Управление групповыми политиками в организации. Часть 2

Введение
Связывание объектов GPO
Принудительные связи объектов групповых политик
Отключение объектов групповых политик
Отключение связи
Заключение

Введение

В предшествующей части данной статьи, вы узнали о средстве, с помощью которого компания Microsoft позволяет правильно управлять всей инфраструктурой вашего предприятия, начиная от малозначительных подразделений и групп, и заканчивая веб-сайтами и доменами, а конкретно об оснастке «Управление групповой политикой». Вы узнали о том, как можно открыть данную оснастку, также о разработке, редактировании и удалении объектов групповой политики. Для правильного управления вашей организации 1-го только сотворения объектов GPO недостаточно, потому что объект групповой политики – это только набор характеристик опций конфигурации юзера либо компьютера, которые обрабатываются расширениями клиентской стороны (Client-Side Extension – CSE). Чтоб ваши объекты GPO распространялись на клиентов, необходимо настраивать связи объектов групповых политик с веб-сайтами, доменами либо подразделениями. В этой статье вы узнаете о связях объектов групповых политик.

Связывание объектов GPO

Как было обозначено ранее, для правильного управления клиентов, объекты групповых политик должны быть настроены на определенные характеристики политик и связаны с доменом, веб-сайтом либо подразделением Active Directory. Также вы сможете указать определенную группу либо юзеров, созданных для области внедрения обозначенного GPO. Вы сможете поначалу сделать все нужные вам объекты GPO в контейнере «Объекты групповой политики», а позже их связать с подходящими подразделениями, доменами либо веб-сайтами.

Нужно держать в голове, что объект групповой политики, который связан с веб-сайтом, оказывает влияние на все компы в обозначенном веб-сайте независимо от домена, которому принадлежат ваши компы. В связи с этим, для того чтоб применить обозначенные опции объектов групповых политик к огромному количеству доменов в лесу, можно связать объекты GPO с веб-сайтом. Такие объекты будут храниться на контроллерах домена. Для сотворения и привязки объектов групповых политик, у вашей доменной учетной записи должны быть надлежащие права. По дефлоту, за создание и управление объектов GPO отвечают только юзеры, которые входят в группы админов домена, админов предприятия и владельцев-создателей объектов групповой политики.

Для того чтоб связать имеющийся объект групповой политики, сделайте последующие деяния:

Откройте консоль «Управление групповой политикой»;
Изберите подразделение, домен либо веб-сайт, для которого будет сотворена связь с имеющимся объектом групповой политики;
Нажмите на нем правой кнопкой мыши и из контекстного меню изберите команду «Связать имеющийся объект групповой политики»;
В диалоговом окне «Выбор объекта групповой политики» выделите объект GPO, который желаете привязать к собственному подразделению и нажмите на кнопку «ОК», как показано ниже:

Управление групповыми политиками в организации. Часть 2

Рис. 1. Диалоговое окно «Выбор объекта групповой политики»

Также у вас есть возможность привязать к домену, веб-сайту либо подразделению еще не имеющийся объект групповой политики. В данном случае, кроме связи вам также предстоит создание нового объекта GPO. Для этого сделайте последующие деяния:

Откройте консоль «Управление групповой политикой»;
Изберите подразделение, домен либо веб-сайт, для которого будет сотворен и привязан новый объект групповых политик;
Нажмите на нем правой кнопкой мыши и из контекстного меню изберите команду «Создать объект групповой политики в этом домене и связать его…»;
В диалоговом окне «Новый объект групповой политики» введите заглавие нового объекта, к примеру, «Ограничения доступа к медиа приложениям» и нажмите на кнопку «ОК»;

Управление групповыми политиками в организации. Часть 2

Рис. 2. Создание нового объекта групповой политики вкупе со связью

После нажатия на кнопку «ОК» объект групповой политики будет сотворен совместно со связью. Для этого объекта необходимо будет еще настроить определенную конфигурацию, нажав на нем правой кнопкой мыши и из контекстного меню выбрав команду «Изменить», о которой рассказывалось в предшествующей части статьи.

Один объект групповой политики вы сможете сразу связать с несколькими подразделениями, доменами либо веб-сайтами. Если вы измените конфигурацию связанного объекта групповой политики, все конфигурации будут применяться для обозначенной вами области деяния GPO. Связь объекта групповой политики обозначена маленькой стрелочкой на значке объекта групповой политики. Опции конфигурации объектов групповых политик не используются к тем юзерам либо компьютерам вашей организации, на которые не распространяется область деяния объектов групповых политик. Область деяния GPO – это совокупа юзеров и компов, к которым используются характеристики GPO.

Исходная область деяния объекта групповой политики назначается при привязке данного объекта к обозначенному контейнеру. Для того чтоб узреть контейнеры, к которым привязан имеющийся объект, изберите данный объект групповой политики и перейдите на вкладку «Область», как показано на последующей иллюстрации:

Управление групповыми политиками в организации. Часть 2
Прирастить набросок

Рис. 3. Область деяния объекта групповой политики

Вы сможете просмотреть все модифицированные характеристики политик для определенного объекта групповой политики. Для этого сделайте последующие деяния:

В консоли управления групповой политикой изберите объект групповой политики;
Перейдите на вкладку «Параметры»;
В отобразившемся отчете разверните характеристики политик, которые желаете просмотреть. После нажатия на ссылку «Показать все», будут отображены все модифицированные характеристики данного объекта GPO

Управление групповыми политиками в организации. Часть 2
Прирастить набросок

Рис. 4. Характеристики объекта групповой политики

Вы сможете сохранить данный отчет для предстоящего исследования либо анализа. Для этого нажмите правой кнопкой мыши на отчете и из контекстного меню изберите команду «Сохранить отчет». В диалоговом окне «Сохранение отчета объекта групповой политики» изберите папку, в которую желаете сохранить отчет, в поле «Имя файла» введите заглавие отчета (по дефлоту заглавие отчета совпадает с наименованием объекта GPO) и нажмите на кнопку «Сохранить». Отчет можно сохранять как с расширением HTML, так и XML.

Принудительные связи объектов групповых политик

При разработке связей объектов групповых политик для неких контейнеров у вас могут появиться конфликты характеристик политик. Скажем, для подразделения «Группы» у вас есть три связанных объекта GPO и в 2-ух из их указаны различные значения 1-го и такого же параметра политики. К примеру, в объекте групповой политики «Ограничение доступа к медиа приложениям» для политики «Не запускать Windows Media Center» установлено значение «Включено», а в объекте «Конфигурация конференц-зала» – напротив, установлено значение «Отключено». В данном случае указывается параметр политики, который будет использован к клиентам с помощью приоритета объектов GPO, при этом объект с более высочайшим уровнем приоритета будет иметь преимущество над теми объектами групповой политики, чьи ценности ниже.

Ценности можно отыскать в консоли «Управление групповой политикой» на вкладке «Наследование групповой политики» для избранного контейнера, как показано ниже:

Управление групповыми политиками в организации. Часть 2
Прирастить набросок

Рис. 5. Наследование групповой политики

На предшествующей иллюстрации видно, что на подразделение «Группы» распространяются четыре объекта групповых политик, при этом у объекта групповой политики с минимальным значением самый высочайший ценность. Т.е., в этом случае, значения характеристик политик объекта групповой политики «Политика аудита» доминирует над всеми остальными объектами GPO для данного подразделения. Но если в объекте групповой политики с наивысшим ценностью значение для какого-нибудь параметра не задано, то будут применяться характеристики политики с объекта групповой политики с более низким ценностью. Наследование и делегирование групповых политик будут тщательно рассмотрены в одной из последующих статей.

Оснастка «Управление групповой политикой» позволяет включать принудительную связь объекта групповой политики. При включении принудительной связи для объекта групповой политики, данный объект получит наивысший ценность по отношению к остальным объектам, как избранного контейнера, так и для всех дочерних. Для того чтоб установить принудительную связь для объекта групповой политики, сделайте последующие деяния:

Изберите контейнер, к которому привязаны несколько объектов групповых политик;
Перейдите на вкладку «Связанные объекты групповой политики», изберите объект, для которого желаете установить принудительную связь, нажмите на нем правой кнопкой мыши и из контекстного меню изберите команду «Принудительный»;

Управление групповыми политиками в организации. Часть 2

Рис. 6. Установка принудительной связи

В диалоговом окне «Управление групповой политикой» нажмите на кнопку «ОК»;
После установки принудительной связи, на вкладке «Связанные объекты групповой политики» для данного объекта появится значок в виде висящего замка, который обозначает принудительное включение связи. Перейдите на вкладку «Наследование групповой политики». Тут вы сможете узреть результирующий ценность объектов групповых политик, где в столбце «Приоритет» установленная принудительная связь будет отображаться сверху с пометкой «(Принудительный)».

Управление групповыми политиками в организации. Часть 2
Прирастить набросок

Рис. 7. Принудительная связь объекта групповой политики

Отключение объектов групповых политик

По мере надобности, для определенного объекта групповой политики вы сможете запретить изменение характеристик политик для узлов «Конфигурация компьютера» либо «Конфигурация пользователя» средствами конфигурации состояния объекта GPO. Для этого изберите объект групповой политики, перейдите на вкладку «Таблица» и из раскрывающегося перечня «Состояние GPO» изберите один из последующих характеристик:

Управление групповыми политиками в организации. Часть 2

Рис. 8. Выбор состояния объекта групповой политики

Включено. При указании данного параметра при обновлении политик GPO обрабатываются как конфигурация компьютера, так и конфигурация юзера. Данный параметр установлен для всех объектов групповых политик по дефлоту;
Все характеристики отключены. При выборе данного параметра, объект групповой политики не будет обрабатываться;
Характеристики конфигурации компьютера отключены. В данном случае, во время обновления политик GPO, будут обрабатываться только политики конфигурации юзера. В свою очередь, характеристики конфигурации компьютера будут отключены;
Характеристики конфигурации юзера отключены. В данном случае, во время обновления политик GPO, будут обрабатываться только политики конфигурации компьютера. В свою очередь, характеристики конфигурации юзера будут отключены;

Установить состояние объектов групповых политик вы сможете и другим способом. Для этого разверните контейнер «Объекты групповой политики», изберите объект и нажмите на нем правой кнопкой мыши. В контекстном меню изберите команду «Состояние объекта групповой политики» и установите требуемое состояние. Но в данном случае состояние объектов групповой политики будет установлено для всех подразделений, для которых в предстоящем будет сотворена связь с данным объектом GPO.

Отключение связи

Если вы случаем некорректно сделали связь для объекта групповой политики, не стоит беспокоиться. Всегда такую связь можно удалить без нанесения вреда самому объекту групповой политики. После удаления связи, объект GPO из контейнера «Объекты групповой политики» остается. Вы сможете стопроцентно удалить связь либо отключить ее. Для удаления связи объекта групповой политики, сделайте последующие деяния:

Откройте контейнер, для которого вам необходимо удалить объект GPO;
Изберите удаляемый объект групповой политики и нажмите на нем правой кнопкой мыши и в контекстном меню изберите команду «Удалить»;
В диалоговом окне «Управление групповой политикой» нажмите на кнопку «ОК».

Для того чтоб отключить объект групповой политики изберите отключаемый объект GPO и из контекстного меню снимите флаг с команды «Связь включена». После того как вы отключите связь объекта GPO, поменяется и его область деяния, которая больше не будет применяться для данного контейнера до того времени, пока вы без помощи других не включите ее. При выключении связи, значок данного объекта смотрится более прозрачным.

Заключение

В этой статье описаны способы привязки объектов групповых политик к веб-сайтам, доменам и подразделениям вашей организации. Вы узнали о том, как можно связать имеющийся объект GPO с хоть каким контейнером вашего предприятия, также как можно сделать для определенного контейнера новый связанный объект групповой политики. Не считая того, вы ознакомились с понятием принудительных связей объектов групповых политик и научились отключать и удалять связанные объекты GPO. В последующей статье вы можете тщательно ознакомиться с понятиями наследования и делегирования объектов групповых политик.

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.