2014-02-09
863
Примечание
Наследование
Замыкание на себя
Ранее мы говорили о том, что по умолчанию GP применяются в зависимости от расположения настраиваемого объекта. Чтобы обойти эту возможность для пользователей, компания Microsoft реализовала замыкание на себя (loopback). Эта возможность используется для конфигурации пользователя групповых политик, а также конфигурации компьютера, в зависимости от расположения объекта "компьютер" (не пользователь) при входе пользователя в систему. Таким образом, каждый пользователь, осуществляющий вход в систему компьютера, получает конфигурацию пользователя (User Configuration) из групповых политик этого компьютера. При включении опции можно также указать функцию Merge (Слияние) (объединение конфигурации из всех групповых политик) или Replace (Замещение) (только применение конфигураций пользователей в зависимости от расположения объекта "компьютер").
Во многом аналогично наследованию списков ACL, параметры GP передаются от самых дальних к самым ближним, причем ближние/низшие имеют большее старшинство. Порядок оценки таков: Local Security Policy (Локальная политика безопасности), Site Group Policies (Групповые политики сайта), Domain Group Policies (Групповые политики домена) и OU Group Policies (Групповые политики организационного подразделения). Существует возможность блокировки наследования политики, если не требуется наследовать параметры. Это позволит блокировать групповые политики, связанные с сайтами, доменами или организационными единицами высших уровней от применения их к текущему сайту, домену или организационному подразделению и к их дочерним объектам. Как администратору верхнего уровня вам может понадобиться включение принудительного использования некоторых политик верхнего уровня (например, минимальная длина пароля); для этого существует опция No Override (Игнорирование невозможно). Эту опцию можно включить для того, чтобы предотвратить обход (включая блокировку) политики любым дочерним объектом.
По большому счету, между сайтами и доменами в действительности нет никакого "наследования". Будет происходить оценка только тех групповых политик, связанных с конкретным сайтом или доменом, в котором находится пользователь или компьютер. Организационная единица является единственным контейнером, для которого действительно наблюдается наследование при проходе вниз по дереву элементов.
Следующие утилиты весьма полезны для управления групповыми политиками и просмотра результатов их работы.
Group Policy Management Console. Утилита Group Policy Management Console (Консоль управления групповой политикой) представляет собой оснастку MMC и набор сценариев, предоставляющих единый интерфейс управления групповой политикой на предприятии. Интерфейс показан на рис.18 с отображением части политики домена по умолчанию (Default Domain Policy) для домена jiloa.com.
Group Policy Results. Консоль управления групповой политикой предоставляет средство для определения результирующей политики для данного пользователя и/или системы. (Этот метод отличается от средства Resultant Set of Policy, обсуждаемого ниже.) Чтобы сгенерировать запрос Group Policy Results (Результаты групповой политики) для пользователя/компьютера, нужно открыть лес, щелкнуть правой кнопкой мыши на пункте Group Policy Results (Результаты групповой политики) и затем выбрать Group Policy Results Wizard (Мастер результатов групповой политики). Выполните предписания мастера и введите соответствующую информацию в окнах ввода данных. На рис.19 показаны результаты запроса Group Policy Results для администратора в IHS в домене jiloa.com.
Рис.18
Рис.19
[PAGEBREAK]
Resultant Set of Policy (RSoP). Утилита предназначена для облегчения процессов применения политик и устранения неполадок в них. Она предоставляет детальные сведения обо всех сконфигурированных параметрах политики и может помочь определить набор примененных политик и порядок, в котором они применяются. Это очень полезно, когда несколько политик применяются на различных уровнях, таких как сайт, домен и организационное подразделение (единица).
Эта утилита используется для симуляции результатов применения параметров политики, которые вы собираетесь применить к компьютеру или пользователю, а также для определения параметров текущей политики для пользователя, находящегося в данный момент в системе компьютера. На рисунке 20 приведен пример RSoP для политики аудита системы IHS. RSoP находится в оснастке MMC и открывается в консоли управления Microsoft (MMC), оснастке Aсtive Directory Users and Computers (Пользователи и компьютеры Aсtive Directory) или оснастке Aсtive Directory Sites and Services (Сайты и службы Aсtive Directory).
Рис.20
