ARUBA INSTANT WI-FI: SIMPLĂ, PUTERNICĂ, DISPONIBILĂ
Configurați zece servere Windows sau computere desktop sau zece mii, să știți că politica de grup oferă un ajutor neprețuit în această sarcină. Dar, probabil, mulți au auzit povesti îngrozitoare despre complexitatea politicilor de grup, atunci când administratorul de sistem a făcut schimbări fără să înțeleagă consecințele lor și, prin urmare, nu și-a simplificat viața, ci dimpotrivă. De exemplu, schimbarea Logon local permisiunile în obiectul de politică de grup GPO (GPO) pentru a elimina grupurile care nu sunt necesare, s-ar putea găsi că ați făcut-o în GPO, care se aplică tuturor calculatoarelor din domeniu, iar acum nimeni nu poate înregistra. Pot să vă spun cum sa întâmplat.
Probleme similare sunt foarte frecvente. Dar poți fi sigur că politica de grup este în concordanță cu potențialul său, care operează în mai multe concepte-cheie: cum să se aplice GPO, ca un permis și filtre de muncă, ceea ce este diferența dintre politicile și preferințele și că, în primul rând ar trebui să fie luate pentru a identifica problemele.
Înțelegerea politicii de grup
Înțelegerea modului în care sistemul client funcționează cu GPO este important pentru a vă asigura că totul merge conform planului. Să înțelegem mai întâi că, în ciuda prezenței cuvântului "grup" în numele funcției, politicile sunt aplicate numai computerului și utilizatorului. Prin urmare, atunci când atribuiți un obiect de politică de grup (GPO) unui obiect Active Directory (AD), partea GPO a computerului este aplicată numai obiectelor de calculator din AD, iar partea utilizatorului este aplicată numai obiectelor utilizator. Puteți utiliza grupuri de securitate pentru a identifica cu un filtru pe care utilizatorii și computerele sunt asociate cu acest GPO, dar nu puteți viza GPO pentru anumite grupuri de securitate.
Urmați regula: ori de câte ori se leagă GPO la un obiect, domeniu sau unitate organizațională (OU) în Active Directory, asigurați-vă că utilizatorul sau computerul de la care doriți să fie conectat, se află în container, chiar în ierarhic arborele Active Directory .
De asemenea, puteți reutiliza GPO conectându-l la mai multe containere AD, de exemplu, puteți conecta una care impune restricții stricte la un sistem GPO cu patru sau cinci OU-uri. Implicarea conectării unui GPO la mai multe containere este că orice modificare a GPO care va fi efectuată ulterior va afecta utilizatorii și computerele din toate UU-urile conectate. Cu toate acestea, deoarece puteți conecta diferite GPO-uri la mai multe containere în AD, mai multe obiecte GPO pot fi aplicate unui anumit utilizator sau computer. Pentru a afla ce politică este implementată în acest caz, trebuie să răspundeți la două întrebări:
Cum știe politica de grup care ar trebui să fie procesată mai întâi GPO?
Ce setări sunt implementate dacă diferite GPO au setări diferite?
Procesul de procesare a politicii de grup este următorul. GPO locală de pe acest computer este procesată mai întâi, apoi GPO-urile conectate la site-ul AD, apoi GPO-urile conectate la domeniul AD și, în final, cele care sunt conectate la OU. Deoarece GPO-urile conectate la OU sunt procesate ultima dată, ele determină în cele din urmă ce setări GPO sunt aplicate computerului sau utilizatorului. De exemplu, în cazul în care un GPO este atribuit domeniului elimină comanda de meniu Executare din meniul Start din Windows, și PG, conectat la OU, adăugați comanda înapoi la meniu, ultima setare va fi aplicată la calculator sau utilizator, deoarece procesele de sistem de utilizator care obiect al doilea. Acest lucru va face ca comanda din meniul Run să apară în meniul utilizatorului.
Permisiunile și filtrarea politicii de grup
După cum se arată în Figura 1. puteți modifica grupurile de securitate pentru acest GPO prin adăugarea sau eliminarea grupurilor din secțiunea Filtrare securitate din GPMC.
Să presupunem că aveți un GPO conectat la OU de marketing, care conține 200 de conturi de utilizator. Doriți să adăugați câteva setări în politica de utilizare pentru unii dintre acești utilizatori care fac parte din grupul de proiecte de marketing specializat. Cu ajutorul GPMC, acest lucru este foarte simplu. Porniți GPMC introducând gpmc.msc
Filtrarea prin permisiuni de securitate determină computerele și utilizatorii care pot procesa GPO. Există, de asemenea, permisiuni care indică cine poate edita GPO. Puteți vedea aceste permisiuni evidențiind GPO în GPMC și selectând fila Delegare, după cum se arată în Figura 2.
Puteți asocia un singur filtru WMI cu acest GPO. Dacă interogarea specificată în filtru returnează True când citiți GPO, atunci acest obiect este aplicat. Cererea WMI este verificată pe computerul client care procesează GPO. Interogarea analizează propriul depozit local WMI pentru a obține răspunsul "adevărat" sau "greșit". Dacă interogarea returnează False, GPO nu se aplică utilizatorului sau calculatorului. Dacă filtrul WMI poate fi aplicat unui computer sau unui utilizator, depinde de solicitare. De exemplu, în cazul în care informațiile sunt solicitate dacă computerul este controlat de XP, această problemă este specifică fiecărui calculator, iar în cazul în care computerul este controlat de XP, GPO se va aplica filtrul, indiferent dacă un utilizator înregistrat pe computer sau nu. Cu toate acestea, dacă solicitați informații despre faptul că Joe Smith sa conectat la computer în acest moment, GPO va aplica filtrul numai atunci când Joe Smith se autentifică de fapt în sistem.
Politici sau preferințe
Poate că cea mai populară parte a politicii de grup sunt șabloanele administrative, șabloanele administrative sau politicile de registru. Această zonă de politică a grupului vă permite să controlați multe aspecte ale sistemului Windows. Este foarte convenabil ca politica de registru să nu mai fie înregistrată explicit în registru și, prin urmare, nu se aplică atunci când nu este necesară, așa cum a fost în NT 4.0. Absența unei prescripții explicite înseamnă următoarele: să presupunem că activați (sau dezactiva), elementul de politică de registru în Procuratura Generală și se aplică la un utilizator sau computer, iar apoi ștergeți GPO sau schimbați filtrul de securitate pentru un utilizator sau un computer. În timpul următorului ciclu operațional sau de procesare de fundal, acest element de politică va fi șters automat și nu va fi "blocat" în registru, cu excepția cazului în care îl eliminați cu forța.
Procesul de dezinstalare funcționează în acest fel, deoarece Microsoft a creat în mod deliberat patru chei de registry speciale, în care au fost scrise toate politicile și sunt șterse când nu mai sunt utilizate. Cele două secțiuni ale politicii de registru pentru computer sunt:
HKEY_LOCAL_MACHINESoftwarePolicies
HKEY_LOCAL_MACHINESoftware
MicrosoftWindowsCurrentVersionPolicies
Secțiunile politicilor de registru pentru utilizator sunt:
HKEY_CURRENT_USERSoftwarePolicies
HKEY_CURRENT_USERSoftware
MicrosoftWindowsCurrentVersionPolicies
Deoarece setările politicii de registru sunt scrise la una din aceste patru taste, acestea nu vor rămâne în registru atunci când se elimină GPO. Desigur, pentru a scrie politici la aceste patru secțiuni, aplicațiile sau componentele din Windows ar trebui să fie scrise astfel încât să interogheze aceste secțiuni pentru setările de politică. Cu toate acestea, puteți crea în continuare fișiere șablon ADM (sau ADMX în Vista) care pot fi scrise în orice chei de registry (în HKEY_LOCAL_MACHINE sau HKEY_CURRENT_ USER). Politicile care fac acest lucru se numesc "preferințe" și vor fi implementate în registru, chiar dacă GPO care le conține este șters. Prin urmare, dacă trebuie să anulați preferința care este implementată, trebuie să o dezactivați în interfața Editor de politici de grup (GPE) sau să ștergeți manual valoarea registrului.
Setările suprapuse explicite sunt asociate cu politicile de registru, dar alte politici arată acest comportament. De exemplu, o politică de securitate impune modificări persistente ale sistemului atunci când este aplicată. De exemplu, dacă setați drepturi de utilizator într-un anumit sistem (utilizând politica găsită la atribuirea drepturilor de calculator ConfigurationWindows SettingsSecurity SettingsLocal PoliciesUser), apoi scoateți GPO, care a implementat aceste setări, de unde procesul de calculator le, în scopul drepturilor de utilizator rămâne până Până când nu le schimbi în mod explicit. Acest lucru este important de înțeles, deoarece fiecare zonă a politicianului se comportă diferit, "lăsând urme" în sisteme. În unele cazuri, de exemplu, în cazul politicilor pentru Folder Redirectionarea sau instalarea software-ului, trebuie să specificați politica, ce să facă atunci când GPO nu se mai aplică, așa cum se arată în figura 3.
Depanarea politicii de grup
Politica de grup este un instrument complex și, uneori, nu funcționează așa cum era de așteptat. Prin neatenție, puteți configura ceva greșit sau este posibil ca politica să nu funcționeze doar din cauza unui eșec. Procesul de procesare a politicii de grup necesită ca unele componente să funcționeze concertat. Infrastructura AD și stațiile de lucru ar trebui să fie în ordine, iar diferitele setări pe care le specificați trebuie să fie compatibile cu aplicațiile care rulează pe computere. Când una dintre situațiile de mai sus nu este așa, puteți vedea că procesul de procesare a politicii de grup nu este executat.
În fila Sumar se afișează ce GPO-uri au fost aplicate computerului și utilizatorului și, cel mai important, care GPO-uri au fost respinse și de ce. Secțiunea Component Status (Stare componentă) a raportului poate furniza informații cu privire la faptul că au fost efectuate toate părțile procesului de procesare a politicii de grup și, dacă nu, de ce. Elementul Infrastructură pentru politica de grup pe care o veți vedea în această secțiune vă va spune dacă partea de bază a procesului de procesare a politicii de grup a avut succes. În caz contrar, unele probleme de infrastructură sunt de obicei identificate care interferează cu procesul de procesare a politicii de grup. Dacă eroarea apare în așa-numitele extensii de client care implementează diferite aspecte ale politicii, puteți remedia această problemă utilizând mesajele de eroare furnizate. Dacă doriți să vedeți setările individuale de politică pe care le-ați furnizat computerului sau utilizatorului, puteți deschide fila Setări din raportul rezumat al politicii grupului pentru a vedea care dintre setările au fost aplicate ca rezultat. Cu toate acestea, mesajul despre aplicarea setărilor în raportul RSoP nu înseamnă că acestea au fost executate cu succes. Este uneori mai bine să verificați setările de bază pentru a vedea dacă această setare este făcută ca parte a unei aplicații pentru politica de securitate sau dacă există o valoare a registrului.
Politica de grup este complexă și puternică. Înțelegând modul în care sunt manevrați, veți putea să le folosiți pe deplin de puterea lor. Amintiți-vă că Politica de grup este procesat în ordinea următoare: locală PG, site-ul AD, domeniu, și OU (uneori folosit pentru această reducere secvență LSDOU) și, într-o situație tipică „scrie acesta din urmă câștigă“ în cazul în care există un conflict de setare. Politicile și preferințele pot influența modul în care politica "lasă urme" în sisteme atunci când se elimină GPO, ceea ce este important atunci când alegeți un anumit instrument. Politicile de registru distribuite de Microsoft în fișierele standard ADM și ADMX, de obicei, nu schimbă registrul, dar fișierele ADMX create independent pot face acest lucru. În plus, alte politici, cum ar fi securitatea, schimbarea sistemului și trebuie să fie în mod clar și în mod forțat anulate, în timp ce unele părți ale politicii ar trebui să fie subliniat faptul că este necesar să se anuleze acțiunile lor, atunci când acestea nu mai sunt utilizate. În cele din urmă, dacă politica încă nu funcționează așa cum era de așteptat, contactați expertul pentru Rezultatele politicii de grup în GPMC.
Distribuiți materialul împreună cu colegii și prietenii
Articole similare
-
Extensii de politică de grup în Windows Vista și Windows Server 2018 - totul despre el și programare
Trimiteți-le prietenilor: