Определение действующих политик. Оснастка Resultant set of Policies.
Для работы с доменными групповыми политиками в системах Windows Server 2003 имеются появившиеся еще в Windows XP две очень полезные утилиты командной строки:
- GPUpdate.exe – выполните эту команду, если вы изменяли групповые политики и хотите, чтобы они немедленно стали активными (сначала запустите ее с параметром /?). В Windows 2000 для этих целей использовалась команда secedit /refreshPolicy;
- GPResult.exe – эта команда, входившая ранее в состав пакета Windows 2000 Resource Kit, стала стандартной командой системы. С ее помощью можно определить, какие настройки групповых политик фактически применяются по отношению к указанному компьютеру/пользователю. Может выполняться для удаленного компьютера. Запускать команду лучше всего с параметром /v – в этом случае сразу становятся видны ее возможности. Аналогичную задачу выполняет описываемая ниже оснастка Resultant set of Policies (Результирующая политика).
Оснастка Resultant set of Policies
В системах Windows XP и Windows Server 2003 имеется очень удобный инструмент для работы с групповыми политиками, который особенно оценят администраторы крупных доменов с многоуровневой иерархией объектов GPO – это оснастка Resultant set of Policies (Результирующая политика).
Информацию о результирующих политиках можно получать в одном из двух режимов.
- Режим планирования (planning mode) позволяет администраторам моделировать использование групповых политик, определенных в различных объектам GPO, при этом можно даже не выбирать целевые компьютеры и пользователей. К примеру, с помощью этого режима можно получить ответ на вопрос "Какие установки групповых политик применяются к пользователям, учетные записи которых находятся в подразделении Admins, а зарегистрировались они на компьютерах, входящих в подразделение Managers?" При этом можно также моделировать присутствие или отсутствие пользователя в определенных группах безопасности.
- Режим ведения журнала (logging mode) можно использовать только для определения реально действующих параметров групповых политик для пользователя, зарегистрированного на некотором компьютере.
Режим планирования можно применять для любого объекта каталога: домена, подразделения, пользователя и компьютера. Очевидно, что режим ведения журнала возможен только для учетных записей пользователей и компьютеров – поскольку только пользователь может регистрироваться на компьютере.
Процедура предварительного конфигурирования оснастки Resultant Set of Policy практически одинакова для обоих режимов, поэтому нет смысла рассматривать их индивидуально. Для примера определим, какие групповые политики применяются к пользователям, чьи учетные записи располагаются в некотором подразделении. Для этого:
- Откроем оснастку Active Directory Users and Computers, выберем в окне структуры интересующее нас подразделение и в контекстном меню выполним команду All Tasks › Resultant Set of Policy (Planning) (Все задачи › Результирующие политики (планирование)).
- В окне мастера Resultant Set of Policy Wizard (рис. 21.17) можно изменить выбранный контейнер (нажав кнопку Browse и выбрав другой контейнер для пользовательского или компьютерного объекта) или конкретизировать запрос, установив переключатель User или Computer и выбрав соответствующую учетную запись (которая может находиться и в другом подразделении).
- Пропустим второстепенные настройки мастера, для чего установим флажок Skip to the final page и нажмем кнопку Далее (Next).
- После проверки правильности заданных критериев на странице Summary of Selections снова нажмем кнопку Next. Система некоторое время будет анализировать параметры политик.
- На последней странице мастера нажмем кнопку Finish (Готово).
Рис. 21.17. Окно выбора объектов, для которых определяются результирующие политики