Групповая политика

Особенность семейства операционных систем Microsoft Windows NT

Редактор локальной политики безопасности в Windows 11

Групповая политика — это функция семейства операционных систем Microsoft Windows NT (включая Windows 8.1, Windows 10, Windows 11), которая управляет рабочей средой учетных записей пользователей и учетных записей компьютеров. Групповая политика обеспечивает централизованное управление и настройку операционных систем, приложений и параметров пользователей в среде Active Directory . Набор конфигураций групповой политики называется объектом групповой политики ( GPO ). Версия групповой политики, называемая локальной групповой политикой (LGPO или LocalGPO), позволяет управлять объектами групповой политики без Active Directory на автономных компьютерах. ^{[1] [2]}

Серверы Active Directory распространяют групповые политики, перечисляя их в своем каталоге LDAP под объектами класса groupPolicyContainer. Они ссылаются на пути файловых серверов (атрибут gPCFileSysPath), которые хранят фактические объекты групповой политики, обычно в общем ресурсе SMB \\ domain.com \ SYSVOL , совместно используемом сервером Active Directory. Если групповая политика имеет параметры реестра, связанный файловый ресурс будет иметь файл registry.polс параметрами реестра, которые клиент должен применить. ^[3]

Редактор политик (gpedit.msc) не предоставляется в домашних версиях Windows XP/Vista/7/8/8.1/10/11.

Операция

Групповые политики, в частности, контролируют, что пользователи могут и не могут делать в компьютерной системе. Например, групповая политика может использоваться для обеспечения политики сложности пароля, которая не позволяет пользователям выбирать слишком простой пароль. Другие примеры включают: разрешение или запрет неопознанным пользователям с удаленных компьютеров подключаться к сетевому ресурсу или блокировать/ограничивать доступ к определенным папкам. Набор таких конфигураций называется объектом групповой политики (GPO).

Как часть технологий IntelliMirror от Microsoft , групповая политика направлена ​​на снижение затрат на поддержку пользователей. Технологии IntelliMirror относятся к управлению отключенными машинами или перемещаемыми пользователями и включают перемещаемые профили пользователей , перенаправление папок и автономные файлы .

Исполнение

Для достижения цели централизованного управления группой компьютеров машины должны получать и применять объекты групповой политики. Объект групповой политики, который находится на одной машине, применяется только к этому компьютеру. Чтобы применить объект групповой политики к группе компьютеров, групповая политика опирается на Active Directory (или на сторонние продукты, такие как ZENworks Desktop Management ) для распространения. Active Directory может распространять объекты групповой политики на компьютеры, которые принадлежат к домену Windows .

По умолчанию Microsoft Windows обновляет групповые политики каждые 90 минут для пользователей и 5 минут для контроллеров домена , Microsoft Windows делает это каждые пять минут. Во время обновления он обнаруживает, извлекает и применяет все объекты групповой политики, которые применяются к машине и вошедшим в систему пользователям. Некоторые параметры, такие как параметры автоматической установки программного обеспечения, сопоставления дисков, сценарии запуска или сценарии входа, применяются только во время запуска или входа пользователя. Начиная с Windows XP , пользователи могут вручную инициировать обновление групповой политики с помощью gpupdate команды из командной строки . ^[4]

Объекты групповой политики обрабатываются в следующем порядке (сверху вниз): ^[5]

1. Локальный — любые настройки локальной политики компьютера. До Windows Vista на каждом компьютере хранилась только одна локальная групповая политика. Windows Vista и более поздние версии Windows допускают индивидуальные групповые политики для учетных записей пользователей. ^[6]
2. Сайт — любые групповые политики, связанные с сайтом Active Directory , в котором находится компьютер. (Сайт Active Directory — это логическая группа компьютеров, предназначенная для упрощения управления этими компьютерами на основе их физической близости.) Если с сайтом связано несколько политик, они обрабатываются в порядке, установленном администратором.
3. Домен - Любые групповые политики, связанные с доменом Windows , в котором находится компьютер. Если с доменом связано несколько политик, они обрабатываются в порядке, установленном администратором.
4. Организационная единица — групповые политики, назначенные организационной единице Active Directory (OU) , в которой находится компьютер или пользователь. (OU — это логические единицы, которые помогают организовывать и управлять группой пользователей, компьютеров или других объектов Active Directory.) Если с OU связано несколько политик, они обрабатываются в порядке, установленном администратором.

Результирующие параметры групповой политики, применяемые к данному компьютеру или пользователю, называются результирующим набором политики (RSoP). Информация RSoP может отображаться как для компьютеров, так и для пользователей с помощью этой gpresultкоманды. ^[7]

Наследование

Параметр политики внутри иерархической структуры обычно передается от родителя к потомкам, а от потомков к внукам и т. д. Это называется наследованием . Его можно заблокировать или принудительно применить для управления тем, какие политики применяются на каждом уровне. Если администратор более высокого уровня (администратор предприятия) создает политику, наследование которой заблокировано администратором более низкого уровня (администратором домена), эта политика все равно будет обрабатываться.

Если настроены параметры групповой политики и также настроен эквивалентный параметр групповой политики, то приоритет будет иметь значение параметра групповой политики.

Фильтрация

Фильтрация WMI — это процесс настройки области действия GPO путем выбора фильтра (WMI) для применения. Эти фильтры позволяют администраторам применять GPO только, например, к компьютерам определенных моделей, ОЗУ, установленному программному обеспечению или всему, что доступно через запросы WMI.

Локальная групповая политика

Локальная групповая политика (LGP или LocalGPO) — это более базовая версия групповой политики для автономных и не доменных компьютеров, которая существует по крайней мере с Windows XP [ ^{когда? ]} и может применяться к доменным компьютерам. ^{[ нужна ссылка ]} До Windows Vista LGP ​​могла применять объект групповой политики для одного локального компьютера, но не могла создавать политики для отдельных пользователей или групп. Начиная с Windows Vista, LGP позволяет управлять локальной групповой политикой для отдельных пользователей и групп, ^{[ 1]} а также позволяет создавать резервные копии, импортировать и экспортировать политики между автономными машинами с помощью «пакетов GPO» — контейнеров групповой политики, которые включают файлы, необходимые для импорта политики на целевую машину. ^[2]

Настройки групповой политики

Настройки групповой политики — это способ для администратора устанавливать политики, которые не являются обязательными, но необязательными для пользователя или компьютера. Существует набор расширений настроек групповой политики, которые ранее были известны как PolicyMaker. Microsoft купила PolicyMaker, а затем интегрировала их с Windows Server 2008. С тех пор Microsoft выпустила инструмент миграции, который позволяет пользователям переносить элементы PolicyMaker в настройки групповой политики. ^[8]

Настройки групповой политики добавляют ряд новых элементов конфигурации. Эти элементы также имеют ряд дополнительных параметров таргетинга, которые можно использовать для детального управления применением этих элементов настройки.

Настройки групповой политики совместимы с версиями x86 и x64 Windows XP, Windows Server 2003 и Windows Vista с добавлением клиентских расширений (также известных как CSE). ^{[9] [10] [11] [12] [13] [14]}

Клиентские расширения теперь включены в Windows Server 2008 , Windows 7 и Windows Server 2008 R2 .

Консоль управления групповой политикой

Первоначально групповые политики изменялись с помощью инструмента Group Policy Edit, который был интегрирован с Active Directory Users and Computers Microsoft Management Console (MMC) snap-in, но позже он был разделен на отдельную оснастку MMC, называемую Group Policy Management Console (GPMC). GPMC теперь является пользовательским компонентом в Windows Server 2008 и Windows Server 2008 R2 и предоставляется в виде загрузки как часть Remote Server Administration Tools для Windows Vista и Windows 7. [ ^{15] [16] [17] [ 18]}

Расширенное управление групповой политикой

Microsoft также выпустила инструмент для внесения изменений в групповую политику под названием Advanced Group Policy Management ^[19] (он же AGPM). Этот инструмент доступен для любой организации, которая лицензировала Microsoft Desktop Optimization Pack (он же MDOP). Этот расширенный инструмент позволяет администраторам иметь процесс регистрации изменений для объектов групповой политики, отслеживать изменения в объектах групповой политики и внедрять рабочие процессы утверждения изменений в объектах групповой политики.

AGPM состоит из двух частей — сервера и клиента. Сервер — это служба Windows, которая хранит свои объекты групповой политики в архиве, расположенном на том же компьютере или в сетевом ресурсе. Клиент — это оснастка консоли управления групповой политикой, которая подключается к серверу AGPM. Настройка клиента выполняется через групповую политику.

Безопасность

Параметры групповой политики принудительно применяются целевыми приложениями. Во многих случаях это просто заключается в отключении пользовательского интерфейса для определенной функции. ^[20]

В качестве альтернативы злонамеренный пользователь может изменить или вмешаться в работу приложения таким образом, чтобы оно не смогло успешно прочитать свои параметры групповой политики, тем самым принудительно применяя потенциально более низкие параметры безопасности по умолчанию или даже возвращая произвольные значения. ^[21]

Улучшения Windows 11

В Windows 11 появилась новая функция под названием «Обновление групповой политики». Эта функция позволяет администратору принудительно обновить групповую политику на всех компьютерах с учетными записями в определенном организационном подразделении. Это создает запланированную задачу на компьютере, которая выполняет gpupdateкоманду в течение 10 минут, скорректированную случайным смещением, чтобы избежать перегрузки контроллера домена.

Был представлен статус инфраструктуры групповой политики, который может сообщать о случаях, когда какие-либо объекты групповой политики не реплицируются правильно среди контроллеров домена. ^[22]

Отчет о результатах групповой политики также имеет новую функцию, которая измеряет время выполнения отдельных компонентов при обновлении групповой политики. ^[23]

Смотрите также

• Административный шаблон
• Улучшения групповой политики в Windows Vista
• Менеджер рабочей группы

Ссылки

1. LLC), Тара Мейер (Aquent (25 июля 2008 г.). «Пошаговое руководство по управлению несколькими объектами локальной групповой политики». go.microsoft.com .
2. Sigman, Jeff. "SCM v2 Beta: LocalGPO Rocks!". Microsoft . Получено 24.11.2018 .
3. "[MS-GPOD]: Обзор протоколов групповой политики". Microsoft. Раздел 1.1.5 Хранение данных групповой политики . Получено 22.02.2020 .
4. Обновление Gp
5. «Обработка и приоритет групповой политики». Корпорация Microsoft. 22 апреля 2012 г.
6. «Групповая политика — применить к определенному пользователю или группе — Форумы справки Windows 7». www.sevenforums.com .
7. Архивddocs (18 апреля 2012 г.). "Gpresult". technet.microsoft.com .
8. "Средство миграции предпочтений групповой политики (GPPMIG)". Microsoft .
9. "Клиентские расширения предпочтений групповой политики для Windows XP (KB943729)". Центр загрузки Microsoft .
10. "Клиентские расширения предпочтений групповой политики для Windows XP x64 Edition (KB943729)". Центр загрузки Microsoft .
11. "Клиентские расширения предпочтений групповой политики для Windows Vista (KB943729)". Центр загрузки Microsoft .
12. "Клиентские расширения предпочтений групповой политики для Windows Vista x64 Edition (KB943729)". Центр загрузки Microsoft .
13. "Клиентские расширения предпочтений групповой политики для Windows Server 2003 (KB943729)". Центр загрузки Microsoft .
14. "Клиентские расширения предпочтений групповой политики для Windows Server 2003 x64 Edition (KB943729)". Центр загрузки Microsoft .
15. "Как установить GPMC на Server 2008, 2008 R2 и Windows 7 (через RSAT)". 2009-12-23. Архивировано из оригинала 2009-12-26 . Получено 2010-03-12 .
16. Средства удаленного администрирования сервера Microsoft для Windows Vista
17. Средства удаленного администрирования сервера Microsoft для Windows Vista для систем на базе x64
18. Средства удаленного администрирования сервера для Windows 7
19. "Windows - Официальный сайт ОС Microsoft Windows 10 Home и Pro, ноутбуков, ПК, планшетов и многого другого". www.microsoft.com .
20. Рэймонд Чен , «Политика Shell — это не то же самое, что безопасность»
21. Руссинович, Марк (2019-06-26) [2005-12-12]. "Обход групповой политики в качестве пользователя с ограниченными правами". Microsoft Community Hub . Microsoft . Получено 2023-06-10 .
22. «Обновлено: Что нового в групповой политике в Windows 8». 17 октября 2011 г.
23. «Функция устранения неполадок производительности групповой политики Windows 8». 23 января 2012 г.

Дальнейшее чтение

1. «Групповая политика для начинающих». Техническая библиотека Windows 7. Microsoft. 27 апреля 2011 г. Получено 22 апреля 2012 г.
2. "Консоль управления групповой политикой". Dev Center - Desktop . Microsoft. 3 февраля 2012 г. Получено 22 апреля 2012 г.
3. «Пошаговое руководство по управлению несколькими объектами локальной групповой политики». Техническая библиотека Windows Vista . Microsoft. 25 июля 2008 г. Получено 22 апреля 2012 г.
4. «Обработка и приоритет групповой политики». Справка по продукту Windows Server 2003. Microsoft. 21 января 2005 г. Получено 22 апреля 2012 г.

Внешние ссылки

• Официальный сайт
• Блог команды групповой политики Архивировано 20.04.2010 на Wayback Machine
• Справочник по параметрам групповой политики для Windows и Windows Server
• Force Gpupdate