Групповые политики. Объекты групповой политики.
В настоящее время практически любой производитель системного программного обеспечения встает перед проблемой снижения общей стоимости владения системой (total cost ownership). Эта проблема заключается в том, что развитие и связанное с этим усложнение технологий приводит к увеличению затрат на администрирование. В таких условиях корпорации вынуждены либо постоянно увеличивать штат администраторов, либо упрощать процесс управления за счет отказа от тех или иных сервисов и технологий.
Каждый разработчик подходит к решению этой проблемы по-своему. Компания Microsoft традиционно предлагает целый набор решений, позволяющих упростить процесс управления сетевыми ресурсами, а следовательно снизить общую сумму административных затрат.
Одной из проблем, встающих перед системным администратором, является проблема формирования индивидуального окружения пользователей. Начиная с Windows 2000, для формирования окружения пользователей используется механизм групповых политик (group policy). Под групповой политикой понимается совокупность параметров и настроек системы, определяющая конкретное окружение пользователя. Администратор может использовать механизм групповых политик для централизованного управления средой пользователей.
- Управление настройками операционной системы. Все параметры операционной системы, определяющие ее функциональность, а также определяющие режимы работы ее служб и их настройки, хранятся в системном реестре. Посредством механизма групповой политики администратор может контролировать содержимое отдельных, наиболее важных ключей реестра.
- Назначение сценариев. С помощью групповой политики администратор может определить сценарии, которые будут выполняться при запуске и выключении компьютера, а также при входе пользователя в систему и выходе из нее.
- Определение параметров системы безопасности. С каждым пользователем или компьютером может быть ассоциирован определенный набор настроек системы безопасности. В данном случае принято говорить о политике безопасности (security policy) определяемой в контексте групповой политики. Политика безопасности позволяет однообразно конфигурировать большое количество субъектов безопасности. Например, определить уровень доступа к системному реестру или задать порядок осуществления аудита событий.
- Управление приложениями. Используя механизм групповой политики, администратор может назначать и публиковать приложения, выполнять их централизованное обновление и восстановление.
- Перенаправление пользовательских папок. Папка My Documents (Мои документы) традиционно рассматривается как место хранения пользовательских документов. В корпоративной сети, в которой работает множество мобильных пользователей, актуальной становится проблема доступности этих документов. Посредством механизма групповой политики администратор может задать перенаправление всех обращений пользователей к этой папке на некоторый сетевой ресурс.
Объекты групповой политики
Параметры групповой политики хранятся в виде объектов групповой политики (Group Policy Object, GPO). Эти объекты хранятся в каталоге подобно другим объектам. Для именования объекта групповой политики используется глобальный уникальный идентификатор (GUID).
Различают два вида объектов групповой политики – объекты групповой политики, создаваемые в контексте службы каталога, и локальные объекты групповой политики. Локальные объекты групповой политики (Local Group Policy Object, LGPO) создаются в процессе установки операционной системы Windows 2000/XP или Windows Server 2003. Локальный объект GPO используется в том случае, когда компьютер не включен в состав домена. Как только компьютер подключается к домену, компьютер и пользователь, работающий на нем, подпадают под действие объектов GPO, определенных в контексте данного домена, и параметры, заданные локальным объектом GPO, могут быть переопределены на более высоком уровне (на уровне сайта, домена или подразделения).
Объекты групповой политики размещаются в каталоге в специальных контейнерах групповой политики (Group Policy Container, GTC). Кроме того, для размещения файлов, связанных с объектами GPO, система использует специальную папку SYSVOL\sysvol\<имя домена>\роlicies. В этой папке размещаются шаблоны групповой политики (Group Policy Template, GPT). Шаблон групповой политики представляет собой папку, в качестве – имени которой используется глобальный уникальный идентификатор (GUID) соответствующего объекта групповой политики. В шаблоне групповой политики размещаются административные шаблоны, сценарии и параметры безопасности.