Politicile de grup reprezintă unul dintre cele mai puternice instrumente de gestionare a utilizatorilor și computerelor dintr-un domeniu Active Directory. Cu toate acestea, ca orice instrument complex, acestea necesită o înțelegere clară a principiilor muncii lor și a planificării atente. Fără aceasta, aplicarea politicilor de grup nu poate produce rezultatul exact necesar.
Aceasta este de fapt despre ei, principiile de bază, și vor fi discutate în acest articol. Și vom începe cu cele mai de bază - domeniul de acțiune.
Domeniul de aplicare al politicii de grup
Toate politicile de grup au propriul scop, care determină domeniul de aplicare al politicii. Domeniul de aplicare al politicii de grup poate fi împărțit condiționat în patru tipuri.
Politica grupului local
Politici de domeniu în grup
Obiectul Politică de grup care se aplică unui domeniu Active Directory (AD) și afectează toate obiectele care sunt relevante pentru domeniu. Întrucât mecanismul de moștenire funcționează în cadrul domeniului, toate politicile atribuite domeniului sunt aplicate în mod consecvent tuturor containerelor din aval.
Politicile grupului de unități
Politicile aplicate departamentului (OU) și care afectează întregul conținut al acestei OU și UU copil (dacă există).
Site-uri de politică de grup
Permiteți-mi să vă reamintesc că, spre deosebire de domeniile care reprezintă structura logică a unei organizații, site-urile din AD sunt folosite pentru a reprezenta structura sa fizică. Limitele sitului sunt determinate de unul sau mai multe subrețele IP care sunt unite de canalele de comunicații de mare viteză. Un site poate include mai multe domenii și viceversa, un domeniu poate conține mai multe site-uri.
Obiectul Politicilor de grup aplicat site-ului AD afectează întregul conținut al acestui site. Prin urmare, politica de grup asociată site-ului se aplică tuturor utilizatorilor și computerelor site-ului, indiferent de domeniul în care aparțin.
Cum se aplică politicile de grup
Ordinea de aplicare a politicilor de grup depinde în mod direct de domeniul lor de aplicare. Primul care aplică politicile locale, apoi politicile atribuite site-ului, apoi elaborează politicile de domeniu și apoi politicile atribuite OU.
Deci, în exemplul nostru (prezentată mai jos) este prima rulare pentru politica locală (să-l numim GPO0), apoi politica site-ului GPO1, și apoi GPO2 politici de domeniu, bine, și apoi se aplică politica atribuită OU. In acest caz, politica aplicată în conformitate cu ierarhia - politica primul GPO3 atribuită nivel superior OU, atunci politica subordonată GPO4 și GPO5.
Dacă mai multe GPO sunt atribuite unei OU, acestea sunt prelucrate în ordinea în care au fost atribuite. De exemplu, TechSupport include GPO4 și GPO5, care sunt procesate conform ordinii de destinație (Link Order).
Politicile sunt procesate în ordine inversă (de jos în sus), adică politica cu numărul 1 va funcționa ultima. Dacă este necesar, puteți schimba această ordine selectând politica și mutați-o în sus sau în jos folosind săgețile corespunzătoare.
Prioritatea politicii de grup
Prioritatea GPO depinde direct de ordinea aplicării lor - cu cât este aplicată ulterior politica, cu atât este mai mare prioritatea acesteia. În acest caz, politica din aval poate înlocui mai mare - de exemplu, politica locală vor fi înlocuite site-ul GPO1 politici de domeniu GPO0, politici de domeniu GPO2 - politica GPO3 si politica GPO3 superioare - GPO4 și GPO5 politicieni subordonate.
Pentru mai multă claritate, vom efectua un experiment. Pentru a verifica acțiunea politicilor, ne vom conecta la stația de lucru WKS1 sub contul de utilizator Kirill din OU TechSupport.
Să deschidem imaginea de fundal pe desktop (Desktop Wallpaper) și să folosim local.png ca tapet.
Apoi, vă conectați și verificați dacă politica a funcționat și imaginea de fundal a fost modificată.
Următorul pas este să configurați politica de domeniu. Pentru a face acest lucru, în modulul "Gestionarea politicii grupului", selectați politica GPO2 și deschideți-o pentru editare.
Găsim politica responsabilă pentru modificarea imaginii de fundal și pentru a seta imaginea domeniului.png ca imagine desktop.
În plus, accesați secțiunea de mai sus și activați politica "Ștergeți pictograma Coș de gunoi de pe desktop", care elimină coșul de gunoi de pe desktop.
Începeți din nou la WKS1 și asigurați-vă că imaginea de fundal de pe desktop este schimbată și coșul nu este vizibil. Aceasta înseamnă că politicile de domeniu au aplicat cu succes și au setări suprasolicitate configurate de politicile locale.
Ei bine, ca ultim pas, vom deschide politica GPO4 pentru editare și vom seta politica "Ștergeți pictograma Coș de reciclare din desktop" la Dezactivat.
De asemenea, schimbați imaginea de pe desktop într-o imagine numită ou.png.
Acum, mergând la WKS1 vedem că tapetul este schimbat din nou, iar coșul sa întors pe desktop. Aceasta înseamnă că politica domeniului GPO2 este suprascrisă de politica GPO4 atribuită OU.
Dezactivați moștenirea
Așa cum am spus deja, moștenirea se extinde la toate politicile din domeniu, i. E. politicile atribuite containerului părinte (domeniu sau OU) sunt aplicate secvențial tuturor containerelor copil. Acesta este comportamentul implicit, dar îl puteți schimba, dacă este necesar, dezactivând moștenirea pentru o singură OU.
Dezactivați moștenire produs pur și simplu, trebuie doar să fixați «Group Policy Management» selectați OU dorit, faceți clic pe butonul mouse-ului dreapta și-l din meniul contextual, selectați elementul «Block Moștenirea». După aceea, pentru un anumit OU OU și filialele sale (dacă există) anulează efectul tuturor politicianului superioare.
Notă. Politica prestabilită a domeniului conține setări care definesc politicile de parolă și cont în domeniu. Aceste setări nu pot fi blocate.
În exemplul nostru, putem inversa moștenirea pentru OU TechSupport, astfel încât numai acele politici care sunt atribuite direct acestei OU sunt afectate.
Forțarea aplicării politicii de grup
Forțarea aplicării politicilor de grup se aplică atunci când această politică trebuie să funcționeze independent de alte politici. Dacă politica este forțată, atunci, indiferent de domeniul său de aplicare, devine cea mai mare prioritate. Aceasta înseamnă că setările sale nu pot fi suprimate de politicile subordonate și nici nu pot fi anulate prin moștenire.
Pentru a forța o politică, trebuie să o selectați în modulul de gestionare a politicii grupului, să faceți clic dreapta pe ea și să selectați Executare din meniul contextual. De exemplu, forțăm politica GPO2 atribuită domeniului.
Apoi mergeți din nou la WKS1 și vedeți fotografia familiară. După cum puteți vedea, politica GPO2 a fost elaborată în ciuda blocării moștenirii și a întrerupt setările politicii din aval a GPO4.
Pentru un articol de informații, cred că este suficient. În partea următoare, vom vorbi despre particularitățile aplicării politicilor de grup pentru utilizatori și computere.