Групповая политика — это инфраструктура, позволяющая реализовывать определенные конфигурации для пользователей и компьютеров. Параметры групповой политики содержатся в объектах групповой политики (GPO), которые связаны со следующими контейнерами службы каталогов Active Directory: сайты, домены и организационные единицы.
Затем настройки GPO оцениваются затрагиваемыми целевыми объектами, используя иерархическую сущность Active Directory.
Следовательно, групповая политика — это одна из основных причин развертывания Active Directory, поскольку она позволяет управлять пользователями и объектами-компьютерами.
История групповых политик
Для операционных систем Windows концепция групповых политик не является инновационным шагом в области системной безопасности и настройки операционных систем. Первые политики появились еще в Windows NT 4.0 и назывались системными политиками. Эти политики предназначались только для изменения данных системного реестра и основывались на файлах, которые назывались шаблонами adm. Для создания этих политик использовался специальный редактор системных политик. На то время системные политики были значительным шагом в обеспечении безопасности операционных систем Windows, несмотря на то, что объекты локальной политики не использовались, и система Windows NT 4.0 не поддерживала службы Active Directory.
Групповые политики появились в операционной системе Windows 2000 и включали в себя около 900 настроек для пользователей и компьютеров, которые могли в полной мере применяться к клиентским компьютерам. Из утилиты, предназначенной для изменения данных системного реестра, групповые политики операционной системы Windows 2000 превратились в компонент, предназначенный для изменения параметров конфигурации операционной системы. Групповые политики по-прежнему расположены в шаблонах ADM. Система Windows 2000 Server уже позволяет распространять объекты групповых политик для компьютеров, расположенных в домене и подразделениях (OU) в Active Directory.
В операционных системах Windows XP и Windows Server 2003 возможности групповых политик были расширены. С появлением этих систем у администраторов появилась возможность управлять параметрами безопасности и установкой приложений, а количество политик увеличилось до 1400. Локальные объекты групповой политики существовали независимо от того, входит ли компьютер в состав домена, рабочей группы или вовсе не принадлежит к сетевой среде. Все это объекты хранились в папке %SystemRoot%\System32\Group Policy. Политики распространялись только на тот компьютер, где хранятся сами GPO. В том случае, если компьютер не принадлежал к домену, локальная политика использовалась только для настройки конфигурации локального компьютера. Но если он входил в состав домена Active Directory, то параметры, привязанные к инфраструктурной единице домена (домен, лес, сайт) заменяли параметры локального объекта групповой политики.
Операционные системы Windows Vista и Windows Server 2008 уже поддерживают около 2500 настроек групповых политик. Новые категории управления политиками теперь уже обеспечивают управление питанием, возможность блокировки установки устройств, улучшенные параметры безопасности, расширение настроек Internet Explorer, а также возможность делегировать пользователям право устанавливать драйверы принтеров. В этих операционных системах было создано расширение для формата шаблонов политик. У форматов adm был значительный недостаток – для реализации локализации групповых политик нужно было создавать отдельный adm-файл для каждого языка. Теперь административные шаблоны представляют собой пару XML-файлов – *.admx файл, который определяет изменения в реестре, а также .adml файл, который отвечает за языковые настройки указанной политики. Несмотря на эти изменения, в одной системе могут сосуществовать как adm, так и admx/adml шаблоны без всяких проблем. В операционной системе Windows Server 2008 можно создавать стартовые объекты групповой политики. Использование стартового объекта групповой политики позволяет хранить набор параметров административных шаблонов политик в одном объекте и включать эти параметры в новые объекты групповой политики. Также для каждого объекта групповых политик появились возможности добавления комментариев, а сведения о подключенных сетях обеспечивают улучшение отклика групповой политики на изменение сетевых условий.
В операционной системе Windows Server 2008 появился следующий функционал:
- Предпочтения групповых политик. Эти предпочтения предоставляют множества расширений для групповой политики. С помощью предпочтений групповой политики можно управлять сопоставлениями дисков, параметрами реестра, локальными пользователями и группами, службами, файлами и папками без необходимости изучения языка сценариев.
- Служба групповой политики. Инфраструктура групповой политики усовершенствована за счет разработки новой архитектуры для выполнения групповой политикой уведомлений и обработки.
- Ведение журнала. Для записи сообщений о событиях групповой политики теперь используется журнал системы, а не журнал приложения. В средстве «Просмотр событий» эти новые сообщения с указанием источника Microsoft-Windows-GroupPolicy.
- Работа с несколькими объектами локальной групповой политики. В отличие от групповой политики операционных систем Windows XP и Windows Server 2003, теперь появилась возможность управления несколькими локальными объектами групповой политики на одном компьютере, что облегчает управление для среды, где нужно управлять групповыми политиками только на одном компьютере.
В операционных системах Windows 7 и Windows Server 2008 R2 уже насчитывается около 3200 настроек групповых политик, а также появились следующие изменения по сравнению с предыдущими версиями Windows:
- Командлеты Windows PowerShell для управления групповой политикой. Теперь, в операционных системах Windows 7 и Windows Server 2008 R2 появилась возможность управления групповыми политиками средствами мощнейшей оболочки и языка сценариев Windows – PowerShell. Для выполнения этих задач можно использовать свыше 25 командлетов.
- Изменения в предпочтениях групповых политик. С появлениями новых систем также обновились предпочтения групповых политик. Простейшим примером того служит улучшение расширения предпочтения «Параметры обозревателя», где добавлены элементы предпочтения для Internet Explorer 8.
- Изменения в начальных объектах групповых политик. Помимо начальных объектов групповых политик в Windows 7 и Windows Server 2008 R2 появились системные начальные объекты групповой политики. Это объекты, предназначенные только для чтения, и представляющие основу для параметров определенного сценария.
- Улучшение пользовательского интерфейса параметров политик. В новейших операционных системах очень сильно изменился внешний вид параметров политики. В предыдущих версиях Windows диалоговое окно свойств политики административного шаблона содержало три отдельных вкладки: Параметр, Объяснение и Комментарий. В Windows Server 2008 R2 эти настройки выполняются в одном месте диалогового окна свойств.
Новое в групповой политике Windows Server 2012
Для управления параметрами групповой политики, которые влияют только на локальные компьютеры и локальных пользователей, используется редактор локальных групповых политик. Параметрами и предпочтениями групповой политики в среде доменных служб Active Directory (AD DS) можно управлять с помощью консоли управления групповыми политиками.
С помощью средств управления групповыми политиками, которые входят в пакет средств удаленного администрирования сервера, вы можете управлять параметрами групповой политики с рабочего стола.
Windows PowerShell. Модуль Windows PowerShell устанавливается в ходе установки консоли управления групповыми политиками на сервере или клиентском компьютере.
После установки вы получаете полные функциональные возможности Windows PowerShell. Если вы устанавливаете пакет средств удаленного администрирования сервера, то также будут установлены новые командлеты Windows PowerShell для групповой политики.
Групповую политику можно настраивать с помощью компонентов Windows PowerShell.
Благодаря использованию групповой политики можно значительно снизить совокупную стоимость владения ПО в организации. Разработку групповой политики могут осложнить различные факторы, например, большое количество параметров политики, необходимость взаимодействия с несколькими политиками и параметры наследования.
Благодаря тщательному планированию, проектированию, тестированию и развертыванию решения на основе бизнес-требований организации можно обеспечить стандартизированные функции, системы безопасности и средства управления, необходимые организации.
В некоторых сценариях Windows Server 2012 для реализации решения используется групповая политика:
- Настройка качества обслуживания на основе политики
- Управление параметрами политик новой проводной сети (IEEE 802.3)
- Управление политиками беспроводной сети (IEEE 802.11)
- Защита подключений IPsec с начала и до конца, с помощью IKEv2 в Windows Server 2012
Топология групповой политики может быть очень сложной. Определить, правильно ли групповая политика функционирует на каждом компьютере, может быть сложно из-за различных факторов, таких как большое количество доступных параметров и предпочтений политики, необходимость взаимодействия между несколькими политиками и параметры наследования.
В Windows Server 2012 изменения групповой политики ориентированы на улучшение в устранении неполадок групповой политики.
Windows Server 2012 R2 расширяет поддержку сетей IPv6, добавляет кэширование политики для сокращения времени входа в синхронном режиме и предоставляет более подробные журналы событий.
Существует два типа групповых политик.
Первый тип— это локальная групповая политика на компьютере с системами Windows 7, 8, 8.1, 10.
Локальная групповая политика может быть только одна, и это единственная групповая политика, доступная на компьютере, не являющемся членом домена. Она применяется также на всех компьютерах, которые являются частью домена. Многие из локальных политик те же самые, что и групповые политики домена, но из-за того, что локальная групповая политика применяется первой, групповые политики Active Directory часто отменяют многие параметры ее настройки.
Второй тип групповой политики – это групповая политика Active Directory.
Ее объекты хранятся в Active Directory, и каждая политика разными способами управляет компьютерами домена. Когда формируется домен Active Directory Windows Server, создаются две групповые политики Active Directory: Default Domain Policy (Заданная по умолчанию политика домена) и Default Domain Controllers Policy (Заданная по умолчанию политика контроллеров домена).
Default Domain Policy устанавливает политики учетных записей и паролей и используется для конфигурирования общих для домена параметров настройки. Политика Default Domain Controllers Policy применяется в организационных единицах (OU) контроллеров домена и используется для усиления некоторых параметров настройки защиты для контроллеров домена.
В дополнение к этой политике можно создавать столько групповых политик, сколько потребуется, и связывать их с различными местами в структуре Active Directory. Групповые политики могут быть связаны с контейнером сайта, контейнером домена или любым контейнером OU вашей организации.