Копилка знаний

1.30 Групповая политика

Групповая политика

Групповая политика

Групповая политика — это инфраструктура, позволяющая реализовывать определенные конфигурации для пользователей и компьютеров. Параметры групповой политики содержатся в объектах групповой политики (GPO), которые связаны со следующими контейнерами службы каталогов Active Directory: сайты, домены и организационные единицы.

Затем настройки GPO оцениваются затрагиваемыми целевыми объектами, используя иерархическую сущность Active Directory.

Следовательно, групповая политика — это одна из основных причин развертывания Active Directory, поскольку она позволяет управлять пользователями и объектами-компьютерами.

История групповых политик

Для операционных систем Windows концепция групповых политик не является инновационным шагом в области системной безопасности и настройки операционных систем. Первые политики появились еще в Windows NT 4.0 и назывались системными политиками. Эти политики предназначались только для изменения данных системного реестра и основывались на файлах, которые назывались шаблонами adm. Для создания этих политик использовался специальный редактор системных политик. На то время системные политики были значительным шагом в обеспечении безопасности операционных систем Windows, несмотря на то, что объекты локальной политики не использовались, и система Windows NT 4.0 не поддерживала службы Active Directory.

Групповые политики появились в операционной системе Windows 2000 и включали в себя около 900 настроек для пользователей и компьютеров, которые могли в полной мере применяться к клиентским компьютерам. Из утилиты, предназначенной для изменения данных системного реестра, групповые политики операционной системы Windows 2000 превратились в компонент, предназначенный для изменения параметров конфигурации операционной системы. Групповые политики по-прежнему расположены в шаблонах ADM. Система Windows 2000 Server уже позволяет распространять объекты групповых политик для компьютеров, расположенных в домене и подразделениях (OU) в Active Directory.

В операционных системах Windows XP и Windows Server 2003 возможности групповых политик были расширены. С появлением этих систем у администраторов появилась возможность управлять параметрами безопасности и установкой приложений, а количество политик увеличилось до 1400. Локальные объекты групповой политики существовали независимо от того, входит ли компьютер в состав домена, рабочей группы или вовсе не принадлежит к сетевой среде. Все это объекты хранились в папке %SystemRoot%\System32\Group Policy. Политики распространялись только на тот компьютер, где хранятся сами GPO. В том случае, если компьютер не принадлежал к домену, локальная политика использовалась только для настройки конфигурации локального компьютера. Но если он входил в состав домена Active Directory, то параметры, привязанные к инфраструктурной единице домена (домен, лес, сайт) заменяли параметры локального объекта групповой политики.

Операционные системы Windows Vista и Windows Server 2008 уже поддерживают около 2500 настроек групповых политик. Новые категории управления политиками теперь уже обеспечивают управление питанием, возможность блокировки установки устройств, улучшенные параметры безопасности, расширение настроек Internet Explorer, а также возможность делегировать пользователям право устанавливать драйверы принтеров. В этих операционных системах было создано расширение для формата шаблонов политик. У форматов adm был значительный недостаток – для реализации локализации групповых политик нужно было создавать отдельный adm-файл для каждого языка. Теперь административные шаблоны представляют собой пару XML-файлов – *.admx файл, который определяет изменения в реестре, а также .adml файл, который отвечает за языковые настройки указанной политики. Несмотря на эти изменения, в одной системе могут сосуществовать как adm, так и admx/adml шаблоны без всяких проблем. В операционной системе Windows Server 2008 можно создавать стартовые объекты групповой политики. Использование стартового объекта групповой политики позволяет хранить набор параметров административных шаблонов политик в одном объекте и включать эти параметры в новые объекты групповой политики. Также для каждого объекта групповых политик появились возможности добавления комментариев, а сведения о подключенных сетях обеспечивают улучшение отклика групповой политики на изменение сетевых условий.

В операционной системе Windows Server 2008 появился следующий функционал:

В операционных системах Windows 7 и Windows Server 2008 R2 уже насчитывается около 3200 настроек групповых политик, а также появились следующие изменения по сравнению с предыдущими версиями Windows:

Новое в групповой политике Windows Server 2012

 Для управления параметрами групповой политики, которые влияют только на локальные компьютеры и локальных пользователей, используется редактор локальных групповых политик. Параметрами и предпочтениями групповой политики в среде доменных служб Active Directory (AD DS) можно управлять с помощью консоли управления групповыми политиками.

С помощью средств управления групповыми политиками, которые входят в пакет средств удаленного администрирования сервера, вы можете управлять параметрами групповой политики с рабочего стола.

Windows PowerShell. Модуль Windows PowerShell устанавливается в ходе установки консоли управления групповыми политиками на сервере или клиентском компьютере.

После установки вы получаете полные функциональные возможности Windows PowerShell. Если вы устанавливаете пакет средств удаленного администрирования сервера, то также будут установлены новые командлеты Windows PowerShell для групповой политики.

Групповую политику можно настраивать с помощью компонентов Windows PowerShell.

Благодаря использованию групповой политики можно значительно снизить совокупную стоимость владения ПО в организации. Разработку групповой политики могут осложнить различные факторы, например, большое количество параметров политики, необходимость взаимодействия с несколькими политиками и параметры наследования.

Благодаря тщательному планированию, проектированию, тестированию и развертыванию решения на основе бизнес-требований организации можно обеспечить стандартизированные функции, системы безопасности и средства управления, необходимые организации.

В некоторых сценариях Windows Server 2012 для реализации решения используется групповая политика:

Топология групповой политики может быть очень сложной. Определить, правильно ли групповая политика функционирует на каждом компьютере, может быть сложно из-за различных факторов, таких как большое количество доступных параметров и предпочтений политики, необходимость взаимодействия между несколькими политиками и параметры наследования.

В Windows Server 2012 изменения групповой политики ориентированы на улучшение в устранении неполадок групповой политики.

Windows Server 2012 R2 расширяет поддержку сетей IPv6, добавляет кэширование политики для сокращения времени входа в синхронном режиме и предоставляет более подробные журналы событий.

Существует два типа групповых политик.

Первый тип— это локальная групповая политика на компьютере с системами Windows 7, 8, 8.1, 10.
Локальная групповая политика может быть только одна, и это единственная групповая политика, доступная на компьютере, не являющемся членом домена. Она применяется также на всех компьютерах, которые являются частью домена. Многие из локальных политик те же самые, что и групповые политики домена, но из-за того, что локальная групповая политика применяется первой, групповые политики Active Directory часто отменяют многие параметры ее настройки.

Второй тип групповой политики – это групповая политика Active Directory.

Ее объекты хранятся в Active Directory, и каждая политика разными способами управляет компьютерами домена. Когда формируется домен Active Directory Windows Server, создаются две групповые политики Active Directory: Default Domain Policy (Заданная по умолчанию политика домена) и Default Domain Controllers Policy (Заданная по умолчанию политика контроллеров домена).

Default Domain Policy устанавливает политики учетных записей и паролей и используется для конфигурирования общих для домена параметров настройки. Политика Default Domain Controllers Policy применяется в организационных единицах (OU) контроллеров домена и используется для усиления некоторых параметров настройки защиты для контроллеров домена.

В дополнение к этой политике можно создавать столько групповых политик, сколько потребуется, и связывать их с различными местами в структуре Active Directory. Групповые политики могут быть связаны с контейнером сайта, контейнером домена или любым контейнером OU вашей организации.

 

Exit mobile version