Основи Group Policy
У табл. 13.1 показано, як використовувати різні можливості Group Policy. наведені в порядку їх подання до оснащенні MMC GPOE (Group Policy Object Editor). Нижче в цій лекції буде дано огляд кожного з розширень Group Policy.
Group Policy діє шляхом застосування налаштувань конфігурації, збережених в об'єкті Group Policy (GPO), який зв'язується з обраним вами об'єктом Active Directory. GPO - це збережений набір налаштувань Group Policy. які не тільки задають конфігурацію клієнтських і серверних комп'ютерів, але також вказують для користувачів програмне забезпечення. переслані папки, файли і папки для автономного використання, профілі користувачів (коли вони переміщаються) - в цілому кілька сотень опцій. Об'єкти GPO дозволяють вам централізовано керувати комп'ютерами та користувачами відповідно до їх розташування в структурі Active Directory. наприклад, в домені або організаційної одиниці (OU), а також з місцем прив'язки об'єктів GPO в цій структурі.
Таблиця 13.1. Засоби Group Policy, використовувані для управління
Засіб Group Policy
Щоб приступити до створення об'єктів GPO. ви повинні добре знати свою структуру Active Directory. включаючи місце розташування в цій структурі користувачів і комп'ютерів, якими ви хочете керувати.
Group Policy діє таким чином: при кожному перезавантаженні, вході користувача або ручному примусовому оновленні за допомогою Group Policy до відповідного користувача або комп'ютера використовуватимуться всіх об'єктів GPO. Кожна настройка в об'єкті GPO оцінюється цільовими комп'ютерами з урахуванням ієрархічної структури Active Directory. як це описано нижче в розділі "Обробка і успадкування при використанні Group Policy".
Всі настройки Group Policy в розширенні Administrative Templates Group Policy реально записуються в спеціальні розділи реєстру для Group Policy. Для налаштувань, які конфігуруються де-небудь ще за допомогою оснастки GPOE (наприклад, Software Installation. Security Settings або Scripts), використовуються різні методи їх застосування. Використовуючи GPOE, ви можете задавати реєстр машини, вказувати шлях в мережі до ресурсів на сервері або до автоматичної завантаженні ПО. і т.д. - все це з одного інтерфейсу управління, який автоматично застосовує ці настройки відповідно до регулярним розкладом. Використовуючи безкоштовну консоль управління Group Policy Management Console (GPMC), ви можете централізовано керувати всіма аспектами Group Policy. включаючи створення об'єктів GPO. прив'язку об'єктів GPO. делегування управління Group Policy і додавання включаються за допомогою Group Policy скриптів, за винятком конкретного конфігурації об'єктів GPO. Але ви можете навіть запускати GPOE з GPMC, виділивши будь-якої об'єкт GPO і вибравши потім команду Edit.
Кілька об'єктів GPO можна приєднувати до одного сайту, домену або OU, і один об'єкт GPO можна приєднувати до будь-якого числа сайтів, доменів або OU. Приєднуючи об'єкти GPO до сайтів, доменів або OU Active Directory. ви можете задавати настройки Group Policy для будь-якої потрібної частини організації. Іншими словами, ви можете створити один об'єкт GPO. який керує кожним комп'ютером і кожним користувачем вашої компанії, або створити по одному GPO для кожної OU, щоб задати різні конфігурації для кожної з цих OU. Крім того, ви можете зробити і те, і інше, а застосування відбуватиметься в залежності від ієрархії Active Directory. Використання цих можливостей Group Policy для перевизначення налаштувань див. Нижче в розділі "Обробка і успадкування при використанні Group Policy".
Налаштування, описані в help-файлі
Вимоги до використання Group Policy
Оскільки Group Policy працює з повністю уточненими доменними іменами (FQDN), то для відповідної обробки Group Policy в вашому лісі повинна діяти DNS, а не тільки NetBIOS. Крім того, оскільки клієнтські або цільові комп'ютери повинні відправляти сигнал ping контролерам домену в вашої мережі, не виймайте протокол ICMP. Якщо цільові комп'ютери не можуть робити це, то обробка Group Policy не виконується.
Для застосування Group Policy вам потрібно використовувати Active Directory. Ви можете використовувати Group Policy для управління серверами і клієнтськими комп'ютерами; насправді Group Policy містить багато параметрів, пов'язаних з комп'ютерів-серверів. Якщо у вас не створена структура Active Directory, то ви не можете використовувати більшість засобів, пов'язаних з Group Policy (хоча ви можете конфігурувати локальні об'єкти Group Policy окремо для кожної машини), і зовсім не можете використовувати Group Policy для централізованого управління комп'ютерами та користувачами .
Ваше розгортання Group Policy обов'язково має ґрунтуватися на структурі вашого каталогу Active Directory, особливо на географічному розташуванні сайтів і фізичному розміщенні контролерів домену. Зокрема, слід враховувати швидкість реплікації, оскільки складні об'єкти GPO можуть мати дуже великі розміри. Інакше кажучи, не намагайтеся використовувати один GPO для географічно розкиданих мереж. Плануйте Group Policy відповідним чином, тобто створюйте нові GPO для кожної організаційної одиниці (OU) в домені, який охоплює кілька сайтів, або копіювання ці GPO в віддалені сайти, домени і OU за допомогою консолі управління Group Policy (GPMC).
Тільки адміністратори домену або підприємства можуть створювати і приєднувати об'єкти GPO. хоча ви можете делегувати це завдання іншим користувачам. Більш детальну інформацію щодо делегування завдань Group Policy див. Нижче в розділі "Делегування управління Group Policy".
Можливо, ви вважаєте (або чули), що управляти Group Policy важко, що дивно для засобу, який є інструментом управління! Хоча Group Policy може заощадити вам масу часу і зусиль, дозволяючи одночасно конфігурувати багато комп'ютерів, особливо в міру накопичення практики, сам по собі цей інструмент не настільки простий, щоб його можна було використовувати з першої секунди. Компанія Microsoft прислухалася до наших нарікань і створила консоль управління GPMC (у вигляді оснащення MMC і засоби командного рядка), яка набагато спрощує використання Group Policy. Перш ніж приступити до подальшої роботи, обов'язково завантажте GPMC з веб-сайту Microsoft:
Взаємодія з більш ранніми операційними системами
Якщо у вашій організації використовуються всі види систем Windows, то вам потрібно врахувати кілька питань, перш ніж використовувати Group Policy.
По-перше, машини, що працюють під управлінням Windows NT, Windows 95, Windows 98 або Windows XP Home Edition, не можуть обробляти об'єкти GPO. Якщо який-небудь з цих комп'ютерів міститься в одному з контейнерів Active Directory, то на нього не впливають звичайні налаштування адміністративних шаблонів Group Policy Administrative Templates, а також багатьох інших налаштувань пов'язаних з Group Policy. Для управління цими комп'ютерами використовуйте системну політику - навіть в сучасних доменах Active Directory і навіть в тих випадках, коли приєднали об'єкти GPO до цих доменах.