Управление групповыми политиками в организации. Часть 3

Введение
Ценности объектов групповых политик и их наследование
Управление разрешениями
Делегирование разрешений
Заключение

Введение

Из прошлых частей данной статьи вы узнали о разработке и привязке объектов групповых политик к подразделениям, доменам и веб-сайтам организации с помощью оснастки «Управление групповой политикой». Кратко подверглось рассмотрению такое понятие, как ценность объектов групповой политики. В этой статье мы ознакомимся с такими понятиями, как ценности, наследование и делегирование групповых политик. При управлении объектами групповых политик в организации, осознание наследования и делегирования групповых политик нужно, потому что конкретно с помощью данных средств вы сможете указывать порядок обработки объектов GPO, и управлять разрешениями для объектов групповых политик, подразделений, юзеров, групп и пр.

Ценности объектов групповых политик и их наследование

Как понятно, для управления опциями клиентских компов и пользовательских учетных записей в организациях используются объекты групповых политик. Объекты GPO могут быть привязаны к веб-сайту организации, к домену либо к подразделениям. Если объекты групповых политик были привязаны к веб-сайту либо домену, также к подразделению, то для компов и юзеров, которые расположены в данном подразделении, будут применяться объекты GPO, их подразделения, также домена либо веб-сайта организации. Для того чтоб не было конфликтов характеристик групповых политик, есть ценности объектов GPO. Как было обозначено во 2-ой части статьи, в консоли управления групповой политики, ценности объектов GPO показываются в виде номера, при этом, чем меньше значение объекта групповой политики, тем выше его ценность. Объекты с самым высочайшим ценностью имеют достоинства над остальными объектами. Характеристики групповых политик унаследованы от верхнего уровня контейнеров до более низкого и, обычно, они используются при включении компьютера и входа юзером в систему в последующем порядке:

Локальные объекты групповой политики. Эти политики используются самыми первыми. Они размещены на локальном компьютере;
Объекты групповой политики, назначенные на уровне веб-сайта. После локальных объектов групповых политик используются объекты групповой политики, которые размещены на веб-сайте Active Directory.
Объекты групповой политики, назначенные на уровне домена. Дальше обрабатываются объекты групповой политики, которые размещены на уровне домена Active Directory.
Объекты групповой политики, назначенные на уровне подразделения. Последними производятся объекты GPO, которые размещены в подразделениях. Если были указаны характеристики политик в объектах с более низкими ценностями, которые отличаются от характеристик в подразделениях, то в последнюю очередь используются конкретно те политики, которые размещены на этом уровне. Если есть дочерние подразделения, то ценность таких подразделений будет превалировать над объектами GPO предыдущего подразделения.

При запуске компьютера и входе юзера в систему, клиент групповой политики, сначала, анализирует размещение клиента в домене Active Directory и оценивает объекты групповых политик, в область деяния которых попадает данный юзер. Наследованием политики именуется итог вышеуказанного внедрения объектов групповой политики.

Представим, что в вашей организации к домену привязаны два объекта групповой политики и к подразделению «Группы» привязано три объекта. Поменять порядок ценностей объектов GPO вы сможете последующим образом:

Откройте консоль «Управление групповой политикой»;
В дереве консоли разверните узел «Управление групповой политикой», потом разверните узел леса, узел «Домены» и изберите собственный домен, для которого будете изменять порядок ценностей;
На вкладке «Связанные объекты групповой политики» выделите объект, ценность которого планируете поменять и нажмите на кнопку «Переместить связь вверх» для перемещения объекта на один уровень ввысь либо на кнопку «Переместить связь на 1-ое место», соответственно для того, чтоб данному объекту GPO назначить наивысший ценность;

Управление групповыми политиками в организации. Часть 3
Прирастить набросок

Рис. 1. Изменение приоритета объекта групповой политики

Перейдите к контейнеру «Группы». В этом примере, конкретно в данном контейнере размещены три объекта GPO, при этом связь для 1-го из их отключена. Для проверки наследования групповой политики для этого контейнера, перейдите на вкладку «Наследование групповой политики», как показано ниже:

Управление групповыми политиками в организации. Часть 3
Прирастить набросок

Рис. 2. Наследование групповой политики для контейнера «Группы»

Судя по предшествующей иллюстрации, с подразделением и доменом связывается огромное количество объектов GPO, и самыми последними будут применяться характеристики объекта GPO «Политика аудита», которая расположена в контейнере «Группы». В случае с обилием объектов групповой политики ценность определяется порядком ссылок. Изменим порядок ссылок данного контейнера. Для этого перейдите на вкладку «Связанные объекты групповой политики» и переместите связь политики «Права для группы отладчиков» на 1-ое место;
Возвратившись на вкладку «Наследование групповой политики» вы обнаружите, что ценность объектов GPO поменялся.

С помощью консоли управления групповыми политиками вы сможете запретить все наследования характеристик политики для обозначенного домена либо подразделения. Воплотить таковой запрет можно с помощью команды «Блокировать наследования», которая перекрывает все объекты групповой политики (GPO), связанные с веб-сайтами, доменами либо подразделениями родительского уровня от автоматического наследования на дочернем уровне. При перекрытии наследования, скажем, подразделения, в этом подразделении применение политик будет начинаться конкретно с данного подразделения. Но необходимо учитывать, что связи GPO, установленные принудительно нереально заблокировать из родительского контейнера. Об использовании принудительных связей объектов групповых политик вы сможете ознакомиться во 2-ой части статьи «Управление групповыми политиками в организации». Узел с блокированным наследованием отображается в дереве консоли со значком голубого круга с белоснежным восклицательным знаком, как показано ниже:

Управление групповыми политиками в организации. Часть 3

Рис. 3. Подразделение с блокированным наследованием

Управление разрешениями

Обычно, в подразделениях Active Directory размещено несколько групп либо юзеров. Как понятно, объект групповой политики вы сможете связывать только с подразделениями, доменами либо веб-сайтами. Но что все-таки делать, если вам необходимо в область деяния объекта GPO привязать только одну либо несколько групп? Для выполнения схожих операций вам необходимо фильтровать объекты GPO, чтоб его характеристики применялись только к обозначенным юзерам либо компьютерам.

Для определения разрешения доступа, при разработке объекта GPO, для каждого объекта групповой политики создается личный перечень контроля доступа (Access Control List – SCL). В перечне ACL, для внедрения характеристик групповых политик довольно, чтоб было только два разрешения – «чтение» и «применение групповой политики». Областью деяния по дефлоту для каждого объекта GPO является группа «Прошедшие проверку» и, в связи с тем, что в эту группу входят все юзеры, расположенные в обозначенном контейнере, конкретно все юзеры и попадут под область деяния объектов групповых политик, что практически во всех случаях неприемлемо. Чтоб вы могли избрать юзеров и группы, для которых будут применяться характеристики объектов GPO, консоль управления групповыми политиками предоставляет средства фильтрации области деяния GPO.

Для конфигурации области деяния объекта GPO «Права для группы отладчиков», сделайте последующие деяния:

В дереве консоли оснастки «Управление групповой политикой» изберите подразделение «Группы», к которой привязан объект «Права для группы отладчиков»;
Перейдите на вкладку «Область» и в секции «Фильтры безопасности» изберите группу «Прошедшие проверку». Нажмите на кнопку «Удалить», как показано на последующей иллюстрации:

Управление групповыми политиками в организации. Часть 3

Рис. 4. Удаление группы «Прошедшие проверки» из области деяния GPO

Нажмите на кнопку «Добавить» и в диалоговом окне поиска объекта изберите группу «Отладчики».

Делегирование разрешений

Убрав из вкладки «Область» группу «Прошедшие проверку», вы тем не исключаете все группы от области внедрения объекта групповых политик. Для сотворения запретов на применение характеристик политик существует вкладка «Делегирование».

По определению, делегирование — это такая организация работы, при которой управляющий распределяет меж подчиненными определенные задания. Другими словами, другими словами, делегирование является управлением и в групповых политиках это понятие не является исключением. Консоль «Управление групповой политикой» позволяет использовать делегирование для объектов групповой политики, контейнеров и доменов, фильтров WMI и исходных объектов групповой политики. В этой статье мы разглядим делегирование только для объектов групповых политик, подразделений и доменов, потому что фильтры WMI и исходные объекты групповых политик будут рассматриваться в отдельных статьях.

Делегирование разрешений для объектов групповой политики

Для расширенного управления разрешениями групповых политик, изберите объект групповой политики и перейдите на вкладку «Делегирование». Как видно на последующей иллюстрации, объект групповой политики «Права для группы отладчиков» связан с пятью группами. Если вы изберите всякую группу и нажмете на кнопку «Дополнительно», то можете просмотреть разрешения для избранной группы. В диалоговом окне «Параметры безопасности %Имя группы%» вы сможете указать разрешения для каждой группы, включая группу СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ, которая не отображена на вкладке «Делегирование». Для того чтоб разрешить либо запретить обозначенное разрешение для избранной группы – установите флаг в подходящем вам столбце.

Управление групповыми политиками в организации. Часть 3
Прирастить набросок

Рис. 5. Делегирование для объекта групповой политикой

К примеру, выбрав группу «Администраторы домена», вы сможете направить внимание на то, что кроме стандартного набора разрешений, для нее ее используются «Особые разрешения». Чтоб выяснить за что отвечают эти разрешения нажмите на кнопку «Дополнительно», в диалоговом окне «Дополнительные характеристики безопасности» изберите снова эту группу и нажмите на кнопку «Изменить».

В диалоговом окне «Элемент разрешения» вы сможете просмотреть все разрешения для объектов и параметров данной группы.

Управление групповыми политиками в организации. Часть 3

Рис. 6. Диалоговое окно «Элементы разрешения» для группы «Администраторы домена»

Также на вкладке «Делегирование» вы сможете добавить новейшую группу либо удалить существующую.

Делегирование разрешений для подразделений и доменов

Перейдя на вкладку «Делегирование» для подразделения либо домена, вы можете управлять разрешениями для связанных с данным контейнером объектов GPO, анализа моделирования групповых политик, также для чтения результирующих данных групповой политики. Для того чтоб избрать область разрешений, изберите контейнер, перейдите на вкладку «Делегирование» и в раскрывающемся перечне «Разрешение», изберите нужную область разрешений.

Анализ моделирования групповой политики. С помощью разрешений для этой области вы сможете указать разрешения для групп, которые имеют отношение к использованию функционала «Моделирование групповой политики».

Управление групповыми политиками в организации. Часть 3
Прирастить набросок

Рис. 7. Делегирование для анализа моделирования групповой политикой

Также как и с объектами групповой политики, вы сможете добавлять новые группы, удалять имеющиеся, также просматривать и изменять любые разрешения для групп по нажатию на кнопку «Дополнительно». Нужно учитывать, что вы не сможете делегировать разрешение на выполнение анализа групповой политики веб-сайту. Об использовании мастера моделирования групповой политики вы узнаете в одной из последующих статей.

Связанные объекты GPO. Эта область разрешений создана для указания возможностей, которые распространяются на связанные объекты групповой политики. Тут вы сможете делать такие же деяния, как в прошлых варианта, но необходимо учитывать тот факт, что у вас не получится удалить группы и юзеров, наследующих разрешения родительских контейнеров.

Чтение результирующих данных групповой политики. Сам по для себя, функционал результирующей групповой политики (RSoP) предоставляет итог внедрения объектов GPO юзеру либо компу с учетом связей GPO, исключений, также фильтров безопасности и WMI. Данный объект разрешений позволяет настроить разрешения для групп, имеющих доступ на внедрение данного функционала.

Заключение

В данной статье вы узнали о ценностях, наследовании и делегировании объектов групповой политики. Подробным образом подверглись рассмотрению ценности и порядок ссылок объектов групповых политик и их наследование. Вы узнали об управлении разрешениями областью действий объектов групповых политик с помощью секции «Фильтры безопасности» вкладами «Область» объектов групповых политик, также о делегировании разрешений групповых политик. В следующих статьях вы узнаете о фильтрации WMI, исходных объектах групповых политик, моделировании групповой политики, результирующей политики и о многом другом.

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.