192.15K

Внедрение групповых политик

1.

Внедрение
групповых политик
МДК 11.01 Технология разработки и защиты баз данных

2.

Понятие групповой политики
домена
• Групповые политики – это механизм, используемый для
централизованной защиты, настройки и развертывания
обычного набора конфигураций компьютеров и
пользователей, настроек безопасности и иногда
программного обеспечения на серверах Windows, рабочих
станциях Windows и для пользователей в лесе Active
Directory.
• Применение групповых политик – основа
централизованного управления конфигурациями
пользователей и компьютеров в доменах Windows.

3.

Примеры применения
групповых политик
• Инфраструктура групповых политик позволяет
организациям внедрять конфигурации, упрощать
администрирование рабочих столов, защищать доступ к
сетевым ресурсам, а в некоторых случаях и
соответствовать законодательным требованиям. Пример:
политика, которая включает брандмауэр Windows на
клиентских рабочих станциях, удаляет у конечных
пользователей возможность отключить его и позволяет
корпоративной группе поддержки рабочих компьютеров
выполнять удаленное администрирование этих рабочих
станций, когда они подключены к корпоративной сети или
виртуальной частной сети (VPN).

4.

Основные категории сетевых
объектов домена
Групповая политика в доменах Windows применяется к двум основным
сетевым объектам – компьютерам и пользователям домена.
Пользователи
Групповая политика определяет
параметры окружения конкретных
пользователей независимо от того,
на каком компьютере эти
пользователи работают
Компьютеры
Групповая политика определяет
параметры системы, влияющие на
окружение пользователей, для
конкретных компьютеров
независимо от того, какие
пользователи на них работают

5.

Особенности пприменения
групповых политик
• объекты GPO применяются в отношении контейнеров, а не замыкающих
объектов;
• один контейнер может быть связан с несколькими объектами GPO;
• объекты GPO, связанные с одним и тем же контейнером, применяются в
отношении этого контейнера в том порядке, в котором они были назначены;
• объект GPO включает в себя две составляющие: параметры, относящиеся к
компьютеру, и параметры, относящиеся к пользователю;
• обработку любой из этих составляющих можно отключить;
• наследование объектов GPO можно блокировать;
• наследование объектов GPO можно форсировать;
• применение объектов GPO можно фильтровать при помощи списков ACL.

6.

Объекты групповой политики
• Объекты групповой политики (GPO) – основной элемент
групповой политики, выступающий в качестве
самостоятельных элементов каталога.
• Объекты групповой политики входят как объекты службы
каталогов Active Directory.
• С каждым объектом групповой политики связан глобальный
уникальный идентификатор – GUID.
• Для управления ими используются специальные
инструменты – редакторы групповых политик, программные
интерфейсы.

7.

Обработка СРО компьютеров
• Компьютер обрабатывает политики в предопределенном порядке и
при наступлении определенных событий. Групповые политики
применяются к объектам компьютеров во время запуска и остановки,
а также периодических фоновых обновлений. По умолчанию на
рядовых серверах и рабочих станциях интервал обновлений равен 90
минутам со сдвигом от 0 до 30 минут. На контроллерах доменов
групповые политики обновляются каждые 5 минут. Сдвиг нужен, чтобы
не все компьютеры домена выполняли обновление или обработку
групповых политик одновременно. Если при запуске компьютер может
успешно обнаружить контроллер домена с возможностью
аутентификации и связаться с ним, выполняется обработка GPO.
Обработка GPO компьютера определяется связями GPO, фильтрами
безопасности и фильтрами инструментальных средств управления
Windows (Windows Management Instrumentation WMI).

8.

Обработка GPO пользователей
• Отличие обработки GPO пользователей от обработки GPO
компьютеров в том, что обработка выполняется при входе и
выходе пользователя, а также периодически. Интервал
обновления по умолчанию для обработки GPO
пользователей равен 90 минутам плюс сдвиг от 0 до 30
минут. Обработка GPO пользователей определяется
связями GPO и фильтрами безопасности.

9.

Элементы групповых политик
• Group Policy Objects (GPO) - определенный набор
доступных значений, которые могут быть применены к
объектам компьютеров и/или пользователей Active Directory.
• Параметры, доступные в каком-либо GPO, создаются с
помощью сочетания файлов административных шаблонов,
включенных в данный GPO или упомянутых в нем.
• Если управление компьютером или пользователем нужно
изменить, в этот GPO можно импортировать
дополнительные административные шаблоны,
расширяющие его функциональность.
English     Русский Правила