Групповые политики

1.

Групповые политики

2.

Создание и настройка групповых политик домена.
Групповые политики – это набор правил, обеспечивающих
инфраструктуру, в которой администраторы локальных
компьютеров и доменных служб Active Directory могут
централизовано развертывать и управлять настройками
пользователей и компьютеров в организации.
Все настройки учетных записей, операционной системы,
аудита, системного реестра, параметров безопасности,
установки программного обеспечения и прочие параметры
развертываются и обновляются в рамках домена при помощи
параметров объектов групповой политики GPO (Group Policy
Object).

3.

Создание и настройка групповых политик домена.
Групповая политика – это инструмент, доступный для
администраторов, работающих с архитектурой Active Directory.
Он позволяет централизованно управлять настройками на
клиентских компьютерах и серверах, подключенных к домену,
а также обеспечивает простой способ распространения
программного обеспечения.
Групповые политики позволяют настраивать параметры для
определенного набора пользователей или компьютеров
внутри домена Active Directory.
Также позволяют указать политики в одном месте для группы
и применить к целевому набору пользователей.

4.

Создание и настройка групповых политик домена.
Например, можно обеспечить применение стандартного
набора настроек и конфигураций для групп пользователей или
компьютеров в домене или по запросу.
Во всех компаниях как правило есть различные отделы,
например отдел системных администраторов, разработчиков,
дизайнеров.
Каждому из отдела необходим свой стандартный набор
программного обеспечения.
Их рабочие компьютеры должны быть сконфигурированы под
специальные задачи и нужды.

5.

Создание и настройка групповых политик домена.
С помощью групповых политик можно создать наборы
настроек для конкретных групп пользователей в домене.
С помощью Active Directory GPO можно установить и
управлять отдельными унифицированными наборами
настроек, конкретно для дизайнеров или разработчиков.
Конфигурации для компьютеров или пользователей проще и
эффективнее, т.к. расположены в одном месте и не требуют
повтора на каждом компьютере.

6.

Создание и настройка групповых политик домена.
Компоненты GPO
Существует два компонента групповых политик – серверный
компонент и клиентский, т.е. данная структура относится к
архитектуре «клиент-сервер».
Серверный компонент – оснастка Microsoft Management
Console (MMC), которая используется для указания настроек
групповой политики.
MMC может быть использована для создания политик для
контроля и управления административными шаблонами и
настройками безопасности (скрипты, установка ПО и прочее).

7.

Создание и настройка групповых политик домена.
Компоненты GPO
Каждый из них называется расширением и в свою очередь
каждый из них имеет дочернее расширение, которое
разрешает добавление новых компонентов или обновление
существующих без возможности затронуть или подвергнуть
риску всю политику.
Клиентский компонент интерпретирует
настройки
групповой
политики
для
пользователей или целевым пользователям.
и
применяет
компьютеров
Клиентские расширения – это компоненты, которые
запущены на пользовательской
системе
и несут
ответственность за интерпретацию обработки и применения в
объекты групповой политики.

8.

Создание и настройка групповых политик домена.
Компоненты GPO
Для администрирования GPO используют Group Policy
Management Console (GPMC) и Group Policy Management
Editor.
Сценарии использования Active Directory GPO:
• Централизованная настройка пакета программ Microsoft
Office.
• Централизованная настройка управлением питанием
компьютеров.
• Настройка веб-браузеров и принтеров.
• Установка и обновление ПО.

9.

Создание и настройка групповых политик домена.
Компоненты GPO
Сценарии использования Active Directory GPO:
• Применение определенных правил в зависимости от
местоположения пользователя.
• Централизованные настройки безопасности.
• Перенаправление каталогов в пределах домена.
• Настройка прав доступа к приложениям и системным
программам.

10.

Создание и настройка групповых политик домена.
Оснастка Управление групповыми политиками
Если оснастку не установлена, то её можно установить через
стандартное меню в «Диспетчер серверов» (Server Manager).
В консоли «Диспетчер серверов» (Server Manager)
выберите узел «Добавить роли и компоненты».
Откроется «Мастер добавления ролей» (Add Roles Wizard).

11.

12.

Если работа мастера начинается с вводной страницы,
ознакомьтесь с ее содержанием и щелкните Далее (Next).

13.

Создание и настройка групповых политик домена.
Оснастка Управление групповыми политиками
Убедитесь, что в разделе «Тип установки» выбран пункт
«Установка ролей и компонентов».
Нажмите кнопку «Далее».

14.

15.

Создание и настройка групповых политик домена.
Оснастка Управление групповыми политиками
В разделе «Выбор сервера» необходимо выбрать пункт
«Выберите сервер из пула серверов».
В данном случае представлен всего лишь один сервер.
На самом деле их может быть больше.
Следует выбрать один из них и нажать кнопку «Далее».

16.

17.

Создание и настройка групповых политик домена.
Оснастка Управление групповыми политиками
В следующем разделе «Роли сервера» найдите и добавьте
роль «Управление групповыми политиками» (Group Policy
Management).
Далее нужно завершить установку этой роли.

18.

19.

Создание и настройка групповых политик домена.
I. Область действия групповых политик
Все групповые политики имеют свою область действия
(scope), которая определяет границы влияния политики.
Области действия групповых
разделить на четыре типа:
политик
• Локальные групповые политики;
• Групповые политики доменов;
• Групповые политики подразделения;
• Групповые политики сайтов.
условно
можно

20.

Создание и настройка групповых политик домена.
I. Область действия групповых политик
Локальные групповые политики
Групповые
политики,
компьютеру.
применяемые
к
локальному
Эти политики настраиваются в оснастке «Редактор локальных
групповых политик» и применяются только к тому
компьютеру, на котором они были настроены.
Они не имеют механизма централизованного развертывания
и управления и, по сути, не являются групповыми
политиками.

21.

Создание и настройка групповых политик домена.
I. Область действия групповых политик
Групповые политики доменов
Объекты групповых политик, применяемые к домену Active
Directory (AD) и оказывающие влияние на все объекты,
имеющие отношение к данному домену.
Поскольку в
рамках домена
работает
механизм
наследования, то все политики, назначенные на домен,
последовательно применяются и ко всем нижестоящим
контейнерам.

22.

Создание и настройка групповых политик домена.
I. Область действия групповых политик
Групповые политики подразделения
Политики, применяемые к подразделению (Organizational
Unit policy, сокр. OU) и оказывающие влияние на всё
содержимое данного организационного подразделения (OU).
Кроме того
групповые политики подразделения
оказывающие влияние на дочерние организационные
подразделения (OU), при их наличии.

23.

Создание и настройка групповых политик домена.
I. Область действия групповых политик
Групповые политики сайтов
Сайты в AD используются для представления физической
структуры организации.
Границы сайта определяются одной или несколькими
IP-подсетями, которые объединены высокоскоростными
каналами связи.
В один сайт может входить несколько доменов.
Иногда может быть обратная ситуация, один домен может
содержать несколько сайтов.

24.

Создание и настройка групповых политик домена.
I. Область действия групповых политик
Объекты групповой политики, примененные к сайту AD,
оказывают влияние на всё содержимое этого сайта.
Следовательно, групповая политика, связанная с сайтом,
применяется ко всем пользователям и компьютерам сайта
независимо от того, к какому домену они принадлежат.

25.

Создание и настройка групповых политик домена.
II. Порядок применения и приоритет групповых политик
Порядок применения групповых политик напрямую зависит
от их области действия.
Первыми применяются Локальные политики, затем
Групповые политики сайтов, затем отрабатывают
Доменные политики и затем OU политики (групповые
политики подразделения).
Если
на
одну
OU
(групповую
политику
подразделения) назначено несколько GPO (объектов
групповой политики), то они обрабатываются в том порядке,
в котором были назначены (Link Order).

26.

Создание и настройка групповых политик домена.
II. Порядок применения и приоритет групповых политик
Приоритет GPO (объектов групповой политики) напрямую
зависит от порядка их применения — чем позднее
применяется политика, тем выше ее приоритет.
При этом нижестоящие политики могут переопределять
вышестоящие — например:
• Локальная политика будет переопределена Доменной
политикой сайта,
Доменная политика — политикой OU (Групповой
политикой подразделения),
а политика вышестоящего OU (Группового
подразделения) — нижестоящими политиками OU
(Групповых подразделений).

27.

Создание и настройка групповых политик домена.
III. Создание локальной групповой политики
1. Для создания локальной групповой политики зайдите на
рабочую станцию, нажмите Пуск,
в поле поиска введите Выполнить,
затем, в поисковой выдаче, выберите Выполнить
(смотри следующий рисунок).

28.

29.

Создание и настройка групповых политик домена.
III. Создание локальной групповой политики
2. В открывшемся окне введите в поле gpedit.msc.
Далее нажмите OK
(смотри следующий рисунок).

30.

31.

Создание и настройка групповых политик домена.
III. Создание локальной групповой политики
3. В открывшемся окне Вы увидите две основные категории
параметров групповой политики:
• параметры конфигурации компьютера;
• параметры конфигурации пользователя.
Параметры конфигурации компьютера применяются к
компьютеру в целом, то есть действуют в отношении всех
пользователей, входящих в систему на данном компьютере,
без различия, гости они, пользователи или администраторы.
Параметры конфигурации пользователя действуют только
в отношении конкретно заданных пользователей (см. рис.).

32.

33.

Создание и настройка групповых политик домена.
III. Создание локальной групповой политики
4. Выберите: Конфигурация пользователя >
Административные шаблоны >
Рабочий стол >
Active Desktop.
В правой колонке выберите Фоновые рисунки рабочего стола
и нажмите Изменить.
Меню вызывается правой кнопкой мыши.
(смотри следующий рисунок).

34.

35.

Создание и настройка групповых политик домена.
III. Создание локальной групповой политики
5. В появившемся окне выберите пункт Включить, затем в
поле Имя фонового рисунка введите путь к фоновому
рисунку (прим. в данном примере это C:\Green_Local.jpg).
После этого нажмите Применить и ОК.
Затем перезагрузите компьютер.
(смотри следующий рисунок).

36.

37.

Создание и настройка групповых политик домена.
III. Создание локальной групповой политики
6. После перезагрузки компьютера Вы увидите, что политика
отработала и фон рабочего изменился.
(смотри следующий рисунок).

38.

39.

Создание и настройка групповых политик домена.
IV. Создание и настройка групповой политики на уровне домена
1. Для создания групповой политики на уровне домена
зайдите на сервер, выберите:
Пуск >
Администрирование >
Управление групповой политикой.
(смотри следующий рисунок).

40.

41.

Создание и настройка групповых политик домена.
IV. Создание и настройка групповой политики на уровне домена
2. Выберите домен (прим. в данном руководстве это
example.local).
Правой кнопкой мыши вызовите меню, в котором выберите:
Создать объект групповой политики в этом домене и связать
его…
(смотри следующий рисунок).

42.

43.

Создание и настройка групповых политик домена.
IV. Создание и настройка групповой политики на уровне домена
3. В появившемся окне выберите, в соответствующем поле:
имя новой групповой политики (прим. в данном руководстве
это GPO-1).
Затем нажмите ОК.
(смотри следующий рисунок).

44.

45.

Создание и настройка групповых политик домена.
IV. Создание и настройка групповой политики на уровне домена
4. Выберите созданную групповую политику (прим. GPO-1).
Правой кнопкой мыши вызовите меню, в котором выберите
Изменить.
(смотри следующий рисунок).

46.

47.

Создание и настройка групповых политик домена.
IV. Создание и настройка групповой политики на уровне домена
5. Выберите: Конфигурация пользователя > Политики >
Административные шаблоны > Рабочий стол >
Active Desktop.
В правой колонке выберите Фоновые рисунки рабочего стола
и нажмите Изменить.
Меню вызывается правой кнопкой мыши.
(смотри следующий рисунок).

48.

49.

Создание и настройка групповых политик домена.
IV. Создание и настройка групповой политики на уровне домена
6. В появившемся окне выберите пункт Включить.
Далее в поле Имя фонового рисунка введите путь к
фоновому рисунку (прим. в данном примере это
C:\Yellow_Domain_GPO-1.jpg).
После этого нажмите Применить и ОК.
Затем перезагрузите компьютер на котором
устанавливали локальную групповую политику.
(смотри следующий рисунок).
ранее

50.

51.

Создание и настройка групповых политик домена.
IV. Создание и настройка групповой политики на уровне домена
7. После перезагрузки компьютера Вы увидите, что групповая
политика домена отработала и фон рабочего стола на
компьютере изменился.
Примечание. На компьютере доменные политики успешно
применились и переопределили настройки, задаваемые
локальными политиками.
Т.о. установленный локальной политикой зеленый фон был
переопределён и, в соответствии с доменной политикой,
стал жёлтым.
(смотри следующий рисунок).

52.

53.

Создание и настройка групповых политик домена.
V. Создание и настройка групповой политики на уровне подразделения
1. Для создания групповой политики на уровне
подразделения (Organizational Unit policy, сокр. OU) зайдите
на сервер, выберите:
Пуск > Администрирование > Управление групповой
политикой.
(смотри следующий рисунок).

54.

55.

Создание и настройка групповых политик домена.
V. Создание и настройка групповой политики на уровне подразделения
2. Выберите домен (прим. в данном руководстве это
example.local).
Правой кнопкой мыши вызовите меню, в котором выберите
Создать подразделение.
(смотри следующий рисунок).

56.

57.

Создание и настройка групповых политик домена.
V. Создание и настройка групповой политики на уровне подразделения
3. В появившемся окне выберите, в соответствующем поле,
имя нового подразделения.
Примечание. В данном примере это OU-1.
Затем нажмите ОК.
(смотри следующий рисунок).

58.

59.

Создание и настройка групповых политик домена.
V. Создание и настройка групповой политики на уровне подразделения
4. Выберите созданное подразделение (прим. OU-1).
Правой кнопкой мыши вызовите меню, в котором выберите:
Создать объект групповой политики в этом домене и связать
его…
(смотри следующий рисунок).

60.

61.

Создание и настройка групповых политик домена.
V. Создание и настройка групповой политики на уровне подразделения
5. В появившемся окне выберите, в соответствующем поле,
имя новой групповой политики.
Примечание. В данном примере это GPO-2.
Затем нажмите ОК.
(смотри следующий рисунок).

62.

63.

Создание и настройка групповых политик домена.
V. Создание и настройка групповой политики на уровне подразделения
6. Выберите созданную групповую политику (прим. GPO-2).
Правой кнопкой мыши вызовите меню, в котором выберите
Изменить.
(смотри следующий рисунок).

64.

65.

Создание и настройка групповых политик домена.
V. Создание и настройка групповой политики на уровне подразделения
7. Выберите:
Конфигурация пользователя > Политики >
Административные шаблоны > Рабочий стол >
Active Desktop.
В правой колонке выберите Фоновые рисунки рабочего стола
и нажмите Изменить.
Меню вызывается правой кнопкой мыши.
(смотри следующий рисунок).

66.

67.

Создание и настройка групповых политик домена.
V. Создание и настройка групповой политики на уровне подразделения
8. В появившемся окне выберите пункт Включить.
Затем в поле Имя фонового рисунка введите путь к фоновому
рисунку (прим. в данном примере это Red_OU_OU-1_GPO2.jpg).
После этого нажмите Применить и ОК.
Затем перезагрузите компьютер на котором ранее
устанавливали локальную групповую политику (прим. на
этом же компьютере она была переопределена доменной
групповой политикой).
(смотри следующий рисунок).

68.

69.

Создание и настройка групповых политик домена.
V. Создание и настройка групповой политики на уровне подразделения
9. После перезагрузки компьютера Вы увидите, что доменная
политика (GPO-1) переопределена политикой (GPO-2),
назначенной на OU (Групповую политику подразделения).
Таким образом установленный локальной политикой
зеленый фон был переопределён и, в соответствии с
доменной политикой, стал жёлтым, после чего доменная
политика была переопределена политикой OU (Группового
подразделения) и фон стал красным.
(смотри следующий рисунок).

70.

71.

Создание и настройка групповых политик домена.
VI. Наследование в групповых политиках
1. На все политики в домене распространяется наследование.
То есть политики, назначенные на родительский контейнер (домен
или организационного подразделения (OU)), последовательно
применяются ко всем дочерним контейнерам.
При необходимости это можно изменить, отключив наследование
для отдельно взятого (организационного подразделения) OU.
Для этого
политикой.
необходимо
перейти
в
управление
групповой
Примечание. Пуск > Администрирование > Управление групповой
политикой.

72.

Создание и настройка групповых политик домена.
VI. Наследование в групповых политиках
Далее следует выбрать нужное OU (организационное
подразделение).
Примечание. В данном примере это OU-1.
После этого нужно кликнуть на нем правой клавишей мыши и
в контекстном меню отметить пункт Блокировать
наследование.
После этого для данного OU и его дочерних OU (при их
наличии) отменяется воздействие всех вышестоящих политик.
(смотри следующий рисунок).

73.

74.

Создание и настройка групповых политик домена.
VI. Наследование в групповых политиках
Примечание!
Политика Default Domain Policy содержит настройки,
определяющие политику паролей и учетных записей в
домене.
Эти настройки не могут быть заблокированы.

75.

Создание и настройка групповых политик домена.
VII. Форсирование применения групповых политик
1.
Форсирование
применения
групповых
политик
применяется тогда, когда данная политика должна отработать
независимо от остальных политик.
Если политика форсирована, то, вне зависимости от своей
области действия она получает наивысший приоритет.
Это значит, что ее настройки не могут быть переопределены
нижестоящими политиками, а также на нее не действует
отмена наследования.

76.

Создание и настройка групповых политик домена.
VII. Форсирование применения групповых политик
Чтобы форсировать политику, необходимо
управление групповой политикой.
перейти
в
Примечание. Пуск > Администрирование > Управление
групповой политикой.
Далее требуется выбрать нужную политику (прим. в данном
руководстве это GPO-1), кликнуть на ней правой клавишей
мыши
и
в
контекстном
меню
отметить
пункт
Принудительный.
(смотри следующий рисунок).

77.

78.

Создание и настройка групповых политик домена.
Таким образом мы рассмотрели создание и настройку
групповых политик домена.
Отработку навыков создания и настройки групповых политик
домена необходимо осуществить во время проведения
практических работ по подгруппам.
English     Русский Правила