Самоучитель системного администратора. 5-е изд

Управление информационной системой 
249 
автоматически устанавливать (разворачивать) программное обеспечение на 
компьютеры сети; 
создавать централизованно управляемые каталоги для специальных папок; 
настраивать права доступа к файлам и папкам (при использовании файловой 
системы NTFS); 
определять сценарии пользователя и сценарии компьютера, которые будут
запускаться в конкретное время; 
ограничивать членство пользователей в группах безопасности; 
устанавливать параметры использования прикладного программного обеспе- 
чения; 
настраивать блокировку учетных записей, параметры паролей, аудита, назначе-
ния прав пользователей и безопасности. 
О групповой политике можно думать как о ряде правил, которые помогают управ-
лять пользователями и компьютерами. Групповые политики можно применить
к нескольким доменам сразу, к отдельным доменам, к подгруппам в домене или
к отдельным системам. 
Политики, применяемые к отдельным системам, называются 
локальными группо-
выми политиками
. Такие политики хранятся только на локальном компьютере.
Остальные групповые политики соединены в объекты и хранятся в хранилище дан-
ных Active Directory. 
Порядок применения множественных политик 
Порядок применения множественных групповых политик следующий: 
1.
Локальные групповые политики. 
2.
Групповые политики сайта. 
3.
Групповые политики домена. 
4.
Групповые политики организационного подразделения. 
5.
Групповые политики дочернего организационного подразделения. 
Если настройки политик конфликтуют, приоритет имеют настройки политики,
которые применялись позже, — они перезаписывают более ранние настройки.
Например, политики организационного подразделения имеют приоритет над поли-
тиками сайта. 
Совместимость версий групповых политик 
Поддержка групповых политик имеется только в профессиональных и серверных 
версиях Windows. Другими словами, если кто-то сэкономил и приобрел для пред-
приятия домашние версии Windows, управлять ими с помощью групповых политик 
не получится. 

250 
Глава 6 
Каждая новая версия Windows вносила свои изменения в групповую политику. По-
этому в некоторых случаях эти изменения делают бессмысленными старые полити-
ки на более новых версиях Windows. Одна и та же политика может корректно со-
вместно работать только в определенных версиях Windows — например, в Windows 
XP Professional и Windows Server 2003. 
Обычно большинство политик прямо совместимы. Это означает, что, как правило, 
политики, представленные в Windows Server 2003, могут использоваться на 
Windows 7 и более поздних, а также на Windows Server 2008 и более поздних. Од-
нако политики для Windows 8/10 и Windows Server 2012/2016 обычно не примени-
мы к более ранним версиям Windows. 
Если политика не применима к определенной версии Windows, то ее нельзя исполь-
зовать на компьютерах, работающих под этими версиями операционной системы. 
Чтобы узнать, поддерживается политика на определенной версии Windows или нет, 
откройте окно ее свойств — там вы увидите поле 
Требования к версии
или 
Под-
держивается 
(рис. 6.3). В нем указаны версии ОС, на которых эта политика будет 
работать. 
Рис. 6.3. 
Информация о версиях Windows, которые поддерживают ту или иную политику 

Управление информационной системой 
251 
Места хранения
и условия применения групповых политик 
Групповые политики хранятся в специальных файлах на контроллере домена. Каж-
дая политика соответствует папке 
Policies
с GUID-именем, хранящейся в каталоге 
Sysvol
контроллера домена. 
Внутри этой папки находятся две папки, соответствующие настройкам компьютера 
и пользователя. В каждой из них имеется файл 
Registry.pol
, в котором и хранятся на-
стройки политик (в сущности, политики — это параметры соответствующих клю-
чей реестра системы). В структуре папки 
Machine
хранится файл 
gpttmpl.inf
. Этот 
файл включает в себя параметры опций безопасности раздела компьютера. 
Там же хранятся и административные шаблоны — ADMX-файлы, представляющие 
собой XML-файлы конфигураций. Ранее вместо ADMX-файлов использовался ста-
рый формат — ADM-файлы. При желании можно преобразовать файлы старого 
образца в ADMX-формат. Заинтересовавшимся рекомендуем прочитать статью:
https://technet.microsoft.com/ru-ru/magazine/2008.01.layout.aspx
.
Настройки групповых политик, как уже было отмечено ранее, разделены на две ка-
тегории: 
политики, применяемые к компьютерам; 
политики, применяемые к пользователям. 
Политики компьютера обычно применяются во время запуска системы, а политики 
пользователя — во время входа в систему. Точная последовательность событий 
часто важна при поиске и устранении неисправностей поведения системы. 
Во время работы компьютера система проверяет наличие изменений групповых 
политик. По умолчанию это происходит каждые полтора часа. Если политика из-
менена, то она будет вновь применена к системе, — это так называемое 
фоновое 
изменение
. Если изменений не обнаружено, никаких действий не производится. 
Чтобы не создавать пиковую нагрузку на контроллеры домена, момент проверки 
наличия изменений случайным образом смещается на величину до получаса в ту 
или иную сторону. Если контроллер домена в момент проверки недоступен по при-
чинам отсутствия связи с ним, то обновление политики будет проведено сразу по-
сле восстановления связи. 
Политику можно обновить и вручную. Для этого следует выполнить команду: 
gpupdate
/force 
В системах на базе Windows 8/10 необходимо использовать команду
secedit
: 
secedit /refreshpolicy {machine_policy user_policy} /enforce 
Для ускорения процесса возможно задать дополнительный ключ: 
target
, сужаю-
щий область применяемой политики (компьютер или пользователь). 
Некоторые настройки пользователя, например перенаправление папок, не могут 
быть обновлены, пока пользователь зарегистрирован в системе. Чтобы эти на-
стройки вступили в силу, пользователь должен выйти из системы и снова в нее 

252 
Глава 6 
войти. Для автоматического выхода пользователя из системы после обновления 
можно ввести команду: 
gpupdate /lofogg 
Некоторые настройки компьютера могут быть определены только при его запуске. 
Для применения этих настроек компьютер должен быть перезагружен, что осуще-
ствляется командой: 
gpupdate /boot 
Последствия отключений политик 
Параметры политик условно можно разделить на две группы. Первая группа — это 
параметры настройки, существующие во временных ключах реестра системы. Дей-
ствует политика — есть ключи. Политика отключена — ключи не создаются. Ины-
ми словами, отключение политики осуществится безболезненно. 
Вторая группа параметров задает значения 
существующих
ключей реестра или соз-
дает такие ключи при первом применении. Суть в том, что такие параметры не
будут удалены при снятии политики. В первую очередь это свойственно настрой-
кам, импортируемым из файлов 
административных шаблонов
. 
Если политика устанавливает такой параметр, то снятие политики 
ничего не меняет 
в настройках
системы, — ведь параметр реестра уже создан, а отсутствие политики 
означает просто сохранение его в том значении, которое было установлено полити-
кой. Чтобы восстановить для таких параметров значения по умолчанию, админист-
ратору недостаточно просто снять политику, — нужно создать новые настройки, 
которые соответствуют значениям настройки по умолчанию, и 
применить
их 
к компьютерам (пользователям). 
Поэтому если необходимость применения какой-либо политики отпала, то реко-
мендуется просто отключить привязку (link) этой политики к конкретному подраз-
делению, а саму политику не удалять. Во-первых, эти настройки могут вам опять 
понадобиться. А, во-вторых, наличие ранее выполнявшихся настроек может помочь 
проанализировать действующие в подразделении параметры компьютеров и поль-
зователей. 
Редактирование групповых политик 
Групповые политики домена Windows Server 2008/2016 можно создавать и редак-
тировать как на серверах Windows Server 2008/2016, так и с рабочих станций Win-
dows 7/10. 
Консоль редактирования групповой политики входит в состав сервера, но ее необ-
ходимо установить в диспетчере сервера как дополнительный компонент управле-
ния групповыми политиками. 
Если необходимо управлять групповыми политиками с рабочей станции, то на 
компьютер сначала следует установить средства удаленного администрирования 

Управление информационной системой 
253 
сервера (RSAT, Remote Server Administration Tool), которые бесплатно доступны со 
страницы: 
http://go.microsoft.com/fwlink/?LinkId=130862
. Средства удаленного 
администрирования сервера позволяют администраторам управлять ролями и ком-
понентами, которые устанавливаются на компьютерах под управлением Windows 
Server с удаленного компьютера под управлением Windows 7/10. 
После установки RSAT нужно через панель управления включить новые компонен-
ты: выполнить команду 
Программы и компоненты | Включение или отключе-
ние компонентов Windows
и установить флажок 
Средства управления группо-
выми политиками
по пути 
Средства удаленного администрирования сервера |
Средства администрирования возможностей
. 
После этих операций в составе программ меню 
Администрирование
появляется 
задача 
Управление групповыми политиками
. 
В оснастке 
Управление групповой политикой
(рис. 6.4) четко видна иерархиче-
ская структура политик, с помощью которой удобно назначать («привязывать», 
создавать 
линк
) политики к подразделениям. Можно воспользоваться специализи-
рованными интерфейсами, которые покажут, какие параметры политики реально
Рис. 6.4. 
Оснастка 
Управление групповой политикой
(Windows Server 2016) 

254 
Глава 6 
заданы администратором (в отличие от параметров по умолчанию). При наличии 
разветвленной структуры групповых политик без подобного инструментария опре-
делить, какие параметры будут применены из создаваемой политики, крайне за-
труднительно. 
Групповая политика изменяется в редакторе управления групповыми политиками 
(рис. 6.5) — для этого достаточно выбрать команду 
Изменить
в меню 
Действия
. 
Новую групповую политику можно создать либо «с нуля», либо скопировать в нее 
параметры уже существующей. Все зависит от конкретной ситуации. 
Рис. 6.5. 
Редактор управления групповыми политиками (Windows Server 2016) 
Отметим новую особенность редактора управления групповыми политиками. Те-
перь администраторы имеют возможность искать определенные параметры или 
оставлять на экране только те параметры, которые действуют для конкретной опе-
рационной системы. Для этого служит специальный фильтр (рис. 6.6), в котором 
можно установить необходимые параметры отбора. Для вызова этого фильтра сна-
чала из меню 
Вид
надо выбрать команду 
Параметры фильтра
, потом установить 
параметры, нажать кнопку 
OK
, а затем на панели инструментов нажать кнопку 
Фильтр
(она появится, как только вы перейдете к политикам). 

Управление информационной системой 
255 
Рис. 6.6. 
Настройка параметров фильтра редактора групповой политики (Windows Server 2016) 
Чтобы применить созданную политику, достаточно установить для нее связь (link) 
с соответствующим объектом службы каталогов в оснастке 
Управление группо-
вой политикой
. 
Если применение политики привело к ошибкам работоспособности системы, то
в некоторых ситуациях может помочь возвращение групповой политики к парамет-
рам по умолчанию. На ПК с Windows Server 2003/2016 это можно сделать с по- 
мощью утилиты dcgpofix. Подробности запуска можно получить, запустив команду: 
dcgpofix /? 
Начальные объекты групповой политики 
Начальные объекты групповой политики (GPO) — это наборы настроек, предос-
тавленные вендором. Они предназначены для быстрой настройки рабочих станций 
под управлением Windows 7/10. 
Начальные GPO включены в состав Windows Server 2008 R2 (и более новых вер-
сий) и Windows 7 (и более новых версий) с RSAT и предназначены для настройки 
компьютеров по конфигурациям Enterprise Client (Предприятие) и Specialized 

256 
Глава 6 
Security Limited Functionality (Специализированная безопасность с ограниченной 
функциональностью). Описание этих конфигураций доступно по ссылкам:
http://go.microsoft.com/fwlink/?LinkID=121852
и 
http://go.microsoft.com/fwlink/?LinkID=121854
. 
Расширенное управление групповыми политиками 
Новым продуктом, появившимся в управлении групповыми политиками после при-
обретения фирмой Microsoft очередной компании, стала возможность расширенно-
го управления групповыми политиками — Advanced Group Policy Management 
(AGPM). Это средство входит в состав пакета оптимизации рабочей среды 
Microsoft Desktop Optimization Pack (MDOP). MDOP доступен тем предприятиям, 
которые заключили с Microsoft соглашение о поддержке операционных систем 
(Microsoft Software Assurance). 
AGPM устанавливает службу, которая контролирует изменения в групповых поли-
тиках. На системах, в которых планируется внесение изменений в групповые поли-
тики, должны быть установлены клиенты AGPM. После установки AGPM в оснаст-
ке 
Управление групповой политикой
появляется новый контейнер — 
Изменение 
управления
. Операции над групповой политикой можно теперь контролировать 
(рис. 6.7). 
Рис. 6.7. 
AGPM: контролируемая политика 
С помощью AGPM можно так настроить процесс внесения изменений в групповые 
политики, что операции, выполняемые одним администратором, не будут примене-
ны, пока их не одобрит другой, более опытный специалист. При этом администра-
торам, вносящим изменения в групповую политику, не будут доступны функции 
публикаций изменений в реальной структуре, несмотря на то, что они также могут 
обладать правами администраторов домена (рис. 6.8). 

Управление информационной системой 
257 
Рис. 6.8. 
Назначения прав администраторам по управлению групповыми политиками 
Отметим также еще такие возможности AGPM, как: 
создание резервных копий групповых политик и возможность отката системы
к сохраненному состоянию в случае применения настроек, приведших к неста-
бильной работе; 
возможность сравнения двух объектов групповых политик с установлением раз-
личий; 
наличие развитой системы протоколирования и отчетности. 
«Обход» параметров пользователя 
Иногда нужно «обойти» политику пользователя. Например, на сервере терминалов 
не нужно устанавливать программное обеспечение, которое определено групповы-
ми политиками для каких-либо пользователей. 
Именно для таких ситуаций предназначен параметр 
Loopback
(Замыкание на себя) 
свойств групповой политики. Этот параметр позволяет задать два варианта «обхо-
да» политики пользователя: 
Merge
и 
Replacement
. В первом случае система при-
меняет все политики, предусмотренные для того или иного компьютера и пользова-
теля, после чего еще один раз применяет 
все политики компьютеров
. Другими сло-
вами, если для каких-либо пользователя и компьютера должны быть применены 
две политики: политика 1 и политика 2, то они будут применены в следующем по-
рядке: 
1.
Политика 1 (параметры компьютера и параметры пользователя). 
2.
Политика 2 (параметры компьютера и параметры пользователя). 
3.
Политика 1 (параметры компьютера). 
4.
Политика 2 (параметры компьютера). 
В режиме 
Replacement
используются только параметры компьютера, поэтому по-
следовательность применения политики будет такова: 

258 

жүктеу/скачать 20,51 Mb.

Достарыңызбен бөлісу: