Групові політики є одним з найбільш потужних інструментів управління користувачами і комп'ютерами в домені Active Directory. Однак, як і будь-який складний інструмент, вони вимагають чіткого розуміння принципів своєї роботи і ретельного планування. Без цього застосування групових політик може видати не зовсім той результат, який потрібний.

Ось власне про них, основні засади, і піде мова в цій статті. І почнемо ми з самого основного - області дії.

Область дії групових політик

Все групові політики мають свою область дії (scope), яка визначає межі впливу політики.Області дії групових політик умовно можна розділити на чотири типи.

Локальні групові політики

Групові політики, що застосовуються до локального комп'ютера, або локальні групові політики. Ці політики настроюються в оснащенні "Редактор локальних групових політик» і застосовуються тільки до того комп'ютера, на якому вони були налаштовані.Вони не мають механізму централізованого розгортання і управління та, по суті, не є груповими політиками.

Групові політики доменів

Об'єкти групових політик, що застосовуються до домену Active Directory (AD) і мають вплив на всі об'єкти, що мають відношення до даного домену.Оскільки в рамках домену працює механізм успадкування, то все політики, призначені на домен, послідовно застосовуються і до всіх нижчестоящим контейнерів.

Групові політики підрозділу

Політики, які застосовуються до підрозділу (OU) і що впливають на весь вміст даного OU і дочірніх OU (при їх наявності).

Групові політики сайтов

Нагадаю, що на відміну від доменів, які вдають із себе логічну структуру організації, сайти в AD використовуються для представлення її фізичної структури. Межі сайту визначаються однією або декількома IP-подсетями, які об'єднані високошвидкісними каналами зв'язку.В один сайт може входити кілька доменів і навпаки, один домен може містити кілька сайтів.

Об'єкти групової політики, застосовані до сайту AD, впливають на весь вміст цього сайту. Отже, групова політика, пов'язана з сайтом, застосовується до всіх користувачів і комп'ютерів сайту незалежно від того, до якого домену вони належать.

Порядок застосування групових політик

Порядок застосування групових політик безпосередньо залежить від їх області дії. Першими застосовуються локальні політики, потім політики, призначені на сайт, потім відпрацьовують доменні політики і потім політики, призначені на OU.

Так в нашому прикладі (на малюнку нижче) спочатку відпрацює локальна політика (умовно назвемо її GPO0), потім політика сайту GPO1, потім політика домену GPO2, ну а потім застосуються політики, призначені на OU. При цьому політики застосовуються відповідно до ієрархією - спочатку політика GPO3, призначена на вищестояще OU, потім нижчестоящі політики GPO4 і GPO5.

Якщо на одну OU призначено кілька GPO, то вони обробляються в тому порядку, в якому були призначені. Наприклад, до підрозділу TechSupport відносяться GPO4 і GPO5, які обробляються згідно з порядком призначення (Link Order).

Політики обробляються в зворотному порядку (від низу до верху), т.е. політика з номером 1 відпрацює останньої. При необхідності цей порядок можна змінити, виділивши політику і пересунувши її вгору або вниз за допомогою відповідних стрілок.

Пріоритет групових політик

пріоритет GPO безпосередньо залежить від порядку їх застосування - чим пізніше застосовується політика, тим вище її пріоритет.При цьому нижчестоящі політики можуть перевизначати вищі - наприклад локальна політика GPO0 буде перевизначена доменної політикою сайту GPO1, домен політика GPO2 - політикою GPO3, а політика вищого GPO3 - нижчими політиками GPO4 і GPO5.

Для більшої наочності проведемо експеримент.Для перевірки дії політик будемо заходити на робочу станцію WKS1 під обліковим записом користувача Kirill, що знаходиться в OU TechSupport.

На робочій станції WKS1 відкриваємо редактор локальних групових політик (gpedit.msc) і переходимо в розділ Конфігурація користувача \ Адміністративні шаблони \ Робочий стіл \ Робочий стіл (User Configuration \ Administrative Template \ Desktop \ Desktop).

Відкриємо політику Фонові малюнки робочого столу (Desktop Wallpaper) і вкажемо використовувати в якості шпалер зображення local .png.

Потім перелогініваемся і перевіряємо, що політика відпрацювала і шпалери змінені.

Наступним кроком буде настройка доменної політики.Для цього в оснащенні «Group Policy Management» вибираємо політику GPO2 і відкриваємо її для редагування.

Знаходимо політику, що відповідає за зміну шпалер і встановлюємо в якості малюнка робочого столу зображення domain.png.

Додатково переходимо в розділ вище і включаємо політику «Remove Recycle Bin icon from desktop», що видаляє кошик з робочого столу.

Ще раз заходимо на WKS1 і переконуємося в тому, що шпалери на робочий стіл змінені і кошика не видно. Це означає, що доменні політики успішно застосували і переопределили настройки, що задаються локальними політиками.

Ну і як завершаюшей кроку відкриваємо на редагування політику GPO4 і встановлюємо політику «Remove Recycle Bin icon from desktop» в положення Disabled.

А також змінюємо малюнок робочого столу на зображення з ім'ям ou.png.

Тепер, зайшовши на WKS1 ми бачимо, що шпалери знову змінено і на робочий стіл повернулася кошик. З цього випливає, що доменна політика GPO2 перевизначена політикою GPO4, призначеної на OU.

Відключення успадкування

Як я вже говорив, на всі політики в домені поширюється успадкування, тобто . політики, призначені на батьківський контейнер (домен або OU), послідовно застосовуються до всіх дочірнім контейнерів. Це поведінка за умовчанням, але при необхідності його можна змінити, відключивши успадкування для окремо взятого OU.

Відключення успадкування проводиться досить просто, треба тільки в оснащенні «Group Policy Management» вибрати потрібний OU, клікнути на ньому правою клавішею миші і в контекстному меню поставити галочку навпроти пункту «Block Inheritance». Після цього для даного OU і його дочірніх OU (при їх наявності) скасовується дія всіх вищестоящих політик.

Примітка. Політика Default Domain Policy містить настройки, що визначають політику паролів і облікових записів в домені. Ці настройки не можуть бути заблоковані.

В нашому прикладі скасуємо успадкування для OU TechSupport, щоб на нього впливали тільки ті політики, які призначені безпосередньо на дане OU.

Форсування застосування групових політик

Форсування застосування групових політик застосовується тоді, коли дана політика повинна відпрацювати незалежно від інших політик. Якщо політика форсована, то, незалежно від своєї області дії вона отримує найвищий пріоритет.Це означає, що її параметри не можуть бути перевизначені нижчими політиками, а також на неї не діє скасування спадкування.

Щоб форсувати політику, треба вибрати її в оснащенні управління груповими політиками, клікнути на ній правою клавішею миші і в контекстному меню поставити галочку навпроти пункту «Enforced».Для прикладу форсуємо політику GPO2, призначену на домен.

Потім зайдемо на WKS1 ще раз і побачимо знайому картину. Як бачите, політика GPO2 відпрацювала не дивлячись на блокування успадкування і перебила настройки нижчої політики GPO4.

для однієї статті інформації, я думаю, досить.А в наступній частині розмова піде про особливості застосування групових політик до користувачів і комп'ютерів.