Объекты групповых политик можно связывать только с контейнерами трех типов:
- контейнером сайта
Политики, связанные с сайтами Active Directory, будут применяться ко всем компьютерам, которые подключены к домену из определенных подсетей, связанных с сайтом, и, естественно, к пользователям, входящим в систему на этих компьютерах.
По умолчанию для сайтов Active Directory не создается ни одной групповой политики.
GPO связывают с сайтами очень редко, поскольку гораздо эффективнее связывать GPO с OU, структура которых основана на территориальном делении. Но при определенных обстоятельствах связывание GPO с сайтом — приемлемое решение. Если параметры должны быть общими для всех компьютеров, физически находящихся в определенном месте, и для этого места создан сайт, есть смысл связать GPO с сайтом.
Например, для компьютеров, расположенных в некоем филиале, нужно задать определенную сетевую конфигурацию с поддержкой подключения к Интернету. В этом случае идеально подходит GPO, связанный с сайтом.
- контейнером домена
Поскольку это мощная политика, следует свести к минимуму количество GPO этого уровня. Типичное применение GPO уровня домена — реализация корпоративных стандартов. Например, в компании может действовать стандартное требование, состоящее в том, что ко всем компьютерам и пользователям должна применяться одна и та же политика управления паролями и аутентификацией. В этом случае применение GPO уровня домена было бы отличным решением.
- контейнером OU
В большинстве случаев лучше связывать GPO с хорошо продуманной структурой OU, чем с сайтами или доменами. OU обеспечивают наибольшую гибкость, поскольку позволяют спроектировать структуру, хотя бы отчасти упрощающую применение групповой политики.
Кроме того, OU гибче в администрировании. Вы можете без проблем перемещать пользователей и компьютеры между OU, изменять структуру OU и даже переименовывать сами OU.
Групповые политики связываются только с этими контейнерами и не могут связываться с контейнерами Users или Computers.
По умолчанию параметры настройки групповой политики наследуются от контейнеров высокого уровня к контейнерам низкого уровня. Следовательно, групповые политики, назначенные пользователю или компьютеру, применяются при каждом запуске компьютера или при каждом входе пользователя в систему. Групповые политики применяются в следующем порядке.
1. Local group policy (Локальная групповая политика).
2. Site-level group policies (Групповые политики уровня сайта).
3. Domain-level group policies (Групповые политики уровня домена).
4. OU-level group policies (Групповые политики уровня OU). Если домен содержит несколько уровней OU, вначале применяются групповые политики более высоких уровней OU, а затем — OU низшего уровня.
Иногда на любом из уровней Active Directory может применяться свыше одной групповой политики. В этом случае порядок их применения определяется порядком, в котором объекты GPO перечислены в административном окне снизу вверх.
Порядок применения групповых политик важен, если они изменяют одни и те же параметры настройки.
Если GPO определены и для родителя, и для потомка и если заданные в них параметры совместимы, эти параметры комбинируются.
Если параметры несовместимы, то по умолчанию с дочерним контейнером связывается значение, переопределяющее значение параметра, который связан с родительским контейнером.
Изменение заданного по умолчанию способа применения групповых политик
- Блокировать наследование политики (BlockPolicyInheritance). При выборе этого параметра контейнер не наследует параметры GPO, заданные для родительского контейнера.
- Не перекрывать (NoOverride). При связывании GPO с контейнером можно выбрать, чтобы параметры, заданные в этом GPO, не переопределялись параметрами в GPO, связанными с дочерними контейнерами. Это гарантирует, что для дочерних контейнеров будет применяться заданная политика.
Эта опция используется для предписания применения групповой политики даже в тех контейнерах, в которых установлена опция блокировки наследования групповой политики.
ЗАДАНИЯ:
Перед запуском гостевых операционных систем в свойствах виртуальных машин выбрать сетевые адаптеры VMnet2 и подключить виртуальный CD-ROM с образом (.iso) WindowsServer2008.
1. Создать новый домен, являющийся корнем нового дерева, нового леса.
Установка контроллера домена разбита на два этапа.
1.1.Запускаем консоль Server Manager (ПускАдминистрированиеДиспетчер сервера) и отмечаем роль Доменные службы ActiveDirectory (ActiveDirectoryDomainServices). Затем подтверждаем выбор и нажимаем Install. Мастер добавления ролей устанавливает файлы, необходимые для установки и настройки доменных служб Active Directory на сервере, но он не запускает их установку.
1.2.Чтобы начать установку Доменных служб Active Directory, необходимо выполнить Dcpromo.exe.
В командной строке ввести dcpromo, а затем нажать клавишу ВВОД (или нажать кнопку Пуск, ввести dcpromo, а затем нажать клавишу ВВОД).
На шаге «ChooseaDeploymentConfiguration» создаем новый домен, выбрав «Createanewdomaininanewforest».Вводим имя домена (например, cyber.local) и в раскрывающемся списке «Forest functional level» выбираем нужный функциональный уровень (WindowsServer 2008).
Далее мастер предложит выбрать каталоги для хранения базы, журналов и SYSVOL (оставляем по умолчанию). Вводим пароль администратора для режима восстановления.
Далее мастер предлагает установку DNS-сервера.
Доступность параметра установки DNS-сервера зависит от выбранного варианта установки и условий DNS в сети. При выборе установки DNS-сервера или при автоматической установке DNS-сервера DNS создает новое делегирование или автоматически обновляет существующие делегирования для сервера.
Примечание |
Попытка DNSсоздать новое делегирование может завершиться ошибкой, если невозможнообновить родительскую зону DNS. |
Попытка создания DNS-делегирования завершается неудачно, если родительская зона DNS не существует или если учетная запись, используемая для установки доменных служб Active Directory, не имеет разрешений на создание записей DNS-делегирования в родительской зоне DNS. В этом случае попытка автоматического создания DNS-делегирования завершается неудачно и открывается следующее диалоговое окно:
Можно нажать кнопку Да и продолжить установку доменных служб Active Directory. Чтобы диалоговое окно не открывалось, при выполнении Dcpromo.exe указывается параметр /Create DNS Delegation: No.
По окончании требуется перезагрузка.
2.Для выполнения следующего задания необходимо настроить сетевые параметры (статические).
2.1.Изменения параметров адаптера (Центр управления сетями и общим доступомИзменение параметров адаптера)
Для контроллера домена: использовать следующий IP address192.168.0.1
Маска подсети 255.255.255.0
Предпочитаемый DNS сервер 127.0.0.1.
Для рабочей станции: использовать следующий IP address
Из диапазона 192.168.0.2 -192.168.0.254
Маска подсети 255.255.255.0
Предпочитаемый DNS сервер 192.168.0.1
2.2.Для контроллера домена включить сетевое обнаружение для доменного профиля (Центр управления сетями и общим доступомИзменить дополнительные параметры общего доступаВключить сетевое обнаружение)
2.3.Проверить настроенные параметры, выполнив команду ping.
3. Подключить компьютер (с ОС Windows 7) к домену.
Для входа в какой-либо домен компьютер должен иметь учетную запись в этом домене. Подобно пользовательским учетным записям учетная запись компьютера – это средство для аутентификации доступа компьютера к сети и к ресурсам в домене. Как и любая пользовательская учетная запись, учетная запись каждого компьютера должна быть уникальной. Учетные записи компьютеров можно создавать следующим способом: пользователь с правами присоединения компьютера к домену выполняет вход в домен с компьютера и создает учетную запись этого компьютера в процессе входа.
Чтобы присоединить компьютер к домену, выполните следующие шаги.
•Щелкните правой кнопкой на My Computer (Мой компьютер) и выберите в контекстном меню пункт Properties
•Перейдите во вкладку Computer Name (Имя компьютера)
•Щелкните на кнопке Change (Изменить), чтобы открыть диалоговое окно Computer Name Changes (Изменения в имени компьютера)
•Выберите Domain (Домен) и введите имя домена. (Вы можете ввести NetBIOS-имя или FQDN [полностью уточненное имя домена])
•Щелкните на кнопке OK
Появится диалоговое окно, где запрашивается имя входа и пароль учетной записи с правами на присоединение к домену. Если имя данного компьютера уже существует в этом домене, то ваше имя входа в домен должно иметь достаточные права, чтобы присоединить заранее заданную учетную запись компьютера к домену. Если имени данного компьютера еще нет в домене, то ваше имя входа в домен должно иметь достаточные права, чтобы создать учетную запись компьютера. Все необходимые права имеют члены группы Administrators на локальном компьютере и члены группы Domain Admins в домене.
По окончании требуется перезагрузка.
Проверить на контроллере домена факт присоединения нового компьютера к домену: в оснастке Active Directory пользователи и компьютеры в контейнере Компьютеры должна появиться учетная запись подключенного компьютера.
Логический вход в компьютер и домен
Когда вы входите в компьютер, который является членом домена и при этом не является контроллером домена, то у вас есть две возможности: войти в него локально или войти в домен. Этот выбор вы делаете, когда в панели Logon Information в поле Domain указываете имя компьютера или домена.
4.Создать учётную запись своего пользователя, запретить ему вход в ночное время, запретить смену пароля. Разрешить пользователю входить локально на контроллер домена.
5. Проверьте действие введенных установок.
6. Создать учетную запись пользователей А и В путем копирования вашей учетной записи. В оснастке Active Directory — пользователи и компьютеры (Active Directory Users And Computers) щелкните правой кнопкой мыши на имени учетной записи, которую вы хотите скопировать, и выберите команду Копировать (Copy) из контекстного меню. Откроется диалоговое окно Копировать объект – Пользователь (CopyObject – User). При создании копии существующей учетной записи в оснастке Active Directory — пользователи и компьютеры не происходит полного переноса информации в новую учетную запись. Сохраняются лишь данные, которые Вам могут понадобиться, а подлежащая обновлению персональная информация пользователя не копируется.
7. Исследовать возможность использования OUдля делегирования административных прав.
•создать подразделение OU Students.
•переместить созданных пользователей А и В в OUStudents.
•разрешить пользователю с вашей учетной записью сбрасывать пароли пользователей входящих в OUStudent (на ярлык OUStudent нажать правой кнопкой мыши – Делегирование управления)
•войти под учетной записью вашего пользователя на контроллер домена и проверить возможность сбрасывать пароли пользователей входящих в OUStudent. Проверить возможность корректировки других параметров.
8. Исследовать возможность использования OU для управления группой объектов как отдельным подразделением.
•создать подразделение OU Test
•в данное подразделение переместить рабочую станцию
•создать новый объект групповой политики связанный с OUTest
•в групповой политике связанной с OUTestразрешить пользователю А завершение работы системы.
•проверить действие политики.
Контрольные вопросы
1. Поясните понятие роли сервера.
2. Что такое служба каталогов?
3. Какая служба каталогов используется в ОС WindowsServer 2008?
4. Какой механизм аутентификации применяется в Windows Server 2008 Active Directory Domain Services?
5. Логическая структура Active Directory Domain Services.
6. Какие структурные объекты содержит база данных ActiveDirectoryDS?
7. Поясните понятие организационная единица (OrganizationalUnit — OU).
8. Поясните понятие домен.
9. Поясните понятия: дерево, лес.
10. Поясните понятие сайт.
11. Какие контейнеры создаются по умолчанию при установке ActiveDirectoryDS?
12. Какие организационные единицы создаются по умолчанию при установке ActiveDirectoryDS?
13. Поясните цели создания и использования организационных единиц?
14. Какие политики по умолчанию создаются при развертывании домена Active Directory?
15. С контейнерами каких типов можно связывать объекты групповых политик?
16. В каком порядке применяются групповые политики?
17. Какая политика имеет наибольший приоритет?
18. Какие параметры могут быть определены в объекте групповой политики связанной с контейнером домена?
19. Для каких целей используется Dcpromo.exe?
Статьи к прочтению:
Тренинг по GPO — Занятие №2
Похожие статьи:
-
Зи w. групповая политика безопасности. компьютер.
Групповые политики (GP) представляют собой основной метод обеспечения централизованного управления конфигурацией безопасности в Windows 2000 и Windows…
-
Лабораторная работа № 6. реализация политики безопасности в ms windows
Цель работы: освоение средств администратора и аудитора защищенных версий операционной системы Windows, предназначенных для: — определения параметров…