Групповая политика - Group Policy

Редактор локальной политики безопасности в Windows 7

Групповая политика это особенность Microsoft Windows NT семья операционные системы (включая Windows 7, Windows 8.1, Windows 10 и Windows Server 2003+), который контролирует рабочую среду учетных записей пользователей и компьютеров. Групповая политика обеспечивает централизованное управление и настройку операционных систем, приложений и пользовательских настроек в Active Directory среда. Набор конфигураций групповой политики называется Объект групповой политики (GPO). Версия групповой политики под названием Локальная групповая политика (LGPO или LocalGPO) позволяет управлять объектами групповой политики без Active Directory на автономных компьютерах.[1][2]

Серверы Active Directory распространяют групповые политики, перечисляя их в своих LDAP каталог под объектами класса groupPolicyContainer. Они относятся к путям файловых серверов (атрибут gPCFileSysPath), которые хранят фактические объекты групповой политики, обычно в SMB Поделиться domain.com\SYSVOL общий для сервера Active Directory. Если в групповой политике есть параметры реестра, в соответствующем файловом ресурсе будет файл registry.pol с параметрами реестра, которые необходимо применить клиенту.[3]

Редактор политики (gpedit.msc) не предоставляется в домашних версиях Windows 10.

Операция

Групповые политики частично контролируют, что пользователи могут и не могут делать в компьютерной системе. Например, групповая политика может использоваться для принудительного применения политики сложности пароля, которая не позволяет пользователям выбирать слишком простой пароль. Другие примеры включают: разрешение или запрет неопознанным пользователям с удаленных компьютеров подключаться к сетевой ресурс, или заблокировать / ограничить доступ к определенным папкам. Набор таких конфигураций называется объектом групповой политики (GPO).

В рамках Microsoft IntelliMirror технологий, групповая политика направлена ​​на снижение затрат на поддержку пользователей. Технологии IntelliMirror относятся к управлению отключенными компьютерами или перемещающимися пользователями и включают перемещаемые профили пользователей, перенаправление папок, и автономные файлы.

Исполнение

Для достижения цели централизованного управления группой компьютеров машины должны получать и применять объекты групповой политики. Объект групповой политики, который находится на одном компьютере, применяется только к этому компьютеру. Чтобы применить GPO к группе компьютеров, групповая политика полагается на Active Directory (или на сторонних продуктах, таких как ZENworks Desktop Management ) для распространения. Active Directory может распространять объекты групповой политики на компьютеры, входящие в Домен Windows.

По умолчанию Microsoft Windows обновляет свои параметры политики каждые 90 минут со случайным 30-минутным смещением. На контроллеры домена, Microsoft Windows делает это каждые пять минут. Во время обновления он обнаруживает, извлекает и применяет все объекты групповой политики, которые применяются к машине и к вошедшим в систему пользователям. Некоторые параметры - например, для автоматической установки программного обеспечения, сопоставления дисков, сценариев запуска или сценариев входа - применяются только во время запуска или входа пользователя в систему. С Windows XP, пользователи могут вручную инициировать обновление групповой политики с помощью gpupdate команда из командная строка.[4]

Объекты групповой политики обрабатываются в следующем порядке (сверху вниз):[5]

  1. Местный - Любые настройки в локальной политике компьютера. До Windows Vista на каждом компьютере хранилась только одна локальная групповая политика. Windows Vista и более поздние версии Windows позволяют использовать индивидуальные групповые политики для учетных записей пользователей.[6]
  2. Сайт - Любые групповые политики, связанные с Active Directory сайт в котором находится компьютер. (Сайт Active Directory - это логическая группа компьютеров, предназначенная для облегчения управления этими компьютерами в зависимости от их физической близости.) Если с сайтом связано несколько политик, они обрабатываются в порядке, установленном администратором.
  3. Домен - Любые групповые политики, связанные с Домен Windows в котором находится компьютер. Если с доменом связано несколько политик, они обрабатываются в порядке, установленном администратором.
  4. Организационная единица - Групповые политики, назначенные Подразделение Active Directory (OU) в котором находится компьютер или пользователь. (Подразделения - это логические единицы, которые помогают организовывать и управлять группой пользователей, компьютеров или других объектов Active Directory.) Если несколько политик связаны с одним подразделением, они обрабатываются в порядке, установленном администратором.

Результирующие параметры групповой политики, применяемые к данному компьютеру или пользователю, известны как Результирующий набор политик (RSoP). Информация RSoP может отображаться как для компьютеров, так и для пользователей, использующих gpresult команда.[7]в сети мы можем запустить с ним команду gpedit.msc

Наследование

Параметр политики внутри иерархической структуры обычно передается от родителя к потомкам, от детей к внукам и т. Д. Это называется наследование. Его можно заблокировать или принудительно контролировать, какие политики применяются на каждом уровне. Если администратор более высокого уровня (администратор предприятия) создает политику, наследование которой заблокировано администратором более низкого уровня (администратором домена), эта политика все равно будет обрабатываться.

Если настроены параметры предпочтений групповой политики, а также настроен эквивалентный параметр групповой политики, значение параметра групповой политики будет иметь приоритет.

Фильтрация

WMI фильтрация это процесс настройки области GPO путем выбора Инструментарий управления Windows (WMI) фильтр, который нужно применить. Эти фильтры позволяют администраторам применять GPO только, например, к компьютерам определенных моделей, оперативной памяти, установленному программному обеспечению или всему, что доступно через запросы WMI.

Локальная групповая политика

Локальная групповая политика (LGP или LocalGPO) - это более базовая версия групповой политики для автономных и недоменных компьютеров, которая существует по крайней мере с Windows XP Home Edition,[когда? ] и может применяться к компьютерам домена.[нужна цитата ] До Windows Vista LGP ​​могла принудительно применять объект групповой политики для отдельного локального компьютера, но не могла создавать политики для отдельных пользователей или групп. Начиная с Windows Vista, LGP позволяет управлять локальной групповой политикой для отдельных пользователей и групп,[1] а также позволяет выполнять резервное копирование, импорт и экспорт политик между автономными машинами с помощью «пакетов групповой политики» - контейнеров групповой политики, которые включают файлы, необходимые для импорта политики на конечную машину.[2]

Настройки групповой политики

Параметры групповой политики - это способ для администратора устанавливать политики, которые не являются обязательными, но необязательными для пользователя или компьютера. Существует набор расширений параметров групповой политики, которые ранее были известны как PolicyMaker. Microsoft купила PolicyMaker, а затем интегрировала их с Windows Server 2008. С тех пор Microsoft выпустила инструмент миграции, который позволяет пользователям переносить элементы PolicyMaker в настройки групповой политики.[8]

В настройках групповой политики добавлен ряд новых элементов конфигурации. Эти элементы также имеют ряд дополнительных параметров таргетинга, которые можно использовать для детального управления применением этих элементов настройки.

Предпочтения групповой политики совместимы с версиями x86 и x64 Windows XP, Windows Server 2003 и Windows Vista с добавлением Клиентские расширения (также известный как CSE).[9][10][11][12][13][14]

Клиентские расширения теперь включены в Windows Server 2008, Windows 7, и Windows Server 2008 R2.

Консоль управления групповой политикой

Первоначально групповые политики были изменены с помощью инструмента редактирования групповой политики, который был интегрирован с пользователями и компьютерами Active Directory. Консоль управления Microsoft (MMC), но позже она была разделена на отдельную оснастку MMC под названием Консоль управления групповой политикой (GPMC). GPMC теперь является пользовательским компонентом в Windows Server 2008 и Windows Server 2008 R2 и предоставляется в виде загрузки как часть Инструменты удаленного администрирования сервера за Виндоус виста и Windows 7.[15][16][17][18]

Расширенное управление групповой политикой

Microsoft также выпустила инструмент для внесения изменений в групповую политику под названием Advanced Group Policy Management.[19] (он же AGPM). Этот инструмент доступен для любой организации, имеющей лицензию на Пакет оптимизации рабочего стола Microsoft (он же MDOP). Этот расширенный инструмент позволяет администраторам иметь процесс регистрации и возврата для изменения объектов групповой политики, отслеживать изменения в объектах групповой политики и реализовывать рабочие процессы утверждения для изменений в объектах групповой политики.

AGPM состоит из двух частей - сервера и клиента. Сервер - это служба Windows, которая хранит свои объекты групповой политики в архиве, расположенном на том же компьютере или в общей сетевой папке. Клиент - это оснастка консоли управления групповой политикой. подключается к серверу AGPM. Настройка клиента осуществляется через групповую политику.

Безопасность

Параметры групповой политики принудительно применяются целевыми приложениями. Во многих случаях это просто заключается в отключении пользовательского интерфейса для определенных функций доступа к нему.[20]

В качестве альтернативы злонамеренный пользователь может изменить приложение или вмешаться в его работу, чтобы оно не могло успешно прочитать параметры своей групповой политики, тем самым применяя потенциально более низкие значения безопасности по умолчанию или даже возвращая произвольные значения.[21]

Улучшения Windows 8

Windows 8 представила новую функцию под названием «Обновление групповой политики». Эта функция позволяет администратору принудительно обновлять групповую политику на всех компьютерах с учетными записями в определенном организационном подразделении. Это создает запланированную задачу на компьютере, который запускает gpupdate команда в течение 10 минут, скорректированная случайным смещением, чтобы избежать перегрузки контроллера домена.

Было введено состояние инфраструктуры групповой политики, которое может сообщать, когда какие-либо объекты групповой политики не реплицируются правильно между контроллерами домена.[22]

Отчет о результатах групповой политики также имеет новую функцию, которая определяет время выполнения отдельных компонентов при обновлении групповой политики.[23]

Смотрите также

Рекомендации

  1. ^ а б LLC), Тара Мейер (Aquent. «Пошаговое руководство по управлению несколькими объектами локальной групповой политики». go.microsoft.com.
  2. ^ а б Сигман, Джефф. "SCM v2 Beta: LocalGPO Rocks!". Microsoft. Получено 2018-11-24.
  3. ^ «[MS-GPOD]: Обзор протоколов групповой политики». Microsoft. Раздел 1.1.5 Хранение данных групповой политики. Получено 2020-02-22.
  4. ^ Gpupdate
  5. ^ «Обработка и приоритет групповой политики». Корпорация Майкрософт. 22 апреля 2012 г.
  6. ^ «Групповая политика - Применение к определенному пользователю или группе - Справочные форумы Windows 7». www.sevenforums.com.
  7. ^ Архивные документы. "Gpresult". technet.microsoft.com.
  8. ^ «Средство миграции предпочтений групповой политики (GPPMIG)».
  9. ^ «Клиентские расширения предпочтений групповой политики для Windows XP (KB943729)». Центр загрузок Microsoft.
  10. ^ «Клиентские расширения предпочтений групповой политики для Windows XP x64 Edition (KB943729)». Центр загрузок Microsoft.
  11. ^ «Клиентские расширения предпочтений групповой политики для Windows Vista (KB943729)». Центр загрузок Microsoft.
  12. ^ «Клиентские расширения предпочтений групповой политики для Windows Vista x64 Edition (KB943729)». Центр загрузок Microsoft.
  13. ^ «Клиентские расширения предпочтений групповой политики для Windows Server 2003 (KB943729)». Центр загрузок Microsoft.
  14. ^ «Клиентские расширения предпочтений групповой политики для Windows Server 2003 x64 Edition (KB943729)». Центр загрузок Microsoft.
  15. ^ Группа групповой политики Microsoft (23 декабря 2009 г.). «Как установить GPMC на Server 2008, 2008 R2 и Windows 7 (через RSAT)».
  16. ^ Средства удаленного администрирования сервера Microsoft для Windows Vista
  17. ^ Средства удаленного администрирования сервера Microsoft для Windows Vista для систем на базе x64
  18. ^ Инструменты удаленного администрирования сервера для Windows 7
  19. ^ «Windows - официальный сайт ОС Microsoft Windows 10 Home и Pro, ноутбуков, ПК, планшетов и др.». www.microsoft.com.
  20. ^ Раймонд Чен, «Политика Shell - это не то же самое, что безопасность»
  21. ^ Марк Руссинович, «Обход групповой политики в качестве пользователя с ограниченными правами
  22. ^ «Обновлено: что нового в групповой политике в Windows 8». 17 октября 2011 г.
  23. ^ «Функция устранения неполадок с производительностью групповой политики Windows 8». 23 января 2012 г.

дальнейшее чтение

  1. «Групповая политика для начинающих». Техническая библиотека Windows 7. Microsoft. 27 апреля 2011 г.. Получено 22 апреля 2012.
  2. «Консоль управления групповой политикой». Центр разработки - Рабочий стол. Microsoft. 3 февраля 2012 г.. Получено 22 апреля 2012.
  3. «Пошаговое руководство по управлению несколькими объектами локальной групповой политики». Техническая библиотека Windows Vista. Microsoft. Получено 22 апреля 2012.
  4. «Обработка и приоритет групповой политики». Справка по продукту Windows Server 2003. Microsoft. 21 января 2005 г.. Получено 22 апреля 2012.

внешняя ссылка