Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АрхитектураБиологияГеографияДругоеИностранные языки
ИнформатикаИсторияКультураЛитератураМатематика
МедицинаМеханикаОбразованиеОхрана трудаПедагогика
ПолитикаПравоПрограммированиеПсихологияРелигия
СоциологияСпортСтроительствоФизикаФилософия
ФинансыХимияЭкологияЭкономикаЭлектроника

Group Policy Preferences.

Введение. | История групповых политик. | Типы групповых политик. | Структура групповой политики. | Порядок применения и наследования групповых политик. | Результирующая политика - RSoP. |


Читайте также:
  1. APPARATUS TECHNICAL GROUPS
  2. Be sure you know the translation of the following groups of words into
  3. Lecture 6. Word-Groups
  4. MMCIS Partners➡ место для Index TOP 20-FOREX MMCIS group
  5. Nogroup
  6. The Power of the Group

 

Group Policy Preferences (GPP) – технология, которая предоставляет огромные возможности и удобства для управления инфраструктурой организации. Но, тем не менее, её появление прошло достаточно незаметно, и многие до сих пор не знают о её существовании и о том, какие преимущества она может предоставить.

 

Это дополнительное расширение групповых политик, изначально разрабатывалось компанией Desktop Standard, но затем было приобретено Microsoft. Для настройки используются те же инструменты, что и для объектов групповой политики: GP Management Console и GP Editor.

 

GPP призваны заменить logon и startup сценарии – т.е. сценарии, выполняющиеся при загрузке компьютера или при входе пользователя в систему. Как пример таких сценариев, которые использовались до появления GPP, можно привести:

· Подключение сетевых дисков пользователей;

· Подключение сетевых принтеров;

· Правка реестра или добавление ветвей в реестр;

· Управление локальными учетными записями;

· Изменение и обновление файлов на компьютерах пользователей.

 

При использовании сценариев могут существовать определенные недостатки, среди них:

· Сложность управления сценариями. Если применением сценариев занимался не один человек, а несколько, причем, если какие-то изменения были не задокументированы, могут возникнуть вопросы: кто изменял последний раз сценарий, какие изменения были сделаны, где лежат эти сценарии, зачем были сделаны те или иные изменения?

· Сложность отладки. Единственный надежный способ отладки – создание группы пользователей или компьютеров для проверки срабатывания сценариев и проверки именно правильности срабатывания, ведь ошибка всего в одном знаке или букве может привести к большим проблемам.

· Скорость внедрения. GPP применяются не как logon или startup скрипты, а с заданным интервалом при обновлении GPO на компьютере.

 

GPP помогают сделать все то же самое, что и сценарии, но обладают следующими преимуществами:

· Удобный графический интерфейс;

· Минимизация ошибок, т.к. используется графический интерфейс;

· Скорость внедрения.

В Таблице 5 приведены основные отличия GPP от GPO:


Таблица 5. Отличия GPP от GPO.

  GPP GPO
Принуждение · Настройки не форсируются · Интерфейс не отключается · Могут быть применены однократно или многократно · Настройки форсируются · Интерфейс отключается · Настройки постоянно обновляются
Гибкость · Легко создавать элементы для управления реестром, файлами и т.д. · Импорт настроек из реестра локального или удаленного компьютера · Добавление настроек требует поддержки приложений и создания административных шаблонов · Нельзя создавать настройки для управления файлами, папками и т.д.
Локальные политики · Недоступны в локальной политике · Доступны в локальной политике
Сохранение · Оригинальные настройки перезаписываются · Удаление политики не восстанавливает исходное значение · Оригинальные настройки не изменяются · Хранятся в ветке реестра Policy · Удаление политики восстанавливает исходное значение
Область применения и фильтрация · Гранулированная фильтрация с пользовательским интерфейсом для каждого типа фильтра · Поддерживает фильтрацию на уровне отдельного элемента политики · Фильтры на основе WMI, требуется написание WMI запросов · Фильтрация по группам
Интерфейс · Легкий и знакомый интерфейс для настройки большинства параметров · Альтернативный пользовательский интерфейс

 

В Group Policy Preferences можно, например, переименовать встроенную учетную запись локального администратора, задать пароль и отключить ее. Это делается для безопасности и для того, чтобы в домене имели права администратора только те учетные записи, которые определены администратором домена. А так же, чтобы исключить все случайности и оградить себя от дополнительной работы, в случае выведения из строя операционной системы пользователем, который решил что-то исправить в системе под свои нужды.

 

8.1. Изменение учетной записи локального администратора.

 

Итак, создадим в нашем контейнере Office новый объект групповой политики. Назовем его, например, «Local Admins». Наша задача: переименовать учетную запись, задать ей пароль и отключить ее, чтобы на компьютерах пользователей могли изменять параметры или устанавливать ПО только те, кому эти права дал доменный администратор.

 

Для этого идем по пути «Конфигурация компьютера \ Настройка (это и есть GPP) \ Параметры панели управления \ Локальные пользователи и группы». Сейчас там пусто, потому что мы еще ничего не сделали. Тыкаем правой кнопкой на «Локальные пользователи и группы» и там в контекстном меню выбираем подпункт «Создать – Локальный пользователь». Открывается диалоговое окно с закладками и параметрами.

 

В закладке «Локальный пользователь» несколько полей:

Первое поле – «Действие», которое нужно будет осуществить с учетной записью. Среди вариантов: создать, заменить, обновить и удалить. Нам, в нашем случае, нужно выбрать «обновить».

Второе поле – «Пользователь». Тут выбираем «Администратор (встроенная учетная запись)».

Третье поле – «Переименовать». Для повышения безопасности, переименуем на всех компьютерах Администратора. Например, в LocalAdmin.

Четвертое и пятое поля – «полное имя» и «описание» можно оставить пустыми.

Шестое и седьмое поля – «пароль» и «подтверждение». Тут введем пароль и подтверждение нового пароля локального администратора.

 

Далее следуют пять параметров, которые можно включить либо отключить:

· «Требовать смену пароля при входе в систему» – этот параметр отключаем.

· «Запретить смену пароля пользователем» – этот параметр включаем.

· «Срок действия пароля неограничен» – включаем.

· «Отключить учетную запись» – включаем.

· «Срок действия учетной записи не ограничен» – так же включаем.

 

Если не включить последний параметр, будет возможность выбрать дату, до которой эта учетная запись действительна.

 

 

8.2. Подключение сетевого диска.

 

Допустим, у нас есть общая сетевая папка, в которой по хранятся какие-то документы. Удобно будет подключить ее как сетевой диск и создать ярлык на рабочем столе для всех пользователей сразу. И в этом случае поможет GPP.

 

Создадим новую политику и назовем ее «Network Drive and Link». Для этого, по пути «Конфигурация пользователя \ Настройка \ Конфигурация Windows \ Сопоставления дисков» нужно создать «Сопоставленный диск». В открывшемся меню «Действие» выбираем «Создать», в поле «Размещение» указываем путь к существующей сетевой папке, например \\fileserver\share, в подписи указываем, например, «Обменник». В пункте «Буква диска» выбираем пункт «Использовать» и выбираем какую-либо букву диска, например «W». Теперь у пользователей при открытии папки «Компьютер» будет подключен сетевой диск W:, ведущий в сетевую папку обмена.

 

Теперь облегчим жизнь пользователям и создадим ярлык на рабочем столе, ведущий в эту сетевую папку. Для этого идем в «Конфигурация пользователя \ Настройка \ Конфигурация Windows \ Ярлыки» и создаем новый ярлык. В поле «Действие» выбираем «Создать», имя ярлыка зададим, например, «Обменник». Тип объекта – «Объект файловой системы». Поле «Размещение» обозначает, куда на компьютере пользователя поместить ярлык. Выберем «Рабочий стол». Конечный путь нашего ярлыка будет W:, остальные поля, кроме, пожалуй, поля «Комментарий» (можно написать комментарий «Общая сетевая папка»), можно оставить пустыми.

 

П применения политики, у всех пользователей, к которым применилась эта политика, будет подключен сетевой диск, ведущий в папку обмена документами, а на рабочем столе будет создан ярлык, ведущий в эту папку.

 

8.3. Подключение сетевого принтера

 

Таким же образом, с помощью GPP можно подключить сетевой принтер. Для этого, во вновь созданном объекте групповой политике под названием, например, «User Printer GPP» нужно пойти в «Конфигурация пользователя \ Настройка \ Параметры панели управления \ Принтеры» и создать TCP/IP принтер. В появившемся окне указать параметры: «Действие» – «Создать», указать либо IP-адрес принтера, либо его DNS-имя (поставив соответствующую галочку), назвать его как он будет называться на компьютерах пользователей, например HP M2727nfs, указать путь к принтеру, \\SRV-PRINT\Printer01, как пример. В полях «Размещение» и «Комментарий» написать где он находится и комментарий, что не обязательно. В закладке «Параметры порта» оставить все по умолчанию, если принтер используется с настройками по умолчанию, либо задать настройки, с какими он используется.

 

Мы создали принтер, который будет подключаться автоматически у пользователя. Причем, т.к. мы создавали принтер в ветке «Конфигурация пользователя», а не «Конфигурация компьютера», можно очень облегчить жизнь пользователям, создав политики для добавления принтеров в зависимости от принадлежности пользователя к тому или иному отделу в структуре предприятия. Т.е. если на компьютере регистрируется пользователь, принадлежащий, например, к группе безопасности пользователей «Бухгалтерия», то, соответственно объекту групповой политики и настройкам GPP, подключится принтер, расположенный в бухгалтерии. Если же на компьютере зарегистрируется пользователь из отдела продаж, то и принтер у него будет тот, который находится в отделе продаж.

 

8.4. Финальный штрих.

 

Для облегчения работы как пользователя, так и администратора, чтобы администратор не забивал себе голову фамилиями и названиями компьютеров всех пользователей на предприятии, удобно будет, если пользователь будет знать, как называется его компьютер и под какой учетной записью он вошел. Для этого существует очень полезная программа BackInfo. При запуске она заменяет картинку рабочего стола надписью на сплошном фоне. В надписи могут быть указаны следующие параметры: под какой учетной записью был произведен вход в систему, имя компьютера, какая ОС установлена, технические параметры (процессор, память), IP-адрес, домен и можно вставить пару строк свободного текста, который впишет сам администратор. Для этого надо, чтобы в общедоступной сетевой папке лежала программа BackInfo и объект групповой политики, с помощью которого нужно поставить эту программу в автозапуск при входе в систему.

 

Создадим объект групповой политики с названием «BackInfo». По пути «Конфигурация компьютера \ Политики \ Административные шаблоны \ Система \ Вход в систему» изменить параметр «Выполнять эти программы при входе в систему». Поставить галочку на «Включить» и ниже нажать на кнопку «Показать». Откроется список с пустой строкой, в эту строку нужно ввести путь до программы, например, в нашем случае путь будет следующий:

\\SRV-FS\share$\backinfo\backinfo.exe

Теперь у всех пользователей будет на рабочем столе надпись с указанием необходимых параметров, что поможет как пользователям быстро сказать на каком компьютере, с каким адресом и у какого пользователя что-то не работает, так и службе поддержки (или администратору) быстро получить необходимые сведения по телефону, чтобы предпринимать какие-то действия.

 

Но вот незадача, на Windows 7 фон по умолчанию черный. Это некрасиво и не вписывается в наш «корпоративный стиль» – классический стиль Windows, цвет фона которого давно известен всем. Чтобы это исправить, можно в очередной раз воспользоваться Group Policy Preferences и импортировать нужный цвет фона рабочего стола всем пользователям в реестр.

Создадим очередной объект групповой политики, назовем его «Background Color». По пути «Конфигурация пользователя \ Настройка \ Конфигурация Windows \ Реестр» создадим «Элемент реестра».

Для начала, выставим фон рабочего стола на той машине, с которой будет браться этот параметр, в нужный цвет. В нашем случае, на сервере, где редактируются групповые политики. Но вернемся к редактору групповых политик. В поле «Действие» выберем «Обновить». Кликнем на кнопку выбор пути раздела, в открывшемся окне реестра выберем «HKEY_CURRENT_USER \ Control Panel \ Colors» и снизу в списке параметров цветов найдем параметр Background. Нажмем кнопку «Выбрать». Больше ничего менять не надо, нажимаем «ОК» и теперь при применении политик у всех пользователей будет фон рабочего стола нужного цвета с надписью на нем нужных параметров программой BackInfo.


Заключение.

 

Итак, в нашем примере мы увидели основные преимущества использования групповых политик на предприятии.

 

Администратор домена может автоматизировать большую часть работы, избавить себя от внесения изменений и настроек на каждом из десятков, или, в случае, если предприятие большое, даже сотен компьютеров, просто правильно настроив групповые политики и проследив за их безошибочным применением.

 

Перед применением можно проанализировать все настройки, или смоделировать их, проверить, как будут работать все политики на любом из компьютеров в сети с помощью результирующей политики, что сводит к минимуму ошибки при применении групповых политик.

 

Групповые политики представляют собой мощный инструмент тонкой настройки ИТ-инфраструктуры предприятия, обеспечивающий безопасность, скорость внедрения и простоту изменения любых настроек.

 

Дата добавления: 2015-07-19; просмотров: 79 | Нарушение авторских прав

<== предыдущая страница | следующая страница ==>
Создание и редактирование объектов групповой политики.| Испанский Евротурсостоит из посещения Барселоны-столицы провинции Каталония и крупнейшего в Европе парка развлечений Port Aventura.
mybiblioteka.su - 2015-2024 год. (0.013 сек.)