до робочого столу. Таким чином забезпечується застосування всіх параметрів безпеки і настройки до того, як користувач зможе виконати будь-які дії. Зверніть увагу, що така поведінка за умовчанням відключено в Windows® XP Professional на користь оптимізації прискореного входу в систему.
Зміна успадкування за замовчуванням
Існує чотири методи зміни спадкування за замовчуванням для обробки об'єктів GPO. Ці потужні можливості слід використовувати з обережністю, оскільки вони можуть істотно змінити поведінку обробки групових політик. Вони також дуже важкі в налагодженні. Можливості зміни спадкування за замовчуванням включають такі чотири параметри і настройки:
- Блокувати спадкування політики
- Примусове виконання об'єктів GPO
- Фільтрація об'єктів GPO за списком управління доступом (ACL)
- Фільтри інструментарію управління Windows (WMI)
Оскільки ці параметри слід використовувати з обережністю, випадки їх використання повинно бути нескладно записати. З'ясувати, чи використовуються ці можливості, можна в консолі управління груповими політиками GPMC. Блокування спадкування виконується на рівні домену або підрозділу в панелі GPMC. Параметри примусового виконання об'єктів, фільтрації за списками ACL, і фільтрація WMI задаються для кожного об'єкта GPO окремо.
Ще один спосіб - це запустити на кінцевому комп'ютері команду Gpresult, щоб дізнатися, чи не перешкоджає чи якийсь із цих параметрів застосування політик. Для отримання більш докладної інформації про застосовуваний наборі політик можна додати до команди Gpresult параметр / v, що включає детальний висновок.
Проблеми з шаблонами ADM
Корисні інструменти
Існує безліч засобів виявлення проблем в області групової політики. Деякі з них вбудовані в операційну систему, інші можна завантажити і встановити. Далі ми обговоримо відповідні кошти, щоб ви могли вибрати те, що підходить для вирішення конкретного завдання.
Gpresult Даний засіб можна запускати тільки на цільовому комп'ютері, зате воно видає інформацію про результуючому наборі політик (RSoP), заблокованих об'єктах GPO, дозволах на GPO і багато іншого. З параметром / v дана команда виведе детальну інформацію про об'єкти GPO, що діють для даного комп'ютера, і облікові записи користувачів, пов'язаних з поточним сеансом роботи.
Gpupdate Для реалізації нових параметрів GPO або перевірки повноти обробки всіх GPO можна використовувати засіб Gpupdate. Це утиліта командного рядка, яку поставляють з операційною системою (Windows XP і наступні версії). Вона викликає фонове оновлення, яке застосовує всі параметри GPO, які відповідають даному типу оновлення. З параметром / force вона повторно застосовує параметри GPO, навіть якщо з моменту останнього оновлення не відбувалося ніяких змін об'єктів GPO. Виконання даної команди перед виконанням команди Gpresult є дуже потужним способом відстеження неполадок об'єктів групових політик.
висновок
Пошук та усунення несправностей групових політик - не найлегша з можливих завдань. Насправді, як показано в даній статті, групова політика є складним предметом. Приступаючи до вирішення пов'язаних з груповою політикою проблем, необхідно розуміти загальні принципи її обробки і базову архітектуру. Необхідно також мати чітке уявлення про те, як оновлюються, реплицируются, обробляються і застосовуються об'єкти групової політики. Оволодіння всіма цими поняттями сильно допомагає при усуненні будь-якої конкретної проблеми в груповій політиці. Дотримуючись наведених у даній статті рекомендацій і правильно використовуючи необхідні інструменти, ви будете готові впоратися з будь-якими проблемами групової політики.