Politica de grup este un set de reguli sau setări conform cărora este configurat mediul de lucru pentru recepție/transmitere ( Windows , X-unix și alte sisteme de operare cu suport de rețea). Politicile de grup sunt create în cadrul unui domeniu și replicate în întregul domeniu. Un obiect de politică de grup ( GPO ) este format din două componente separate fizic: un container de politici de grup ( GPC ) și un șablon de politică de grup ( GPT ) . Aceste două componente conțin toate datele despre setările mediului de lucru, care sunt incluse în GPO. Aplicarea atentă a GPO-urilor la obiectele Active Directory vă permite să creați un mediu de calcul eficient și ușor de gestionat bazat pe Windows . Politicile sunt aplicate de sus în jos în ierarhia Active Directory .
În mod implicit, în ierarhia directorului Active Directory sunt create două politici de grup: Politica de domeniu implicită (politica de domeniu implicită) și Politica de control de domeniu implicită (politica de control de domeniu implicită). Primul este alocat domeniului, iar al doilea este alocat containerului care include controlerul de domeniu . Dacă doriți să vă creați propriul GPO, trebuie să aveți permisiunile necesare. În mod implicit, grupurile Administratori de întreprindere și Administratori de domeniu au dreptul de a crea noi GPO .
Când lucrați cu politici de grup, rețineți că:
Imaginați-vă că un parametru (de exemplu, bannerul de conectare) este definit atât în politica P3, cât și în politica P1. În acest caz, valoarea parametrului specificat în politica P3 diferă de valoarea specificată în politica P1. Ce valoare va fi atribuită parametrului ca urmare a aplicării ambelor politici? Într-o astfel de situație, parametrul obiectului este setat la valoarea preluată din GPO-ul cel mai apropiat de obiect. Astfel, in situatia avuta in vedere, parametrului logon banner i se va atribui valoarea extrasa din politica P1.
Imaginați-vă că politica P3 conține valoarea parametrului banner de conectare, în timp ce politica P1 nu definește acest parametru. În acest caz, dacă ambele politici se aplică obiectului, parametrului obiectului în cauză i se va atribui valoarea din politica P3. Cu toate acestea, nu este definită nicio politică pentru containerul SA. Cu toate acestea, parametrul bannerului de conectare al acestui container va fi setat la valoarea din politica P3. În plus, politicile P3 și P1 vor fi aplicate pe deplin acestui container, deoarece containerul SA va moșteni aceste politici de la părinții săi.
Imaginați-vă că politicile P4 și P5, care definesc valorile unei game largi de parametri, sunt aplicate containerului Acct. În secțiunea de configurare a computerului din politica P4, membrii grupului global de contabilitate au voie să se conecteze local la orice computer din containerul Acct, precum și în toate subcontainerele acestui container. Și în secțiunea de configurare a computerului din politica P5, nu sunt atribuite drepturi grupului Contabilitate. În lista de politici afișată pe pagina Politică de grup a ferestrei Proprietăți controler de domeniu, politica P5 se află în partea de sus a listei, deasupra politicii P4. Politicile specificate în această listă sunt aplicate obiectului în ordine de jos în sus. Cu alte cuvinte, politicile din partea de jos a listei sunt aplicate mai întâi, urmate de politicile din partea de sus a listei. Astfel, la procesarea setului considerat de politici în relație cu containerul Acct, se va aplica mai întâi politica P4, iar apoi politica P5. Prin urmare, după procesarea setului de politici, parametrul drepturilor de conexiune locală va conține valoarea din politica P5. Astfel, membrii grupului global de Contabilitate nu vor avea dreptul de a se conecta local la calculatoarele containerului Acct și subcontainerelor acestuia. Pentru a schimba ordinea în care sunt procesate politicile, utilizați butoanele Sus și Jos din colțul din dreapta jos al filei Politică de grup.
Windows 2000 vă permite să blocați aplicarea anumitor secțiuni ale unui obiect GPO. Dacă politica nu este aplicată integral containerului, ci doar parțial, timpul total de conectare a utilizatorului la sistem este redus. Cu cât sunt mai puține setări GPO care trebuie aplicate unui obiect, cu atât mai rapid este procesată politica corespunzătoare. Puteți dezactiva procesarea anumitor secțiuni ale politicii în funcție de GPO. Pentru a face acest lucru, urmați acești pași:
Blocarea aplicării uneia dintre secțiunile de politică este configurată pentru un anumit GPO și se aplică tuturor containerelor cărora le este atribuit acest GPO.
Windows 2000 vă permite să blocați moștenirea politicii de la un obiect părinte. De exemplu, dacă doriți ca doar politicile definite la nivel IT să se aplice containerului IT și tuturor subcontainerelor acestuia, în pagina Politică de grup a proprietăților obiectului IT, bifați caseta de selectare Blocare moștenire politică. Cu toate acestea, politicile P1 și P3 nu se vor aplica containerelor pentru stațiile de lucru IT și serverele IT. Blocarea moștenirii politicilor nu poate fi dezactivată pentru nicio politică. Dacă blocarea moștenirii politicilor este activată pentru un container, absolut toate politicile atribuite la nivelurile superioare ale ierarhiei directorului Active Directory încetează să se aplice acestui container și tuturor subcontainerelor acestuia. Această setare poate fi configurată pe bază de GPO și se aplică tuturor containerelor cărora le este atribuit acest GPO. Dacă un GPO este setat la No Override, setările din politica asociată vor avea întotdeauna prioritate atunci când apar conflicte de politică, indiferent de nivelul ierarhiei în care se află containerele în care este aplicat GPO. De exemplu, dacă deschideți fereastra de proprietăți pentru domeniul shinyapple.msft și bifați caseta de selectare Fără suprascriere pentru politica P1, obiectele aflate mai jos în ierarhia Active Directory vor fi întotdeauna configurate conform valorilor stabilite în politica P1. În cazul unui conflict de politică, valorile din P1 vor avea prioritate. Un bun exemplu de situație în care ați putea dori să utilizați această caracteristică este atunci când aplicați setările de securitate. Dacă moștenirea politicii de blocare este activată pentru orice container, o politică care are proprietatea Fără înlocuire va fi în continuare aplicată, deoarece setarea Fără modificare are o prioritate mai mare.
Filtrarea politicilor aplicate pe baza apartenenței la grupul de securitate al obiectului este o altă metodă de modificare a modului în care politicile sunt aplicate în mod normal obiectelor Active Directory. Filtrarea se realizează folosind ACL -uri (Lista de control al accesului). Fiecărui GPO i se atribuie un ACL. Informațiile din ACL-ul GPO sunt analizate de sistemul de securitate, indiferent de containerul căruia i se aplică GPO. O politică este aplicată unui obiect numai dacă acesta are permisiuni Citire și Aplicare a politicii de grup pe GPO-ul corespunzător. Dacă un obiect (utilizator sau grup) nu are permisiunea Aplicare politică de grup, politica de grup nu i se aplică.
Pentru a documenta în jurnal secvența în care sunt aplicate politicile și profilurile, utilizați Editorul Registrului pentru a adăuga valoarea UserEnvDebugLevel de tip REG_DWORD la cheia HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon, care trebuie să fie 0x10002. După aceea, reporniți computerul. Jurnalul aplicației de politică și profil va fi scris în fișierul %SystemRoot%\Debug\Usermode\Userenv.log. Pe lângă GPO-urile care există în Active Directory , fiecare sistem Windows 2000 are și o politică locală. Politica locală definește setările în funcție de care este configurată stația de lucru. Sistemul aplică politici într-o anumită ordine. Se aplică mai întâi politica locală, apoi politica site-ului, apoi politica domeniului și în final politica unității organizaționale. Ordinea în care sunt aplicate politicile este adesea indicată de o secvență de caractere (L, S, D, OU). Dacă o politică locală intră în conflict cu o politică de gazdă, domeniu sau container OU, ea pierde întotdeauna. Cu alte cuvinte, la aplicarea politicilor, politica locală are cea mai mică prioritate. Toate setările, cu excepția scenariilor de pornire/pornire și oprire/oprire a sistemului și instalarea software-ului (fie atribuite, fie publicate), sunt actualizate la fiecare 90 de minute la un offset variabil de plus sau minus 30 de minute. Actualizarea este inițiată de mecanismul de actualizare a politicii de grup la nivelul clientului, care ține evidența când clientul a efectuat ultima actualizare. La începutul procesului de actualizare, numerele de versiune ale tuturor politicilor active sunt comparate cu numerele de versiune locală. Dacă numerele de versiune locală și de la distanță nu se potrivesc, întreaga politică este reaplicată. În caz contrar, nu are loc nicio actualizare. Politicile controlerului de domeniu sunt actualizate la fiecare cinci minute.
Pe măsură ce migrați la Windows 2000 , probabil că veți avea computere în rețea care rulează versiuni anterioare de Windows . Pentru a gestiona eficient o astfel de rețea, este important să înțelegeți ce computere vor fi afectate de politica de grup. Următoarele listează sistemele de operare cărora li se aplică Politica de grup.
Sistemul de operare Windows NT vă permite să atribuiți fiecărui utilizator un script care conține comenzi care trebuie executate atunci când acel utilizator se conectează la sistem . De obicei, scripturile de conectare sunt folosite pentru a configura inițial mediul de lucru al unui utilizator. Pe lângă scripturile de conectare, Windows 2000 acceptă și scripturile de deconectare. Mai mult, în noul sistem de operare pentru fiecare computer , puteți atribui scripturi pentru pornirea și închiderea sistemului. Runtime- ul de scripting Windows Scripting Host (WSH) acceptă execuția de scripturi scrise în limbaje precum Visual Basic sau Jscript care permit acces direct la funcțiile API Windows . Să ne uităm la câteva dintre posibilitățile asociate cu utilizarea scripturilor în mediul Windows 2000 .
Astfel de scripturi sunt acceptate exact așa cum au fost în Windows NT 4.0 și există în principal pentru compatibilitate cu versiunile anterioare de Windows . Clienții Windows 2000 și Windows NT 4.0 încearcă să detecteze astfel de scripturi în partajarea Netlogon a serverului . Dacă scriptul nu poate fi găsit, căutarea se face în directorul %SystemRoot%\system32\Repl\lmport\Scripts (locația scriptului folosită în NT 4.0). Partajarea Netlogon este localizată în directorul SysVol (sysvol\domainname\scripts) și este replicată automat de FRS. Replicarea directorului de script al sistemului de operare NT 4.0 trebuie configurată manual.
Aceste scenarii se aplică containerelor OU. Cu alte cuvinte, pentru a atribui un script de conectare sau deconectare unui utilizator, trebuie să faceți utilizatorul membru al containerului OU care are politica definită în baza căreia este atribuit scriptul de conectare sau deconectare. Această metodă este mai flexibilă. Dacă vă migrați rețeaua pentru a utiliza Windows 2000, există și alte câteva considerente de scriptare de care ar trebui să fiți conștienți. Multe rețele au computere care rulează versiuni anterioare de Windows în plus față de mașinile Windows 2000, așa că vă recomandăm să actualizați ultimul server care conține partajarea NETLOGON. Acest lucru se datorează faptului că serviciul de replicare utilizat în Windows 2000 (FRS) nu este compatibil cu serviciile de replicare NT. Astfel, la actualizarea rețelei, trebuie să fii sigur că absolut toți clienții au posibilitatea de a accesa folderul Netlogon și scripturile de conectare, indiferent de sistemul de operare pe care îl folosesc. De asemenea, rețineți că pe Windows NT, scripturile de conexiune rulează în contextul de securitate al utilizatorului. În Windows 2000, acest lucru este doar parțial adevărat. În Windows 2000, scripturile legate de utilizator (conectarea și deconectarea din sistem) rulează și în contextul de securitate al utilizatorului, în timp ce scripturile legate de computer (pornirea sistemului și oprirea sistemului) rulează în contextul de securitate.
Abilitatea de a gestiona GPO poate fi delegată altor persoane responsabile. Delegarea se face folosind ACL-uri. ACL-urile GPO vă permit să atribuiți permisiuni acelui GPO pentru a modifica acel GPO sau să atribuiți un GPO unui container. Astfel, puteți preveni crearea de GPO-uri neautorizate. De exemplu, crearea și modificarea GPO-urilor poate fi încredințată grupului Domain Admins, în timp ce atribuirea acestor GPO-uri poate fi făcută de administratorii containerelor OU individuale. Administratorul containerului OU poate alege cel mai potrivit GPO și poate aplica acel GPO la oricare dintre OU-urile aflate sub controlul său. Cu toate acestea, nu va putea modifica conținutul acestui GPO sau crea un nou GPO.
Politica de grup vă permite să redirecționați unele directoare de utilizatori, astfel încât, atunci când le accesați, utilizatorul să acceseze efectiv directoarele de rețea sau anumite locuri din sistemul de fișiere local. Setul de foldere care pot fi redirecționate în acest mod include:
Mecanismul de redirecționare a folderelor utilizatorilor face parte din tehnologia IntelliMirror , al cărei scop este de a oferi acces la fișierele de lucru și informațiile de configurare, indiferent de stația de lucru pe care utilizatorul o folosește pentru a lucra. Drept urmare, tehnologia Intellimirror asigură siguranța fișierelor utilizatorului și a datelor de configurare în cazul în care stația de lucru a utilizatorului eșuează. Redirecționarea directorului este configurată în secțiunea Redirecționare folder Setări Windows Configurare utilizator a obiectului Politică de grup. Această secțiune afișează toate folderele listate anterior. Pentru a redirecționa unul dintre aceste foldere într-o locație nouă, faceți clic dreapta pe numele acestuia și selectați Proprietăți din meniul care apare.
În fila Țintă, puteți alege dintre trei opțiuni personalizate de redirecționare a folderului.