АРУБА НЕЗАБАВЕН WI-FI: прост, мощен и достъпни

Вие настройвате десет Windows сървъри или настолни компютри или десет хиляди, знаете, че груповите правила осигурява безценна помощ в тази задача. Но много от тях вероятно са чували истории на ужасите за сложността на групови политики, системен администратор да се направят промени, без да знае тяхното въздействие, и като резултат не се опрости живота си, но точно обратното. Например, промяна на Logon Локално разрешения в обекта на GPO Group Policy (GPO) за премахването на ненужните групи, може да откриете, че сте го направили в GPO, който се прилага за всички компютри в областта, а сега никой не може да се регистрирате. Мога да ви кажа как се е случило.

Тези проблеми са често срещани. Но вие можете да бъдете сигурни, че политиката на група е в съответствие с потенциала си, работещи в няколко ключови понятия: как да се прилага GPO, като разрешение и филтри работа, каква е разликата между политиките и предпочитания и че на първо място трябва да се вземат, за да се идентифицират проблемите.

Разбирането на произведения на Group Policy

За да разберете как клиентската система работи с GPO, че е важно да се гарантира, че всичко се случва по план. Нека първо да разберем, че въпреки наличието в заглавието разполага с думи "група", политиката се прилага само за потребителя и компютъра. Ето защо, когато присвоявате обекти с групови правила (GPO) Directory обект Active (AD), компютър е част GPO се прилага само за компютърни обекти в АД, като част от потребителя се прилага към потребителското само обектите. Можете да използвате групи сигурност, за да се идентифицират с филтър, който потребители и компютри, свързани с GPO, но не можете да се насочите на GPO за определени групи за сигурност.

Следвайте правилото: всеки път, когато се свързва GPO за даден обект, домейн или организационна единица (ОУ) в Active Directory, уверете се, че потребителят или компютъра, от който искате да се свържете, е в правилната контейнера в йерархична дървото на Active Directory ,

Можете също така да използвате повторно GPO, го свържете към рекламната множество контейнери, например, могат да бъдат свързани към един налагане на строги ограничения на системата GPO с четири или пет ОУ. Чувството за връзка GPO на множество контейнери е, че всяка промяна в GPO, които ще бъдат добавени по-късно, ще се отрази на потребителите и всички компютри са свързани с него ОУ. Въпреки това, тъй като е възможно да се свържат различни GPO множество контейнери в АД, предназначена за определен потребител или компютър може да се използва няколко GPO. За да разберете какво политиката се осъществява в конкретен случай, е необходимо да се отговори на два въпроса:

Както Group Policy ще знае какво GPO трябва да се третира първо?

Какви настройки се прилагат, ако е различно GPO имат различни настройки?

обработка на групови правила, е както следва. Местната GPO се обработват на компютъра, а след това GPO, свързани с мястото на АД, GPO и т.н., свързани с областта на АД, и най-накрая, тези, които са свързани към ОУ. Тъй като GPO, свързан с ОУ, се обработват на последно място, те в крайна сметка се определи кои настройки GPO се прилагат към компютъра или потребителя. Например, ако един GPO се възлага на домейна премахва командата Run менюто от менюто Старт в Windows, и GPO, свързан с ОУ, добавете командата обратно към менюто на, на последната настройка ще бъде приложена към компютъра или на потребителя, тъй като процесите на потребител на системата, които се противопоставят на второ място. Това ще доведе до факта, че командата на менюто Run ще се появи в потребителското меню.

Разрешения за групови правила и филтрирането

Както е показано на Фигура 1. Можете да промените групата на сигурност за GPO, просто чрез добавяне или премахване на групи от раздел Security Filtering в GPMC.

Да предположим, че вие ​​сте на GPO, свързан с маркетинг ОУ, която съдържа 200 потребителски акаунти. Вие искате да добавите някои настройки в потребителския част от политиката на потребителите, които са членове на Marketing Специални Проекти група. Използвайте GPMC да направите това много лесно. Старт GPMC, тип gpmc.msc

Филтриране на разрешения за защита определя кои компютри и потребителите могат да обработват GPO. Има и разрешения, които да определят кой може да редактира на GPO. Можете да видите тези разрешения, подчертавайки GPO в GPMC и изберете раздела Делегация, както е показано на фигура 2.

Трябва само да свържете една единствена WMI филтър с данните GPO. Ако искането е посочено във филтъра, ще даде Вярно резултат от четенето на GPO, а след това се използва обекта. Проверка WMI заявка се появява на клиентския компютър, който обработва GPO. Запитване изследва местен WMI хранилище, за да получите отговор "дясно" или "погрешно". Ако заявката се връща False, на GPO към потребител или компютър не се използва. Възможност за използване на WMI филтър на компютър или на потребителя, зависи от заявката. Например, ако информацията е поискана от това дали компютърът е контролиран от XP, този проблем е специфичен за всеки компютър, а ако компютърът се контролира от XP, GPO ще приложите филтъра, независимо от това дали даден потребител регистриран на компютъра или не. Въпреки това, ако исканата информация за това дали даден потребител е влязъл Джо Смит на компютъра в момента, GPO ще приложите филтъра само когато Джо Смит действително да бъдат регистрирани в системата.

Политика или предпочитание

Може би най-популярната част от административните шаблони на груповите правила са, Административни шаблони, или политика регистър. Тази област на Group Policy ви позволява да контролирате много аспекти на Windows. Много удобен, че политиката на регистър вече не е изрично предписано в регистъра и следователно не се прилага, когато не е необходимо, тъй като той е бил в NT 4.0. Липсата на изрично предписание означава следното: да речем, че се включи (или изключите) елемент от политиката на системния регистър в GPO и да го прилага по отношение на даден потребител или компютър, и след това изтрийте GPO или промените филтъра за сигурност на даден потребител или компютър. По време на елемент за обработка на следващия цикъл или оперативен фона на тази политика ще бъдат изтрити автоматично, но не и "заби" в регистъра, докато не са насилствено премахнете.

Процесът на отстраняване работи, както е описано, тъй като Microsoft умишлено създадени четири специален ключ на системния регистър, където написани всички политики, и те са отстранени, когато те вече не се използват. Две секции на политиките по вписванията за компютъра са:

HKEY_LOCAL_MACHINESoftwarePolicies
HKEY_LOCAL_MACHINESoftware
MicrosoftWindowsCurrentVersionPolicies
Registry ключови политики за потребителя са:
HKEY_CURRENT_USERSoftwarePolicies
HKEY_CURRENT_USERSoftware
MicrosoftWindowsCurrentVersionPolicies

От настройките за правилата на системния регистър са написани на един от тези четири ключа, те няма да останат в регистъра, когато GPO се отстранява. Разбира се, за да напишете политики в тези четири секции, приложения или компоненти в Windows трябва да бъдат написани така, че да постави под въпрос тези секции за настройки за правила. Въпреки това, все още можете да създадете шаблон файлове ADM (ADMX или в Vista), които могат да записват в някакви ключове в системния регистър (в HKEY_ LOCAL_MACHINE или HKEY_CURRENT_ USER). Политиците, които правят се наричат ​​"предпочитания" и ще бъдат въведени в регистъра, дори и ако GPO, след като ги премахнат. По този начин, ако имате нужда, за да отмените предпочитанието, което се изпълнява, е необходимо да го изключите в интерфейса на редактора на групови правила (GPE) или ръчно да премахнете записа в системния регистър.

Изрично настройки за напасване, свързани с политиката на системния регистър, но другите политики показват това поведение. Така например, политиката за сигурност на насилствено прилагане на постоянни промени в системата, когато се прилагат. Например, ако зададете правата на потребителите в дадена система (с помощта на политиката намерите в присвояване Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesUser права) и след това извадете GPO, който изпълнява тези настройки от къде ги процеса на компютър, целта на правата на потребителите да останат до толкова дълго, колкото не ги правят. Важно е да се разбере, защото всяка област на политиката се държи по различен начин, "оставя следи" в системата. В някои случаи, например в случай на политики за пренасочване към папки или инсталиране на софтуера, трябва да укажете на политиката, какво да се прави, когато GPO вече не се прилага, както е показано на фигура 3.

Диагностика на повреди в Group Policy

Политика на Групата - инструмент трудно, а понякога и те не работят както се очаква. Без да иска, може да се създаде нещо нередно или политиката може да не работи, просто защото на провала. обработка на групови правила, изисква определени компоненти да работят в концерт. Вашият АД инфраструктура и работни станции не са повредени, както и различните настройки, които сте посочили трябва да са съвместими с приложения, работещи на компютъра. Когато нещо от следните не е така, можете да видите, че обработката на Group Policy провали.

Раздела с обобщени данни показва кои GPO бяха приложени към компютъра и потребителя, и най-важното, какво GPO бяха отхвърлени и защо. Компонент раздел Статус на доклада може да предостави информация за това дали всички от обработката на групови правила са били извършени, и ако не, защо не. Element Group Policy инфраструктура, което ще видите в този раздел, се говори за това дали е имало основна част от успешната обработка на групови правила. Ако не е, то обикновено се идентифицират някои проблеми в инфраструктурата, които възпрепятстват прилагането на обработка на групови правила. Ако възникне грешка в т.нар богат клиента, че прилагането на различните аспекти на политиката, можете да решите този проблем с помощта на представените доклади за грешки. Ако искате да видите кои ще бъдат индивидуални политики са били доставени на компютъра или потребителя, можете да отворите раздела Настройки в заключителния доклад на групови правила, за да видите какво настройките са приложени като резултат. Въпреки това, посланието на доклада RSoP на настройките на приложението, не означава, че те са били успешни. Понякога по-добре да се провери основните настройки, за да разберете, ако настройката е направена в рамките на прилагането на политиката на сигурност или регистърната стойност съществува.

Групови правила са сложни и мощни. С разбирането как те се обработват, ще бъде в състояние да се възползват пълноценно от силата им. Не забравяйте, че груповите правила се обработват в следния ред: местното на GPO, мястото на АД, домейна и ОУ (понякога се използва за тази редукция последователност LSDOU), а в типична ситуация ", пише последните печели", ако има настройка конфликт. Политики и преференции могат да повлияят на това как политиката на "оставят следи" в системата, когато GPO е отстранена, е важно при избора в полза на определен инструмент. политика по вписванията, разпространявани от Microsoft в стандартните ADM и ADMX файлове обикновено не се промени на системния регистър, но от собствените си ADMX файлове могат да го направят. В допълнение, други политики, като сигурност, да сменят системата и трябва да бъде ясно и насилствено отменени, а някои части на политиката следва да се посочи, че е необходимо да се отменят своите действия, когато те вече не се използват. И накрая, ако политиката все още не работи, както се очаква, обърнете се към съветника за Group Policy резултати в GPMC.

Сподели снимки с приятели и колеги

Свързани статии

• разширение на групови правила в Windows Vista и Windows Server 2018 - всичко от себе си, и програмиране

• Диагностика Group Policy

• Проверка на състоянието на инфраструктурата на Group Policy