- •Технологическая карта 2.7. Особенности политики безопасности
- •Создание групповой политики безопасности.
- •Программа Resultant Set of Policy Wizard.
- •Запуск Resultant Set of Policy Wizard
- •Режим регистрации
- •Режим планирования
- •Содержание отчета:
- •Контрольные вопросы.
- •Приложение.
- •Создание групповых политик
- •Средства администрирования
- •Применение групповых политик
- •Разрешение конфликта двух политик
- •Наследование политик
- •Применение нескольких политик в отношении одного контейнера
- •Блокирование наследования политики
- •Фильтрация политик
- •Отладка процесса обработки политик и профилей
- •Клиенты, которые могут использовать групповую политику
- •Сценарии подключения и отключения
- •Сценарии, определенные в рамках пользовательского объекта
- •Сценарии, определенные в рамках групповой политики
- •Делегирование прав на администрирование групповых политик
- •Управление пользовательскими документами и кэшированием на стороне клиента
- •Рекомендации по использованию групповых политик
Создание групповых политик
По умолчанию в иерархии каталога Active Directory создаются две групповые политики с чрезвычайно выразительными именами: Default Domain Policy (политика домена по умолчанию) и Default Domain Controller’s Policy (политика контроллера домена по умолчанию). Первая из них назначается домену, а вторая — контейнеру, в состав которого входит контроллер домена. Если вы хотите создать свой собственный объект GPO, вы должны обладать необходимыми полномочиями. По умолчанию правом создания новых GPO обладают группы Enterprise Administrators (Администратор предприятия) и Domain Administrators (Администраторы домена). Чтобы создать новый объект групповой политики, необходимо выполнить следующие действия:
Убедитесь в том, что вы подключились к системе с использованием учетной записи, принадлежащей к одной из групп: Domain Administrators (Администраторы домена) или Enterprise Administrators (Администраторы предприятия).
Убедитесь в том, что в системе, к которой вы подключились, установлены средства администрирования, необходимые для работы с групповыми политиками. В частности, вам потребуется оснастка Active Directory Users and Computers (Active Directory — пользователи и компьютеры). Этой оснастке соответствует файл dsa.msc.
Откройте консоль Active Directory Users and Computers (Active Directory — пользователи и компьютеры) и перейдите к контейнеру OU, в отношении которого вы намерены применить политику.
Правой кнопкой мыши щелкните на контейнере OU, в появившемся меню выберите пункт Properties (Свойства) и перейдите на вкладку GPO.
Чтобы создать новый объект GPO и назначить его текущему контейнеру, щелкните на кнопке New (Новый).
В списке ссылок на объекты GPO появится новая позиция, строка имени которой будет находиться в режиме редактирования. Присвойте новому объекту GPO содержательное имя.
Созданная вами политика является лишь заготовкой. Ее содержимое формируется на основе административных шаблонов, содержащихся в папке SysVol контроллера домена, на котором был создан GPO. Эти шаблоны можно расширить и модифицировать в соответствии с нуждами вашей организации. В дополнение к существующим компонентам объекта GPO можно добавить созданные вами расширения. Например, при помощи групповой политики можно управлять настройками прикладных программ. Информация о том, как создавать свои собственные расширения GPO, содержится в Windows 2003 SDK (Software Development Kit). После создания GPO следует модифицировать содержащиеся в этом объекте значения параметров таким образом, чтобы настроить определяемую групповой политикой конфигурацию рабочей среды. На вкладке Group Policy (Групповая политика) щелкните на кнопке Edit (Редактировать). При этом запустится редактор групповой политики, при помощи которого вы сможете модифицировать конфигурацию компьютера и пользователя, определяемую политикой. Список ссылок на объекты GPO, отображаемый на странице свойств контейнера OU, содержит ссылки на объекты GPO, расположенные в каталоге Active Directory. Изменения, вносимые в любой из объектов GPO, могут повлиять на поведение многих объектов каталога Active Directory. Чтобы определить, в отношении каких именно контейнеров OU будут применены сделанные вами изменения, откройте диалоговое окно свойств интересующего вас GPO и перейдите на вкладку Links (ссылки). Чтобы получить список контейнеров, с которыми связана данная политика, воспользуйтесь кнопкой Find.