Cunoștințe, prelegere, utilizarea politicii de grup pentru gestionarea mașinilor client și server

Fundamentele politicii de grup

În tabel. 13.1 arată modul de utilizare a diferitelor caracteristici ale politicii de grup. enumerate în ordinea în care sunt prezentate în modulul snap-in MMC GPOE (Editor de obiecte pentru politica de grup). Mai jos, în această prelegere, vom examina fiecare extensie a politicii de grup.

Politica de grup acționează prin aplicarea setărilor de configurare stocate în obiectul Group Policy (GPO) care se asociază cu obiectul Active Directory pe care l-ați selectat. Un GPO este un set salvat de Setări de politică de grup. care nu numai să configureze computerele client și server, ci și să specifice softul pentru utilizatori. folderele redirecționate, fișierele și folderele pentru utilizare offline, profilurile utilizatorilor (atunci când se mișcă) - un total de câteva sute de opțiuni. Obiectele GPO vă permit să gestionați centralizat computerele și utilizatorii în funcție de locația lor în structura Active Directory. de exemplu, într-un domeniu sau într-o unitate organizațională (OU), precum și locul în care se află entitățile GPO obligatorii în această structură.

Tabelul 13.1. Instrumentele politicii de grup folosite pentru a gestiona

Instrumentul pentru politica de grup

Pentru a începe crearea de GPO-uri. trebuie să cunoașteți bine structura Active Directory. inclusiv locația în această structură de utilizatori și calculatoare pe care doriți să o gestionați.

Politica de grup acționează după cum urmează: de fiecare dată când reporniți, conectați sau impuneți manual o actualizare a politicii de grup utilizând Politica de grup, setările tuturor GPO-urilor sunt aplicate utilizatorului sau calculatorului. Fiecare setare în GPO este evaluată de computerele țintă, ținând seama de structura ierarhică a Active Directory. așa cum este descris în secțiunea "Prelucrarea și moștenirea atunci când se utilizează Politica de grup" de mai jos.

Toate setările politicii de grup din extensia de politică Grup de șabloane de administrare sunt de fapt scrise în cheile de registry speciale pentru Politica de grup. Pentru setările configurate în altă parte, utilizând modulul snap-in GPOE (de exemplu, Instalare de software, Setări de securitate sau Scripturi), se utilizează diferite metode de utilizare a acestora. Folosind GPOE, puteți seta registrul mașinii, specificați calea din rețea la resurse partajate de pe server sau încărcați automat software-ul. și așa mai departe. - toate acestea dintr-o singură interfață de gestionare, care aplică automat aceste setări în conformitate cu un program regulat. Folosind Consola de Gestiune a Polițelor de Grup (GPMC) gratuită, puteți gestiona centralizat toate aspectele politicii de grup. inclusiv crearea de GPO-uri. obligatorii obiecte GPO. delegarea gestionării politicii de grup și adăugarea de scripturi incluse în politica de grup, cu excepția configurației specifice a GPO-urilor. Dar puteți chiar să executați un GPOE de la GPMC selectând un obiect GPO și apoi selectând comanda Edit.

GPO-uri multiple pot fi atașate la un singur site, domeniu sau OU, iar un GPO poate fi atașat la orice număr de site-uri, domenii sau OU-uri. Se alăture GPO-urilor la site-uri, domenii sau OU Active Directory. puteți seta setările politicii de grup pentru orice parte dorită a organizației. Cu alte cuvinte, puteți crea un obiect GPO. care controlează fiecare computer și fiecare utilizator al companiei dvs. sau creează un GPO pentru fiecare OU, pentru a specifica diferite configurații pentru fiecare dintre aceste OU-uri. În plus, puteți face ambele, iar aplicația va avea loc în funcție de ierarhia Active Directory. Pentru a utiliza aceste caracteristici de politică de grup pentru a înlocui setările, consultați secțiunea "Prelucrarea și moștenirea atunci când utilizați politica de grup" de mai jos.

Setările descrise în fișierul de ajutor

Cerințe pentru utilizarea politicii de grup

Deoarece politica de grup funcționează cu nume de domenii (FQDN), apoi pentru procesarea politică de grup corespunzătoare în DNS pădure trebuie să acționeze, nu numai NetBIOS. În plus, deoarece calculatoarele client sau țintă ar trebui să trimită un semnal de ping către controlorii de domeniu din rețea, nu dezactivați protocolul ICMP. Dacă computerele vizate nu pot face acest lucru, procesul de procesare a grupului nu este efectuat.

Pentru a utiliza Politica de grup, trebuie să utilizați Active Directory. Puteți utiliza Politica de grup pentru a gestiona serverele și computerele client; de fapt, Politica de grup conține multe setări legate de computerele de servere. Dacă nu ați configurat structura Active Directory, nu puteți utiliza cele mai multe dintre instrumentele asociate cu Politica de grup (deși puteți configura obiectul politică de grup local, separat pentru fiecare mașină), și absolut nu se poate utiliza Politica de grup pentru calculator centralizat și de gestionare a utilizatorilor .

Implementarea politicii de grup trebuie să se bazeze neapărat pe structura directorului dvs. Active Directory, în special în ceea ce privește localizarea geografică a site-urilor și locația fizică a controlorilor de domeniu. În special, viteza de replicare trebuie luată în considerare, deoarece GPO complexe pot fi foarte mari. Cu alte cuvinte, nu încercați să utilizați un GPO pentru rețele dispersate din punct de vedere geografic. Planul de politică de grup în mod corespunzător, care este, de a crea un nou GPO pentru fiecare unitate organizațională (OU) într-un domeniu care se întinde pe mai multe site-uri, sau copia GPO la site-uri de la distanță, domenii, și OU utilizând Group Policy Management Console (GPMC).

Numai administratorii de domenii sau de companii pot crea și atașa obiecte GPO. Deși puteți delega această sarcină altor utilizatori. Pentru mai multe informații despre delegarea sarcinilor politicii de grup, consultați secțiunea "Delegarea gestionării politicii de grup" de mai jos.

Poate că credeți (sau ați auzit) că gestionarea politicii de grup este dificilă, ceea ce este ciudat pentru instrumentul care este instrumentul de management! Deși Politica de grup poate salva o mulțime de timp și efort, permițându-vă să configurați simultan mai multe calculatoare, în special acumularea de practică, de la sine, acest instrument este atât de simplu încât acesta poate fi utilizat din prima secundă. Microsoft a ascultat doliu nostru și a creat GPMC Management Console (MMC de completare snap-in forma si un instrument de linie de comandă), care este mult mai ușor de utilizat Politica de grup. Înainte de a începe să lucrați, asigurați-vă că descărcați GPMC-ul de pe site-ul Microsoft:

Interacțiunea cu sistemele de operare anterioare

Dacă organizația dvs. utilizează tot felul de sisteme Windows, atunci trebuie să luați în considerare mai multe întrebări înainte de a utiliza Politica de grup.

În primul rând, mașinile care rulează Windows NT, Windows 95, Windows 98 sau Windows XP Home Edition nu pot procesa GPO-uri. Dacă oricare dintre aceste calculatoare conținute într-un recipient Active Directory, atunci nu va afecta de obicei setarea șablonului administrativ de politici de grup Șabloane administrative, precum și cele mai multe dintre setările asociate cu Politica de grup. Pentru a gestiona aceste computere, utilizați politica de sistem - chiar și în domeniile Active Directory moderne și chiar când atașați obiecte GPO la aceste domenii.