Использование Group Policy для управления клиентскими и серверными машинами
Использование консоли GPMC для управления Group Policy
Консоль GPMC - это новое бесплатное средство управления Group Policy даже в случае нескольких лесов. Используйте GPMC для управления всеми объектами GPO, фильтрами WMI, делегированием и связанными с Group Policy полномочиями. GPMC состоит из набора сценарных интерфейсов для управления Group Policy и оснасткой MMC, включающей такие средства Group Policy, как GPOE, RSoP и Active Directory Users and Computers, а также многие другие средства. GPMC работает в системе Windows Server 2003 или Windows XP Professional Service Pack, начиная с версии 1. С помощью консоли GPMC можно управлять доменами Active Directory Windows Server 2003 и Windows 2000, но она не запускается с машины Windows 2000. Вы можете использовать в GPMC метод drag-and-drop, что еще больше упрощает использование этой консоли для управления объектами GPO.
На рис. 13.4 показан интерфейс пользователя GPMC.
Прочитайте help-информацию GPMC для получения пошаговой информации по использованию GPMC для развертывания и управления Group Policy, которая доступна только путем загрузки GPMC.
Чтобы открыть GPMC, выберите Start/Programs/Administrative Tools/Group Policy Management (Пуск/Программы/Администрирование/Управление Group Policy). Чтобы загрузить бесплатную GPMC, перейдите на веб-сайт Microsoft: http://www.microsoft.com/windowsserver2003/gpmc/default.msp.
Создание объектов Group Policy
Чтобы создать неприсоединенный GPO, раскройте дерево консоли GPMC до уровня Group Policy Objects в контейнере, для которого вы хотите создать новый GPO. Щелкните правой кнопкой на Group Policy Objects и затем выберите пункт New (Создать). В диалоговом окне New GPO задайте имя этого нового GPO и затем щелкните на кнопке OK. Теперь, создав новый GPO, вы можете настроить его в соответствии с требованиями ваших клиентов и серверов. Чтобы редактировать GPO, в дереве консоли GPMC щелкните правой кнопкой на этом GPO и затем щелкните на кнопке Edit. Будет запущена оснастка GPOE, которую мы изучали выше в этой лекции.
Вы можете выбрать вариант Create And Link A GPO Here (Создать и присоединить здесь GPO), что означает применение этого GPO к любому объекту Active Directory, который представлен в дереве консоли GPMC, но это не принесет ничего, кроме проблем. Новые GPO пытаются реализовать свои настройки сразу, поэтому всегда создавайте неприсоединенные GPO, конфигурируя их по мере необходимости, и затем тестируйте их в неэксплуатируемой среде, прежде чем присоединять их к эксплуатируемым контейнерам Active Directory.
Присоединение объектов Group Policy к контейнерам Active Directory
После тестирования GPO вам нужно присоединить (привязать) его к контейнерам Active Directory, чтобы этот GPO начал действовать. Для присоединения (привязки) GPO щелкните правой кнопкой на контейнере Active Directory, к которому вы хотите присоединить этот GPO, и затем щелкните на Link An Existing GPO Here (Присоединить здесь существующий GPO). Перетащите GPO из узла Group Policy Objects в соответствующую организационную единицу (OU). Этот метод "drag-and-drop" действует только в пределах одного домена.
Чтобы отсоединить GPO, щелкните правой кнопкой на этом GPO. В правой панели щелкните на вкладке Scope (Область действия). В секции Links (Связи) щелкните правой кнопкой на объекте Active Directory, от которого вы хотите отсоединить данный GPO. Выберите пункт Delete Link (Удалить связь). При удалении GPO вам предлагается удалить этот GPO и все связи с этим GPO в данном домене. Это не вызовет удаления связей с этим GPO из других доменов. Кроме того, прежде чем удалить GPO, обязательно удалите все связи с этим GPO из других доменов.
Делегирование управления Group Policy
Вы можете делегировать следующие задачи Group Policy:
- создание объектов GPO;
- Управление объектами GPO;
- доступ только по чтению к объектам GPO;
- управление связями Group Policy на уровне отдельного контейнера Active Directory;
- выполнение моделирования Group Policy;
- чтение информации о результатах Group Policy;
- создание, управление и редактирование фильтров WMI для объектов GPO.
Чтобы делегировать полномочия по присоединению объектов GPO к контейнерам Active Directory, щелкните на соответствующем узле в дереве консоли GPMC и затем щелкните на вкладке Delegation (Делегирование) в правой панели GPMC. Здесь имеется несколько элементов, поэтому щелкните правой кнопкой на элементе, полномочия которого хотите изменить, и выберите пункт Link GPOs (Присоединение объектов GPO), Perform Group Policy Modeling Analyses (Выполнение анализа моделирования Group Policy) или Read Group Policy Results Data (Чтение информации о результатах Group Policy). Вы можете также сконфигурировать нестандартные полномочия, щелкнув на кнопке Advanced (Дополнительно) и выбрав объект, полномочия которого хотите изменить.
Чтобы редактировать GPO, вам нужно, чтобы по этому GPO были разрешены (Allow) следующие полномочия: Read (Чтение), Write (Запись), Create All Child Objects (Создание всех дочерних объектов) и Delete All Child Objects (Удаление всех дочерних объектов). GPMC задает все эти полномочия, когда вы предоставляете полномочия Edit. Обязательно прочитайте более подробные сведения по делегированию с помощью GPMC и управлению с помощью GPOE в оперативной help-информации GPMC
Моделирование Group Policy
GPMC использует возможности RSoP (Resultant Set of Policy - Результирующий набор политики), хотя они немного отличаются в GPMC. Мастер моделирования Group Policy Modeling Wizard имитирует действие объектов GPO и создает данные RSoP до того, как вы присоединяете эти GPO к сети. Вы можете просматривать этот отчет с данными RSoP, чтобы увидеть взаимодействие GPO и устранить потенциальные проблемы, прежде чем они возникнут. Отчет можно увидеть во вкладке Settings правой панели GPMC после выделения нужного GPO.
Чтобы запустить моделирование Group Policy, вам нужен хотя бы один контроллер домена Windows Server 2003 и вам должны быть предоставлены полномочия Perform Group Policy Modeling analyses в контейнере Active Directory, где вы хотите запустить анализ. Чтобы запустить мастер, щелкните правой кнопкой на Group Policy Modeling (или на контейнере Active Directory) и затем выберите Group Policy Modeling Wizard. Если вы запускаете моделирование Group Policy из контейнера Active Directory, то мастер заполняет поля Container для пользователя и компьютера; в противном случае вам нужно заполнить поля, запрашиваемые мастером.
Результаты сохраняются в виде запроса в секции Group Policy Modeling. Чтобы окончательно сохранить результаты, щелкните правой кнопкой на этом запросе и затем выберите пункт Save Report (Сохранить отчет).
Вы можете увидеть, какой GPO передает каждую настройку, в секции Winning GPO (Приоритетный GPO). Чтобы увидеть, какие настройки GPO не сработали, щелкните правой кнопкой на элементе Group Policy Modeling и затем выберите Advanced View (Расширенное представление). Для каждой настройки имеется вкладка Precedence (Приоритет), позволяющая выполнять дальнейший поиск проблем. Поскольку моделирование Group Policy не дает оценку локальных GPO (LGPO), вы увидите отличия между моделированием и реальными результатами, если сконфигурировали объекты LGPO.
Результаты Group Policy
Мастер результатов Group Policy Results Wizard сообщает, какие настройки Group Policy применяются к пользователю или компьютеру, путем сбора информации RSoP с целевой машины. На целевой машине должна быть установлена система Windows XP Professional или Windows Server 2003. Вы можете просматривать этот отчет RSoP для устранения проблем существующих GPO. Отчет можно видеть во вкладках Settings и Summary (Сводка результатов) правой панели GPMC после того, как вы выделили какой-либо GPO.
Вы можете получать удаленный доступ к результатам Group Policy вместо посещения каждой задействованной машины, но сначала вы должны получить полномочия Remotely Access Group Policy Results Data по контейнеру Active Directory, где содержится данный пользователь или компьютер, или должны быть локальным администратором (Local Administrator) и иметь сетевое соединение с целевой машиной. Чтобы делегировать результаты Group Policy, в Active Directory должна существовать схема Windows Server 2003, то есть вам не обязательно нужен контроллер домена Windows Server 2003. Чтобы установить эту схему, запустите ADPrep /forestprep на любом контроллере домена Windows 2000 или Windows Server 2003.
После запуска этого мастера результаты сохраняются в виде запроса в секции Group Policy Results, и они показывают, каким образом Group Policy применяется к целевому элементу. Чтобы окончательно сохранить результаты, щелкните правой кнопкой на этом запросе и затем выберите пункт Save Report. Вы можете увидеть, какой GPO передает каждую настройку, в секции Winning GPO.
Резервное копирование объектов Group Policy
GPMC упрощает резервное копирование всех ваших GPO. Вы можете создать резервную копию объектов GPO на любом локальном компьютере или в сетевой папке, где вы имеете доступ типа Write. Для работы с этой папкой резервной копии всегда используйте GPMC (с помощью оснастки MMC GPMC или с помощью скрипта). Вы можете взаимодействовать с объектами GPO в резервной копии посредством операций GPMC Import (Импорт) и Restore (Восстановление). Для резервного копирования объектов GPO используйте следующую процедуру.
- В консоли GPMC щелкните правой кнопкой на GPO, который хотите включить в резервную копию, и затем выберите пункт Back Up (Резервное копирование).
- В поле Backup Group Policy Object введите путь к папке для резервной копии. Вы можете также щелкнуть на кнопке Browse и затем найти нужную папку.
- Задайте информацию для этого GPO и затем щелкните на кнопке Backup. По окончании щелкните на кнопке OK.
Импорт настроек GPO
Очень полезное средство GPMC - это импорт настроек из существующих GPO в новый GPO. Для импорта настроек GPO щелкните правой кнопкой на GPO, в который хотите импортировать настройки, и затем выберите пункт Import Settings (Импортировать настройки). Пройдите через страницы мастера Import Settings Wizard, работая с имеющим резервную копию GPO, настройки которого хотите импортировать, и затем щелкните на кнопке Finish.
Восстановление объектов Group Policy из резервной копии
Используя GPMC, вы восстанавливать GPO из его резервной копии в том же домене, где была создана его резервная копия. Вы не можете восстановить GPO в домене, отличном от исходного домена этого GPO; используйте для этого другие операции GPMC, которые описаны выше. Для восстановления GPO из его резервной копии щелкните правой кнопкой на этом GPO и затем выберите пункт Restore From Backup (Восстановить из резервной копии). Пройдите через страницы мастера Restore Group Policy Object Wizard, работая с имеющим резервную копию GPO, который хотите восстановить, и затем щелкните на кнопке Finish.
Копирование объектов Group Policy
Вы можете использовать GPMC для копирования объектов GPO из того же домена или даже из других доменов. При копировании какого-либо GPO консоль GPMC создает новый GPO. Это действительно простая операция: выполнить копирование и вставку или перетащить методом drag and drop GPO, который вы хотите копировать, и это все! Правда, копирование между доменами выполняется сложнее, поскольку вам, видимо, потребуется скопировать списки DACL по этому GPO, чтобы новый GPO содержал такие же настройки Security Filtering и конфигурацию делегирования, как исходный GPO. При копировании между организационными единицами (OU) в одном домене щелкните на Use The Default DACL For New GPOs (Использовать DACL по умолчанию для новых GPO) или Preserve The Existing DACL (Сохранить существующий список DACL) и затем щелкните на кнопке OK. Кроме того, поскольку настройки GPO часто относятся к конкретному домену (например, сетевые пути), то вам, видимо, потребуются таблицы миграции, которые описаны ниже.
Миграция настроек GPO
GPMC упрощает миграцию стандартного GPO между доменами. Настройки GPO часто относятся к конкретному домену, поэтому в GPMC используются таблицы миграции. Таблицы миграции - это XML-файлы с расширением имени .migtable. Создание и использование таблиц миграции относится к расширенным операциям Group Policy, поэтому прочитайте раздел "Migrating GPOs Across Domains by Using GPMC" (Миграция объектов GPO между доменами с помощью GPMC) на веб-сайте Microsoft GPMC: http://www.microsoft.com/windowsserver2003/gpmc/default.mspx.
Создание скриптов операций GPMC
GPMC содержит обширный набор COM-интерфейсов для создания скриптов (сценариев) всех операций GPMC (кроме редактирования объектов GPO). После установки GPMC вы можете увидеть в папке \Program Files\GPMC\Scripts\ примеры скриптов, которые используют эти интерфейсы. Все эти скрипты запускаются из командной строки. При запуске скрипта с ключом /? выводится описание применения этого скрипта.
В этих примерах скриптов выводится эхо-отображение в окне командной строки, и они должны запускаться с помощью cscript.exe. Если cscript.exe нет на вашем сервере скриптов по умолчанию, то вам нужно явно указывать cscript.exe в командной строке. Например, введите d: \Program Files\GPMC\Scripts>cscript ListAllGPOs.wsf. Введите cscript //<диск>:cscript в командной строке, чтобы сделать cscript сервером скриптов по умолчанию.
Многие из этих примеров скриптов основываются на библиотеке типичных help-функций, содержащихся в файле Lib_CommonGPMCFunctions.js. Если вы копируете эти скрипты в другое место, то должны также скопировать в это место файл данной библиотеки, чтобы можно было работать с этими примерами скриптов.