Service Microsoft Active Directory директория се е превърнала в основен компонент на много ИТ среди. Един от най-важните от Active Directory е да подкрепя Group Policy даде възможност на администраторите да централизира контролери за управление, сървъри и работни станции домейн.

Използването на Group Policy предлага много очевидни предимства, има обаче един недостатък. В големите организации, тя може да бъде трудно да се разработят и приложат, да не говорим за решаване на евентуални проблеми. В тази статия ще разгледаме как организирана политика на групата, и да обмислят как да се реши, свързани с проблеми. В резултат на това вие ще бъдете готови да решим почти всички проблеми, свързани с групови правила.

проблемни параметри

Група политика е сложен механизъм с много компоненти, особено по отношение на начина, по който те си взаимодействат с общата идея и прилагането на активен Directory® услуга. При търсене на решения на различни проблеми, свързани с мрежи и достъп, винаги трябва да се разгледа Directory услугата Active и основите на изпълнение на групови правила. За да започнете процеса на намирането на решения, помислете за настройки на груповите правила, когато настройвате, който може да бъде грешка, а след това преминете към по-сложни въпроси, които могат да възникнат в областта на политиката.

Фиг. 1 изрично показва обект комуникация GPO

GPO не се прилага за групи на GPO не могат да бъдат приложени към група Active обект на сигурността Directory. С помощта на GPO, можете да конфигурирате само два обекта - компютри и потребители. А GPO не може да засегне обекти чрез членството в групата. Например, ако GPO е свързано с разделянето на финансите, както е показано на фиг. 2. той ще се прилага само за обекти, Дерек и Франк. Настройките на GPO няма да се прилагат за членовете на групата, Маркетинг, на които ще им не е била включена.

Фиг. 2 дивизия на финансите и има обекти

Обектите, за които се GPO, трябва да се намира в зоната на управление на GPO, ако параметъра не произвежда правилна експозиция, по този въпрос, там е по-важен параметър - предмет трябва да бъде в рамките на управлението на GPO. Това означава, че предметът трябва да бъде под възела, към който свързаната обект GPO (достатъчно подобект). Например, GPO обект, свързани с разделението на финансите, няма да се прилага към всеки от обектите, Маркетинг дивизия, както е показано на фиг. 2. GPO обект операционна зона се простира от сайта, към който е свързан по-надолу структурата на Active Directory Service.

Фиг. 3 За единици, разположени на същото ниво, GPO обект се прилага само към единица, с която тя е свързана.

GPO е да бъдат включени при създаването на GPO не е конфигуриран да прави никакви промени в целите. Въпреки това, той е на компютри, така и за потребителите. Ако една от тези настройки е забранено, то може да бъде много трудно да се проследи. Ето защо, когато добра идея за отстраняване на грешки грешки кандидатстване GPO да не чек деактивира, ако в някои или всички от GPO. Това може да стане в обектите групата политики | политика сметка в GPMC, проверка GPO статус.

Синхронни и асинхронни приложения на параметрите

В метод GPO на политиките за кандидатстване може да бъде настроена при стартиране и за влизане. Промените, направени в двете осигуряват незабавен достъп до работния плот към пълното прилагане на всички политики, или да гарантират прилагането на всички политики, преди достъпа на потребителя печалби на работния плот. Фиг. 4 показва поведението на всеки един от операционната система по подразбиране.

Фиг. 4 подразбиране обработка на клиентски

Ако искате да промените това поведение, можете да промените следните настройки на политика:

Повечето администратори предпочитат синхронна промяна на политиката за осигуряване на прилагането на всички политики, преди достъпа на потребителя печалби на работния плот. Това гарантира, че употребата на всички настройки за сигурност и конфигурацията на потребителят ще бъде в състояние да изпълнява никакви действия. Имайте предвид, че това поведение по подразбиране е изключено в Windows® XP Professional, за да се оптимизира бързо за вписване.

Промяна на наследството по подразбиране

Има четири различни начина да се промени по подразбиране наследството на съоръжения за обработка на GPO. Тези мощни възможности трябва да се използват с повишено внимание, тъй като те могат значително да променят поведението на обработката на групови правила. Те също са много трудно да се отстраняване на грешки. Възможността за промяна на наследяване по подразбиране включва следните четири параметри и настройки:

• наследяване Блок политика
• Изпълнение на GPO
• GPO филтриращи съоръжения списък за контрол на достъпа (ACL)
• Филтри Windows инструменти за управление (WMI)

Тъй като тези параметри трябва да се използва с повишено внимание, ако се използва трябва да е лесно да се напише. За да разберете дали се използват тези функции, е възможно в GPMC, GPMC. Блокирането на наследяване се извършва на GPMC панел на ниво домейн или единици. Параметри за прилагане на съоръжения за филтриране ACL и WMI филтрирането са определени за всяка GPO индивидуално.

Друг начин - е да се движат по целевия компютър командата GPResult, да се учи, не е пречка да се определи дали някои от тях налагането на правилата настройки. За повече информация относно прилаганата политика комплекта може да бъде добавена към екипа параметър GPResult / обем, включително подробния изход.

Проблеми с ADM шаблони

полезни инструменти

Има много средства за откриване на проблеми в областта на Group Policy. Някои от тях са вградени в операционната система, други могат да бъдат изтеглени и инсталирани. След това, ние ще обсъдим подходящите средства, така че да можете да изберете този, който е подходящ за определена цел.

GPResult може да се работи само инструмент в компютъра, но тя дава информация за полученото снимачната площадка на политика (RSoP), блокира GPO на GPO разрешения и много други. С / обем параметъра, тази команда показва подробна информация за GPO, действаща за компютърни и потребителски акаунти, свързани с данните си за вход сесия.

Gpupdate за прилагане на нови GPO настройки или проверява пълнотата на всички GPO обработка Можете да използвате Gpupdate. Това командния ред помощна програма, която се доставя с операционната система (Windows XP и по-нови версии). Той причинява актуализацията на фона, който се прилага на всички GPO настройки, съответстващи на този вид ремонт. С опция / го принуди отново да приложите настройките GPO, дори и след последната актуализация няма промяна на GPO. Изпълнението на тази команда преди да изпълни GPResult команда е много мощен начин за проследяване на проблеми GPO.

заключение

Отстраняване на Group Policy - не е най-лесният от възможните задачи. В действителност, както е показано на тази статия, Group Policy е сложен въпрос. Как да стигнем до решаване на проблеми, свързани с групови правила, трябва да се разберат основните принципи на нейната обработка и основната архитектура. Необходимо е също така да има ясна представа за това как се обновява, повторен, обработват и се прилагат GPOs. Овладяването на всички тези понятия значително улеснява отстраняването на някакви специфични проблеми в Group Policy. Следвайки препоръките в тази статия правилно и използването на правилните инструменти, ще бъде готова да се справи с всички проблеми на Group Policy.