Иллюстрированный самоучитель по Microsoft Windows 2003

Использование групповых политик

  • Оснастка Group Policy Object Editor

    Групповые политики являются мощным инструментом, посредством которого администратор может осуществлять централизованное конфигурирование большого количества рабочих станций в корпоративной сети. В данной главе мы рассмотрим более подробно использование групповых политик в масштабах домена.
  • Привязка оснастки к объекту групповой политики

    Оснастка Group Policy Object Editor может быть вызвана из оснасток Active Directory Users and Computers и Active Directory Sites and Services. Для этого в окне свойств объекта, ассоциированного с сайтом, доменом или подразделением, необходимо перейти на вкладку Group Policy (рис. 21.1). | Рис. 21.1.
  • Выбор контроллера домена

    Оснастка Group Policy Object Editor работает с объектами каталога, следовательно, все ее манипуляции с объектами должны производиться в контексте некоторого контроллера домена.
  • Создание и удаление объектов групповой политики

    Для создания нового объекта групповой политики достаточно щелкнуть на кнопке New (Создать) на вкладке Group Policy (см. рис. 21.1) в окне свойств некоторого контейнера или щелкнуть на соответствующей кнопке в панели инструментов окна Browse for a Group Policy Object (см. рис. 21.2).
  • Привязка объекта групповой политики к контейнеру Active Directory

    Любой объект групповой политики может быть привязан к некоторому сайту, домену или подразделению. Один объект групповой политики может быть привязан к множеству контейнеров. Для выполнения привязки необходимо щелкнуть на кнопке Add на вкладке Group Policy окна свойств контейнера.
  • Структура объекта групповой политики

    Множество параметров, определяемых в рамках объекта групповой политики, разделено на две части. Одна часть параметров используется для конфигурирования компьютера (computer configuration), другая часть параметров используется для конфигурирования среды пользователя (user configuration).
  • Административные шаблоны

    Механизм административных шаблонов позволяет администратору посредством групповой политики конфигурировать системный реестр клиентских компьютеров. Для любой рабочей станции, подпадающей под действие некоторого объекта групповой политики, системный реестр будет сконфигурирован в соответствии с административным шаблоном, определенным в рамках данного объекта.
  • Создание и применение административных шаблонов

    Для работы с шаблонами Common.adm, Windows.adm и Winnt.adm необходимо использовать утилиту System Policy Editor (Редактор системной политики). | Помимо этого, администраторы могут создавать собственные варианты административных шаблонов в соответствии со стоящими перед ними задачами.
  • Сценарии

    Под сценарием (scripts) понимается некоторая предопределенная последовательность команд, способных выполнятся в автоматическом режиме (т. е. без участия пользователя). Основное преимущество сценариев заключается в том, что их выполнение может осуществляться в соответствии с некоторым расписанием.
  • Перенаправление пользовательских папок

    Традиционным местом размещения документов пользователей является папка My Documents (Мои документы). В ситуации, когда пользователи перемещаются по организации, регистрируясь в сети на различных рабочих станциях, администратор может использовать перемещаемые профили для организации централизованного хранения пользовательских документов и настроек (roaming user profiles).
  • Настройка основного режима перенаправления папок

    В данном режиме для всех пользователей используется единая схема перенаправления папок. Администратору при этом необходимо определить, какая именно из возможных схем будет использоваться для перенаправления. | Папки всех пользователей перенаправляются в одну общую папку.
  • Настройка расширенного режима перенаправления папок

    Расширенный режим позволяет выбирать способ перенаправления папок пользователя в зависимости от его членства в группах. Благодаря этому, администратор может реализовать различные уровни обеспечения надежности для хранимых папок для разных категорий пользователей (рис. 21.11).
  • Управление приложениями

    Механизм групповой политики может использоваться как средство управления процессом развертывания приложений на Windows 2000/XP – и Windows Server 2003-клиентах. Администратор может определить перечень приложений, которые будут доступны пользователям.
  • Публикация приложений. Назначение приложений.

    Публикация приложений может осуществляться исключительно в конфигурации пользователей. При этом пользователю, подпадающему под действие объекта групповой политики, предлагается список доступных для установки приложений.
  • Построение иерархии объектов групповой политики

    Параметры, определенные в рамках объекта групповой политики, воздействуют только на те объекты каталога, к которым они применены. Чтобы определить множество объектов каталога, подпадающих под действие того или иного объекта групповой политики, необходимо выполнить привязку последнего к одному или нескольким контейнерам каталога.
  • Блокировка процесса наследования параметров объектов групповой политики

    Администратор может управлять процессом наследования параметров объектов групповых политик. | Для этого в окне оснастки Active Directory Users and Computers необходимо открыть окно свойств контейнера, к которому привязан объект групповой политики.
  • Запрещение переопределения параметров объектов групповой политики. Запрещение применения параметров объекта групповой политики.

    Для запрещения переопределения параметров объектов групповой политики в окне свойств контейнера необходимо перейти на вкладку Group Policy и щелкнуть по кнопке Options (Параметры). | В открывшемся окне (рис. 21.15) надо установить флажок No Override (He переопределять).
  • Ограничение действия параметров групповой политики

    Хотя применение параметров объектов групповой политики происходит исключительно на уровне отдельных объектов каталога, администратор может использовать механизм членства в группах для ограничения действия этих параметров.
  • Предоставление полномочий на доступ к объектам групповой политики

    Администратор может делегировать некоторым пользователям часть обязанностей по управлению объектами групповой политики. | Чтобы предоставить пользователю полномочия, необходимые для выполнения привязки объекта групповой политики на уровне определенного контейнера, администратор должен использовать мастер Delegate of Control Wizard (Мастер делегирования управления).
  • Определение действующих политик. Оснастка Resultant set of Policies.

    Для работы с доменными групповыми политиками в системах Windows Server 2003 имеются появившиеся еще в Windows XP две очень полезные утилиты командной строки: | GPUpdate.exe – выполните эту команду, если вы изменяли групповые политики и хотите, чтобы они немедленно стали активными (сначала запустите ее с параметром /?). В Windows 2000 для этих целей использовалась команда secedit /refreshPolicy;
Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.