администрирование
Рисунок 2. Папка, содержащая шаблоны групповых политик на контроллере домена
папке содержатся административные шаблоны (ADM – файлы), настройки безопасности, информация о доступных приложениях и имена сценариев с командными строками.
Локальные политики рабочей станции Каждая рабочая станция под управлением операционных систем семейства Windows 2000 имеет свои локальные политики, и администратор домена имеет возможность редактировать их. Они схожи с групповыми политиками домена, но применяются для всех локальных пользователей компьютера без исключения. Также невозможно настроить ряд установок, таких, например, как перенаправление каталогов и установка приложений. Несмотря на это, структура объекта локальных групповых политик такая же, как и GPO домена. Размещается он в папке \Windows\system32\GroupPolicy. При помощи команды gpedit.msc вы можете редактировать локальные политики рабочей станции. Синтаксис строки для запуска gpedit.msc для просмотра локальной политики удаленной машины будет выглядеть следующим образом: Gpedit.msc /gpcomputer: Имя_Компьютера
Однако стоить заметить, что вы не сможете посмотреть локальные настройки безопасности удаленной ма-
шины (видимо, Microsoft сделала это из‑за соображений безопасности).
Групповые политики по умолчанию После создания первого контроллера домена формируются политики по умолчанию: Default Domain Controller Policy (привязывается к контейнеру Domain Controllers, применяется исключительно для контроллеров домена и содержит настройки безопасности) и Default Domain Policy (политика безопасности для домена, привязывается к контейнеру домена и распространяется на весь домен). Вы легко их можете заменить своими политиками, либо использовать в сочетании с другими. Еще один нюанс, который стоит отметить – если вы попытаетесь открыть Default Domain Controller Policy из меню «Администрирование», вам будут доступны только настройки безопасности. Полностью увидеть и изменить все настройки этого GPO можно из оснастки Active Directory – Users and Computers (DSA.MSC) в свойствах контейнера Domain Controllers.
Создание объектов GPO Несмотря на название, GPO не имеют ничего общего с группами. Объекты групповых политик могут быть связаны с контейнерами сайта, домена и OU (организационной единицы). Таким образом, для создания объекта GPO мы можем воспользоваться консолями
Active Directory – Users and Computers или Active Directory Sites and Services, все зависит от того, для какого контейнера мы создаем GPO. Итак, запускаем DSA.MSC либо DSSITE.MSC. Далее заходим в свойства контейнера и открываем вкладку «Групповая политика» (Group Policy), как это показано на рис. 3. Здесь мы можем создать или изменить GPO, а также добавить и привязать к объекту уже существующий GPO. В этих настройках можно удалить как ссылку на GPO, и тогда пропадет всего лишь привязка GPO к контейнеру, так и сам объект групповой политики. В параметрах (Options) устанавливается, разрешено ли перекрытие для этого объекта. При включенной опции «Не перекрывать» (No Override) другие политики не могут наложить свои настройки на установки данной. Если включена опция «Отключить» (Disabled), это значит, что GPO не будет применяться на этом уровне (к этому контейнеру). При установленном флажке «Блокировать наследование политики» (Block Inheritance) политики верхних уровней иерархии службы каталогов применяться не будут. Однако, если для политики более высокого уровня включена опция «No Override», блокировать наследование не удастся. В свойствах групповых политик можно увидеть дату создания, последнего изменения объекта GPO, его версию, GUID (Globally Unique Identifier, глобальный уникальный идентификатор) и домен, в котором располагается объект GPO. Здесь же есть возможность отключить настройки конфигурации компьютера или пользователя. На вкладке «Связи» (Links) можно посмотреть, с какими объектами службы каталогов GPO имеет связь. В настройках безопасности указывается, каким группам пользователей предоставляются права на чтение политики, изменение, применение и т. д. Напомню, что связывание и наследование объектов GPO происходит на уровне контейнеров. Но администратор может явно указать, будет ли той или иной группе пользователей, принадлежащих какому-либо контейнеру, разрешено чтение и применение групповых политик из объекта GPO, связанного с этим контейнером. Таким образом, при использовании ACL (Access Control List, список контроля доступа), определяются области действия политики