Jump to content

Групповая политика

(Перенаправлено из групповых политик )
Редактор локальной политики безопасности в Windows 11

Групповая политика — это функция семейства Microsoft Windows NT операционных систем (включая Windows XP, Windows 7, Windows 8.1, Windows 10, Windows 11 и Windows Server 2003+), которая контролирует рабочую среду учетных записей пользователей и компьютеров. Групповая политика обеспечивает централизованное управление и настройку операционных систем, приложений и настроек пользователей в среде Active Directory . Набор конфигураций групповой политики называется объектом групповой политики ( GPO ). Версия групповой политики, называемая локальной групповой политикой (LGPO или LocalGPO), позволяет управлять объектами групповой политики без Active Directory на автономных компьютерах. [1] [2]

Серверы Active Directory распространяют групповые политики, перечисляя их в своем каталоге LDAP в объектах класса groupPolicyContainer. Они относятся к путям файлового сервера (атрибут gPCFileSysPath), которые хранят фактические объекты групповой политики, обычно в общем ресурсе SMB \\ domain.com \ SYSVOL, совместно используемом сервером Active Directory. Если групповая политика имеет параметры реестра, связанный общий файловый ресурс будет иметь файл registry.pol с настройками реестра, которые должен применить клиент. [3]

Редактор политик (gpedit.msc) не предоставляется в домашних версиях Windows XP/Vista/7/8/8.1/10/11.

Операция

[ редактировать ]

Групповые политики частично контролируют, что пользователи могут и не могут делать в компьютерной системе. Например, групповую политику можно использовать для обеспечения соблюдения политики сложности паролей, которая не позволяет пользователям выбирать слишком простой пароль. Другие примеры включают: разрешение или запрет неопознанным пользователям с удаленных компьютеров подключаться к сетевому ресурсу или блокирование/ограничение доступа к определенным папкам. Набор таких конфигураций называется объектом групповой политики (GPO).

Групповая политика , являющаяся частью технологий Microsoft IntelliMirror , направлена ​​на снижение затрат на поддержку пользователей. Технологии IntelliMirror относятся к управлению отключенными компьютерами или перемещаемыми пользователями и включают перемещаемые профили пользователей , перенаправление папок и автономные файлы .

Правоприменение

[ редактировать ]

Для достижения цели централизованного управления группой компьютеров машины должны получать и применять объекты групповой политики. Объект групповой политики, расположенный на одном компьютере, применяется только к этому компьютеру. Чтобы применить объект групповой политики к группе компьютеров, групповая политика использует для распространения Active Directory (или сторонние продукты, такие как ZENworks Desktop Management ). Active Directory может распространять объекты групповой политики на компьютеры, принадлежащие домену Windows .

По умолчанию Microsoft Windows обновляет параметры политики каждые 90 минут со случайным смещением в 30 минут. На контроллерах домена Microsoft Windows делает это каждые пять минут. Во время обновления он обнаруживает, извлекает и применяет все объекты групповой политики, применимые к машине и вошедшим в систему пользователям. Некоторые настройки, например параметры автоматической установки программного обеспечения, сопоставления дисков, сценариев запуска или сценариев входа в систему, применяются только во время запуска или входа пользователя в систему. Начиная с Windows XP , пользователи могут вручную инициировать обновление групповой политики, используя команду gpupdate команду из командной строки . [4]

Объекты групповой политики обрабатываются в следующем порядке (сверху вниз): [5]

  1. Локальный — любые настройки локальной политики компьютера. До Windows Vista на каждом компьютере хранилась только одна локальная групповая политика. Windows Vista и более поздние версии Windows допускают использование индивидуальных групповых политик для каждой учетной записи пользователя. [6]
  2. Сайт — любые групповые политики, связанные с Active Directory сайтом , на котором находится компьютер. (Сайт Active Directory — это логическая группа компьютеров, предназначенная для облегчения управления этими компьютерами на основе их физической близости.) Если с сайтом связано несколько политик, они обрабатываются в порядке, установленном администратором.
  3. Домен — любые групповые политики, связанные с доменом Windows , в котором находится компьютер. Если с доменом связано несколько политик, они обрабатываются в порядке, установленном администратором.
  4. Организационная единица — групповые политики, назначенные организационной единице Active Directory (OU), в которой находится компьютер или пользователь. (Подразделения — это логические единицы, которые помогают организовывать и управлять группой пользователей, компьютеров или других объектов Active Directory.) Если с подразделением связано несколько политик, они обрабатываются в порядке, установленном администратором.

Итоговые параметры групповой политики, примененные к данному компьютеру или пользователю, известны как результирующий набор политик (RSoP). Информация RSoP может отображаться как для компьютеров, так и для пользователей с помощью gpresult команда. [7]

Наследование

[ редактировать ]

Параметры политики внутри иерархической структуры обычно передаются от родителя к потомкам, от детей к внукам и так далее. Это называется наследованием . Его можно заблокировать или принудительно применить, чтобы контролировать, какие политики применяются на каждом уровне. Если администратор более высокого уровня (администратор предприятия) создает политику, наследование которой заблокировано администратором более низкого уровня (администратором домена), эта политика все равно будет обрабатываться.

Если настроены параметры предпочтений групповой политики, а также настроен эквивалентный параметр групповой политики, значение параметра групповой политики будет иметь приоритет.

Фильтрация

[ редактировать ]

Фильтрация WMI — это процесс настройки области объекта групповой политики путем выбора применяемого фильтра (WMI). Эти фильтры позволяют администраторам применять объект групповой политики только, например, к компьютерам определенных моделей, оперативной памяти, установленному программному обеспечению или чему-либо, доступному через запросы WMI.

Локальная групповая политика

[ редактировать ]

Локальная групповая политика (LGP или LocalGPO) — это более базовая версия групповой политики для автономных и не доменных компьютеров, существующая по крайней мере со времен Windows XP . [ когда? ] и может применяться к компьютерам домена. [ нужна ссылка ] До Windows Vista LGP ​​мог применять объект групповой политики для одного локального компьютера, но не мог создавать политики для отдельных пользователей или групп. Начиная с Windows Vista, LGP позволяет управлять локальной групповой политикой для отдельных пользователей и групп. [1] а также позволяет выполнять резервное копирование, импорт и экспорт политик между автономными компьютерами через «Пакеты GPO» — контейнеры групповых политик, которые включают файлы, необходимые для импорта политики на целевой компьютер. [2]

Настройки групповой политики

[ редактировать ]

Настройки групповой политики — это способ, с помощью которого администратор может установить политики, которые не являются обязательными, но необязательными для пользователя или компьютера. Существует набор расширений параметров групповой политики, ранее известных как PolicyMaker. Microsoft купила PolicyMaker, а затем интегрировала его с Windows Server 2008 . С тех пор Microsoft выпустила инструмент миграции, который позволяет пользователям переносить элементы PolicyMaker в настройки групповой политики. [8]

В настройки групповой политики добавлен ряд новых элементов конфигурации. Эти элементы также имеют ряд дополнительных параметров таргетинга, которые можно использовать для детального контроля применения этих элементов настроек.

Настройки групповой политики совместимы с версиями x86 и x64 Windows XP, Windows Server 2003 и Windows Vista с добавлением клиентских расширений (также известных как CSE). [9] [10] [11] [12] [13] [14]

Клиентские расширения теперь включены в Windows Server 2008 , Windows 7 и Windows Server 2008 R2 .

Консоль управления групповой политикой

[ редактировать ]

Первоначально групповые политики изменялись с помощью инструмента редактирования групповой политики, который был интегрирован с оснасткой консоли управления Microsoft (MMC) «Пользователи и компьютеры Active Directory», но позже он был разделен на отдельную оснастку MMC, называемую консолью управления групповыми политиками ( ГПМК). GPMC теперь является пользовательским компонентом в Windows Server 2008 и Windows Server 2008 R2 и предоставляется для загрузки в составе средств удаленного администрирования сервера для Windows Vista и Windows 7 . [15] [16] [17] [18]

Расширенное управление групповой политикой

[ редактировать ]

Microsoft также выпустила инструмент для внесения изменений в групповую политику под названием Advanced Group Policy Management. [19] (он же АГПМ). Этот инструмент доступен для любой организации, которая лицензировала пакет Microsoft Desktop Optimization Pack (также известный как MDOP). Этот расширенный инструмент позволяет администраторам осуществлять процесс возврата и вывода изменений в объектах групповой политики, отслеживать изменения в объектах групповой политики и реализовывать рабочие процессы утверждения изменений в объектах групповой политики.

AGPM состоит из двух частей — серверной и клиентской. Сервер — это служба Windows, которая хранит свои объекты групповой политики в архиве, расположенном на том же компьютере или в общей сетевой папке. Клиент представляет собой оснастку консоли управления групповыми политиками и подключается к серверу AGPM. Настройка клиента осуществляется через групповую политику.

Безопасность

[ редактировать ]

Параметры групповой политики применяются целевыми приложениями добровольно. Во многих случаях это просто отключение пользовательского интерфейса для определенной функции. [20]

Альтернативно, злонамеренный пользователь может изменить или вмешаться в работу приложения, так что оно не сможет успешно прочитать настройки групповой политики, тем самым применяя потенциально более низкие настройки безопасности по умолчанию или даже возвращая произвольные значения. [21]

Улучшения Windows 8

[ редактировать ]

В Windows 8 появилась новая функция под названием «Обновление групповой политики». Эта функция позволяет администратору принудительно обновить групповую политику на всех компьютерах с учетными записями в определенном организационном подразделении. При этом на компьютере, на котором выполняется gpupdate команду в течение 10 минут, корректируемую случайным смещением во избежание перегрузки контроллера домена.

Был введен статус инфраструктуры групповой политики, который может сообщать, когда какие-либо объекты групповой политики не реплицируются правильно между контроллерами домена. [22]

В отчете о результатах групповой политики также есть новая функция, позволяющая рассчитывать время выполнения отдельных компонентов при обновлении групповой политики. [23]

См. также

[ редактировать ]
  1. ^ Jump up to: а б LLC), Тара Мейер (Aquent (25 июля 2008 г.). «Пошаговое руководство по управлению несколькими объектами локальной групповой политики» . go.microsoft.com .
  2. ^ Jump up to: а б Сигман, Джефф. «Бета-версия SCM v2: LocalGPO великолепен!» . Майкрософт . Проверено 24 ноября 2018 г.
  3. ^ «[MS-GPOD]: Обзор протоколов групповой политики» . Майкрософт. Раздел 1.1.5 Хранение данных групповой политики . Проверено 22 февраля 2020 г.
  4. ^ Gpupdate
  5. ^ «Обработка и приоритет групповой политики» . Корпорация Майкрософт. 22 апреля 2012 г.
  6. ^ «Групповая политика — применить к конкретному пользователю или группе — Справочные форумы Windows 7» . www.sevenforums.com .
  7. ^ Архив документов (18 апреля 2012 г.). «Гпреульт» . technet.microsoft.com .
  8. ^ «Инструмент миграции предпочтений групповой политики (GPPMIG)» . Майкрософт .
  9. ^ «Клиентские расширения предпочтений групповой политики для Windows XP (KB943729)» . Центр загрузки Microsoft .
  10. ^ «Клиентские расширения предпочтений групповой политики для Windows XP x64 Edition (KB943729)» . Центр загрузки Microsoft .
  11. ^ «Клиентские расширения предпочтений групповой политики для Windows Vista (KB943729)» . Центр загрузки Microsoft .
  12. ^ «Клиентские расширения предпочтений групповой политики для Windows Vista x64 Edition (KB943729)» . Центр загрузки Microsoft .
  13. ^ «Клиентские расширения предпочтений групповой политики для Windows Server 2003 (KB943729)» . Центр загрузки Microsoft .
  14. ^ «Клиентские расширения предпочтений групповой политики для Windows Server 2003 x64 Edition (KB943729)» . Центр загрузки Microsoft .
  15. ^ «Как установить GPMC на Server 2008, 2008 R2 и Windows 7 (через RSAT)» . 23 декабря 2009 г. Архивировано из оригинала 26 декабря 2009 г. Проверено 12 марта 2010 г.
  16. ^ Средства удаленного администрирования сервера Microsoft для Windows Vista.
  17. ^ Средства удаленного администрирования сервера Microsoft для Windows Vista для систем на базе x64.
  18. ^ Инструменты удаленного администрирования сервера для Windows 7.
  19. ^ «Windows — Официальный сайт ОС Microsoft Windows 10 Home и Pro, ноутбуков, ПК, планшетов и многого другого» . www.microsoft.com .
  20. ^ Раймонд Чен , «Политика Shell — это не то же самое, что безопасность»
  21. ^ Руссинович, Марк (26 июня 2019 г.) [12 декабря 2005 г.]. «Обход групповой политики в качестве пользователя с ограниченными правами» . Центр сообщества Microsoft . Майкрософт . Проверено 10 июня 2023 г.
  22. ^ «Обновлено: что нового в групповой политике в Windows 8» . 17 октября 2011 г.
  23. ^ «Функция устранения неполадок производительности групповой политики Windows 8» . 23 января 2012 г.

Дальнейшее чтение

[ редактировать ]
  1. «Групповая политика для начинающих» . Техническая библиотека Windows 7 . Майкрософт. 27 апреля 2011 года . Проверено 22 апреля 2012 г.
  2. «Консоль управления групповой политикой» . Центр разработки — Рабочий стол . Майкрософт. 3 февраля 2012 года . Проверено 22 апреля 2012 г.
  3. «Пошаговое руководство по управлению несколькими объектами локальной групповой политики» . Техническая библиотека Windows Vista . Майкрософт. 25 июля 2008 года . Проверено 22 апреля 2012 г.
  4. «Обработка и приоритет групповой политики» . Справка по продукту Windows Server 2003 . Майкрософт. 21 января 2005 года . Проверено 22 апреля 2012 г.
[ редактировать ]
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: a31a4a9fb47285209c3e6ee52786c9e7__1722005220
URL1:https://arc.ask3.ru/arc/aa/a3/e7/a31a4a9fb47285209c3e6ee52786c9e7.html
Заголовок, (Title) документа по адресу, URL1:
Group Policy - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)