Групповая политика. Это сервис, с которым знаком почти каждый администратор Windows. Но что такое групповая политика? Групповая политика – это общий способ применения конфигурационных параметров, установки программного обеспечения, выполнения скриптов и многого другого на тысячах компьютеров, присоединенных к домену (AD).
Расширьте функциональность групповой политики и упростите управление мелкозернистыми политиками паролей. Нацельтесь на любой уровень GPO, группу, пользователя или компьютер с помощью настроек словаря и парольной фразы с помощью Specops Password Policy. Попробуйте бесплатно!
Групповая политика состоит из множества различных служб и рабочих процессов. Большинство администраторов, вероятно, даже не знают, как это работает “под капотом”! В этой статье мы намерены изменить это.
Если вам интересно узнать, что такое групповая политика и узнать, как она работает, оставайтесь с нами, потому что мы собираемся рассмотреть все детали!
Что такое объекты групповой политики (GPO)
GPO – это основа групповой политики. GPO – это отдельные политики, содержащие множество различных настроек для выполнения на компьютере, присоединенном к домену.
В Windows 10/2019 Server есть более пяти тысяч настроек, охватывающих все соответствующие аспекты Windows. Более того, вы можете импортировать еще больше для конкретных приложений: Office, Microsoft Edge, Google Chrome, LAPS-E – всего лишь несколько примеров. Вы также можете создавать свои собственные настройки.
Представьте себе ГПО как просто одну политику; это манифест, содержащий инструкции для выполнения задач, таких как установка входного сценария, изменение рабочего стола пользователя, установка программного обеспечения и тысячи других задач.
Служба каталогов хранит ГПО в базе данных каталога Active Directory, которые реплицируются между контроллерами домена (DC).
ГПО имеют две “категории” настроек: одна для компьютера и одна для пользователя. Эти “категории” определяют, как настройки внутри ГПО будут применяться к компьютеру. Например, если вам нужно изменить фон пользователя, это будут настройки пользователя. Если вам нужно установить программное обеспечение для всей системы, это будет настройка компьютера.
После создания ГПО вы направляете его на набор компьютеров или пользователей внутри организационной единицы. Затем компьютер периодически ищет новые ГПО и применяет эти настройки (подробнее об этом позже).
Что такое шаблоны групповой политики
Если ГПО является основным компонентом групповой политики, то следующим важным понятием является шаблон групповой политики (GPT). Шаблон групповой политики тесно связан с ГПО.
Active Directory хранит GPO в SYSVOL, который является общим файловым ресурсом на контроллерах домена для распространения файлов. GPO включают в себя настройки реестра, файлы безопасности, приложения, скрипты и установщики, ярлыки, XML-файлы, графические файлы и так далее, в зависимости от того, какие настройки вы определяете в соответствующем GPO.
Управление политикой групп с помощью GPMC
Политика групп управляется через Консоль управления групповой политикой (GPMC). Эта консоль устанавливается на всех контроллерах домена и является частью Набора администрирования удаленных серверов (RSAT). GPMC подключается к контроллеру домена, удерживающему роль эмулятора основного контроллера домена (PDCe), чтобы вносить изменения в политику групп.
Внутри GPMC вы можете создавать и назначать объекты политики групп (GPO) для организационных единиц (OU) Active Directory, сайтов Active Directory и других объектов.
Как работает репликация групповой политики.
Как уже упоминалось ранее, GPO и GPT являются частью AD. Таким образом, они являются частью типичного процесса репликации Active Directory.
A specific workflow kicks off when you create/update a new GPO and target it to an Active Directory OU.
- После того, как GPO изменяется через GPMC, GPMC подключается к контроллеру PDCe.
- Затем GPMC создает или изменяет GPO внутри баз данных Active Directory и создает/обновляет GPT в SYSVOL.
- После изменения репликация AD берет верх и реплицирует как GPO, так и GPT на остальные контроллеры домена в соответствии с расписанием репликации AD. Репликация обычно занимает до 5 минут, если ваш «локальный» DC и PDCe находятся в одном сайте, или дольше, если они находятся на разных сайтах.
Кроме того, контроллеры домена также реплицируют GPT в SYSVOL после их создания с помощью GPMC, но они делают это с помощью отдельного механизма репликации, называемого DFS-R. Расписание репликации для SYSVOL такое же, как и для базы данных AD. Обе компоненты GP должны прибыть примерно в одно и то же время на ваш локальный DC.
Как применяются GPO
Итак, GPMC создал GPO/GPT, и они были реплицированы на все контроллеры домена в вашей среде AD. Что дальше? Теперь клиент(ы) должны получить политику. На этом этапе клиент должен проверить DC на наличие новых/измененных политик.
Клиенты придерживаются своего определенного интервала обновления групповой политики. Это интервал, в течение которого они регулярно проверяют изменения на своем контроллере домена. По умолчанию интервал обновления установлен на 90 минут, плюс случайное смещение от 0 до 30 минут.
Если политика направлена на контроллер домена, интервал обновления по умолчанию всего пять минут.
По истечении интервала обновления служба клиента групповой политики на клиенте проверит у контроллера домена наличие новых или измененных политик. Если они найдены, она загрузит эти политики и начнет выполнять инструкции на клиентском компьютере.
Служба клиента групповой политики может не немедленно применить новые настройки. Некоторые настройки нельзя применить сразу, такие как при следующем входе, перенаправленные папки, после следующей перезагрузки и т. д.
Есть групповые политики, которые применяются даже при отсутствии изменений с момента последнего применения. Хорошим примером являются настройки безопасности, которые повторно применяются при запуске компьютера и каждые 16 часов, если компьютер за это время не был перезагружен. Это важно: если кто-то внес изменения в конкретную конфигурацию безопасности, они будут восстановлены при следующем обновлении (подумайте об открытых портах брандмауэра в брандмауэре Windows или добавленных/удаленных членах ограниченных групп на локальном компьютере).
Другие настройки могут быть настроены для повторного применения, даже если GP не изменилась. Вы можете контролировать поведение клиента GP для определенного типа настройки через реестр или, как вы догадались, через GP.
Обеспечивайте соответствие требованиям, блокируйте более 3 миллиардов скомпрометированных паролей и помогайте пользователям создавать более надежные пароли в Active Directory с динамической обратной связью для конечного пользователя. Свяжитесь с нами сегодня, чтобы узнать больше о политике паролей Specops!
Заключение
Если вы когда-либо задавали себе вопрос: “Что такое Group Policy?”, я надеюсь, что этот учебник смог ответить на этот вопрос. Group Policy – это система, которая существует уже давно и до сих пор используется тысячами организаций. Это неотъемлемый элемент для многих, нуждающихся в применении изменений в их среде Windows-компьютеров.
Если вам нужно выполнить изменение на одном, десяти или 1000 компьютерах, присоединенных к домену, убедитесь, что вы знаете, что такое Group Policy.