|
Советы и рекомендации
Операционная система Windows Vista привносит в среду Windows свыше 800 новых параметров групповой политики. В этом разделе приводится информация о развертывании групповой политики с помощью Windows Vista, описание основных концепций администрирования, а также советы по управлению политикой безопасности.
Рекомендации по развертыванию
-
Обновите рабочие станции администратора групповой политики до Windows Vista. Управление групповой политикой теперь должно осуществляться только с компьютеров, работающих под управлением Windows Vista.
-
Этот пункт является необязательным. В тех доменах, где администраторы используют для управления групповой политикой компьютеры с установленной Windows Vista, на каждом из основных контроллеров домена создайте центральное хранилище в папке «Sysvol». Разместите в хранилищах ADM- и ADMX-файлы, используя административный компьютер, работающий под управлением Windows Vista.
-
Создайте новые или обновите существующие объекты групповой политики, чтобы можно было задействовать новые параметры групповой политики Windows Vista. Обратите внимание на то, что можно связать эти объекты групповой политики с организационными подразделениями, в которых содержатся новые рабочие станции, работающие под управлением Windows Vista и присоединенные к домену.
Примечание. В редких случаях может понадобиться расширение схемы службы каталогов Active Directory.
-
Установите Windows Vista на рабочие станции в соответствии с планом развертывания.
Примечание. К рабочим станциям с установленной Windows Vista новые или обновленные объекты групповой политики будут применены в обычном порядке.
Создание центрального хранилища
Центральное хранилище – это структура папок, создаваемая внутри папки «Sysvol» контроллера каждого домена в Вашей организации. Для каждого домена необходимо только один раз создать центральное хранилище на одном из его контроллеров. Позже с помощью службы репликации файлов центральное хранилище будет развернуто на всех контроллерах домена. Рекомендуется создавать центральное хранилище на основном контроллере домена, поскольку консоль управления групповой политикой и редактор объектов групповой политики по умолчанию соединяются с основным контроллером домена.
Центральное хранилище состоит из корневой папки, содержащей все независимые от языка локализации ADMX-файлы, и вложенных папок, содержащих зависимые от языка файлы ресурсов ADMX.
Примечание. Если центральное хранилище отсутствует, редактор объектов групповой политики считывает локальные версии ADMX-файлов, используемые локальным объектом групповой политики на Вашем административном компьютере, работающем под управлением Windows Vista. Для выполнения этого действия Вы должны входить в группу администраторов домена службы каталогов Active Directory.
|
Для создания центрального хранилища выполните следующие действия:
-
Создайте корневую папку «%systemroot%\Sysvol\domain\policies\PolicyDefinitions» для центрального хранилища на контроллере домена.
-
Внутри папки «%systemroot%\Sysvol\domain\policies\PolicyDefinitions» создайте вложенную папку для каждого языка, который будут использовать администраторы групповой политики. Имена папок должны соответствовать ISO-стандарту названий языка/страны. Для получения списка стандартных названий обратитесь к веб-странице Идентификаторы языка (EN). Например, вложенная папка для русского языка должна иметь название «%systemroot%\Sysvol\domain\policies\PolicyDefinitions\ru-RU».
Добавление ADMX-файлов в центральное хранилище
В операционной системе Windows Vista отсутствует графический интерфейс для помещения файлов в центральное хранилище. Ниже описано, как это можно осуществить из командной строки, запущенной на контроллере домена.
Для добавления ADMX-файлов в центральное хранилище выполните следующие действия:
-
Откройте командную строку. Для этого нажмите кнопку Пуск, выберите команду Выполнить, в открывшемся окне наберите cmd и нажмите клавишу Enter.
-
Чтобы скопировать все не зависящие от языка локализации файлы шаблонов (файлы с расширением .admx) с административной рабочей станции под управлением Windows Vista в центральное хранилище на Вашем контроллере домена, наберите в окне командной строки следующую команду (команду нужно вводить в одной строке, а после символа «*» должен стоять пробел):
xcopy %systemroot%\PolicyDefinitions\* %logonserver%\Sysvol\%userdnsdomain%\policies\PolicyDefinitions\
-
Чтобы скопировать ориентированные на русский язык файлы шаблонов (файлы с расширением .adml) с административной рабочей станции под управлением Windows Vista в центральное хранилище на Вашем контроллере домена, наберите в окне командной строки следующую команду (команду нужно вводить в одной строке, а после символа «*» должен стоять пробел):
xcopy %systemroot%\PolicyDefinitions\ru-RU\* %logonserver%\Sysvol\%userdnsdomain%\policies\PolicyDefinitions\ru-RU\
Рисунок 3 – Центральное хранилище, открытое в проводнике Windows
Загрузка новых схем
Windows Vista обладает рядом усовершенствований проводных и беспроводных конфигураций, настраиваемых при помощи параметров групповой политики, которые в свою очередь поддерживаются контроллерами домена, работающими под управлением Windows Server 2008. В среде службы каталогов Active Directory, состоящей из контроллеров домена с установленной ОС Windows Server 2003 или Windows Server 2003 R2, необходимо произвести расширение схемы Active Directory. По адресу http://go.microsoft.com/fwlink/?LinkId=70195 Вы найдете необходимую информацию о расширениях схемы Active Directory, позволяющих настраивать новые возможности при помощи групповой политики.
Примечание. Расширение схемы необходимо только в том случае, если Вы хотите использовать групповую политику для настройки новых возможностей проводных и беспроводных конфигураций или параметры BitLocker.
|
Информацию об изменении схемы для BitLocker Вы можете найти на Microsoft Technet по адресу http://technet2.microsoft.com/WindowsVista/en/library/3dbad515-5a32-4330-ad6f-d1fb6dfcdd411033.mspx?mfr=true.
Дополнительные рекомендации
Прежде чем приступить к развертыванию параметров групповой политики Windows Vista, прочтите приведенные ниже руководства и документы, чтобы получить четкое представление о параметрах групповой политики.
-
Администрирование групповой политики при помощи консоли управления групповой политикой (EN).
Резервные копии, сохраненные из консоли управления групповой политикой Windows Vista (версия 2.0), несовместимы с загружаемой версией консоли (1.0). Кроме того, загружаемая версия консоли не сохраняет все параметры групповой политики Windows Vista, входящие в объект групповой политики. Используйте консоль управления групповой политикой Windows Vista (версия 2.0), чтобы достичь наилучших результатов при резервном копировании и восстановлении всех объектов групповой политики.
-
Пошаговые руководства по Windows Vista для ИТ-специалистов (EN).
Эти пошаговые руководства призваны помочь ИТ-специалистам в развертывании Windows Vista и переходе на эту ОС. В этих руководствах Вы также найдете пошаговые инструкции по управлению ADMX-файлами и контролю над установкой и использованием устройств.
Примечание переводчика. Многие руководства уже переведены на русский язык участниками клуба переводчиков OSZone.net. Вы можете найти переведенные документы по адресу http://oszone.net/4343/.
-
Виртуальные лаборатории Technet по групповой политике Windows Vista (EN).
Эти лаборатории предназначены для ИТ-специалистов, отвечающих за управление рабочими станциями с установленной Windows Vista в среде службы каталогов Active Directory. В лабораториях изучаются новые и обновленные параметры групповой политики.
-
Распространенные сценарии консоли управления групповой политикой (EN).
В набор включен ряд объектов групповой политики, иллюстрирующих некоторые распространенные сценарии управления рабочими станциями. Вам предлагаются сценарии: мобильный, киоск, частично контролируемая среда и другие.
Сценарии консоли управления групповой политикой
В консоль управления групповой политикой входит набор интерфейсов для выполнения сценариев автоматизации множества распространенных задач по управлению объектами групповой политики. Эти интерфейсы помогают управлять средой групповой политики, позволяя выполнять такие действия над ее объектами, как генерирование отчетов о параметрах, создание и копирование объектов, а также поиск несвязанных объектов.
Примечание. Сценарии не входят в состав Windows Vista. Дополнительную информацию о сценариях консоли управления групповой политикой Вы можете найти по адресу http://go.microsoft.com/fwlink/?linkid=31191.
Работа в многоязычной среде
В Windows Vista параметры административных шаблонов Vista поделены на две группы, доступные всем администраторам групповой политики: локализованные ресурсы для определенного языка (имеют расширение .adml) и ресурсы, не зависящие от конкретного языка (имеют расширение .admx). Это разделение позволяет настраивать пользовательский интерфейс инструментов групповой политики в соответствии с выбранным администратором языком операционной системы. Добавление нового языка достигается путем указания доступного файла ресурса для данного языка.
Например, возможна следующая ситуация. Администратор групповой политики работает в Лондоне на компьютере, где установлена Windows Vista с английским интерфейсом. Администратор создает объект групповой политики и связывает его с доменом, физически расположенным за границей. Его коллега в Москве открывает этот домен в консоли управления групповой политикой и выбирает вышеупомянутый объект. Имея в своем распоряжении компьютер, работающий под управлением русскоязычной Windows Vista, он может просматривать и редактировать параметры политик на русском языке. Администратор, создавший объект групповой политики, продолжает видеть все параметры на английском языке, включая изменения, внесенные российским администратором.
Наверх страницы
Изменения в групповой политике после перехода на Windows Vista или обновления до этой ОС
После перехода на Windows Vista или обновления до этой операционной системы групповая политика применяется заново, как это бы произошло при чистой установке. К входящим в домен клиентским компьютерам групповая политика применяется точно так же, как это происходит в случае первого присоединения компьютера к домену или первого входа пользователя в систему. Параметры политик каждого расширения либо переносятся, либо вступают в силу в рамках первого применения групповой политики к домену. После обновления операционной системы механизм групповой политики обрабатывает параметры точно так же, как и в случае чистой установки, воссоздает все данные результирующей политики (RSoP) и восстанавливает все кэшированные значения. В следующей таблице содержится подробная информация о поведении компонентов групповой политики после перехода на Windows Vista или обновления до этой ОС.
Примечание переводчика. Под переходом на Windows Vista подразумевается установка этой операционной системы на новый компьютер и последующий перенос пользовательских файлов и настроек с компьютера, работающего под управлением Windows XP Professional или Windows XP Home Edition, при помощи программы «Средство переноса данных Windows» (Windows User State Migration Tool, USMT) или программы Windows Easy Transfer, входящей в состав Windows Vista. Дополнительную информацию Вы можете найти в статье Пошаговое руководство по переходу на Windows Vista
Компонент
|
Поведение при обновлении до Windows Vista
|
Поведение при переходе
на Windows Vista
|
Механизм групповой политики
|
Переносятся параметры реестра и их значения, определяющие пользовательские предпочтения относительно работы основного механизма групповой политики (например, параметр «Настроить режим медленного подключения» ).
|
Не переносится.
|
Результирующая политика (RSoP)
|
В переносе данных RSoP после обновления ОС необходимости нет, поскольку все параметры политики применяются заново после первой перезагрузки компьютера.
|
Не переносится.
|
Локальный объект групповой политики
|
-
Переносится локальный объект групповой политики.
-
Переносится групповой объект MLGPO (несколько объектов локальной групповой политики).
-
Переносится пользовательский объект MLGPO.
Примечание. Данные объектов MLGPO переносятся при обновлении одного выпуска Windows Vista до другого.
|
|
Клиентские расширения
|
Клиентские расширения сохраняют данные в системном реестре. Параметры расширений хранятся в реестре в разделе
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions
Примечание. Каждое клиентское расширение обновляет собственную информацию.
|
Не переносятся.
|
Административные шаблоны в виде ADM-файлов
|
-
ADM-файлы, входящие в состав операционной системы, замещаются ADMX-файлами.
-
Во время обновления пользовательские ADM-файлы сохраняются.
|
Не переносятся.
|
Параметры политики, хранящиеся в реестре
|
-
Переносятся все параметры политики и их значения, хранящиеся в разделе Software\Policy.
-
Не переносятся настройки, сделанные пользователем
-
При первой перезагрузке компьютера или после первого входа пользователя в систему применяются все параметры политики домена.
|
Не переносятся.
|
Установка ПО
|
-
Автоматически переносятся все приложения, установленные посредством групповой политики.
-
Автоматически переносятся все файлы, находящиеся в папке «%windir%\system32\appmgmt».
-
Переносятся все параметры и значения из разделов реестра HKLM|HKCU Software \Microsoft\Windows \CurrentVersion\ Group Policy\Appmgmt, а также параметр appmgmtdebuglevel и его значение из раздела HKLM\Software\ Microsoft\Windows NT \CurrentVersion\ Diagnostics.
|
Не переносится.
|
Консоль управления групповой политикой и редактор объектов групповой политики
|
-
Удаляются предыдущие версии консоли управления групповой политикой. При этом сохраняется папка «scripts», включая сценарии, которые были установлены с предыдущей версией консоли.
-
Переносятся следующие конфигурационные данные консоли управления групповой политикой:
-
Информация, сохраняемая непосредственно в файле консоли (MSC-файле). Например, это может быть информация о домене или лесе, к которому осуществлялось подключение в прошлый раз.
-
Параметры реестра и настройки консоли (расположение папки резервного копирования, параметры ADM-файлов и т. д.)
-
Переносятся все пользовательские настройки редактора объектов групповой политики, хранящиеся в реестре (например, Default GPO name).
|
Не переносятся.
|
Примечание. Список параметров реестра, которые переносятся при переходе на Windows Vista, Вы можете найти в Приложении Б.
|
Наверх страницы
Проверка параметров групповой политики с помощью результирующей политики (RSoP)
Вся информация, относящаяся к обработке групповой политики, собирается и хранится на локальном компьютере в базе данных управления объектами общей информационной модели (Common Information Model Object Management, CIMOM). К этой информации, включающей в себя список, содержимое и протоколирование обработки для каждого объекта групповой политики, можно обратиться посредством инструментария управления Windows (WMI).
В режиме входа (Group Policy Results) результирующая политика опрашивает базу данных CIMOM на целевом компьютере, получает информацию о политиках и отображает их в консоли управления групповой политикой. В режиме планирования (Group Policy Modeling) результирующая политика имитирует применение политики, используя службу доступа к данным групповой политики (Group Policy Data Access Service, GPDAS) на контроллере домена. Прежде чем информация передается для отображения в консоли управления групповой политикой, результаты имитации сохраняются в локальной базе данных на контроллере домена.
Получение результирующей политики при помощи консоли управления групповой политикой
Администраторы используют консоль управления групповой политикой в среде службы каталогов Active Directory. Консоль наглядно отображает окружение групповой политики в корпоративной сети, включая объекты групповой политики, их связи, сайты, домены и организационные подразделения в выбранном лесу. С помощью консоли управления групповой политикой администратор может выполнять любые задачи, которые раньше были доступны только на вкладке Групповая политика административных инструментов службы каталогов Active Directory.
Консоль управления групповой политикой также можно использовать для генерации данных результирующей политики (RSoP), которые либо предсказывают общий эффект, получаемый при применении объектов групповой политики в сети, либо предоставляют отчет о результатах применения объектов групповой политики к определенному пользователю или компьютеру. Кроме того, администраторы могут использовать консоль для выполнения таких операций над объектами групповой политики, которые невозможно было произвести раньше. Теперь можно выполнять резервное копирование и восстановление объектов, а также их копирование и даже перенос в другой лес. Используя сценарии WMI, можно также генерировать отчеты о параметрах объекта групповой политики в формате HTML или XML.
При работе с консолью управления групповой политикой существует ряд ограничений. В частности, невозможно получить результирующую политику для объектов MLGPO. Также в отчетах консоли не отображаются сведения о параметрах брандмауэра Windows в режиме повышенной безопасности. Примечание переводчика. Дополнительную информацию об упомянутых в этом абзаце компонентах Windows Vista Вы можете найти в статьях Пошаговое руководство по использованию технологии нескольких объектов локальной групповой политики и Приступая к работе с брандмауэром Windows в режиме повышенной безопасности.
Проверка параметров групповой политики, действующих в данный момент времени
Результирующая политика (RSoP.msc) является оснасткой консоли управления Microsoft. Эта оснастка традиционно используется для получения отчетов и планирования результирующего эффекта, оказываемого объектами групповой политики. Хотя Вы можете продолжать использовать оснастку для этих целей, большинство ее функциональных возможностей теперь имеется в консоли управления групповой политикой, пользоваться которой намного удобнее. Оснастка Результирующая политика имеет ряд ограничений, поскольку она не выдает отчетов обо всех параметрах групповой политики (в частности, за кадром остаются многие параметры Windows Vista). Кроме того, с помощью оснастки невозможно получить результирующую политику, применяющуюся к удаленному компьютеру. В силу описанных выше причин использование оснастки Результирующая политика не рекомендуется, хотя она входит в состав Windows Vista для получения результирующих данных от сторонних расширений групповой политики.
Для определения того, применяются ли политики к пользователю или компьютеру, рекомендуется использовать возможности генерации отчетов консоли управления групповой политикой. Однако консоль не работает с объектами MLGPO. И хотя Вы не можете использовать консоль для получения отчетов о применении объектов MLGPO, Вы можете найти эту информацию в операционном журнале групповой политики.
Наверх страницы
Продолжение >>>
|
|