Глава 9. Групповая политика
Содержание
- Глава 9. Групповая политика
- Введение
- Создание и назначение нового GPO
- Установка соответствия сетевых дисков Групповой политикой
- Перенаправление папки Мои документы в общий сетевой ресурс
- Создание VPN соединения Групповой политикой
- Создание соединения принтера Групповой политикой
- Применение групповой политики для усиления сервера Прокси интернет
- Просмотр включённых в настоящий момент внутри GPO настроек
- Просмотр назначенных в настоящий момент компьютеру GPO
- Резервное копирование и восстановление GPO
- Стыковка с шаблонами ADMX и ADML
В данной книге мы уже обсуждали несколько рецептов, которые обращались за изменениями к GPO (Group Policy Objects, Объектам групповой политики), однако у нас не был времени для обсуждения того, почему Групповая политика так важна в первую очередь. Для тех, кто работал какое-то время с Active Directory, Групповая политика может быть знакомой территорией. Однако я всё ещё обнаруживаю, что большая часть ИТ народа работающего с ролью Администратора сервера не настолько близки с Групповой политикой и тем как можно извлекать из неё преимущества. В частности, в не очень крупных компаниях это невероятно мощное средство Windows, как правило, упускается из виду. Достаточно просто представлять себе Active Directory как контейнерное хранилище для учётных записей ваших пользователей и компьютеров, так как это является ключевой необходимой задачей, которую он выполняет. Однако, как только вы установили родь Служб домена для настройки своего первого Контроллера домена (DC, Domain Controller), вы автоматически включаете в этот домен возможности Групповой политики.
Давайте пройдёмся вместе по некоторым рецептам, чтобы убедиться что вы способны комфортно взаимодействовать с Групповой политикой и начнём исследовать лежащие в её основе возможности:
-
Создание и назначение новых объектов Групповой политики
-
Установка соответствия сетевых дисков при помощи Групповой политики
-
Перенаправление папки Мои документы на сетевое совместно используемое устройство
-
Создание VPN соединений при помощи Групповой политики
-
Создание подключений к принтерам при помощи Групповой политики
-
Применение Групповой политики для усиления мощности прокси сервера Интернета
-
Просомотр и настройка текущих включённых настроек внутри GPO
-
Просмотр всех назначенных некоторому компьтеру в настоящее время GPO
-
Резервное копирование и восстановление GPO
-
Подключение к шаблонам ADMX и ADML
Групповая политика (Group Policy) является централизованным инструментом администрирования для ваших подключённых к домену систем. Для суммирования её возможностей вы можете создавать политики в Active Directory, назначая эти политики определённым пользователям или компьютерам и в рамках этих политик изменять любое число установок или настроек, которые располагаются внутри операционной системы Windows. Сам элемент внутри Active Directory, который содержит эти установки называется GPO (Group Policy Object, объектом Групповой политики), поэтому мы сосредоточимся на создании и манипуляции им для принятия некоторых централизованных решений по управлению, которые окажут воздействие на большое число компьютеров в нашей среде. GPO могут применяться для учётных записей пользователей, установок компьютеров клиентов, или для размещения настроек на ваши серверы. Любая подключённая к домену система может управляться через GPO, а обычные настройки размещаемые на своих местах посредством GPO не могут изменяться пользователями, что делает их неотъемлемой частью системы безопасности для компаний, освоивших применение Групповой политики на постоянной основе.
Мы разместим ряд различных установок настроек внутри конкретных GPO которые мы создадим на протяжении данной главы, однако мы не будем приближаться к охвату даже и части всех доступных установок, с которыми можно обращаться. Для полного рассмотрения доступных настроек групповой политики ознакомьтесь, пожалуйста со следующей ссылкой: http://www.microsoft.com/en-us/download/details.aspx?id=25250.
Чтобы начать применение Групповой политики, нам вначале необходимо создать объект Групповой политики. Обычно мы будем называть его GPO и этот объект содержит все настройки которые мы хотим развёртывать. Он также содержит информацию, необходимую для присоединённых к домену систем чтобы знать какие машины и пользователи получат эти установки, а какие нет. Критически важно тщательное планирование назначений GPO. Легко создать политику, которая будет применена ко всем подключённым к домену системам во всей вашей сетевой среде, однако, в зависимости от того какие установки вы настраиваете в данной политике, они могут оказаться пагубными для ваших серверов. Я часто обнаруживаю, что администраторы, которые только- только начали знакомиться с Групповой политикой применяют встроенную GPO именуемую Политикой домена по умолчанию (Default Domain Policy). Она по умолчанию применяется ко всему в вашей сетевой среде. Иногда это в действительности то что вы хотите осуществить. Но в подавляющем большинстве случаев это не так!
Мы намереваемся воспользоваться данным разделом для детализации самого процесса создания новой GPO и применить ряд секций назначений, называемых Links (Ссылками) и Security Filters (Фильтрами безопасности), которые предоставят нам полный контроль над тем, какие системы получат эти объекты и, что более существенно, какие нет.
Наша текущая работа будет выполняться в сервере контроллера домена Server 2016. Если у вас исполняется роль Служб домена (Domain Services), у вас уже имеются установленными определённые элементы, которые необходимы для управления Групповой политикой.
-
Откройте диспетчер сервера (Server Manager), кликните по меню Tools (Средства) и выберите для открытия Консоль Group Policy Management.
-
Раскройте имя своего домена и кликните по папке с наименованием Group Policy Objects. Она отобразит вам перечень ваших текущих GPO.
-
Кликните правой кнопкой по папке Group Policy Objects, а теперь кликните по New.
-
Введите имя для своего нового GPO. Я собираюсь назвать его у себя
Map Network Drives
. Мы завершим применение этого GPO в следующем рецепте.
-
Кликните OK, а затем раскройте свою папку Group Policy Objects, если она пока ещё не раскрыта. Вы должны видеть в этом перечне новый GPO. Далее кликните на этот новый GPO чтобы просмотреть его настройки.
-
Мы хотим применять этот GPO только к определённой группе пользователей, которую мы хотим установить. Это назначение данного GPO обрабатывается на самом нижнем уровне в разделе Security Filtering (Фильтрация безопасности), который вы можете увидеть на снимке экрана ниже. На нём вы можете обнаружить что, по умолчанию, в данном списке находятся Authenticated Users. Это означает, что если мы создадим ссылку между этим GPO и OU (Organizational Unit, Подразделением) в своём домене, данные установки политики немедленно будут применены ко всем учётным записям пользователей.
-
Так как мы хотим быть абсолютно уверенными, что только определённые учётные записи пользователей получат такие соответствия дисков, мы собираемся изменить свой раздел Security Filtering и внести в список только пользователей той группы, которую мы должны создать для получения таких учётных записей пользователей. В разделе Security Filtering кликните по кнопке Remove чтобы удалить из данного перечня Authenticated Users. он теперь должен быть пустым.
-
Теперь кликните по кнопке Add… также приводимой в разделе Security Filtering.
-
Введите название своей группы для которой вы желаете осуществлять фильтрацию данного GPO. Моя группа имеет название
Sales Group
. Кликните OK. -
Теперь данный GPO будет применяться только к пользователям, которых мы поместим в свою группу с названием
Sales Group
, однако на данный момент времени данный GPO не собирается никуда применяться, так как мы пока не установили никакие ссылки. Существует верхний раздел вашей закладки Scope (Область действия), и он в настоящее время пустой.
-
Нам необходима связать этот GPO с некоторым местом в структуре нашего домена. Это на самом деле сообщит ему применить данную политику отсюда и далее к нашему Подразделению (OU). Создав некую ссылку без какой бы то ни было фильтрации безопасности, такой GPO будет применён ко всему относящемуся к данной ссылке. Однако, так как у нас включена фильтрация безопасности и ниже определена конкретная группа, имеющаяся фильтрация безопасности будет завершаться авторизацией, применяющей данные установки GPO только к членам нашей
Sales Group
. Для данной политикиMap Network Drives
мы хотим применить её к Подразделению (OU) с названиемUS Laptops
. -
Кликните правой кнопкой по Подразделению с именем
US Laptops
, а затем кликните по параметру Link an Existing GPO….
-
Выберите имя своей новой GPO,
Map Network Drives
, а затем кликните OK.
Наш новый GPO теперь привязан к Подразделению (OU) US
Laptops
, поэтому, на данном уровне, все помещаемые в данное Подразделение системы
будут получать данные установки, если только мы не спарим их со следующим шагом в своём разделе Фильтрации
безопасности. Так как мы наполнили его только одним именем своей конкретной группы
Sales Group
, это означает, что такая
новая политика соответствия дисков будет применяться только к тем пользователям, которые добавляются в данную
группу.
В примере нашего рецепта мы создали новый объект Групповой политики и выполнили необходимые шаги чтобы
ограничить этот GPO на те компьютеры и тех пользователей, которых мы полагаем находящимися внутри нашего
домена. Каждая сетевая среда имеет свои отличия, и вы можете найти для себя достаточным только определённых
Links чтобы сохранять GPO отсортированным для соответствия своим потребностям, либо же вам может
потребоваться выполнить усиление такой фильтрации некоторой комбинацией Links и Security Filtering. В
любом случае, сколь ни тщательно бы вы выполнили эту работу, убедитесь ещё раз с настройками данных полей,
что у вас нет и тени сомнения в том, к кому будет применён этот GPO. Вы можете заметить в данном рецепте,
что мы на самом деле не настраивали никакие установки внутри самого GPO, поэтому на данный момент он всё
ещё ничего не выполняет ничего с членами Sales
Group
. Продолжайте чтение для перемещения к реальной части установок Групповой
политики.
Почти все применяют соответствия дисков для некоторого удобства в своих средах. Создание соответствий дисков вручную как часть начальной настройки нового пользователя громоздко и необходимо. Оно также работает таким образом, что возможно будет дублироваться, так как пользователи в дальнейшем перемещаются с одного компьютера на другой. Если мы воспользуемся групповой политикой для централизации создания таких соответствий дисков, мы сможем гарантировать, что одни и те же пользователи будут получать одни и те же дисковые соответствия где бы в сети они не находились. Если выполнить планирование аккуратно, вы можете включить такое соответствие чтобы оно возникало повсеместно в вашей сетевой среде для любой подключаемой к домену системы при простой регистрации пользователя, причём в точности так, как он всегда это делает. Это хороший, несложный пример первой задачи для её выполнения в рамках Групповой политики с тем, чтобы окунуть наши ноги и научиться чему- то что может быть полезным для вашей организации.
Мы применяем некий контроллер домена Server 2016 в своей среде чтобы создать и настроить такой объект Групповой политики. Мы также предполагаем, что у вас для данной задачи уже создан новый GPO, который был настроен для Links и Security Filtering.
Чтобы создать некоторое сопоставление дисков в Групповой политике:
-
Откройте консоль Group Policy Management в меню Tools (Средства) Диспетчера сервера.
-
Раскройте имя своего домена, а затем зайдите в папку Group Policy Objects. В ней мы видим свой новый GPO с именем
Map Network Drives
. -
Кликните правой кнопкой по своему GPO
Map Network Drives
, а затем кликните Edit….
-
Переместитесь в User Configuration | Preferences | Windows Settings | Drive Maps.
-
Кликните правой кнопкой по Drive Maps и выберите New | Mapped Drive.
-
Настройте Location в качестве получателя создаваемого соответствия диска и воспользуйтесь полем Label as если вам нужно дополнительное описание имени для отображения пользователям.
-
Выберите Drive Letter для применения такого нового соответствия из приведённого на данном экране ниспадающего меню.
-
Кликните OK.
-
Мы предполагаем, что вы уже создали соответствующие Links и Security Filtering к которым вы хотите применять данный GPO. Если так, то вы можете зарегистрироваться на некотором компьютере в своём домене с учётной записью пользователя, к которому применяется данная политика. После регистрации на данном компьютере откройте ile Explorer и вы должны обнаружить новый сетевой диск, автоматический поставленный вам в соответствие в процессе вашей регистрации.
Существует ряд различных способов которым можно автоматически осуществлять выполнения соотнесения дисков, которое будет автоматически выполняться в среде Windows, и данный рецепт сейчас отобразил один из самых простых вариантов исполнения данной задачи. Применяя Групповую политику для автоматизации создания нашего соответствия сетевых дисков, мы можем административно централизовать данную задачу и удалить создание загрузки такого соответствия дисков из нашего процесса службы технической поддержки.
Пользователи приучены сохранять документы, фотографии и прочее в их папке
Documents
или My Documents
, так
как это то место где они чувствуют себя дома. При работе в офисном компьютере над своими заданиями, также
естественна тенденция сохранять это в локальной папке Documents
.
Обычно это нежелательное поведение, так как резервное копирование папок документов всего персонала
индивидуальным образом было бы ночным кошмаром администраторов. Поэтому более распространённым решением такой
проблемы является предоставление каждому соответствующего сетевого диска и обучение пользователей сохранению
документов в таких перенаправляемых устройствах. Это хорошо в теории, но сложно осуществлять на практике.
Поскольку пользователи всё ещё имеют возможность сохранять документы в своей локальной папке
My Documents
, имеется хорошая возможность того, чтобы они сохраняли там
по крайней мере некотороые вещи, вероятно, не осознавая этого.
Данный рецепт является быстрым изменением Групповой политикой, которое можно выполнить для папки
My Documents
на подключённых к вашему домену компьютерах с тем, чтобы
перенаправить их на совместно используемые сетевые ресурсы. Таким образом, если все пользователи выполняют
сохранение в My Documents
, эти документы будут записываться в файловый
сервер, куда вы их перенаправили.
Мы настроим свою новую GPO в контроллере домена Server 2016.
Выполните следующие шаги чтобы перенаправить папку My Documents
при помощи Групповой политики:
-
Запустите Консоль Group Policy Management из меню Tools (Средства) Диспетчера сервера.
-
Кликните правой кнопкой по имени своего домена и выберите Create a GPO in this domain, and Link it here….
-
Введите что- нибудь в поле Name для своего нового GPO. Я собираюсь назвать свой
Redirect My Documents
. Затем кликните OK. -
Просмотрите папку Group Policy Objects, которая приводится под именем вашего домена.
-
Кликните правой кнопкой по данному имени нашего нового GPO перенаправления и кликните Edit….
-
Переместитесь в User Configuration | Policies | Windows Settings | Folder Redirection | Documents.
-
Кликните правой кнопкой по Documents и перейдите в Properties.
-
раскройте ниспадающее меню Setting и выберите Basic - Redirect everyone's folder to the same location.
-
Введите в отобразившемся поле Root Path куда вы желаете перенаправлять все папки
Documents
. Я собираюсь применять совместный ресурс, который я создал в своём файловом сервере . У меня это выглядит так:\\file1\users\
.
-
Кликните OK.
-
Ваши настройки должны немедленно поместиться на место в данном GPO. Теперь пройдите вперёд и зарегистрируйтесь на пробной машине клиента и откройте папку
Documents
. -
Создайте внутри папки
Documents
новый текстовый документ. Мы только что создали что- то в локальной папкеDocuments
чтобы могли обнаружить где в действительности оно сохранится. -
Теперь зарегистрируйтесь на своём файловом сервере и проверьте внутри своего каталога
Users
что мы определили. теперь у нас там имеется папка с именем моего пользоваателя, а внутри этой папки присутствует папкаDocuments
, которая содержит новый текстовый документ, который я только что создал и сохранил внутри своейMy Documents
на моём компьютере клиента!
Перенаправление My Documents
всех пользователей для автоматического
сохранения на централизованном файловом сервере легко изменяется при помощи Групповой политики. Вы можете даже
объединять эту настройку с другой, которая приводит соответствие сетевых дисков, затем просто определять буквенный
диск в своей настройке перенаправления документов вместо того, чтобы набирать некоторого
UNC, который может потенциально
измениться в дальнейшем. Однако, раз вы решили настроить его в своей среде, я гарантирую, что применение этой
настройки будет иметь результатом более централизованное администрирование ваших данных и меньше потерь файлов
вашими пользователями.
Если у вас ранее административная или техническая поддержка решения связи VPN, вы скорее всего не насловах знакомы с настройкой профилей соединений VPN на компьютерах клиентов. В некоторой среде, в которой VPN применяется в качестве решения удалённого доступа, то что я зачастую наблюдаю, так это то, что такой процесс создания профиля VPN обычно проходится вручную, что требует человеческих рук с последующей первой регистрацией в данном компьютере пользователя. Это не эффективно и легко забывается. При наличии присутствующих в вашем Windows Server 2016 инструментах, вы можете автоматизировать создание таких соединений VPN на клиентских компьютерах. Давайте применим Групповую политику для создания таких профилей для нас в процессе регистрации пользователя.
Мы воспользуемся контроллером домена Server 2016 для настройки своего нового объекта Групповой политики. После завершения мы также воспользуемся компьютером клиента с WIndows 10 для регистрации и проверки успешности создания своего профиля VPN. Для данного рецепта мы собираемся сделать предположение, что создали требуемый GPO и настроили связи, а также выполнили фильтрацию в соответствии со своими потребностями прежде чем приступить к реальной настройке такого GPO.
Выполните следующие шаги настройки GPO который будет автоматически создавать некий профиль соединения VPN на ваших компьютерах удалённого клиента:
-
Внутри своей Консоли Group Policy Management кликните правой кнопкой по своему новому применяемому к этой задаче GPO, и кликните Edit….
-
Переместитесь в User Configuration | Preferences | Control Panel Settings.
-
Кликните правой кнопкой по Network Options и выберите New | VPN Connection.
-
Введите что- нибудь в своём поле Connection name для данного нового соединения VPN; это имя будет отображаться на компьютерах клиентов, а поле общедоступного IP address таких клиентских компьютеров нужно для соединения при удалённой работе. В зависимости от имеющихся потребностей для вашего определённого соединения VPN, вам также может понадобиться посещение дополнительных закладок доступных в этом экране для завершения ваших конкретных настроек. Затем кликните OK.
-
Теперь зарегистрируйтесь на своём клиентском компьютере и кликните по иконке Network в лотке systray, в том самом месте, в которое вы кликаете при беспроводном подключении к сети. Вы можете отметить, что в процессе нашей регистрации на данном компьютере было добавлено новое VPN соединение с названием
MyCompany VPN
и оно теперь доступно для применения.
В данном рецепте мы воспользовались Групповой политикой для автоматизации создания некоторого нового VPN соединения для нашего удалённого ноутбука. Применение GPO для чего- то подобного этому сохраняет время и усилия, так как вам больше не нужно настраивать эти соединения вручную в процессе построения нового ПК. Вы можете также использовать эту функцию для обновления существующих настроек VPN в дальнейшем если вам понадобится изменить IP адреса или что- нибудь подобное. Как вы можете начать понимать по ходу данного рецепта, существует множество различных вещей, которые можно осуществлять при помощи Групповой политики.
Давайте предположим, что вы только что установили новый сетевой принтер в своём офисе. Вы выполнили настройку на нескольких компьютерах чтобы убедиться в том, что он работает надлежащим образом, однако теперь вы запускаете ряд за рядом компьютеры, которые хотели бы по возможности также печатать на этом принтере. Перспектива регистрации на каждом компьютере для запуска и прохода мастера создания принтера целиком не выглядит как тот способ, которым вы желаете провести свою ночь пятницы. Давайте снова рассмотрим что мы можем сделать при помощи Групповой политики для сохранения своего времени. Мы воспользуемся некоторым новым GPO который будет настроен на автоматическую установку такого нового принтера на всех рабочих местах клиентов.
Мы предполагаем, что вы уже создали свой новый GPO и подключили его соответственно с тем, чтобы только те компьютеры, которым требуется такой новый принтер, могли получать такие новые настройки GPO. Теперь мы собираемся воспользоваться Консолью управления Групповой политикой в своём первичном контроллере домена, который работает под управлением Windows Server 2016.
Чтобы настроить ваш новый GPO на создание нового принтера выполните следующие шаги:
-
Внутри своей Консоли Group Policy Management кликните правой кнопкой по своему новому применяемому к этой задаче GPO, и кликните Edit….
-
Переместитесь в User Configuration | Preferences | Control Panel Settings.
-
Кликните правой кнопкой по Network Options и выберите New | TCP/IP Printer.
-
Введите информацию, которая необходима для подключения данного принтера. Так как мы выбрали установку нового принтера TCP/IP, нам необходимо ввести что- то в его поля IP Address и Local Name для того, чтобы пользователи были в состоянии увидеть этот принтер в своём перечне. Я также собираюсь воспользоваться Set this printer as the default printer… only if a local printer is not present (Настроить этот принтер в качестве принтера по умолчанию… только в случае если отсутствует локальный принтер).
-
Кликните OK и данный принтер будет распределён тем пользователям, которых вы отфильтровали под данный GPO.
Применение Групповой политики для автоматизации регулярных задач ИТ имеет большой смысл для любых видов технологий. В данном рецепте мы построили простое подключение принтера чтобы вам не приходилось выполнять это вручную десятки раз на компьютерах, которым необходима возможность печатать на нём.
Большинство сетевых сред значительного размера применяют прямой прокси сервер (сервер посредник) для фильтрации своего обмена в Интернете. Это существенный ящик, который расположен рядом с передним краем всей корпоративной сетевой среды; всякий раз, когда компьютеры клиентов в сетевой среде пытаются получить доступ во всемирный Интернет, их запросы пересылаются через этот сервер. Выполнение этого позволяет компаниям отслеживать использование Интернета, ограничивать возможности просмотра и ставить в тупик большую часть вредоносного программного обеспечения. При реализации сервера прокси один из основных вопросов всегда это "Как мы можем заставить пользоваться данным прокси?" Некоторые решения делают маршрутом по умолчанию такой прокси сервер с тем, чтобы весь обмен осуществлялся таким образом на сетевом уровне. Более часто, однако, бывает желательным для подобного прокси сервера настраиваться только на уровне браузера, так как может оказаться невозможным всему обмену протекать через такой прокси; только веб обмен имеющихся браузеров должен делать это.
Применяя Групповую политику для настройки прокси вашего Internet Explorer, эта задача будет автоматической и не требовать обслуживания персоналом. Это также обеспечит то, чтобы пользователи не имели возможности манипулировать данными полями в дальнейшем и вы сможете быть уверенными, что ваш веб обмен протекает через имеющийся прокси сервер как вы это предопределили.
Наш GPO уже был создан; теперь мы применяем Консоль управления Групповой политикой в своём Контроллере домена Server 2016 для установки настроек внутри данного GPO. Компьютер клиента Windows 10 также ожидает своего применения, так как мы хотим проверить этот GPO по окончанию настройки.
Выполните следующие шаги для повсеместной настройки прокси Интернета через Групповую политику:
-
Внутри своей Консоли Group Policy Management кликните правой кнопкой по своему новому применяемому к этой задаче GPO, и кликните Edit….
-
Переместитесь в User Configuration | Preferences | Control Panel Settings | Internet Settings.
-
Кликните правой кнопкой по Network Options и выберите New | Internet Explorer 10.
Совет Вам может понадобиться создание множества политик здесь если вы применяете на своих рабочих местах множество версий Internet Explorer.
-
Вы обнаружите блок диалога, который выглядит в точности так же как обычные доступные в IE опции Internet. У вас здесь имеется возможность изменять многие из них, однако для наших текущих целей мы проследуем в закладку Connections.
-
Кликните по кнопке LAN settings.
-
Проверьте данный блок относительно Proxy server. Затем введите в поля Address Port значения для вашего конкретного сервера прокси.
-
Кликните OK и ваши настройки будут помещены на своё место.
-
Теперь зарегистрируйтесь на своём компьютере клиента и давайте посмотрим была ли успешно реализована информация данного прокси сервера. Запустим nternet Explorer и откроем Internet options.
-
переместитесь в закладку Connections и кликните по кнопке LAN settings чтобы убедиться что настройки вашего прокси сервера были подключены надлежащим образом. Также отметьте что они теперь затенены серым, что показывает вам что они были осуществлены Групповой политикой и не могут изменяться вручную.
Применение Групповой политики для назначения настроек Internet сервера прокси всем вашим клиентским компьютерам одним простым созданием GPO является другим примером лежащей в основе Групповой политики мощности. Такие возможности для централизованного администрирования присоединённых к вашему домену машин практически не имеют границ; вам только необходимо слегка углубиться и найти верное место внутри GPO для внесения изменений в свои настройки. Может быть у вас нет прокси сервера в сетевой среде и вам не требуется данный рецепт. Однако я призываю проделать обсуждавшиеся шаги и применить их к какой- либо используемой вами технологии. Я гарантирую, что любой работающий в ИТ найдёт внутри Групповой политики настройки, которые дадут ему преимущества! Пройдитесь по ним и отыщите то, что поможет вам сохранить время и средства!
До сих пор мы создавали GPO и помещали в них настройки, поэтому мы достаточно осведомлены о том, что происходит с каждой из наших политик. Во многих случаях, однако, вы входите в новую среду, которая содержит массу существующих политик и вам может понадобиться определить что происходит в этих политиках. У меня имеется множество случаев, когда я устанавливал новый сервер, подключал его, а он падал. Это не обязательно было крутое пике, однако некоторые компоненты не работали как следует, либо я не мог направлять к нему сетевой обмен по какой- либо из причин. Иногда подобное этому могло быть очень трудно отслеживаемым. Так как проблемы обнаруживались в процессе присоединения к домену, я делал предположение, что некоторый вид существующих GPO применялся к моему новому серверу и это имело для него отрицательное влияние. Давайте заглянем вовнутрь Групповой политики простейшим способом отображения настроек, которые содержатся в каждом GPO.
Для данного рецепта нам необходим только доступ к Консоли управления Групповой политикой, которую я планирую запустить на своём сервере контроллера домена Server 2016.
Для быстрого просмотра содержащихся внутри некоторого GPO настроек выполните следующие шаги:
-
В Контроллере домена откройте Диспетчер сервера и запустите Консоль Group Policy Management изнутри меню Tools (Средства).
-
Раскройте имя своего домена, затем зайдите в его папку Group Policy Objects. Она отобразит все настроенные на текущий момент в вашем домене GPO.
-
Кликните по одному из GPO чтобы вы могли наблюдать его разделы Links и Security Filtering в правой панели своего окна.
-
Теперь кликните по закладке Settings рядом с верхней частью.
-
Когда закладка Settings открыта, кликните по ссылке show all рядом с верхним краем. Это отобразит все имеющиеся настройки, установленные в данный момент внутри этого GPO.
В данном очень простом примере мы воспользовались Консолью управления Групповой политикой чтобы просмотреть текущие установки, настроенные внутри нашей GPO. Это может быть очень полезным для проверки в уже существующих настройках и для сравнения их с тем, что в действительности настроено на компьютерах клиентов. Просмотр этой информации также может помочь вам определить потенциальные проблемы, такие как двойные настройки разделённые на несколько GPO.
Просмотр содержащихся в GPO настроек может быть полезен в процессе поиска неисправностей, однако существует множество других инструментов, которые могут дополнительно применяться при обнаружении неисправностей Групповой политики. Вот пара ссылок чтобы помочь вам понять рекомендуемые процедуры поиска неисправностей Групповой политики:
Как только вы запустите Групповую политику распространять настройки по многим клиентским компьютерам, важной становится способность просматривать настройки и политики, которые были применены или наоборот, не применены, к конкретным компьютерам. К счастью, существует встроенная прямо в саму операционную систему Windows команда для отображения такой информации. Имеется множество различных переключателей, которые могут применяться вместе с этой командой, поэтому давайте исследуем некоторые из наиболее часто применяемых, которые я наблюдал используемыми администраторами сервера.
В настоящий момент у нас имеется ряд GPO; некоторые применены на верхнем уровне домена, а некоторые применяются только к конкретным Подразделениям (OU). Мы собираемся выполнить некоторые команды на своём веб сервере Server 2016 чтобы определить какие GPO были применены к нему, а какие нет.
Давайте воспользуемся командой
gpresult
для сбора некоторой информации о применённых к нашему серверу политиках:
-
Зарегистрируйтесь на своём веб сервере, либо на компьютере клиента, на котором вы желаете рассмотреть эти результаты и откройте приглашение командной строки с правами администратора.
-
Введите
gpresult /r
и нажмите Enter. Это отобразит все результирующие данные по каким- либо применённым, либо не применённым политикам в нашей системе. Вы можете пролистывать эту информацию для поиска нужных вам данных.
-
Теперь давайте слегка очистим эти данные. Например, только что полученный нами вывод имеет информацию об обеих политиках, и о политиках компьютеров, и о политиках пользователей. Теперь мы желаем отобразить только политики, применённые на уровне User. Пройдите далее воспользовавшись командой
gpresult /r /scope:user
.
Совет Вы можете применять либо переключатель
/SCOPE:USER
, либо переключатель/SCOPE:COMPUTER
чтобы просматривать определённые политики своих пользователей или компьютеров применённые в данной системе. -
А если вы не являетесь гигантским поклонником просмотра этих данных через командную строку, нечего бояться! Существует другой переключатель которым можно воспользоваться для экспорта данных в формат HTML. Попробуйте следующую команду:
gpresult /h c:\gpresult.html
. -
После выполнения этой команды просотрите свой диск
C:
и вы должны иметь там некоторый файл с именемgpresult.html
. Пройдите далее и откройте этот файл для просмотра данныхgpresult
в веб браузере с лучшим представлением и пониманием.
Команда gpresult
может применяться очень разнообразными способами
для отображения информации о том, какие объекты Групповой политики и настройки были применены к вашему
клиентскому компьютеру или серверу. Это может быть особенно полезно при попытках определить какие политики
были применены и может оказаться ещё более полезным, когда вы стараетесь выяснить почему определённая политика
не применилась. Если политика отклоняется из- за прав или полномочий, вы обнаружите это в выводе. Это вероятно
будет означать, что вам следует что- то отрегулировать в своих Links или Security Filtering чтобы позволить
данной политике успешно применяться к вашей машине. Однако, когда вы определили для себя воспользоваться этими
данными, не забудьте поупражняться с командой gpresult
и
ознакомиться с её результатами, раз уж вы собираетесь выполнять администрирование своей среды при помощи
Групповой политики.
Седует сделать ещё одно замечание о другой команде, которая очень часто применяется на практике. Подключённые
к домену Windows машины обрабатывают настройки Групповой политики всякий раз только через некоторое время;
по умолчанию они будут обновлять свои настройки и просматривать новые изменения политики каждые 90 минут. Если
вы создали или изменили политики и заметили, что они ещё не были применены к вашим оконечным компьютерам, вы
можете потусить пару часов и подождать применения этих изменений. Если вы желаете ускорить слегка данный процесс,
вы можете зарегистрироваться на таком оконечном компьютере, сервере или чём- то ещё, что должно принять эти
изменения и воспользоваться командой gpupdate /force
. Это заставит
данный компьютер повторно посетить Групповую политику и применить все изменения, которые там были осуществлены
для него. Когда мы делаем изменения на площадке и не хотим тратить много времени для ожидания естественного
осуществления их репликации, мы часто применяем gpupdate /force
множество раз, так как мы осуществляем изменения и проходим процесс проверки.
Я рекомендую предпочесть gpresult
для просмотра своих политик,
которые в настоящий момент применены к некоторому компьютеру с которым я работаю, однако это не
единственный способ. Вы также можете пожелать проверить RSOP.MSC
.
Это инструмент, который можно запустить чтобы просмотреть более визуально стимулированную версию применённых
к вашему компьютеру политик и настроек. Для ознакомления с подробностями, пройдите по следующей
ссылке:
как и в случае с любыми фрагментами данных в вашей организации, хорошей мыслью будет хранить резервные копии ваших GPO. Сохранение таких копий в отдельности от полного Контроллера домена или полной резервной копии Active Directory может иметь преимущества, так как оно делает возможным более быстрое восстановление конкретного GPO в случае внезапного удаления. Или, может так случиться, что вы обновите свой GPO, однако выполненные вами изменения теперь вызывают проблемы и вы бы хотели откатить эту политику обратно чтобы обеспечить её настроенной так, как это было вчера. Какой бы ни была причина резервного копирования и восстановления GPO, давайте рассмотрим пару способов выполнения каждой из задач. Мы воспользуемся своей Консолью управления Групповой политикой для осуществления этих функций, а также выясним как выполнять те же самые резервное копирование и восстановление при помощи PowerShell.
Мы намереваемся выполнить эти задачи в контроллере домена Windows Server 2016 в нашей среде. Мы воспользуемся и Консолью управления Групповой политикой, и командной строкой PowerShell.
В нашем домене имеется GPO с названием Map Network
Drives
. Вначале мы воспользуемся Консолью управления Групповой политикой для резервного
копирования и восстановления этого GPO:
-
В меню Диспетчера сервера Tools (Средства) откройте Консоль Group Policy Management.
-
Переместитесь в Forest | Domains | Your Domain Name | Group Policy Objects.
-
Если мы желаете выполнить резервную копию отдельного GPO, вы просто кликаете правой кнопкой по такому конкретному GPO и выбираете Back Up…. В противном случае, может оказаться для нас более практичным осуществить резервное копирование всего набора GPO. Чтобы сделать это, кликните правой кнопкой по папке Group Policy Objects и затем выберите Back Up All….
-
Определите местоположение, куда вы хотите сохранять свои резервные копии и сделайте описание для такого набора резервной копии. Затем кликните Back Up.
-
Когда процесс резервного копирования завершится, вы должны обнаружить состояние того, сколько GPO было резервно скопировано.
Теперь давайте попробуем выполнить то же самое полное резервное копирование GPO, однако на этот раз применим PowerShell:
-
Откройте приглашение PowerShell с правами администратора.
-
Воспользуйтесь следующей командой:
Backup-GPO -Path C:\GPO_Backups_PowerShell -All
Теперь у нас имеется полная резервная копия всех GPO, давайте попробуем восстановить GPO c названием
Map Network Drives
.
-
Переместитесь обратно в Консоль Group Policy Management и отыщите в ней папку Group Policy Objects. То же самое местоположение вы использовали для резервного копирования минуту назад.
-
Кликните правой кнопкой по своему GPO
Map Network Drives
и выберите Restore from Backup….
-
Кликните Next и определите папку, в которой сохранены ваши файлы резервных копий. Затем вновь кликните кнопку Next.
-
Поскольку резервная копия вашего GPO
Map Network Drives
присутствует в данной папке, вы обнаружите её в своём мастере. Выберите этот GPO и кликните Next.
-
Кликните Finish и ваш GPO будет восстановлен в своё предыдущее состояние.
Теперь мы восстановим тот же самый GPO Map Network
Drives
, но на этот раз применим PowerShell следующим образом:
-
Проследуйте в приглашение PowerShell с правами администратора.
-
Воспользуйтесь следующей командой для восстановления предыдущей версии данного GPO из его резервной копии, которую мы создали ранее:
Restore-GPO -Name "Map Network Drives" -Path C:\GPO_Backups_PowerShell
Совет Вместо того, чтобы набирать в данной команде название требуемого GPO, вы можете вместо этого определить GUID данной политики. Хотя это значение обычно и немного длиннее самого имени, именно такую тенденцию я наблюдаю более предпочитаемой администраторами для применения именования своей политики. Например, GUID нашего GPO
Map Network Drives
имеет значение77eed750-de8e-44e9-9649-96cab2f2abdc
.
Резервное копирование и восстановление GPO является обычной задачей всякого администратора Active Directory и Групповой политики. В данном рецепте мы прошли через каждый из этих процессов, применив пару различных инструментов для каждой из процедур. Консоль управления Групповой политикой прекрасна благодаря своему графическому интерфейсу и простоте просмотра доступных вам параметров. Однако, зачастую PowerShell является более предпочтительным, так как он может быть автоматизирован (подумайте о резервном копировании по расписанию). Он также предоставляет средства удалённого исполнения таких команд с другой машины внутри вашей сетевой среды.
Вот некоторые ссылки, для более расширенной информации о cmdlet PowerShell, которые мы применяли в данном рецепте:
Иногда вы можете обнаруживать себя в том положении, что вы следуете руководству по установке или определённой статье, которые определяют вам инструкции для настройки определённых свойств внутри некоторого GPO. Однако, когда для вас наступает время взглянуть на эти опции, они отсутствуют. Как это возможно, если документация отчётливо показывает что данные опции присутствуют внутри Групповой политики. Существует магия файлов ADMX и ADML. Многие настойки и установки имеются внутри Групповой политики прямо в основной поставке, однако некоторые технологии строятся дополнительных установках или полях внутри GPO, которые по умолчанию отсутствуют. Когда такое происходит, подобные технологии будут содержать файлы, которые могут быть помещены вовнутрь вашего Контроллера домена. Эти файлы затем автоматически импортируются Групповой политикой, а их установки затем возникнут в обычных инструментах изменения GPO. Наиболее коварной частью в выполнении этого заключается в выяснении того, где же должны находится файлы ADMX и ADML чтобы они были видны и могли импортироваться Групповой политикой. Давайте выведем это вместе.
Я постоянно выполняю это при настройке Active Directory. Имеются специализированные инструменты,
которые вы можете установит на своём компьютере Windows 7 которые сообщат вам некоторую информацию о соединении
DirectAccess, однако эти инструменты необходимо настраивать через GPO. Проблема же состоит в том, что эти
установки по умолчанию отсутствуют внутри Групповой политики. Поэтому Microsoft включил в файлы этих загружаемых
инструментов файлы ADMХ и ADMLX, причём оба должны быть подключены к Групповой политике. Мы уже загрузили этот
инструмент с названием Ассистент связей DirectAccess (DirectAccess Connectivity Assistant) и у меня имеются
файлы ADMХ и ADMLX, расположенные на жёстком диске моего контроллера домена. Работа, которую нам необходимо
осуществить, будет выполняться на данном контроллере домена
DC1
.
Чтобы поместить настройки из файлов ADMХ и ADMLX в Групповую политику, выполните следующее:
-
Скопируйте файл ADMX в
C:\Windows\PolicyDefinitions
в своём контроллере домена, в моём случае имя файлаDirectAccess_Connectivity_Assistant_2_0_GP.admx
. -
Скопируйте файл ADML в
C:\Windows\PolicyDefinitions\en-US
в своём контроллере домена, в моём случае имя файлаDirectAccess_Connectivity_Assistant_2_0_GP.adml
.
-
Теперь просто откройте внутри Диспетчера сервера Group Policy Management Console.
-
Изменит тот GPO, который вам нужно при помощи данных новых установок, и вы можете обнаружить некоторые совершенно новые доступные нам установки внутри, которых не было пять минут назад! Эти установки отображены для нас внутри Computer Configuration | Policies | Administrative Templates.
Вы можете импортировать новы опции установок и настроек в Групповую политику взяв файлы ADMХ и ADMLX и
поместив их в надлежащие папки своего сервера контроллера домена. То, по чему мы только что прошлись,
является примером того, как осуществлять данную задачу в отдельном контроллере домена, однако что произойдёт,
если в вашей среде имеется множество контроллеров домена? Должны ли вы копировать эти файлы на каждый сервер?
Нет, это не тот способ, о котором вы должны позаботиться. В среде, которая имеет множество контроллеров
домена, вместо этого, файлы ADMХ и ADMLX должны быть размещены внутри чего- то с названием Active Directory
Central Store (Центральное хранилище Active Directory). Вместо того, чтобы копировать файлы ADMХ и ADMLX
в их местоположение на диске C:
, откройте File Explorer и переместитесь в
\\<DOMAIN_NAME>\SYSVOL\<DOMAIN_NAME>\Policies\PolicyDefinitions
.
Это местоположение Центрального хранилища будет реплицировано на все ваши контроллеры домена. Просто
поместите необходимые файлы здесь вместо своего локального диска, и ваши новые установки станут затем
доступными внутри консоли Групповой политики в ваших контроллерах домена.