Active Directory для Windows Server 2003
         

Обработка групповой политики


Теперь, когда вы знаете, как создавать объекты GPO и связывать их с контейнерами в пределах Active Directory Windows Server 2003, следующий шаг состоит в понимании того, как на самом деле групповые политики применяются к компьютерам. Когда компьютер запускается и пользователь входит в систему, происходит применение групповых политик следующим образом.

  • Во время запуска компьютера клиента считывается системный реестр и определяется сайт, в котором расположен компьютер. Компьютер посылает запрос DNS-серверу, запрашивая IP-адреса контроллеров домена, расположенных в этом сайте.

  • Получив ответ DNS-сервера, компьютер клиента соединяется с контроллером домена в своем сайте. В процессе опознания, проводимом контроллером домена, компьютер клиента запрашивает список всех GPO-объектов, которые применяются к компьютеру.

  • Контроллер домена присылает клиенту список всех GPO-объектов в том порядке, в котором политики должны применяться. Затем компьютер извлекает объект GPO с контроллера домена и применяет политику. Порядок, в котором применяются групповые политики, основан на LSDOU-конфигурации.

  • Когда пользователь входит в систему, компьютер клиента снова обращается к контроллеру домена и запрашивает все объекты GPO, которые применяются к пользователям. В этом случае они также применяются в соответствующем порядке.

    • Совет. Групповые политики применяются к клиентам с операционной системой Windows XP асинхронно, а с системой Windows 2000 - синхронно, т.е. все компьютерные политики полностью применяются до того, как появится пользовательский экран входа в систему, а все пользовательские политики - до того, как по-

    явится рабочий стол пользователя. Асинхронное применение политик означает, что загрузка системы Windows XP и вход пользователей в систему происходит более быстро.

    Вы можете использовать групповые политики для модификации применения других групповых политик. Опции конфигурации устанавливаются в папках UserConfiguration\Administrative Templates\System\ Group Policy или Computer Configuration\Administrative Templates\ System\Group Policy. На рисунке 11-12 показаны опции, имеющиеся в ветви Computer Configuration дерева папок.




    Рис. 11-12. Опции конфигурации групповой политики

    Групповые политики применяются при запуске компьютера при входе пользователя в систему. После входа они обновляются периодически, по умолчанию каждые 90 минут, с 30-ти минутной вариацией для избежания перегрузки контроллера домена в ситуации, когда много клиентов запрашивают обновление одновременно. Групповые политики на контроллерах домена обновляются каждые 5 минут. Вы можете использовать параметры настройки конфигурации для отключения всех фоновых обновлений групповых политик или для изменения времени обновления групповой политики.

    Существует две причины, которые могут изменить заданную по умолчанию обработку групповых политик, применяемых к компьютерам и пользователям. Первая причина — это обнаружение компьютером клиента медленного сетевого подключения в процессе запуска, в этом случае применяются только выборочные части групповой политики (по умолчанию это параметры настройки защиты и административные шаблоны).

    Чтобы определить, используется ли медленное сетевое подключение, компьютер посылает пакет утилиты ping с нулевым байтом контроллеру домена. Если время ответа составляет меньше десяти миллисекунд, то сеть считается быстрой, и применяются все групповые политики. Если время ответа составляет больше десяти миллисекунд, компьютер про-званивает контроллер домена три раза с помощью утилиты ping с двух-килобайтными пакетами. Компьютер усредняет времена ответов и использует это усредненное значение для определения сетевой скорости связи. Ecjfti пропускная способность сетевого подключения составляет большее 500 Кб/с, то по умолчанию применяются все групповые политики. Если компьютер обнаруживает сетевое подключение, скорость которого меньше 500 Кб/с, то применяются только политики с параметрами настройки защиты и административными шаблонами.

    Можно изменить заданное по умолчанию определение медленной связи. Оно может быть сконфигурировано для компьютеров в папке Computer Conf iguration\Administrative Templates\System\Group Policy. Щелкните правой кнопкой мыши на Group Policy Slow Link Detection (Обнаружение медленной связи для групповых политик) и выберите Properties (Свойства) (см. рис. 11-13). Для изменения значения скорости передачи для медленной связи выберите Enabled (Включено), а затем введите значение, которое вы хотите использовать.







    Рис. 11-13. Конфигурирование параметров медленной связи

    Если компьютер обнаруживает медленное сетевое подключение, то по умолчанию обрабатываются только компоненты защиты и административных шаблонов, и нет никакого способа выключить эти параметры настройки. Однако вы можете сконфигурировать другие параметры так, чтобы они обрабатывались даже по медленному сетевому подключению. Папка Computer Conf iguration\Administrative Templates\System\Group Policy содержит и другие опции. Например, вы решите применить обработку политики обслуживания программы Internet Explorer по медленному сетевому подключению. Щелкните правой кнопкой мыши на этой установке в папке Group Policy (Групповая политика) и выберите Properties. Затем щелкните Enabled (Включено) и выберите, как вы хотите применять эту политику (см. рис. 11-14).



    Рис. 11-14. Конфигурирование обработки политики обслуживания программы Internet Explorer по медленным сетевым подключениям

    Чтобы применять эту политику независимо от сетевой пропускной способности, выберите Allow Processing Across A Slow Network Connection (Разрешить обработку по медленному сетевому подключению). Другие параметры настройки задают, будут ли параметры настройки обрабатываться каждый раз, когда обновляется групповая политика, и будет ли политика применяться в случае, если она не была изменена.

    Второй способ изменения применения объекта GPO на компьютере состоит в использовании опции loojpback. Эта опция изменяет заданное по умолчанию применение групповых политик, при котором сначала устанавливается компьютерная политика, а затем политика пользователя, переписывая все параметры настройки, противоречащие компьютерной политике. Вы можете установить политику loopback, чтобы

    компьютерная политика применялась последней и переписывала все политики, примененные к пользователю. Групповая политика loopback устанавливается с помощью опции User group Policy Loopback Processing Mode (Режим Loopback для пользовательских групповых политик) в контейнере Computer Configuration\Administrative Templates\System\ Group Policy (см. рис. 11-15).





    Рис. 11-15. Конфигурирование обработки loopback для групповых политик

    Когда вы разрешаете обработку loopback, вам предоставляются две дополнительные опции конфигурации. Первая опция Merge (Соединить) означает, что сначала применяется компьютерная групповая политика, затем — пользовательская групповая политика, а затем компьютерная групповая политика применяется снова. Некоторые из пользовательских параметров настройки могут не изменяться компьютерной политикой. Переписываются только противоречивые параметры настройки. Вторая опция Replace (Заменить) означает, что будет обработана только компьютерная политика.

    Опция loopback полезна во многих случаях. Например, нужно блокировать компьютер, который расположен в общедоступном месте, и запретить служащим входить на него. Поскольку этот компьютер общедоступен, вам нужна гарантия того, что он всегда будет блокирован, независимо от того, кто войдет на этот компьютер. Вы можете включить блокировку, помещая общедоступные компьютеры в OU и конфигурируя ограничительную групповую политику для этой OU. Затем сконфигурируйте обработку loopback для этой OU. Теперь, когда пользователь войдет в систему этого компьютера, он получит ограниченный рабочий

    стол, поскольку групповая политика loopback защищает общественный компьютер.


    Содержание раздела