7.4. Администрирование групповой политики

Групповая политика – это иерархическая инфраструктура, которая позволяет сетевому администратору, отвечающему за Active Directory Microsoft, реализовывать определенные конфигурации для пользователей и компьютеров. Групповая политика также может использоваться для определения политик пользователя, безопасности и сети на уровне машины.

Введение в групповые политики

Групповые политики представляют собой набор параметров конфигурации, которые администратор групповой политики применяет к одному или нескольким объектам в хранилище Active Directory. С их помощью он управляет рабочей средой пользователей в домене и контролирует рабочую среду пользователей определенного ОП. Групповые политики можно установить на уровне сайта из оснастки Active Directory Sites And Services (Active Directory — сайты и службы).

Групповая политика состоит из параметров, управляющих поведением объекта и его дочерних объектов. Групповая политика может также влиять на разрешения, предоставленные учетным записям пользователей и групп.

Отличие версий Windows Pro и Windows Home

Базовые компоненты Pro и Home версий совершенно идентичны, разница заключается лишь в бизнес-компонентах. Они позволяют настроить связь между компьютерами внутри одной корпоративной сети и беспрепятственно работать целым офисом. В домашних же условиях эта особенность бесполезна и у нас нет нужды связывать два устройства.

Что отличает Windows 10 Pro от Windows 10 Home:

  • Поддержка подключения дополнительных устройств и возможность управления ими.
  • Доступ к шифрованию передаваемых данных в единой корпоративной сети.
  • Расширенный список сетевых стандартов.
  • Доступ к общим офисным документам и принтерам.
  • Работа с облаком.
  • Управление групповыми политиками.
  • Возможность недорогого обновления до Windows 10 Enterprise.
Читайте также:  Автоматизация работы с Outlook с помощью дополнений

Большинство описанных выше функций не пригодятся обычному пользователю. Они предназначены для ведения бизнеса и работы с документами. Однако, особое внимание следует уделить такой особенности как управление групповыми политиками.

Данная функция открывает широкие возможности по настройке компьютера для каждого юзера и при этом не вынуждает идти на высокие риски.

Создание smb-шары на файловом сервере

Мы будем использовать в качестве сервера Windows server 2012r2.

Для сетевых шар я бы рекомендовал использовать отдельный диск. При его заполнении работа ОС не будет нарушена и расширять пространство (производить любые манипуляции) диска проще, когда на нем нет ОС. Создаём каталог redirection, назначаем его сетевым.

Создание smb-шары на файловом сервере

Редактируем ACL. Нам требуется, чтобы каждый пользователь имел доступ только к своему каталогу. Группа администраторов имела доступ ко всем.

Каталоги пользователей должны создаваться автоматически, и права, значит, должны назначаться автоматически владельцам каталогов. Помогут нам в этом особые настройки ACL.

Свойства каталога — вкладка Безопасность — Дополнительно

Создание smb-шары на файловом сервере

Первым делом нужно отключить наследование.

Сделаем перенаправление папок только для одной группы пользователей. Для неё и нужны особые права доступа. Добавляем нужную группу и нажимаем Изменить. Включаем отображение дополнительных разрешений.

Нужно лишь разрешение Создание папок / дозапись данных

Создание smb-шары на файловом сервере

Пользователь должен иметь полный доступ к своему каталогу — добавляем субъект создатель-владелец и даем ему полный доступ только для подпапок и файлов. Еще нужно добавить субъект система, группу системных администраторов и дать им полный доступ для этой папки и её подпапок.

Локальные групповые политики

Групповые политики полезны не только для управления компьютерами в сетях предприятий. Если у вас профессиональная или выше версия Windows, вы также можете использовать групповые политики — для этого в Windows есть программа Редактор локальной групповой политики.

Читайте также:  Вместо рабочего стола плитки в Windows 10 — как исправить

Используя групповые политики, вы можете изменить настройки системы, которые нельязя настроить через графический интерфейс системы Windows. Например, если вы хотите установить свой экран входа в систему Windows 7, вы можете это сделать как в редакторе групповых политик, так в редакторе реестра Windows, но в первом случае процесс настройки удобней и более нагляден. Помимо настроек экрана входа в систему, имеется множество других параметров, где может пригодиться применение групповых политик, например вы можете скрыть облсть уведомлений (чаще его называют системный трей).

Редактор локальной групповой политики может быть также полезен для ограничения доступа к компьютеру, аналогично тому, как ограничивают доступ к компьютеру, находящемуся в сети предприятия. Данная возможность может пригодиться, если вашим компьютером пользуются дети. Например, вы можете разрешить пользователям запуск только определенных программ, ограничить доступ пользователя, только к определенным дискам, или установить политику паролей пользователей, включая минимальную дляину пароля и его сложность.

Структура объектов

Объекты GPO разбиваются на две отдельные части: шаблон групповой политики (GPT) и контейнер групповой политики (GPC). Шаблон групповой политики отвечает за сохранение определенных параметров, созданных в объекте групповой политики, и имеет важное значение для его успеха. Он сохраняет эти настройки в большой структуре папок и файлов. Чтобы настройки успешно применялись ко всем объектам пользователя и компьютера, GPT должен быть реплицирован для всех контроллеров в домене.

Контейнер групповой политики — это часть объекта групповой политики, хранящегося в Active Directory, который находится на каждом контроллере домена в домене. GPC отвечает за ведение ссылок на клиентские расширения (CSE), путь к GPT, пути к пакетам установки программного обеспечения и другие ссылочные аспекты объекта групповой политики. GPC не содержит большого количества информации, относящейся к соответствующему объекту групповой политики, но он необходим для функциональности GPO. Когда политики установки программного обеспечения настроены, GPC помогает поддерживать ссылки, связанные с объектом групповой политики и сохраняет другие реляционные ссылки и пути, хранящиеся в атрибутах объекта. Знание структуры GPC и способа доступа к скрытой информации, хранящейся в атрибутах, окупится, когда вам нужно будет выявить проблему, связанную с групповой политикой.

Читайте также:  Подключение к копии AD сохраненной с помощью Windows Backup

В Windows Server 2003 Microsoft выпустила решение для управления групповыми политиками как средство объединения данных в ​​виде оснастки, известной как консоль управления групповыми политиками (GPMC). GPMC предоставляет интерфейс управления, ориентированный на GPO, что значительно упрощает администрирование, управление и местоположение объектов групповой политики. Через GPMC вы можете создавать новые объекты групповой политики, изменять и редактировать объекты, вырезать/копировать/вставлять объекты групповой политики, создавать резервные копии объектов и выполнять результирующий набор политик.