Групові політики в Windows Server 2008 R2
Мета роботи: навчитися працювати з груповими політиками в Windows Server 2008 R2 та
застосовувати їх до комп’ютерів домену.
Зв’язок з
проектом: використання групових політик в домені
є однією з причин використання контролера домена. Адже доменні групові політики
значно спрощують адміністрування і тому вміття працювати з ними збереже час для
адміністратора та полегшить вирішення складних завдань.
Методичні
вказівки
Групові політики – засоби централізованого
управління налаштуваннями комп'ютерів користувачів. Вони можуть застосовуватися
для управління параметрами робочого столу користувача і різних додатків,
набором дозволених додатків, системними привілеями, параметрами системи
безпеки, автоматичною установкою програмного забезпечення і так далі.
Зазвичай групові політики використовуються для
управління налаштуваннями комп'ютерів в домені, проте існує можливість роботи з
локальною політикою комп'ютера, що дозволяє використовувати частину можливостей
групових політик при адмініструванні окремого комп'ютера.
Концепції групової політики
Групові політики є набором параметрів
конфігурації комп'ютера і оточення користувача, що зберігаються у вигляді
окремих об'єктів. Політики застосовуються до комп'ютера і користувача під час
завантаження комп'ютера і входу користувача в систему відповідно. Кожен
параметр політики викликає певні зміни в системному реєстрі Windows, таким
чином, будь-яку зміну, яку ви здійснюєте на комп'ютері за допомогою групових
політик, ви можете здійснити за допомогою редактора реєстру. Проте групові
політики надають набагато гнучкіші і зручніші засоби для управління, знижуючи
тим самим витрати на налаштування комп'ютерів користувачів. Однією з найбільших
переваг групових політик являється централізоване застосування певних
налаштувань для усіх (чи частини) комп'ютерів або користувачів в домені.
Об'єкти групової політики
Для визначення параметрів конфігурації для деякої
групи користувачів і комп'ютерів створюються об'єкти групової політики (Group Policy Objects,
GPO) – закінчені набори параметрів політики. Кожен об'єкт групової політики
зберігається в каталозі Active Directory
в контейнері групової політики (Group Policy Container, GPC). Крім
того, об'єкти групових політик зберігаються у вигляді структури тек, званої
шаблоном групової політики (Group Policy
Template, GPT). Зазвичай в GPC зберігаються рідко
змінювані і невеликі за розміром параметри, а в GPT зберігаються часто
змінювані параметри і великі масиви даних. Внутрішня структура контейнерів і
шаблонів групової політики прихована від усіх користувачів системи, навіть від
адміністратора.
Об'єкти групової політики можуть застосовуватися
на наступних рівнях ієрархії домена Windows Server
2008 R2:
-
сайт;
-
домен;
-
організаційна одиниця.
Декілька контейнерів Active
Directory можуть бути пов'язані з одним об'єктом
групової політики. У свою чергу, один контейнер Active
Directory може бути пов'язаний з декількома об'єктами
групової політики. Таким чином, на комп'ютер в домені може поширюватися дія
необмеженого числа доменних об'єктів групової політики, що зберігаються в Active Directory.
Локальні об'єкти групової політики
На кожному комп'ютері з операційною системою
Windows є локальний об'єкт групової політики, який є присутнім незалежно від
того, чи являється комп'ютер членом домена і чи є
відомості про нього в Active Directory.
Проте параметри доменних об'єктів групової політики можуть перекривати
параметри локальних об'єктів, тому при роботі комп'ютера в домені параметри
локального об'єкту групової політики менше всього впливають на конфігурацію
оточення користувача.
За умовчанням в локальному об'єкті групової
політики визначені тільки параметри безпеки.
Локальний об'єкт групової політики зберігається в
теці %system root% \ system32 \ GroupPolicy. Усі аутентифіковані
користувачі комп'ютера мають право на читання і застосування локальної
політики, проте право на її зміну мають тільки члени групи Адміністратори.
Контейнери групової політики
Контейнер групової політики (GPC) є об'єктом
каталогу Active Directory,
що зберігає властивості об'єкту групової політики. Для кожного параметра
групової політики зберігається номер версії, що дозволяє відстежувати і
синхронізувати зміни як між GPC і GPT, так і між різними контролерами домена і серверами глобального каталогу. Також GPC зберігає
інформацію про активність об'єкту групової політики.
Також GPC містить сховища класів Windows Server
2003, використовуваного для централізованого розгортання додатків на
комп'ютерах домена.
Контейнер групової політики (також, як і GPT),
містить два основні підконтейнери, що зберігають
параметри групової політики :
- Конфігурація комп'ютера – в цьому контейнері зібрані усі параметри, діючі на усіх користувачів
комп'ютера. Параметри застосовуються тільки до об'єктів комп'ютерів, що
знаходяться в контейнері з налагодженою груповою політикою.
- Конфігурація користувача – в цьому контейнері зібрані параметри, діючі тільки на окремого
користувача комп'ютера. Параметри застосовуються тільки до об'єктів облікових
записів користувачів, що знаходяться в контейнері з налагодженою груповою
політикою.
Організаційні одиниці
Досі ми розглядали налаштування політики, які застосовуються для усіх
користувачів і комп'ютерів в домені. Іноді виникає необхідність налаштувати різні значення
одного і того ж параметра для різних користувачів (наприклад, налаштувати різні
домашні сторінки у браузері для студентів 3-го і 4-го курсів). Для вирішення
поставленого завдання необхідно використовувати організаційні одиниці.
Організаційні одиниці (OU), або підрозділи, можуть містити користувачів, групи,
комп'ютери, принтери і загальні теки, а також інші OU. OU – це мінімальна
«одиниця» адміністрування, права управління якої можна делегувати деякому
користувачеві або групі. За допомогою OU можна забезпечити локальне
адміністрування користувачів (створення, модифікацію і видалення облікових
записів) або ресурсів.
Примітка. Організаційні одиниці і підрозділи – це
терміни-синоніми; ми частіше використовуватимемо поняття організаційна одиниця,
кажучи про структуру каталогу Active Directory і його дерева, і підрозділ – коли йдеться про
адміністрування Active Directory,
делегування управління і т. п.
У каталозі Active Directory
організаційні одиниці є об'єктами типу «контейнер» і відображаються у вікні
оснащення Active Directory
– користувачі і комп'ютери як теки. Їх основне призначення – групування
об'єктів каталогу з метою передачі адміністративних функцій окремим
користувачам.
Дерево OU може відображати реальну структуру організації – адміністративну,
функціональну і т. п. При цьому враховуються ієрархія повноважень
відповідальних працівників і необхідні функції управління.
Організаційна одиниця – мінімальна структурна одиниця, якою можна призначити власну групову
політику. Проте OU не є структурним елементом безпеки (тобто не можна
призначити підрозділу деякі права доступу до певного об'єкту), а служить тільки
для групування об'єктів каталогу. Для
призначення повноважень і дозволів доступу до ресурсів слід застосовувати групи
безпеки (security groups).
Завдання до
виконання роботи
Для створення об'єктів групової політики, прив'язки до контейнерів Active Directory використовується
консоль Управління груповою політикою.
Для запуску консолі Управління груповою
політикою необхідно виконати наступну послідовність кроків:
1.
Виконаєте вхід в операційну систему Windows Server 2008
R2 під обліковим записом з
правами адміністратора домена.
2.
Натисніть кнопку Пуск
і виберіть послідовно Адміністрування і Управління груповою політикою.
3.
У вікні Управління
груповою політикою розкрийте послідовно вузли: Ліс: kn.local,
Домен: kn.local і виберіть вузол Об'єкти групової
політики.
Зверніть увагу на два об'єкти групової політики, що існують за
замовчуванням: Default Domain Controllers Policy і Default Domain Policy.
Перший з них застосуються до усіх контролерів доменів, другий – до усіх
комп'ютерів і користувачів, що знаходяться у відповідному домені. Змінимо
параметри групової політики Default Domain Policy, відключивши
використання тільки складних паролів в домені. Для цього:
1. Клацніть правою кнопкою мишки по об'єкту групової політики Default Domain Policy і в меню, що з'явилося, виконаєте команду Змінити.
2. У вікні Редактор
управління груповими політиками розкрийте послідовно вузли: Конфігурація
комп'ютера, Політики, Конфігурація Windows, Параметри безпеки, Політика
облікових записів і виберіть папку Політика паролів.
Примітка. Зверніть увагу на існуючі параметри, яким повинен
задовольняти пароль користувача. Відключимо використання складного пароля:
3. У правій частині вікна в списку політик виберіть політику «Пароль повинен відповідати вимогам
складності» і в меню Дія виконаєте команду Властивості.
4. У вікні Властивості:
Пароль повинен відповідати вимогам складності встановіть перемикач в положення
Відключений і натисніть кнопку OK.
5. Закрийте вікно Редактор
управління груповими політиками.
Для оновлення політики потрібно певний час: від 15 хв. до декількох годин.
Щоб форсувати оновлення параметрів політики необхідно:
1.
У командному рядку
виконати команду: gpupdate /force.
2.
Переконаєтеся, що оновлення групових політик пройшло
успішно і змініть пароль користувача (група адміністраторів домена)
на простий пароль, наприклад:
11111111.
Згідно з рекомендаціями компанії Microsoft не рекомендується змінювати
об'єкти групових політик, які створені за замовчуванням (Default Domain Controllers Policy і Default Domain Policy), а створювати нові об'єкти, даючи їм визначні назви
(наприклад, Параметри робочого столу користувача).
Створимо новий об'єкт групової політики і налаштуємо політику «Не
відображати останнє ім'я користувача»:
1. Відкрийте вікно Управління
груповою політикою.
2. У вікні Управління
груповою політикою розкрийте послідовно вузли: Ліс: kn.local,
Домен: kn.local і виберіть вузол Об'єкти групової
політики.
3. У вікні Управління
груповою політикою в меню Дія виконаєте команду Створити.
4. У вікні Новий
об'єкт групової політики в рядку Ім'я введіть ім'я нового об'єкту групової
політики, наприклад: Не відображати останнє ім'я користувача і натисніть кнопку
OK.
5. Клацніть правою кнопкою миші по об'єкту групової політики Не відображати останнє ім'я
користувача і в меню, що з'явилося, виконаєте команду Змінити.
6. У вікні Редактор управління
груповими політиками розкрийте послідовно вузли: Конфігурація комп'ютера, Політики,
Конфігурація Windows, Параметри безпеки, Локальні політики і виберіть папку
Параметри безпеки.
Примітка. Зверніть увагу, що
значення усіх політик знаходиться в стані Не увімкнено, тобто в об'єкті
групової політики не вказано значення параметра.
7. У правій частині вікна в списку політик виберіть політику «Інтерактивний вхід в систему: не
відображати останнє ім'я користувача» і в меню Дія виконайте команду
Властивості.
8. У вікні Властивості:
Інтерактивний вхід в систему: не відображати останнє ім'я користувача помітьте
прапорець Визначити наступний параметр політики, встановіть перемикач в
положення Включений і натисніть кнопку OK.
9. Закрийте вікно Редактор
об'єктів групової політики.
Наступним кроком є прив'язка об'єкту групової політики до домена kn.local:
1. У лівій частині вікна Управління
груповою політикою клікніть правою кнопкою миші по
імені домена (kn.local) і в
меню, що з'явилося, виконаєте команду Зв'язати існуючий об'єкт групової
політики.
2. У вікні Вибір
об'єкту групової політики в списку Об'єкти групової політики виберіть рядок з
ім'ям створеного раніше об'єкту групової політики (Не відображати останнє ім'я
користувача) і натисніть кнопку OK.
Примітка. Зверніть увагу, що в
списку Пов'язані
об'єкти групової політики з'явився новий об'єкт Не відображати останнє ім'я
користувача.
3. Виконаєте форсоване оновлення параметрів групової політики.
Перезавантажте віртуальний комп'ютер під управління операційної системи
Windows 7 і зверніть увагу, що для входу в систему необхідно вказати ім'я
користувача і пароль (до цього моменту
ім'я користувача вказувати не потрібно було, воно зберігалося з останнього
сеансу користувача).
@ Відобразіть у звіті скріншоти з результатами виконання
завдання.
Для створення організаційної одиниці необхідно виконати наступну
послідовність дій :
1. Відкрити вікно Active Directory
- користувачі і комп'ютери.
2. У вікні Active Directory
- користувачі і комп'ютери вибрати вузол з ім'ям домена
(kn.local), в меню Дія вибрати послідовно Створити і Підрозділ.
3. У вікні Новий
об'єкт - Підрозділи в рядку Ім'я: вкажіть ім'я створюваного підрозділу,
наприклад, 3-й курс і натисніть кнопку OK.
4. Зверніть увагу, що в структурі каталогів Active Directory з'явився новий елемент 3-й курс.
Раніше відзначалося, що в підрозділах можуть зберігатися користувачі,
групи, комп'ютери, принтери і загальні папки, а також інші організаційні
одиниці. У організаційних підрозділах можна створювати нові елементи
(користувачів і так далі), а також переносити існуючі елементи (користувачів і
так далі) з інших організаційних одиниць. Перенесемо одного з створених на
попередньому занятті користувачів з теки Users в організаційну одиницю 3-й курс:
1. У вікні Active Directory
- користувачі і комп'ютери виберіть теку Users, в
правій частині вікна виберіть створений раніше обліковий запис, в меню Дія виконаєте
команду Вирізати.
2. У вікні Active Directory
- користувачі і комп'ютери виберіть організаційну одиницю 3-й курс і в меню Дія
виконайте команду Вставити, у вікні Доменні служби Active
Directory натисніть кнопку Так.
3. Зверніть увагу, що в організаційній одиниці 3-й курс з'явився новий
користувач.
Створимо новий об'єкт групової політики, налаштувавши параметр «Домашня
папка браузера» і прив'яжемо створену політику до організаційної одиниці 3-й
курс:
1. Відкрийте вікно Управління
груповою політикою.
2. У вікні Управління
груповою політикою розкрийте послідовно вузли: Ліс: kn.local,
Домени: kn.local і виберіть вузол Об'єкти групової
політики.
3. У вікні Управління
груповою політикою в меню Дія виконайте команду Створити.
4. У вікні Новий
об'єкт групової політики в рядку Ім'я введіть ім'я нового об'єкту групової
політики, наприклад, Домашня сторінка і натисніть кнопку OK.
5. Клікніть правою кнопкою мишки
по об'єкту групової політики Домашня
сторінка і в меню, що з'явилося, виконаєте команду Змінити.
6. У вікні Редактор
управління груповими політиками розкрийте послідовно вузли: Конфігурація
користувача, Політики, Конфігурація Windows, Налаштування Internet Explorer і
виберіть папку URL - адреса.
7. У правій частині вікна Редактор
управління груповими політиками двічі клікніть по
параметру Важливі URL - адреси.
8. У вікні Важливі
URL - адреси помітьте прапорець Змінити адресу домашньої сторінки, в рядку URL
- адреса домашньої сторінки введіть http://ktpn.lntu.info/ і натисніть кнопку
OK.
9. Закрийте вікно Редактор
управління груповими політиками.
10. У лівій частині вікна Управління
груповою політикою клікніть правою кнопкою миші по
імені організаційної одиниці 3-й курс і в меню, що з'явилося, виконайте команду
Зв'язати існуючий об'єкт групової політики.
11. У вікні Вибір
об'єкту групової політики в списку Об'єкти групової політики виберіть рядок з
ім'ям створеного раніше об'єкту групової політики (Домашня сторінка) і
натисніть кнопку OK.
12. Виконаєте форсоване оновлення параметрів групової політики.
13. Перезавантажте віртуальний комп'ютер під управлінням операційної системи
Windows 7 і виконаєте вхід в систему під обліковим записом, який
перемістили в організаційну одиницю, запустіть браузер Internet Explorer. Яка
сторінка завантажується за замовчуванням?
@ Відобразіть у звіті скріншоти з результатами виконання
завдання.
Для перевірки параметрів групової політики на клієнтському комп'ютері
використовується оснащення Результуюча
політика. Для запуску оснащення Результуюча політика необхідно:
1. Увійти до системи під управлінням операційної Windows 7, скориставшись
будь-яким доменним обліковим записом.
2. Натиснути кнопку Пуск,
в рядку Знайти програми і файли ввести mmc і
натиснути клавішу Enter.
Примітка. mmc – Microsoft Management
Console.
3. У вікні Консоль1 –
[Корінь консолі] у меню Файл виконайте команду Додати або видалити оснащення.
4. У вікні Додавання
або видалення оснащення в списку Доступні оснащення виберіть Результуюча
політика, натисніть кнопку Додати, а потім кнопку OK.
5. У вікні Консоль1 -
[Корінь консолі] виберіть папку Результуюча політика, потім в меню Дія виконайте команду Створити дані RSoP.
6. У вікні Майстер
результуючої політики натисніть кнопку Далі.
7. У вікні Вибір
режиму натисніть кнопку Далі.
8. У вікні Вибір
комп'ютера натисніть кнопку Далі.
9. У вікні Вибір
користувача натисніть кнопку Далі.
10. У вікні Зведення
вибраних даних ознайомтесь із списком вибраних параметрів і натисніть кнопку
Далі.
11. У вікні Помилка
групової політики ознайомтесь з текстом помилки і натисніть кнопку Закрити.
12. У вікні Завершення
майстра результуючої політики натисніть кнопку Готово.
13. У вікні Консоль1
ознайомтесь з параметрами групової політики, вживаної для поточного
користувача.
@ Відобразіть у звіті скріншоти з результатами виконання
завдання.
1.
Створити організаційну одиницю 4-й курс, помістити в неї користувача домена, створити об'єкт групової політики,
яка задає адресу домашньої сторінки: http://elearning.lutsk.ua, прив'язати
створений об'єкт групової політики до організаційної одиниці 4-й курс.
2.
Знайти параметри групової політики, що відповідають за
налаштування робочого столу користувача і на їх основі створити об'єкт групової
політики, застосувавши до будь-якої організаційної одиниці.
@ Відобразіть у звіті скріншоти з результатами виконання
завдання.
Контрольні запитання:
1.
Дайте характеристику об’єктів групової політики.
2.
Що таке контейнери групової політики?
3.
Опишіть порядок створення і застосування групових
політик.
4.
Як перевірити результуючу групову політику?
5.
Розкажіть про організаційні одиниці.