Serviciul de directoare Microsoft Active Directory a devenit una dintre cele mai importante componente ale multor medii IT. Una dintre cele mai importante caracteristici ale Active Directory este suportul pentru politicile de grup care permit administratorilor să centralizeze gestionarea controlorilor de domeniu, a serverelor și a stațiilor de lucru.
Folosirea politicii de grup oferă multe avantaje evidente, însă există un dezavantaj. În organizațiile mari, poate fi dificil să se dezvolte și să se pună în aplicare, ca să nu mai vorbim de soluționarea eventualelor probleme. În acest articol, vom afla cum este organizată politica de grup și vom căuta modalități de depanare a problemelor asociate. Ca rezultat, veți fi gata să rezolvați aproape orice probleme legate de politica de grup.
Parametrii problemei
Politicile de grup sunt un mecanism complex cu multe componente, în special în ceea ce privește modul în care acestea interacționează cu ideea generală și implementarea Active Directory®. Atunci când căutați soluții la diferite probleme legate de rețele și acces, trebuie să vă gândiți întotdeauna la serviciul Active Directory și la elementele de bază ale implementării politicii de grup. Pentru a începe procesul de găsire a unei soluții, luați în considerare setările politicii de grup care pot fi configurate pentru erori și apoi treceți la probleme mai complexe care pot apărea în lucrul cu politica de grup.
Fig. 1 Legăturile obiectului GPO sunt afișate explicit
Obiectele GPO nu se aplică grupurilor Obiect GPO nu poate fi aplicat unui obiect al grupului de securitate Active Directory. Folosind obiectul GPO, puteți configura setările numai a două obiecte - calculatoare și utilizatori. Obiectele GPO nu pot afecta obiectele prin calitatea de membru al grupului. De exemplu, dacă GPO este legată de departamentul de Finanțe, așa cum se arată în Fig. 2. Se va aplica numai obiectelor lui Derek și Frank. Parametrii obiectului GPO nu se vor aplica membrilor grupului de marketing care nu ar face parte din acesta.
Fig. 2 Divizia de Finanțe și obiecte în ea
Obiectele la care se aplică GPO trebuie să se afle în zona de control. Dacă parametrul obiectului GPO nu afectează în mod corespunzător obiectul, există un parametru și mai important - obiectul trebuie să se afle în zona de control a GPO. Aceasta înseamnă că obiectul trebuie să fie sub nodul la care este asociat GPO (doar un nod copil). De exemplu, obiectul GPO asociat departamentului de finanțe nu va fi aplicat niciunuia dintre obiectele din departamentul de marketing, așa cum se arată în Fig. 2. Zona de control a obiectului GPO se extinde de la nodul la care este legat, apoi în jos pe structura Active Directory.
Fig. 3 Pentru unitățile situate la același nivel, obiectul GPO se aplică numai departamentului cu care este asociat.
Obiectele GPO trebuie să fie activate Când creați un GPO, acesta nu este configurat să facă modificări obiectelor țintă. Totuși, este inclus atât pentru computere, cât și pentru utilizatori. Dacă una dintre aceste setări este dezactivată, poate fi foarte dificil de urmărit. Prin urmare, atunci când depanem erorile aplicației obiectului GPO, este bine să verificați dacă unele sau toate GPO-urile sunt dezactivate. Puteți face acest lucru în Obiectul politicilor de grup | Politica contului din consola GPMC, verificând starea GPO.
Aplicarea sincronă și asincronă a parametrilor
În GPO, puteți specifica modul în care politica este aplicată la pornire și conectare. Modificările efectuate vor oferi fie acces imediat la spațiul de lucru înainte ca toate politicile să fie aplicate pe deplin, fie să se asigure că toate politicile sunt aplicate înainte ca utilizatorul să poată accesa spațiul de lucru. În Fig. Figura 4 arată comportamentul fiecărui sistem de operare în mod implicit.
Fig. 4 Prelucrarea implicită a clientului
Dacă doriți să modificați acest comportament, puteți modifica următoarea setare de politică:
Majoritatea administratorilor preferă o modificare a politicii sincrone pentru a se asigura că toate politicile sunt aplicate înainte ca utilizatorul să poată accesa spațiul de lucru. Acest lucru asigură că toate setările de securitate și de configurare sunt aplicate înainte ca utilizatorul să poată efectua orice acțiune. Rețineți că acest comportament este dezactivat în mod prestabilit în Windows® XP Professional pentru a optimiza conectarea mai rapidă.
Modificarea mostenirii implicite
Există patru modalități diferite de a modifica moștenirea implicită pentru manipularea obiectelor GPO. Aceste caracteristici puternice ar trebui folosite cu prudență, deoarece pot schimba în mod semnificativ comportamentul politicilor de procesare a grupurilor. Ele sunt, de asemenea, foarte dificil de depanat. Opțiunile de modificare a succesiunii în mod implicit includ următorii patru parametri și setări:
- Blochează politica de moștenire
- Execuția forțată a obiectelor GPO
- Filtrarea obiectelor GPO din lista de control al accesului (ACL)
- Filtrele Windows Management Instrumentation (WMI)
Deoarece acești parametri trebuie utilizați cu prudență, cazurile de utilizare ar trebui să fie ușor de scris. Puteți stabili dacă aceste funcții sunt utilizate în GPMC. Blocarea succesiunii se efectuează la nivelul unității sau al unității organizaționale din panoul GPMC. Parametrii pentru executarea obiectului obligatoriu, filtrarea ACL și filtrarea WMI sunt definiți separat pentru fiecare obiect GPO.
O altă modalitate este să executați comanda Gpresult pe computerul țintă pentru a vedea dacă oricare dintre aceste setări împiedică utilizarea politicilor. Pentru mai multe informații despre setul de politici utilizat, puteți adăuga opțiunea / v la comanda Gpresult, care include o ieșire detaliată.
Probleme cu șabloanele ADM
Instrumente utile
Există multe modalități de a detecta probleme în domeniul politicii de grup. Unele dintre ele sunt construite în sistemul de operare, altele pot fi descărcate și instalate. Apoi, vom discuta despre instrumentele potrivite, astfel încât să puteți alege unul potrivit pentru o anumită sarcină.
Gpresult Acest instrument poate fi rulat numai pe computerul țintă, dar oferă informații despre setul de politici de rezultate (RSoP), obiectele GPO blocate, permisiunile GPO și multe altele. Cu / v, această comandă va afișa informații detaliate despre obiectele GPO valabile pentru acest computer și conturile de utilizator asociate sesiunii curente.
Gpupdate Puteți utiliza instrumentul Gpupdate pentru a implementa GPO-uri noi sau pentru a verifica dacă toate GPO-urile sunt complete. Acesta este utilitarul de linie de comandă livrat împreună cu sistemul de operare (Windows XP și versiuni ulterioare). Se solicită o actualizare de fundal care aplică toate setările GPO care corespund acestui tip de actualizare. Cu ajutorul comutatorului / force, reaplica setările GPO, chiar dacă nu s-au produs modificări la GPO de la ultima actualizare. Rularea acestei comenzi înainte de a executa comanda Gpresult este o modalitate foarte puternică de a urmări problemele cu obiectele politicii de grup.
concluzie
Depanarea problemelor politicii de grup nu este cea mai ușoară dintre sarcinile posibile. De fapt, după cum se arată în acest articol, politica de grup este un subiect complex. Când începem să rezolvăm problemele legate de politica de grup, este necesar să înțelegem principiile generale ale procesării sale și ale arhitecturii de bază. De asemenea, trebuie să aveți o înțelegere clară a modului în care sunt actualizate, replicate, prelucrate și aplicate obiectele politicii de grup. Stăpânirea tuturor acestor concepte facilitează foarte mult eliminarea oricărei probleme particulare în politica de grup. Urmând recomandările din acest articol și utilizând în mod corect instrumentele necesare, veți fi gata să faceți față oricăror probleme legate de Politica de grup.
Trimiteți-le prietenilor: