Глава 9. Групповая политика

Групповая политика (Group Policy) является централизованным инструментом администрирования для ваших подключённых к домену систем. Для суммирования её возможностей вы можете создавать политики в Active Directory, назначая эти политики определённым пользователям или компьютерам и в рамках этих политик изменять любое число установок или настроек, которые располагаются внутри операционной системы Windows. Сам элемент внутри Active Directory, который содержит эти установки называется GPO (Group Policy Object, объектом Групповой политики), поэтому мы сосредоточимся на создании и манипуляции им для принятия некоторых централизованных решений по управлению, которые окажут воздействие на большое число компьютеров в нашей среде. GPO могут применяться для учётных записей пользователей, установок компьютеров клиентов, или для размещения настроек на ваши серверы. Любая подключённая к домену система может управляться через GPO, а обычные настройки размещаемые на своих местах посредством GPO не могут изменяться пользователями, что делает их неотъемлемой частью системы безопасности для компаний, освоивших применение Групповой политики на постоянной основе.

Мы разместим ряд различных установок настроек внутри конкретных GPO которые мы создадим на протяжении данной главы, однако мы не будем приближаться к охвату даже и части всех доступных установок, с которыми можно обращаться. Для полного рассмотрения доступных настроек групповой политики ознакомьтесь, пожалуйста со следующей ссылкой: http://www.microsoft.com/en-us/download/details.aspx?id=25250.

Чтобы начать применение Групповой политики, нам вначале необходимо создать объект Групповой политики. Обычно мы будем называть его GPO и этот объект содержит все настройки которые мы хотим развёртывать. Он также содержит информацию, необходимую для присоединённых к домену систем чтобы знать какие машины и пользователи получат эти установки, а какие нет. Критически важно тщательное планирование назначений GPO. Легко создать политику, которая будет применена ко всем подключённым к домену системам во всей вашей сетевой среде, однако, в зависимости от того какие установки вы настраиваете в данной политике, они могут оказаться пагубными для ваших серверов. Я часто обнаруживаю, что администраторы, которые только- только начали знакомиться с Групповой политикой применяют встроенную GPO именуемую Политикой домена по умолчанию (Default Domain Policy). Она по умолчанию применяется ко всему в вашей сетевой среде. Иногда это в действительности то что вы хотите осуществить. Но в подавляющем большинстве случаев это не так!

Мы намереваемся воспользоваться данным разделом для детализации самого процесса создания новой GPO и применить ряд секций назначений, называемых Links (Ссылками) и Security Filters (Фильтрами безопасности), которые предоставят нам полный контроль над тем, какие системы получат эти объекты и, что более существенно, какие нет.

Наша текущая работа будет выполняться в сервере контроллера домена Server 2016. Если у вас исполняется роль Служб домена (Domain Services), у вас уже имеются установленными определённые элементы, которые необходимы для управления Групповой политикой.

Наш новый GPO теперь привязан к Подразделению (OU) US Laptops, поэтому, на данном уровне, все помещаемые в данное Подразделение системы будут получать данные установки, если только мы не спарим их со следующим шагом в своём разделе Фильтрации безопасности. Так как мы наполнили его только одним именем своей конкретной группы Sales Group, это означает, что такая новая политика соответствия дисков будет применяться только к тем пользователям, которые добавляются в данную группу.

В примере нашего рецепта мы создали новый объект Групповой политики и выполнили необходимые шаги чтобы ограничить этот GPO на те компьютеры и тех пользователей, которых мы полагаем находящимися внутри нашего домена. Каждая сетевая среда имеет свои отличия, и вы можете найти для себя достаточным только определённых Links чтобы сохранять GPO отсортированным для соответствия своим потребностям, либо же вам может потребоваться выполнить усиление такой фильтрации некоторой комбинацией Links и Security Filtering. В любом случае, сколь ни тщательно бы вы выполнили эту работу, убедитесь ещё раз с настройками данных полей, что у вас нет и тени сомнения в том, к кому будет применён этот GPO. Вы можете заметить в данном рецепте, что мы на самом деле не настраивали никакие установки внутри самого GPO, поэтому на данный момент он всё ещё ничего не выполняет ничего с членами Sales Group. Продолжайте чтение для перемещения к реальной части установок Групповой политики.

Почти все применяют соответствия дисков для некоторого удобства в своих средах. Создание соответствий дисков вручную как часть начальной настройки нового пользователя громоздко и необходимо. Оно также работает таким образом, что возможно будет дублироваться, так как пользователи в дальнейшем перемещаются с одного компьютера на другой. Если мы воспользуемся групповой политикой для централизации создания таких соответствий дисков, мы сможем гарантировать, что одни и те же пользователи будут получать одни и те же дисковые соответствия где бы в сети они не находились. Если выполнить планирование аккуратно, вы можете включить такое соответствие чтобы оно возникало повсеместно в вашей сетевой среде для любой подключаемой к домену системы при простой регистрации пользователя, причём в точности так, как он всегда это делает. Это хороший, несложный пример первой задачи для её выполнения в рамках Групповой политики с тем, чтобы окунуть наши ноги и научиться чему- то что может быть полезным для вашей организации.

Мы применяем некий контроллер домена Server 2016 в своей среде чтобы создать и настроить такой объект Групповой политики. Мы также предполагаем, что у вас для данной задачи уже создан новый GPO, который был настроен для Links и Security Filtering.

Чтобы создать некоторое сопоставление дисков в Групповой политике:

Существует ряд различных способов которым можно автоматически осуществлять выполнения соотнесения дисков, которое будет автоматически выполняться в среде Windows, и данный рецепт сейчас отобразил один из самых простых вариантов исполнения данной задачи. Применяя Групповую политику для автоматизации создания нашего соответствия сетевых дисков, мы можем административно централизовать данную задачу и удалить создание загрузки такого соответствия дисков из нашего процесса службы технической поддержки.

Пользователи приучены сохранять документы, фотографии и прочее в их папке Documents или My Documents, так как это то место где они чувствуют себя дома. При работе в офисном компьютере над своими заданиями, также естественна тенденция сохранять это в локальной папке Documents. Обычно это нежелательное поведение, так как резервное копирование папок документов всего персонала индивидуальным образом было бы ночным кошмаром администраторов. Поэтому более распространённым решением такой проблемы является предоставление каждому соответствующего сетевого диска и обучение пользователей сохранению документов в таких перенаправляемых устройствах. Это хорошо в теории, но сложно осуществлять на практике. Поскольку пользователи всё ещё имеют возможность сохранять документы в своей локальной папке My Documents, имеется хорошая возможность того, чтобы они сохраняли там по крайней мере некотороые вещи, вероятно, не осознавая этого.

Данный рецепт является быстрым изменением Групповой политикой, которое можно выполнить для папки My Documents на подключённых к вашему домену компьютерах с тем, чтобы перенаправить их на совместно используемые сетевые ресурсы. Таким образом, если все пользователи выполняют сохранение в My Documents, эти документы будут записываться в файловый сервер, куда вы их перенаправили.

Мы настроим свою новую GPO в контроллере домена Server 2016.

Выполните следующие шаги чтобы перенаправить папку My Documents при помощи Групповой политики:

Перенаправление My Documents всех пользователей для автоматического сохранения на централизованном файловом сервере легко изменяется при помощи Групповой политики. Вы можете даже объединять эту настройку с другой, которая приводит соответствие сетевых дисков, затем просто определять буквенный диск в своей настройке перенаправления документов вместо того, чтобы набирать некоторого UNC, который может потенциально измениться в дальнейшем. Однако, раз вы решили настроить его в своей среде, я гарантирую, что применение этой настройки будет иметь результатом более централизованное администрирование ваших данных и меньше потерь файлов вашими пользователями.

Если у вас ранее административная или техническая поддержка решения связи VPN, вы скорее всего не насловах знакомы с настройкой профилей соединений VPN на компьютерах клиентов. В некоторой среде, в которой VPN применяется в качестве решения удалённого доступа, то что я зачастую наблюдаю, так это то, что такой процесс создания профиля VPN обычно проходится вручную, что требует человеческих рук с последующей первой регистрацией в данном компьютере пользователя. Это не эффективно и легко забывается. При наличии присутствующих в вашем Windows Server 2016 инструментах, вы можете автоматизировать создание таких соединений VPN на клиентских компьютерах. Давайте применим Групповую политику для создания таких профилей для нас в процессе регистрации пользователя.

Мы воспользуемся контроллером домена Server 2016 для настройки своего нового объекта Групповой политики. После завершения мы также воспользуемся компьютером клиента с WIndows 10 для регистрации и проверки успешности создания своего профиля VPN. Для данного рецепта мы собираемся сделать предположение, что создали требуемый GPO и настроили связи, а также выполнили фильтрацию в соответствии со своими потребностями прежде чем приступить к реальной настройке такого GPO.

Выполните следующие шаги настройки GPO который будет автоматически создавать некий профиль соединения VPN на ваших компьютерах удалённого клиента:

В данном рецепте мы воспользовались Групповой политикой для автоматизации создания некоторого нового VPN соединения для нашего удалённого ноутбука. Применение GPO для чего- то подобного этому сохраняет время и усилия, так как вам больше не нужно настраивать эти соединения вручную в процессе построения нового ПК. Вы можете также использовать эту функцию для обновления существующих настроек VPN в дальнейшем если вам понадобится изменить IP адреса или что- нибудь подобное. Как вы можете начать понимать по ходу данного рецепта, существует множество различных вещей, которые можно осуществлять при помощи Групповой политики.

Давайте предположим, что вы только что установили новый сетевой принтер в своём офисе. Вы выполнили настройку на нескольких компьютерах чтобы убедиться в том, что он работает надлежащим образом, однако теперь вы запускаете ряд за рядом компьютеры, которые хотели бы по возможности также печатать на этом принтере. Перспектива регистрации на каждом компьютере для запуска и прохода мастера создания принтера целиком не выглядит как тот способ, которым вы желаете провести свою ночь пятницы. Давайте снова рассмотрим что мы можем сделать при помощи Групповой политики для сохранения своего времени. Мы воспользуемся некоторым новым GPO который будет настроен на автоматическую установку такого нового принтера на всех рабочих местах клиентов.

Мы предполагаем, что вы уже создали свой новый GPO и подключили его соответственно с тем, чтобы только те компьютеры, которым требуется такой новый принтер, могли получать такие новые настройки GPO. Теперь мы собираемся воспользоваться Консолью управления Групповой политикой в своём первичном контроллере домена, который работает под управлением Windows Server 2016.

Чтобы настроить ваш новый GPO на создание нового принтера выполните следующие шаги:

Применение Групповой политики для автоматизации регулярных задач ИТ имеет большой смысл для любых видов технологий. В данном рецепте мы построили простое подключение принтера чтобы вам не приходилось выполнять это вручную десятки раз на компьютерах, которым необходима возможность печатать на нём.

Большинство сетевых сред значительного размера применяют прямой прокси сервер (сервер посредник) для фильтрации своего обмена в Интернете. Это существенный ящик, который расположен рядом с передним краем всей корпоративной сетевой среды; всякий раз, когда компьютеры клиентов в сетевой среде пытаются получить доступ во всемирный Интернет, их запросы пересылаются через этот сервер. Выполнение этого позволяет компаниям отслеживать использование Интернета, ограничивать возможности просмотра и ставить в тупик большую часть вредоносного программного обеспечения. При реализации сервера прокси один из основных вопросов всегда это "Как мы можем заставить пользоваться данным прокси?" Некоторые решения делают маршрутом по умолчанию такой прокси сервер с тем, чтобы весь обмен осуществлялся таким образом на сетевом уровне. Более часто, однако, бывает желательным для подобного прокси сервера настраиваться только на уровне браузера, так как может оказаться невозможным всему обмену протекать через такой прокси; только веб обмен имеющихся браузеров должен делать это.

Применяя Групповую политику для настройки прокси вашего Internet Explorer, эта задача будет автоматической и не требовать обслуживания персоналом. Это также обеспечит то, чтобы пользователи не имели возможности манипулировать данными полями в дальнейшем и вы сможете быть уверенными, что ваш веб обмен протекает через имеющийся прокси сервер как вы это предопределили.

Наш GPO уже был создан; теперь мы применяем Консоль управления Групповой политикой в своём Контроллере домена Server 2016 для установки настроек внутри данного GPO. Компьютер клиента Windows 10 также ожидает своего применения, так как мы хотим проверить этот GPO по окончанию настройки.

Выполните следующие шаги для повсеместной настройки прокси Интернета через Групповую политику:

Применение Групповой политики для назначения настроек Internet сервера прокси всем вашим клиентским компьютерам одним простым созданием GPO является другим примером лежащей в основе Групповой политики мощности. Такие возможности для централизованного администрирования присоединённых к вашему домену машин практически не имеют границ; вам только необходимо слегка углубиться и найти верное место внутри GPO для внесения изменений в свои настройки. Может быть у вас нет прокси сервера в сетевой среде и вам не требуется данный рецепт. Однако я призываю проделать обсуждавшиеся шаги и применить их к какой- либо используемой вами технологии. Я гарантирую, что любой работающий в ИТ найдёт внутри Групповой политики настройки, которые дадут ему преимущества! Пройдитесь по ним и отыщите то, что поможет вам сохранить время и средства!

До сих пор мы создавали GPO и помещали в них настройки, поэтому мы достаточно осведомлены о том, что происходит с каждой из наших политик. Во многих случаях, однако, вы входите в новую среду, которая содержит массу существующих политик и вам может понадобиться определить что происходит в этих политиках. У меня имеется множество случаев, когда я устанавливал новый сервер, подключал его, а он падал. Это не обязательно было крутое пике, однако некоторые компоненты не работали как следует, либо я не мог направлять к нему сетевой обмен по какой- либо из причин. Иногда подобное этому могло быть очень трудно отслеживаемым. Так как проблемы обнаруживались в процессе присоединения к домену, я делал предположение, что некоторый вид существующих GPO применялся к моему новому серверу и это имело для него отрицательное влияние. Давайте заглянем вовнутрь Групповой политики простейшим способом отображения настроек, которые содержатся в каждом GPO.

Для данного рецепта нам необходим только доступ к Консоли управления Групповой политикой, которую я планирую запустить на своём сервере контроллера домена Server 2016.

Для быстрого просмотра содержащихся внутри некоторого GPO настроек выполните следующие шаги:

В данном очень простом примере мы воспользовались Консолью управления Групповой политикой чтобы просмотреть текущие установки, настроенные внутри нашей GPO. Это может быть очень полезным для проверки в уже существующих настройках и для сравнения их с тем, что в действительности настроено на компьютерах клиентов. Просмотр этой информации также может помочь вам определить потенциальные проблемы, такие как двойные настройки разделённые на несколько GPO.

Просмотр содержащихся в GPO настроек может быть полезен в процессе поиска неисправностей, однако существует множество других инструментов, которые могут дополнительно применяться при обнаружении неисправностей Групповой политики. Вот пара ссылок чтобы помочь вам понять рекомендуемые процедуры поиска неисправностей Групповой политики:

Как только вы запустите Групповую политику распространять настройки по многим клиентским компьютерам, важной становится способность просматривать настройки и политики, которые были применены или наоборот, не применены, к конкретным компьютерам. К счастью, существует встроенная прямо в саму операционную систему Windows команда для отображения такой информации. Имеется множество различных переключателей, которые могут применяться вместе с этой командой, поэтому давайте исследуем некоторые из наиболее часто применяемых, которые я наблюдал используемыми администраторами сервера.

В настоящий момент у нас имеется ряд GPO; некоторые применены на верхнем уровне домена, а некоторые применяются только к конкретным Подразделениям (OU). Мы собираемся выполнить некоторые команды на своём веб сервере Server 2016 чтобы определить какие GPO были применены к нему, а какие нет.

Давайте воспользуемся командой gpresult для сбора некоторой информации о применённых к нашему серверу политиках:

Команда gpresult может применяться очень разнообразными способами для отображения информации о том, какие объекты Групповой политики и настройки были применены к вашему клиентскому компьютеру или серверу. Это может быть особенно полезно при попытках определить какие политики были применены и может оказаться ещё более полезным, когда вы стараетесь выяснить почему определённая политика не применилась. Если политика отклоняется из- за прав или полномочий, вы обнаружите это в выводе. Это вероятно будет означать, что вам следует что- то отрегулировать в своих Links или Security Filtering чтобы позволить данной политике успешно применяться к вашей машине. Однако, когда вы определили для себя воспользоваться этими данными, не забудьте поупражняться с командой gpresult и ознакомиться с её результатами, раз уж вы собираетесь выполнять администрирование своей среды при помощи Групповой политики.

Седует сделать ещё одно замечание о другой команде, которая очень часто применяется на практике. Подключённые к домену Windows машины обрабатывают настройки Групповой политики всякий раз только через некоторое время; по умолчанию они будут обновлять свои настройки и просматривать новые изменения политики каждые 90 минут. Если вы создали или изменили политики и заметили, что они ещё не были применены к вашим оконечным компьютерам, вы можете потусить пару часов и подождать применения этих изменений. Если вы желаете ускорить слегка данный процесс, вы можете зарегистрироваться на таком оконечном компьютере, сервере или чём- то ещё, что должно принять эти изменения и воспользоваться командой gpupdate /force. Это заставит данный компьютер повторно посетить Групповую политику и применить все изменения, которые там были осуществлены для него. Когда мы делаем изменения на площадке и не хотим тратить много времени для ожидания естественного осуществления их репликации, мы часто применяем gpupdate /force множество раз, так как мы осуществляем изменения и проходим процесс проверки.

Я рекомендую предпочесть gpresult для просмотра своих политик, которые в настоящий момент применены к некоторому компьютеру с которым я работаю, однако это не единственный способ. Вы также можете пожелать проверить RSOP.MSC. Это инструмент, который можно запустить чтобы просмотреть более визуально стимулированную версию применённых к вашему компьютеру политик и настроек. Для ознакомления с подробностями, пройдите по следующей ссылке:

как и в случае с любыми фрагментами данных в вашей организации, хорошей мыслью будет хранить резервные копии ваших GPO. Сохранение таких копий в отдельности от полного Контроллера домена или полной резервной копии Active Directory может иметь преимущества, так как оно делает возможным более быстрое восстановление конкретного GPO в случае внезапного удаления. Или, может так случиться, что вы обновите свой GPO, однако выполненные вами изменения теперь вызывают проблемы и вы бы хотели откатить эту политику обратно чтобы обеспечить её настроенной так, как это было вчера. Какой бы ни была причина резервного копирования и восстановления GPO, давайте рассмотрим пару способов выполнения каждой из задач. Мы воспользуемся своей Консолью управления Групповой политикой для осуществления этих функций, а также выясним как выполнять те же самые резервное копирование и восстановление при помощи PowerShell.

Мы намереваемся выполнить эти задачи в контроллере домена Windows Server 2016 в нашей среде. Мы воспользуемся и Консолью управления Групповой политикой, и командной строкой PowerShell.

В нашем домене имеется GPO с названием Map Network Drives. Вначале мы воспользуемся Консолью управления Групповой политикой для резервного копирования и восстановления этого GPO:

Теперь давайте попробуем выполнить то же самое полное резервное копирование GPO, однако на этот раз применим PowerShell:

Теперь у нас имеется полная резервная копия всех GPO, давайте попробуем восстановить GPO c названием Map Network Drives.

Теперь мы восстановим тот же самый GPO Map Network Drives, но на этот раз применим PowerShell следующим образом:

Резервное копирование и восстановление GPO является обычной задачей всякого администратора Active Directory и Групповой политики. В данном рецепте мы прошли через каждый из этих процессов, применив пару различных инструментов для каждой из процедур. Консоль управления Групповой политикой прекрасна благодаря своему графическому интерфейсу и простоте просмотра доступных вам параметров. Однако, зачастую PowerShell является более предпочтительным, так как он может быть автоматизирован (подумайте о резервном копировании по расписанию). Он также предоставляет средства удалённого исполнения таких команд с другой машины внутри вашей сетевой среды.

Вот некоторые ссылки, для более расширенной информации о cmdlet PowerShell, которые мы применяли в данном рецепте:

Иногда вы можете обнаруживать себя в том положении, что вы следуете руководству по установке или определённой статье, которые определяют вам инструкции для настройки определённых свойств внутри некоторого GPO. Однако, когда для вас наступает время взглянуть на эти опции, они отсутствуют. Как это возможно, если документация отчётливо показывает что данные опции присутствуют внутри Групповой политики. Существует магия файлов ADMX и ADML. Многие настойки и установки имеются внутри Групповой политики прямо в основной поставке, однако некоторые технологии строятся дополнительных установках или полях внутри GPO, которые по умолчанию отсутствуют. Когда такое происходит, подобные технологии будут содержать файлы, которые могут быть помещены вовнутрь вашего Контроллера домена. Эти файлы затем автоматически импортируются Групповой политикой, а их установки затем возникнут в обычных инструментах изменения GPO. Наиболее коварной частью в выполнении этого заключается в выяснении того, где же должны находится файлы ADMX и ADML чтобы они были видны и могли импортироваться Групповой политикой. Давайте выведем это вместе.

Я постоянно выполняю это при настройке Active Directory. Имеются специализированные инструменты, которые вы можете установит на своём компьютере Windows 7 которые сообщат вам некоторую информацию о соединении DirectAccess, однако эти инструменты необходимо настраивать через GPO. Проблема же состоит в том, что эти установки по умолчанию отсутствуют внутри Групповой политики. Поэтому Microsoft включил в файлы этих загружаемых инструментов файлы ADMХ и ADMLX, причём оба должны быть подключены к Групповой политике. Мы уже загрузили этот инструмент с названием Ассистент связей DirectAccess (DirectAccess Connectivity Assistant) и у меня имеются файлы ADMХ и ADMLX, расположенные на жёстком диске моего контроллера домена. Работа, которую нам необходимо осуществить, будет выполняться на данном контроллере домена DC1.

Чтобы поместить настройки из файлов ADMХ и ADMLX в Групповую политику, выполните следующее:

Вы можете импортировать новы опции установок и настроек в Групповую политику взяв файлы ADMХ и ADMLX и поместив их в надлежащие папки своего сервера контроллера домена. То, по чему мы только что прошлись, является примером того, как осуществлять данную задачу в отдельном контроллере домена, однако что произойдёт, если в вашей среде имеется множество контроллеров домена? Должны ли вы копировать эти файлы на каждый сервер? Нет, это не тот способ, о котором вы должны позаботиться. В среде, которая имеет множество контроллеров домена, вместо этого, файлы ADMХ и ADMLX должны быть размещены внутри чего- то с названием Active Directory Central Store (Центральное хранилище Active Directory). Вместо того, чтобы копировать файлы ADMХ и ADMLX в их местоположение на диске C:, откройте File Explorer и переместитесь в \\<DOMAIN_NAME>\SYSVOL\<DOMAIN_NAME>\Policies\PolicyDefinitions. Это местоположение Центрального хранилища будет реплицировано на все ваши контроллеры домена. Просто поместите необходимые файлы здесь вместо своего локального диска, и ваши новые установки станут затем доступными внутри консоли Групповой политики в ваших контроллерах домена.