Групові політики є одним з найбільш потужних інструментів управління користувачами і комп'ютерами в домені Active Directory. Однак, як і будь-який складний інструмент, вони вимагають чіткого розуміння принципів своєї роботи і ретельного планування. Без цього застосування групових політик може видати не зовсім той результат, який потрібний.
Ось власне про них, основні засади, і піде мова в цій статті. І почнемо ми з самого основного - області дії.
Область дії групових політик
Всі групові політики мають свою область дії (scope), яка визначає межі впливу політики. Області дії групових політик умовно можна розділити на чотири типи.
Локальні групові політики
Групові політики доменів
Об'єкти групових політик, що застосовуються до домену Active Directory (AD) і мають вплив на всі об'єкти, що мають відношення до даного домену. Оскільки в рамках домену працює механізм успадкування, то все політики, призначені на домен, послідовно застосовуються і до всіх нижчестоящим контейнерів.
Групові політики підрозділи
Політики, які застосовуються до підрозділу (OU) і мають вплив на весь вміст даного OU і дочірніх OU (при їх наявності).
Групові політики сайтів
Нагадаю, що на відміну від доменів, які вдають із себе логічну структуру організації, сайти в AD використовуються для представлення її фізичної структури. Межі сайту визначаються однією або декількома IP-подсетями, які об'єднані високошвидкісними каналами зв'язку. В один сайт може входити кілька доменів і навпаки, один домен може містити кілька сайтів.
Об'єкти групової політики, застосовані до сайту AD, впливають на весь вміст цього сайту. Отже, групова політика, пов'язана з сайтом, застосовується до всіх користувачів і комп'ютерів сайту незалежно від того, до якого домену вони належать.
Порядок застосування групових політик
Порядок застосування групових політик безпосередньо залежить від їх області дії. Першими застосовуються локальні політики, потім політики, призначені на сайт, потім відпрацьовують доменні політики і потім політики, призначені на OU.
Так в нашому прикладі (на малюнку нижче) спочатку відпрацює локальна політика (умовно назвемо її GPO0), потім політика сайту GPO1, потім політика домену GPO2, ну а потім застосуються політики, призначені на OU. При цьому політики застосовуються відповідно до ієрархією - спочатку політика GPO3, призначена на вищестояще OU, потім нижчестоящі політики GPO4 і GPO5.
Якщо на одну OU призначено кілька GPO, то вони обробляються в тому порядку, в якому були призначені. Наприклад, до підрозділу TechSupport відносяться GPO4 і GPO5, які обробляються згідно з порядком призначення (Link Order).
Політики обробляються в зворотному порядку (від низу до верху), тобто політика з номером 1 відпрацює останньої. При необхідності цей порядок можна змінити, виділивши політику і пересунувши її вгору або вниз за допомогою відповідних стрілок.
Пріоритет групових політик
Пріоритет GPO безпосередньо залежить від порядку їх застосування - чим пізніше застосовується політика, тим вище її пріоритет. При цьому нижчестоящі політики можуть перевизначати вищі - наприклад локальна політика GPO0 буде перевизначена доменної політикою сайту GPO1, домен політика GPO2 - політикою GPO3, а політика вищого GPO3 - нижчими політиками GPO4 і GPO5.
Для більшої наочності проведемо експеримент. Для перевірки дії політик будемо заходити на робочу станцію WKS1 під обліковим записом користувача Kirill, що знаходиться в OU TechSupport.
Відкриємо політику Фонові малюнки робочого столу (Desktop Wallpaper) і вкажемо використовувати в якості шпалер зображення local.png.
Потім перелогініваемся і перевіряємо, що політика відпрацювала і шпалери змінені.
Наступним кроком буде настройка доменної політики. Для цього в оснащенні «Group Policy Management» вибираємо політику GPO2 і відкриваємо її для редагування.
Знаходимо політику, що відповідає за зміну шпалер і встановлюємо в якості малюнка робочого столу зображення domain.png.
Додатково переходимо в розділ вище і включаємо політику «Remove Recycle Bin icon from desktop», що видаляє кошик з робочого столу.
Ще раз заходимо на WKS1 і переконуємося в тому, що шпалери на робочий стіл змінені і кошики не видно. Це означає, що доменні політики успішно застосували і переопределили настройки, що задаються локальними політиками.
Ну і як завершаюшей кроку відкриваємо на редагування політику GPO4 і встановлюємо політику «Remove Recycle Bin icon from desktop» в положення Disabled.
А також змінюємо малюнок робочого столу на зображення з ім'ям ou.png.
Тепер, зайшовши на WKS1 ми бачимо, що шпалери знову змінено і на робочий стіл повернулася кошик. З цього випливає, що доменна політика GPO2 перевизначена політикою GPO4, призначеної на OU.
відключення успадкування
Як я вже говорив, на всі політики в домені поширюється успадкування, тобто політики, призначені на батьківський контейнер (домен або OU), послідовно застосовуються до всіх дочірнім контейнерів. Це поведінка за умовчанням, але при необхідності його можна змінити, відключивши успадкування для окремо взятого OU.
Відключення успадкування проводиться досить просто, треба тільки в оснащенні «Group Policy Management» вибрати потрібний OU, клікнути на ньому правою клавішею миші і в контекстному меню поставити галочку навпроти пункту «Block Inheritance». Після цього для даного OU і його дочірніх OU (при їх наявності) скасовується дія всіх вищестоящих політик.
Примітка. Політика Default Domain Policy містить настройки, що визначають політику паролів і облікових записів в домені. Ці настройки не можуть бути заблоковані.
У нашому прикладі скасуємо успадкування для OU TechSupport, щоб на нього впливали тільки ті політики, які призначені безпосередньо на дане OU.
Форсування застосування групових політик
Форсування застосування групових політик застосовується тоді, коли дана політика повинна відпрацювати незалежно від інших політик. Якщо політика форсована, то, незалежно від своєї області дії вона отримує найвищий пріоритет. Це означає, що її параметри не можуть бути перевизначені нижчими політиками, а також на неї не діє скасування спадкування.
Щоб форсувати політику, треба вибрати її в оснащенні управління груповими політиками, клікнути на ній правою клавішею миші і в контекстному меню поставити галочку навпроти пункту «Enforced». Для прикладу форсуємо політику GPO2, призначену на домен.
Потім зайдемо на WKS1 ще раз і побачимо знайому картину. Як бачите, політика GPO2 відпрацювала не дивлячись на блокування успадкування і перебила настройки нижчої політики GPO4.
Для однієї статті інформації, я думаю, досить. А в наступній частині розмова піде про особливості застосування групових політик до користувачів і комп'ютерів.