Понятие групповых политик и Active Directory
Понимание принципа работы групповой политики является ключевым фактором в проектировании вашей структуры. Я настоятельно советую перед обновлением вашей сетевой инфраструктуры обратиться к профессионалам за помощью в проектировании структуры Active Directory и пройти обучающий курс.
Одним из важнейших аспектов пректирования является группа. Попытайтесь все разделить на группы. Чем больше типов групп вы можете создать, тем более гибкое управление вы получите. Представьте группы в виде контейнеров; контейнеры используются в Active Directory для хранения в них объектов. Существует два типа объектов групповой политики - локальный и нелокальный. Каждый компьютер с Windows 2000 содержит один локальный объект групповой политики. Нелокальные объекты мы обсудим ниже.
Групповые политики могут применяться к контейнерам Active Direcory: OU, домен или место в следующем порядке:
- Локальный (Local)
- Место (Site)
- Домен (Domain)
- Организационная единица (Organizational Unit - OU)
Этот порядок важно запомнить, поскольку политики, применяемые позже, заменяют те, что присвоены ранее, если они имеют значения Enabled или Disabled. Значения типа "Not Configured" пропускаются, и более ранние установки сохраняются.
Профили Organizational Unit используются первыми и применяются начиная с объекта OU, расположенного на самом верхнем уровне в дереве Active Directory, и заканчивая объектом пользователя или компьютеря. Если на уровне OU определены несколько политик, они применяются в порядке, определенном администратором.
Групповая политика, применяемая к месту (site), применяется ко всем его доменам. Групповая политика, применяемая к домену, применяется непосредственно ко всем пользователям и компьютерам этого домена. Групповая политика, применяемая к OU, применяется ко всем пользователям и компьютерам в этой OU, и распространяется на другие OU, лежащие ниже этой OU.
Нельзя связть объект групповой политики с общим контейнером (generic container). Они рассматриваются как всроенные контейнеры. Заглянув в окно Active Directory, вы увидите, что папки типа "generic" выглядят как "обычные" папки. Иконка OU выглядит почти так же, но с маленькой книжкой на папке. Это означает, что вы не можете поместить групповую политику непосредственно на встроенные контейнеры Users или Computers. Однако, они наследуют политику домена, которому принадлежат.
Наследование политики включено по умолчанию. Конечно, существуют средства принудительного наследования или отключения наследования. Установки "No Override" и "Enforce Policy Inheritance" очень мощные, но могут запутать администратора; вы должны всячески избегать их спользования. Тем не менее, иногда их использование бывает очень эффективным.
Некоторые из настроек на закладке "Security" игнорируются, если применяются на уровне OU. Для их действия они должны применяться к домену. Сюда относятся настройки политики пароля, аудита, прав пользователей, регистрации событий, опции безопасности.
Обработка политики компьютера выполняется до нажатия CTRL-ALT-DEL перед входом в систему. Политики пользователей обрабатываются до активирования оболочки. Групповые политики в Windows 2000 обрабатываются каждые 90 минут, поэтому если пользователь внес изменения, противоречащие политике домена, изменения будут возвращены через 90 минут. Этот интервал можно задать в Computer Configuration | Administrative Templates | System | Group Policy | Group Policy Refresh Interval for Computers. Клиентские расширения должны закончить обработку политики в течении 60 минут. Если клиентское расширение не закончило работу через 60 минут, устанвки политики не обрабатываются. Это время изменить нельзя.