Введение в групповые политики Windows

Введение в групповые политики Windows
Групповую политику можно считать набором правил управления пользователями и компьютерами. Групповые политики применяются к группам доменов, к отдельным доменам, к подмножествам компьютеров домена и к отдельным компьютерам. Политика, применяемая к конкретному компьютеру, называется локальной групповой политикой (local group policy) и хранится только на соответствующем компьютере. Другие групповые политики хранятся как объекты хранилища данных Active Directory.

Чтобы разобраться в групповых политиках, необходимо в общих чертах представлять структуру Active Directory. В Active Directory логические объединения доменов называются сайтами (sites), а подгруппы компьютеров в пределах домена — подразделениями (organizational units). Ваша сеть может быть разделена на сайты NewYorkMain, CaliforniaMain и Washington Main. Внутри сайта Washington Main могут иметься домены SeattleEast, Seattle West, SeattleNorth и SeattleSouth. Наконец, в домене SeattleEast могут быть подразделения Information Services, Engineering и Sales.

Групповые политики применяются только к системам, работающим под управлением Windows 2000, Windows ХР Professional, Windows Vista, Windows Server 2003 и Windows Server 2008. Политики для систем Windows NT 4.0 задаются при помощи редактора системной политики (System Policy Editor, Poledit.exe). Для Windows 95 и Windows 98 вам придется воспользоваться редактором системной политики из комплекта этих ОС, а затем скопировать файл системной политики в общий ресурс Sysvol на контроллере домена.

Параметры групповой политики хранятся в объекте групповой политики (Group Policy Object, GPO) — контейнере для применяемых вами политик и их параметров. К одному и тому же сайту, домену или подразделению можно применить несколько GPO. Поскольку групповая политика описывается при помощи объектов, к ней применимы многие объектно-ориентированные понятия. Если вы знакомы с объектно-ориентированным программированием и подозреваете, что к GPO применимы понятия родительских и дочерних объектов и наследования, знайте: вы не ошиблись.

Контейнером (container) называется объект верхнего уровня, содержащий другие объекты. Благодаря наследованию политика, примененная к родительскому контейнеру, наследуется дочерним контейнером. По сути, это означает, что параметр политики, примененный к родительскому объекту, передается в дочерний объект. Скажем, если вы применили параметр политики к домену, он наследуется подразделениями этого домена. В данном случае GPO домена является родительским объектом, a GPO подразделения — дочерним объектом.

Порядок наследования таков: сайт — домен — подразделение. То есть, параметры групповой политики сайта передаются доменам этого сайта и далее подразделениям этих доменов.

Легко догадаться, что наследование можно отменить. Для этого достаточно применить непосредственно к дочернему контейнеру параметр политики, противоречащий параметру политики родительского контейнера. Сработает именно этот явно примененный параметр, если, конечно, перекрытие политик не заблокировано.

Один мой знакомый, кстати очень хороший администратор Windows, купил вчера себе отличные б/у шины. Отличные — потому что как новые, везут с Европы, а стоят в два раза дешевле новых — и это как минимум. В общем можно купить шины б/у в таком состоянии и по такой цене — хоть я и не сторонник экономии на собственной безопасности.

Оставить комментарий

Лучшие статьи