Слайд 1Занятие 17, 18
МДК.02.02 Организация администрирования компьютерных сетей
3-курс
Слайд 2Создание и настройка групповых политик домена.
Слайд 3Создание и настройка групповых политик домена.
Групповые политики – это
набор правил, обеспечивающих инфраструктуру, в которой администраторы локальных компьютеров и
доменных служб Active Directory могут централизовано развертывать и управлять настройками пользователей и компьютеров в организации.
Все настройки учетных записей, операционной системы, аудита, системного реестра, параметров безопасности, установки программного обеспечения и прочие параметры развертываются и обновляются в рамках домена при помощи параметров объектов групповой политики GPO (Group Policy Object).
Слайд 4Создание и настройка групповых политик домена.
Другими словами. Групповая политика
– это инструмент, доступный для администраторов, работающих с архитектурой Active
Directory.
Он позволяет централизованно управлять настройками на клиентских компьютерах и серверах, подключенных к домену, а также обеспечивает простой способ распространения программного обеспечения.
Групповые политики позволяют настраивать параметры для определенного набора пользователей или компьютеров внутри домена Active Directory.
Также позволяют указать политики в одном месте для группы и применить к целевому набору пользователей.
Слайд 5Создание и настройка групповых политик домена.
Например, можно обеспечить применение
стандартного набора настроек и конфигураций для групп пользователей или компьютеров
в домене или по запросу.
Во всех компаниях как правило есть различные отделы, например отдел системных администраторов, разработчиков, дизайнеров.
Каждому из отдела необходим свой стандартный набор программного обеспечения.
Их рабочие компьютеры должны быть сконфигурированы под специальные задачи и нужды.
Слайд 6Создание и настройка групповых политик домена.
С помощью групповых политик
можно создать наборы настроек для конкретных групп пользователей в домене.
С помощью Active Directory GPO можно установить и управлять отдельными унифицированными наборами настроек, конкретно для дизайнеров или разработчиков.
Конфигурации для компьютеров или пользователей проще и эффективнее, т.к. расположены в одном месте и не требуют повтора на каждом компьютере.
Слайд 7Создание и настройка групповых политик домена.
Компоненты GPO
Существует два компонента
групповых политик – серверный компонент и клиентский, т.е. данная структура
относится к архитектуре «клиент-сервер».
Серверный компонент – оснастка Microsoft Management Console (MMC), которая используется для указания настроек групповой политики.
MMC может быть использована для создания политик для контроля и управления административными шаблонами и настройками безопасности (скрипты, установка ПО и прочее).
Слайд 8Создание и настройка групповых политик домена.
Компоненты GPO
Каждый из них
называется расширением и в свою очередь каждый из них имеет
дочернее расширение, которое разрешает добавление новых компонентов или обновление существующих без возможности затронуть или подвергнуть риску всю политику.
Клиентский компонент интерпретирует и применяет настройки групповой политики для компьютеров пользователей или целевым пользователям.
Клиентские расширения – это компоненты, которые запущены на пользовательской системе и несут ответственность за интерпретацию обработки и применения в объекты групповой политики.
Слайд 9Создание и настройка групповых политик домена.
Компоненты GPO
Для администрирования GPO
используют Group Policy Management Console (GPMC) и Group Policy Management
Editor.
Сценарии использования Active Directory GPO:
• Централизованная настройка пакета программ Microsoft Office.
• Централизованная настройка управлением питанием компьютеров.
• Настройка веб-браузеров и принтеров.
• Установка и обновление ПО.
Слайд 10Создание и настройка групповых политик домена.
Компоненты GPO
Сценарии использования Active
Directory GPO:
• Применение определенных правил в зависимости
от местоположения пользователя.
• Централизованные настройки безопасности.
• Перенаправление каталогов в пределах домена.
• Настройка прав доступа к приложениям и системным программам.
Слайд 11Создание и настройка групповых политик домена.
Оснастка Управление групповыми политиками
Если оснастку
не установлена, то её можно установить через стандартное меню в
«Диспетчер серверов» (Server Manager).
В консоли «Диспетчер серверов» (Server Manager)
выберите узел «Добавить роли и компоненты».
Откроется «Мастер добавления ролей» (Add Roles Wizard).
Слайд 13Если работа мастера начинается с вводной страницы, ознакомьтесь с ее
содержанием и щелкните Далее (Next).
Слайд 14Создание и настройка групповых политик домена.
Оснастка Управление групповыми политиками
Убедитесь, что
в разделе «Тип установки» выбран пункт «Установка ролей и компонентов».
Нажмите
кнопку «Далее».
Слайд 16Создание и настройка групповых политик домена.
Оснастка Управление групповыми политиками
В разделе
«Выбор сервера» необходимо выбрать пункт «Выберите сервер из пула серверов».
В данном случае представлен всего лишь один сервер.
На самом деле их может быть больше.
Следует выбрать один из них и нажать кнопку «Далее».
Слайд 18Создание и настройка групповых политик домена.
Оснастка Управление групповыми политиками
В следующем
разделе «Роли сервера» найдите и добавьте роль «Управление групповыми политиками»
(Group Policy Management).
Далее нужно завершить установку этой роли.
Слайд 20Создание и настройка групповых политик домена.
I. Область действия групповых политик
Все групповые политики имеют свою область действия (scope), которая определяет
границы влияния политики.
Области действия групповых политик условно можно разделить на четыре типа:
• Локальные групповые политики;
• Групповые политики доменов;
• Групповые политики подразделения;
• Групповые политики сайтов.
Слайд 21Создание и настройка групповых политик домена.
I. Область действия групповых политик
Локальные групповые политики
Групповые политики, применяемые к локальному компьютеру.
Эти политики настраиваются
в оснастке «Редактор локальных групповых политик» и применяются только к тому компьютеру, на котором они были настроены.
Они не имеют механизма централизованного развертывания и управления и, по сути, не являются групповыми политиками.
Слайд 22Создание и настройка групповых политик домена.
I. Область действия групповых политик
Групповые политики доменов
Объекты групповых политик, применяемые к домену Active Directory
(AD) и оказывающие влияние на все объекты, имеющие отношение к данному домену.
Поскольку в рамках домена работает механизм наследования, то все политики, назначенные на домен, последовательно применяются и ко всем нижестоящим контейнерам.
Слайд 23Создание и настройка групповых политик домена.
I. Область действия групповых политик
Групповые политики подразделения
Политики, применяемые к подразделению (Organizational Unit policy, сокр.
OU) и оказывающие влияние на всё содержимое данного организационного подразделения (OU).
Кроме того групповые политики подразделения оказывающие влияние на дочерние организационные подразделения (OU), при их наличии.
Слайд 24Создание и настройка групповых политик домена.
I. Область действия групповых политик
Групповые политики сайтов
Сайты в AD используются для представления физической структуры
организации.
Границы сайта определяются одной или несколькими IP-подсетями, которые объединены высокоскоростными каналами связи.
В один сайт может входить несколько доменов.
Иногда может быть обратная ситуация, один домен может содержать несколько сайтов.
Слайд 25Создание и настройка групповых политик домена.
I. Область действия групповых политик
Объекты групповой политики, примененные к сайту AD, оказывают влияние на
всё содержимое этого сайта.
Следовательно, групповая политика, связанная с сайтом, применяется ко всем пользователям и компьютерам сайта независимо от того, к какому домену они принадлежат.
Слайд 26Создание и настройка групповых политик домена.
II. Порядок применения и приоритет
групповых политик
Порядок применения групповых политик напрямую зависит от их области действия.
Первыми применяются Локальные политики, затем Групповые политики сайтов, затем отрабатывают Доменные политики и затем OU политики (групповые политики подразделения).
Если на одну OU (групповую политику подразделения) назначено несколько GPO (объектов групповой политики), то они обрабатываются в том порядке, в котором были назначены (Link Order).
Слайд 27Создание и настройка групповых политик домена.
II. Порядок применения и приоритет
групповых политик
Приоритет GPO (объектов групповой политики) напрямую зависит от
порядка их применения — чем позднее применяется политика, тем выше ее приоритет.
При этом нижестоящие политики могут переопределять вышестоящие — например:
• Локальная политика будет переопределена Доменной политикой сайта,
• Доменная политика — политикой OU (Групповой политикой подразделения),
• а политика вышестоящего OU (Группового подразделения) — нижестоящими политиками OU (Групповых подразделений).
Слайд 28Создание и настройка групповых политик домена.
III. Создание локальной групповой политики
1. Для
создания локальной групповой политики зайдите на рабочую станцию, нажмите Пуск,
в поле поиска введите Выполнить,
затем, в поисковой выдаче, выберите Выполнить
(смотри следующий рисунок).
Слайд 30Создание и настройка групповых политик домена.
III. Создание локальной групповой политики
2.
В открывшемся окне введите в поле gpedit.msc.
Далее нажмите OK
(смотри
следующий рисунок).
Слайд 32Создание и настройка групповых политик домена.
III. Создание локальной групповой политики
3.
В открывшемся окне Вы увидите две основные категории параметров групповой
политики:
• параметры конфигурации компьютера;
• параметры конфигурации пользователя.
Параметры конфигурации компьютера применяются к компьютеру в целом, то есть действуют в отношении всех пользователей, входящих в систему на данном компьютере, без различия, гости они, пользователи или администраторы.
Параметры конфигурации пользователя действуют только в отношении конкретно заданных пользователей (см. рис.).
Слайд 34Создание и настройка групповых политик домена.
III. Создание локальной групповой политики
4. Выберите:
Конфигурация пользователя >
Административные шаблоны >
Рабочий стол >
Active Desktop.
В
правой колонке выберите Фоновые рисунки рабочего стола и нажмите Изменить.
Меню вызывается правой кнопкой мыши.
(смотри следующий рисунок).
Слайд 36Создание и настройка групповых политик домена.
III. Создание локальной групповой политики
5.
В появившемся окне выберите пункт Включить, затем в поле Имя
фонового рисунка введите путь к фоновому рисунку (прим. в данном примере это C:\Green_Local.jpg).
После этого нажмите Применить и ОК.
Затем перезагрузите компьютер.
(смотри следующий рисунок).
Слайд 38Создание и настройка групповых политик домена.
III. Создание локальной групповой политики
6.
После перезагрузки компьютера Вы увидите, что политика отработала и фон
рабочего изменился.
(смотри следующий рисунок).
Слайд 40Создание и настройка групповых политик домена.
IV. Создание и настройка групповой
политики на уровне домена
1. Для создания групповой политики на уровне
домена зайдите на сервер, выберите:
Пуск >
Администрирование >
Управление групповой политикой.
(смотри следующий рисунок).
Слайд 42Создание и настройка групповых политик домена.
IV. Создание и настройка групповой
политики на уровне домена
2. Выберите домен (прим. в данном руководстве
это example.local).
Правой кнопкой мыши вызовите меню, в котором выберите:
Создать объект групповой политики в этом домене и связать его…
(смотри следующий рисунок).
Слайд 44Создание и настройка групповых политик домена.
IV. Создание и настройка групповой
политики на уровне домена
3. В появившемся окне выберите, в соответствующем
поле:
имя новой групповой политики (прим. в данном руководстве это GPO-1).
Затем нажмите ОК.
(смотри следующий рисунок).
Слайд 46Создание и настройка групповых политик домена.
IV. Создание и настройка групповой
политики на уровне домена
4. Выберите созданную групповую политику (прим. GPO-1).
Правой
кнопкой мыши вызовите меню, в котором выберите Изменить.
(смотри следующий рисунок).
Слайд 48Создание и настройка групповых политик домена.
IV. Создание и настройка групповой
политики на уровне домена
5. Выберите: Конфигурация пользователя > Политики >
Административные
шаблоны > Рабочий стол >
Active Desktop.
В правой колонке выберите Фоновые рисунки рабочего стола и нажмите Изменить.
Меню вызывается правой кнопкой мыши.
(смотри следующий рисунок).
Слайд 50Создание и настройка групповых политик домена.
IV. Создание и настройка групповой
политики на уровне домена
6. В появившемся окне выберите пункт Включить.
Далее
в поле Имя фонового рисунка введите путь к фоновому рисунку (прим. в данном примере это C:\Yellow_Domain_GPO-1.jpg).
После этого нажмите Применить и ОК.
Затем перезагрузите компьютер на котором ранее устанавливали локальную групповую политику.
(смотри следующий рисунок).
Слайд 52Создание и настройка групповых политик домена.
IV. Создание и настройка групповой
политики на уровне домена
7. После перезагрузки компьютера Вы увидите, что
групповая политика домена отработала и фон рабочего стола на компьютере изменился.
Примечание. На компьютере доменные политики успешно применились и переопределили настройки, задаваемые локальными политиками.
Т.о. установленный локальной политикой зеленый фон был переопределён и, в соответствии с доменной политикой, стал жёлтым.
(смотри следующий рисунок).
Слайд 54Создание и настройка групповых политик домена.
V. Создание и настройка групповой
политики на уровне подразделения
1. Для создания групповой политики на уровне подразделения
(Organizational Unit policy, сокр. OU) зайдите на сервер, выберите:
Пуск > Администрирование > Управление групповой политикой.
(смотри следующий рисунок).
Слайд 56Создание и настройка групповых политик домена.
V. Создание и настройка групповой
политики на уровне подразделения
2. Выберите домен (прим. в данном руководстве
это example.local).
Правой кнопкой мыши вызовите меню, в котором выберите Создать подразделение.
(смотри следующий рисунок).
Слайд 58Создание и настройка групповых политик домена.
V. Создание и настройка групповой
политики на уровне подразделения
3. В появившемся окне выберите, в соответствующем
поле, имя нового подразделения.
Примечание. В данном примере это OU-1.
Затем нажмите ОК.
(смотри следующий рисунок).
Слайд 60Создание и настройка групповых политик домена.
V. Создание и настройка групповой
политики на уровне подразделения
4. Выберите созданное подразделение (прим. OU-1).
Правой кнопкой
мыши вызовите меню, в котором выберите:
Создать объект групповой политики в этом домене и связать его…
(смотри следующий рисунок).
Слайд 62Создание и настройка групповых политик домена.
V. Создание и настройка групповой
политики на уровне подразделения
5. В появившемся окне выберите, в соответствующем
поле, имя новой групповой политики.
Примечание. В данном примере это GPO-2.
Затем нажмите ОК.
(смотри следующий рисунок).
Слайд 64Создание и настройка групповых политик домена.
V. Создание и настройка групповой
политики на уровне подразделения
6. Выберите созданную групповую политику (прим. GPO-2).
Правой
кнопкой мыши вызовите меню, в котором выберите Изменить.
(смотри следующий рисунок).
Слайд 66Создание и настройка групповых политик домена.
V. Создание и настройка групповой
политики на уровне подразделения
7. Выберите:
Конфигурация пользователя > Политики >
Административные
шаблоны > Рабочий стол >
Active Desktop.
В правой колонке выберите Фоновые рисунки рабочего стола и нажмите Изменить.
Меню вызывается правой кнопкой мыши.
(смотри следующий рисунок).
Слайд 68Создание и настройка групповых политик домена.
V. Создание и настройка групповой
политики на уровне подразделения
8. В появившемся окне выберите пункт Включить.
Затем
в поле Имя фонового рисунка введите путь к фоновому рисунку (прим. в данном примере это Red_OU_OU-1_GPO-2.jpg).
После этого нажмите Применить и ОК.
Затем перезагрузите компьютер на котором ранее устанавливали локальную групповую политику (прим. на этом же компьютере она была переопределена доменной групповой политикой).
(смотри следующий рисунок).
Слайд 70Создание и настройка групповых политик домена.
V. Создание и настройка групповой
политики на уровне подразделения
9. После перезагрузки компьютера Вы увидите, что
доменная политика (GPO-1) переопределена политикой (GPO-2), назначенной на OU (Групповую политику подразделения).
Таким образом установленный локальной политикой зеленый фон был переопределён и, в соответствии с доменной политикой, стал жёлтым, после чего доменная политика была переопределена политикой OU (Группового подразделения) и фон стал красным.
(смотри следующий рисунок).
Слайд 72Создание и настройка групповых политик домена.
VI. Наследование в групповых политиках
1. На
все политики в домене распространяется наследование.
То есть политики, назначенные на
родительский контейнер (домен или организационного подразделения (OU)), последовательно применяются ко всем дочерним контейнерам.
При необходимости это можно изменить, отключив наследование для отдельно взятого (организационного подразделения) OU.
Для этого необходимо перейти в управление групповой политикой.
Примечание. Пуск > Администрирование > Управление групповой политикой.
Слайд 73Создание и настройка групповых политик домена.
VI. Наследование в групповых политиках
Далее
следует выбрать нужное OU (организационное подразделение).
Примечание. В данном примере это
OU-1.
После этого нужно кликнуть на нем правой клавишей мыши и в контекстном меню отметить пункт Блокировать наследование.
После этого для данного OU и его дочерних OU (при их наличии) отменяется воздействие всех вышестоящих политик.
(смотри следующий рисунок).
Слайд 75Создание и настройка групповых политик домена.
VI. Наследование в групповых политиках
Примечание!
Политика Default Domain Policy содержит настройки, определяющие политику паролей и
учетных записей в домене.
Эти настройки не могут быть заблокированы.
Слайд 76Создание и настройка групповых политик домена.
VII. Форсирование применения групповых политик
1.
Форсирование применения групповых политик применяется тогда, когда данная политика должна
отработать независимо от остальных политик.
Если политика форсирована, то, вне зависимости от своей области действия она получает наивысший приоритет.
Это значит, что ее настройки не могут быть переопределены нижестоящими политиками, а также на нее не действует отмена наследования.
Слайд 77Создание и настройка групповых политик домена.
VII. Форсирование применения групповых политик
Чтобы
форсировать политику, необходимо перейти в управление групповой политикой.
Примечание. Пуск > Администрирование >
Управление групповой политикой.
Далее требуется выбрать нужную политику (прим. в данном руководстве это GPO-1), кликнуть на ней правой клавишей мыши и в контекстном меню отметить пункт Принудительный.
(смотри следующий рисунок).
Слайд 79Создание и настройка групповых политик домена.
Таким образом мы рассмотрели создание
и настройку групповых политик домена.
Отработку навыков создания и настройки групповых
политик домена необходимо осуществить во время проведения практических работ по подгруппам.
Слайд 80Список литературы:
Беленькая М. Н., Малиновский С. Т., Яковенко Н. В.
Администрирование в информационных системах. Учебное пособие. - Москва,
Горячая линия - Телеком, 2011.
Компьютерные сети. Принципы, технологии, протоколы, В. Олифер, Н. Олифер (5-е издание), «Питер», Москва, Санк-Петербург, 2016.
Компьютерные сети. Э. Таненбаум, 4-е издание, «Питер», Москва, Санк-Петербург, 2003.
https://lyapidov.ru/creating-and-configuring-gpo-in-windows-server-2008-r2/
Слайд 82Благодарю за внимание!
Преподаватель: Солодухин Андрей Геннадьевич
Электронная почта: asoloduhin@kait20.ru
