Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
Iceсream Screen Recorder – это программа для захвата видео с аудио и микрофоном и создания скриншотов с помощью ряда доп...
TeraByte Drive Image Backup and Restore - это доступный и надежный пакет программных средств, предназначенных для резерв...
Компактная программа для создания PDF-документов. После установки novaPDF в системе появляется новый виртуальный принтер...
Программа для автоматической смены обоев на рабочем столе компьютера. BioniX Wallpaper предоставляет пользователю возмож...
ProduKey - маленькая утилита для просмотра серийных кодов прикладного ПО и системы. Иногда бывает необходимо узнать тот ...

Управление групповыми политиками в организации. Часть 3

Текущий рейтинг: 4.92 (проголосовало 26)
 Посетителей: 14535 | Просмотров: 26266 (сегодня 8)  Шрифт: - +


Введение

Из предыдущих частей данной статьи вы узнали о создании и привязке объектов групповых политик к подразделениям, доменам и сайтам организации при помощи оснастки «Управление групповой политикой». Вкратце было рассмотрено такое понятие, как приоритет объектов групповой политики. В этой статье мы ознакомимся с такими понятиями, как приоритеты, наследование и делегирование групповых политик. При управлении объектами групповых политик в организации, понимание наследования и делегирования групповых политик необходимо, так как именно при помощи данных средств вы можете указывать порядок обработки объектов GPO, и управлять разрешениями для объектов групповых политик, подразделений, пользователей, групп и пр.

Приоритеты объектов групповых политик и их наследование

Как известно, для управления настройками клиентских компьютеров и пользовательских учетных записей в организациях применяются объекты групповых политик. Объекты GPO могут быть привязаны к сайту организации, к домену или к подразделениям. Если объекты групповых политик были привязаны к сайту или домену, а также к подразделению, то для компьютеров и пользователей, которые размещены в данном подразделении, будут применяться объекты GPO, их подразделения, а также домена или сайта организации. Для того чтобы не было конфликтов параметров групповых политик, существуют приоритеты объектов GPO. Как было указано во второй части статьи, в консоли управления групповой политики, приоритеты объектов GPO отображаются в виде номера, причем, чем меньше значение объекта групповой политики, тем выше его приоритет. Объекты с самым высоким приоритетом имеют преимущества над остальными объектами. Параметры групповых политик унаследованы от верхнего уровня контейнеров до более низкого и, обычно, они применяются при включении компьютера и входа пользователем в систему в следующем порядке:

  1. Локальные объекты групповой политики. Эти политики применяются самыми первыми. Они расположены на локальном компьютере;
  2. Объекты групповой политики, назначенные на уровне сайта. После локальных объектов групповых политик применяются объекты групповой политики, которые расположены на сайте Active Directory.
  3. Объекты групповой политики, назначенные на уровне домена. Далее обрабатываются объекты групповой политики, которые расположены на уровне домена Active Directory.
  4. Объекты групповой политики, назначенные на уровне подразделения. Последними выполняются объекты GPO, которые расположены в подразделениях. Если были указаны параметры политик в объектах с более низкими приоритетами, которые отличаются от параметров в подразделениях, то в последнюю очередь применяются именно те политики, которые расположены на этом уровне. Если существуют дочерние подразделения, то приоритет таких подразделений будет превалировать над объектами GPO предшествующего подразделения.

При запуске компьютера и входе пользователя в систему, клиент групповой политики, прежде всего, анализирует расположение клиента в домене Active Directory и оценивает объекты групповых политик, в область действия которых попадает данный пользователь. Наследованием политики называется результат вышеуказанного применения объектов групповой политики.

Предположим, что в вашей организации к домену привязаны два объекта групповой политики и к подразделению «Группы» привязано три объекта. Изменить порядок приоритетов объектов GPO вы можете следующим образом:

  1. Откройте консоль «Управление групповой политикой»;
  2. В дереве консоли разверните узел «Управление групповой политикой», затем разверните узел леса, узел «Домены» и выберите свой домен, для которого будете изменять порядок приоритетов;
  3. На вкладке «Связанные объекты групповой политики» выделите объект, приоритет которого планируете изменить и нажмите на кнопку «Переместить связь вверх» для перемещения объекта на один уровень вверх или на кнопку «Переместить связь на первое место», соответственно для того, чтобы данному объекту GPO назначить наивысший приоритет;

  4. *
    Увеличить рисунок

    Рис. 1. Изменение приоритета объекта групповой политики

  5. Перейдите к контейнеру «Группы». В этом примере, непосредственно в данном контейнере расположены три объекта GPO, причем связь для одного из них отключена. Для проверки наследования групповой политики для этого контейнера, перейдите на вкладку «Наследование групповой политики», как показано ниже:

  6. *
    Увеличить рисунок

    Рис. 2. Наследование групповой политики для контейнера «Группы»

  7. Судя по предыдущей иллюстрации, с подразделением и доменом связывается множество объектов GPO, и самыми последними будут применяться параметры объекта GPO «Политика аудита», которая размещена в контейнере «Группы». В случае с множеством объектов групповой политики приоритет определяется порядком ссылок. Изменим порядок ссылок данного контейнера. Для этого перейдите на вкладку «Связанные объекты групповой политики» и переместите связь политики «Права для группы отладчиков» на первое место;
  8. Вернувшись на вкладку «Наследование групповой политики» вы обнаружите, что приоритет объектов GPO изменился.

При помощи консоли управления групповыми политиками вы можете запретить все наследования параметров политики для указанного домена или подразделения. Реализовать такой запрет можно при помощи команды «Блокировать наследования», которая блокирует все объекты групповой политики (GPO), связанные с сайтами, доменами или подразделениями родительского уровня от автоматического наследования на дочернем уровне. При блокировании наследования, скажем, подразделения, в этом подразделении применение политик будет начинаться непосредственно с данного подразделения. Но нужно учесть, что связи GPO, установленные принудительно невозможно заблокировать из родительского контейнера. Об использовании принудительных связей объектов групповых политик вы можете ознакомиться во второй части статьи «Управление групповыми политиками в организации». Узел с блокированным наследованием отображается в дереве консоли со значком синего круга с белым восклицательным знаком, как показано ниже:

*

Рис. 3. Подразделение с блокированным наследованием

Управление разрешениями

Обычно, в подразделениях Active Directory расположено несколько групп или пользователей. Как известно, объект групповой политики вы можете связывать только с подразделениями, доменами или сайтами. Но что же делать, если вам нужно в область действия объекта GPO привязать только одну или несколько групп? Для выполнения подобных операций вам нужно фильтровать объекты GPO, чтобы его параметры применялись только к указанным пользователям или компьютерам.

Для определения разрешения доступа, при создании объекта GPO, для каждого объекта групповой политики создается индивидуальный список контроля доступа (Access Control List - SCL). В списке ACL, для применения параметров групповых политик достаточно, чтобы было только два разрешения – «чтение» и «применение групповой политики». Областью действия по умолчанию для каждого объекта GPO является группа «Прошедшие проверку» и, в связи с тем, что в эту группу входят все пользователи, расположенные в указанном контейнере, именно все пользователи и попадут под область действия объектов групповых политик, что почти во всех случаях неприемлемо. Чтобы вы могли выбрать пользователей и группы, для которых будут применяться параметры объектов GPO, консоль управления групповыми политиками предоставляет средства фильтрации области действия GPO.

Для изменения области действия объекта GPO «Права для группы отладчиков», выполните следующие действия:

  1. В дереве консоли оснастки «Управление групповой политикой» выберите подразделение «Группы», к которой привязан объект «Права для группы отладчиков»;
  2. Перейдите на вкладку «Область» и в секции «Фильтры безопасности» выберите группу «Прошедшие проверку». Нажмите на кнопку «Удалить», как показано на следующей иллюстрации:

  3. *

    Рис. 4. Удаление группы «Прошедшие проверки» из области действия GPO

  4. Нажмите на кнопку «Добавить» и в диалоговом окне поиска объекта выберите группу «Отладчики».

Делегирование разрешений

Убрав из вкладки «Область» группу «Прошедшие проверку», вы тем самым не исключаете все группы от области применения объекта групповых политик. Для создания запретов на применение параметров политик существует вкладка «Делегирование».

По определению, делегирование — это такая организация работы, при которой руководитель распределяет между подчиненными конкретные задания. То есть, другими словами, делегирование является управлением и в групповых политиках это понятие не является исключением. Консоль «Управление групповой политикой» позволяет применять делегирование для объектов групповой политики, контейнеров и доменов, фильтров WMI и начальных объектов групповой политики. В этой статье мы рассмотрим делегирование только для объектов групповых политик, подразделений и доменов, так как фильтры WMI и начальные объекты групповых политик будут рассматриваться в отдельных статьях.

Делегирование разрешений для объектов групповой политики

Для расширенного управления разрешениями групповых политик, выберите объект групповой политики и перейдите на вкладку «Делегирование». Как видно на следующей иллюстрации, объект групповой политики «Права для группы отладчиков» связан с пятью группами. Если вы выберите любую группу и нажмете на кнопку «Дополнительно», то сможете просмотреть разрешения для выбранной группы. В диалоговом окне «Параметры безопасности %Имя группы%» вы можете указать разрешения для каждой группы, включая группу СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ, которая не отображена на вкладке «Делегирование». Для того чтобы разрешить или запретить указанное разрешение для выбранной группы – установите флажок в нужном для вас столбце.

*
Увеличить рисунок

Рис. 5. Делегирование для объекта групповой политикой

Например, выбрав группу «Администраторы домена», вы можете обратить внимание на то, что помимо стандартного набора разрешений, для нее ее применяются «Особые разрешения». Чтобы узнать за что отвечают эти разрешения нажмите на кнопку «Дополнительно», в диалоговом окне «Дополнительные параметры безопасности» выберите еще раз эту группу и нажмите на кнопку «Изменить».

В диалоговом окне «Элемент разрешения» вы можете просмотреть все разрешения для объектов и свойств данной группы.

*

Рис. 6. Диалоговое окно «Элементы разрешения» для группы «Администраторы домена»

Также на вкладке «Делегирование» вы можете добавить новую группу или удалить существующую.

Делегирование разрешений для подразделений и доменов

Перейдя на вкладку «Делегирование» для подразделения или домена, вы сможете управлять разрешениями для связанных с данным контейнером объектов GPO, анализа моделирования групповых политик, а также для чтения результирующих данных групповой политики. Для того чтобы выбрать область разрешений, выберите контейнер, перейдите на вкладку «Делегирование» и в раскрывающемся списке «Разрешение», выберите необходимую область разрешений.

Анализ моделирования групповой политики. При помощи разрешений для этой области вы можете указать разрешения для групп, которые имеют отношение к использованию функционала «Моделирование групповой политики».

*
Увеличить рисунок

Рис. 7. Делегирование для анализа моделирования групповой политикой

Также как и с объектами групповой политики, вы можете добавлять новые группы, удалять существующие, а также просматривать и изменять любые разрешения для групп по нажатию на кнопку «Дополнительно». Необходимо учесть, что вы не можете делегировать разрешение на выполнение анализа групповой политики сайту. Об использовании мастера моделирования групповой политики вы узнаете в одной из следующих статей.

Связанные объекты GPO. Эта область разрешений предназначена для указания полномочий, которые распространяются на связанные объекты групповой политики. Здесь вы можете выполнять такие же действия, как в предыдущих случая, но нужно учесть тот факт, что у вас не получится удалить группы и пользователей, наследующих разрешения родительских контейнеров.

Чтение результирующих данных групповой политики. Сам по себе, функционал результирующей групповой политики (RSoP) предоставляет результат применения объектов GPO пользователю или компьютеру с учетом связей GPO, исключений, а также фильтров безопасности и WMI. Данный объект разрешений позволяет настроить разрешения для групп, имеющих доступ на использование данного функционала.

Заключение

В данной статье вы узнали о приоритетах, наследовании и делегировании объектов групповой политики. Подробным образом были рассмотрены приоритеты и порядок ссылок объектов групповых политик и их наследование. Вы узнали об управлении разрешениями областью действий объектов групповых политик при помощи секции «Фильтры безопасности» вкладами «Область» объектов групповых политик, а также о делегировании разрешений групповых политик. В последующих статьях вы узнаете о фильтрации WMI, начальных объектах групповых политик, моделировании групповой политики, результирующей политики и о многом другом.

Автор: Dmitry_Bulanov  •  Иcточник: dimanb.spaces.live.com  •  Опубликована: 20.04.2010
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER


Оценить статью:
Вверх
Комментарии посетителей
Комментарии отключены. С вопросами по статьям обращайтесь в форум.