Управление групповыми политиками в организации. Часть 7

Продолжение. Начало см. здесь

Мастер результатов групповой политики

В серверной операционной системе Windows Server 2008/2008 R2 для анализа общего результата применения объектов групповых политик и параметров политик к компьютеру или пользователю организации вы можете воспользоваться«Мастером результатов групповой политики», который включен в оснастку«Управление групповой политикой». Помимо оснастки управления групповой политикой вы можете вызывать «Мастер результатов групповой политики»непосредственно из оснастки «Active Directory — пользователи и компьютеры»или оснастки «Active Directory — сайты и службы», о чем вы узнаете из процедур, описанных в данной статье. Как уже говорилось в предыдущей части статьи, результирующая политика использует базу данных CIMOM через инструментарий управления Windows (WMI) и при входе компьютера в сеть, в базу данных CIMOM записываются различные сведения. Но в отличие от базы данных CIMOM службы Active Directory сохраняют объекты вне зависимости от состояния компьютера или пользователя. Для хранения параметров в групповой политике используются объекты групповой политики непосредственно из Active Directory.

Генерирование отчета результирующей политики с помощью функционала «Мастер результатов групповой политики»

Перед выполнением отчета вам следует убедиться, что вы обладаете достаточным количеством прав для выполнения отчета на локальном или удаленном компьютере, на конечном компьютере установлена операционная система не ниже Windows XP, открыты порты 135 и 445, предназначенные для доступа к WMI. Помимо этого необходимо, чтобы служба WMI была запущена, а также пользователь, для которого выполняется анализ, как минимум один раз выполнял вход в систему. Для того чтобы сгенерировать отчет результирующей политики, выполните следующие действия:

  1. Откройте оснастку «Управление групповой политикой»;
  2. В дереве консоли нажмите правой кнопкой мыши на узле «Результаты групповой политики» и из контекстного меню выберите команду «Мастер результатов групповой политики…», как показано на следующей иллюстрации:

  3. Рис. 1. Открытие компонента «Мастер результатов групповой политики»

  4. На первом шаге приветствия прочитайте краткое описание данного компонента и нажмите на кнопку «Далее»;
  5. На странице «Выбор компьютера», так же, как и в оснастке rsop.msc вам предстоит выбрать компьютер, для которого будет генерироваться отчет результирующей политики. Для того чтобы указать удаленный компьютер, установите переключатель на «Другой компьютер», нажмите на кнопку«Обзор» и выберите искомый компьютер, используя функционал диалогового окна «Выбор компьютера». Если вы не хотите, чтобы в получившемся отчете отображались результаты параметров политики компьютера, установите флажок«Не отображать параметры политики для выбранного компьютера». По окончанию выбора компьютера нажмите на кнопку «Далее»;

  6. Рис. 2. Страница «Выбор компьютера» мастера результатов групповой политики

  7. На следующей странице, странице«Выбор пользователя» вы можете указать пользователя, который находится на выбранном вами компьютере, для которого и будет генерироваться данный отчет. Также как и на предыдущем шаге, вы можете не отображать в получившемся отчете параметры политики пользователя, установив переключатель на соответствующую опцию. После выбора действий на данной странице нажмите на кнопку «Далее»;

  8. Рис. 3. Страница «Выбор пользователя» мастера результатов групповой политики

  9. Страница «Сводка выбранных параметров» предназначена для того чтобы вы могли перепроверить все выбранные параметры для отчета результирующей групповой политики. Если вы по ошибке не выбрали какой-то параметр, вы всегда можете вернуться на соответствующую страницу, нажав на кнопку «Назад»;

  10. Рис. 4. Страница «Сводка выбранных параметров» мастера результатов групповой политики

  11. Последняя страница мастера, страница«Завершение мастера результатов групповой политики» говорит о том, что выполнение отчета было успешно завершено. Теперь для того чтобы просмотреть получившийся отчет результирующей групповой политики вам нужно только нажать на кнопку «Готово».

  12. Рис. 5. Завершающий этап создания результирующей групповой политики

Анализ сгенерированного отчета результирующей групповой политики

После выполнения отчета, мастер выведет подробный отчет результирующей групповой политики в формате HTML. Также как и во всех отчетах оснастки «Управление групповой политикой», в случае с включенной конфигурацией усиленной безопасности браузера Internet Explorer, вам будет предложено разрешить консоли отображать все динамическое содержимое отчета. Помимо этого вы можете развернуть или свернуть любую секцию полученного отчета, нажав на ссылки «Показать» или «Скрыть». Отчет результатов групповой политики содержит три вкладки с данными обработки объектов групповой политики.

Вкладка «Сводка». На этой вкладке отображается состояние обработки групповой политики в последнем обновлении, а также сводные данные результирующей политики для конфигурации пользователя и конфигурации компьютера. Как для конфигурации пользователя, так и для конфигурации компьютера вы можете просмотреть следующие сводные данные:

  • Общие данные, где вы можете узнать об имени компьютера, его расположении в домене, а также домен, сайт и прочие данные которые собираются при формировании результирующей политики;
  • Объекты групповой политики, которые применяются или отклоняются для всего домена, подразделения или индивидуально для пользователя или компьютера;
  • Имитация членства в группе безопасности для пользователя или компьютера, которая отображает все группы, членом которых является данный объект;
  • Список WMI фильтров, которые связаны с групповой политикой и будут включены в конечный запрос;
  • Состояние компьютера, где вы сможете узнать, насколько удачно будет применена инфраструктура групповой политики, политик безопасности и изменения в системном реестре.

Вкладка «Сводка» отображена на следующей иллюстрации:

Рис. 6. Вкладка «Сводка» отчета результирующей групповой политики

Вкладка «Параметры». На этой вкладке вы можете увидеть результирующий набор параметров групповой политики, которые применяются к пользователю или компьютеру, для которых был сгенерирован данный отчет. Здесь указаны абсолютно все действия, которые на данный момент применяются в результате реализации групповой политики. Несмотря на то, что данный отчет максимально подробный, некоторые параметры, такие как параметры дисковых квот и беспроводных сетей отображаться не будут. Вкладку «Параметры» отчета результирующей групповой политики вы можете увидеть ниже:

Рис. 7. Вкладка «Параметры» отчета результирующей групповой политики

Вкладка «События политики». Данная вкладка среди всех отчетов является уникальной, и она отображается только для данного отчета. На ней отображены все события групповой политики из журналов событий компьютера, для которого выполнялся отчет результирующей групповой политики. При выполнении двойного щелчка на любом событии откроются его свойства, что позволяет подробно ознакомиться с выбранным событием в случае ошибки. Вкладку «События политики» вы можете увидеть на следующей иллюстрации:

Рис. 8. Вкладка «События политики» отчета результирующей групповой политики

Сохранение отчета результирующей групповой политики

После того как отчет результирующей групповой политики будет сформирован, вы можете сохранить существующий отчет в HTML или XML формате, с поддержкой динамического развертывания секция для дальнейшего изучения. Для этого выделите отчет, который вам нужно сохранить и из контекстного меню выберите команду «Сохранить отчет». В открывшемся диалоговом окне «Сохранение отчета объекта групповой политики» выберите папку для сохранения отчета, введите его название и укажите тип файла. Сохраненный отчет будет выглядеть следующим образом:

Рис. 9. Сохраненный отчет результирующей групповой политики

Генерирование отчета результирующей политики для домена, подразделения или сайта из оснастки «Active Directory – пользователи и компьютеры»

Как было указано выше, вы можете формировать отчеты результирующей групповой политики не только для пользователей или компьютеров вашей организации. При помощи оснастки «Active Directory – пользователи и компьютеры» вы можете составлять отчеты для подразделений и доменов своей организации. Для того, чтобы сгенерировать отчет результирующей групповой политики в режиме планирования для домена вашей организации, выполните следующие действия:

  1. Откройте оснастку «Active Directory – пользователи и компьютеры»;
  2. В дереве консоли данной оснастки выберите домен, для которого хотите сгенерировать RSoP отчет, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Все задачи», а затем команду«Результирующая политика (Планирование)…»;

  3. Рис. 10. Открытие мастера результирующей политики из оснастки «Active Directory – пользователи и компьютеры»

  4. На первой странице мастера выберите контейнер, для которого будет выполняться отчет. По умолчанию выбран тот домен или подразделение, для которого была выполнена команда из пункта 2 данной процедуры. При необходимости вы можете выбрать другой контейнер или указать пользователя и компьютер. Если для вашего сценария достаточно действий, которые можно указать на этой странице, вы можете сразу перейти к последнему шагу, установив флажок «Перейти к последней странице, не собирая дополнительных данных»;

  5. Рис. 11. Выбор контейнера для выполнения отчета RSoP

  6. На следующем шаге вы можете выбрать сайт, а также указать дополнительные параметры. Страница «Дополнительные параметры эмуляции» отображена ниже:

  7. Рис. 12. Страница «Дополнительные параметры эмуляции» мастера

  8. На страницах «Группы безопасности пользователя» и «Группы безопасности компьютера», вы можете указать группы безопасности, членом которых являются пользователь и компьютер, для которого выполняется данный сценарий;

  9. Рис. 13. Страница «Группы безопасности пользователя» мастера

  10. На следующих двух страницах вам предстоит выбрать WMI фильтры, которые могут быть привязаны к объектам групповой политики. Одна из таких страниц отображена ниже:

  11. Рис. 14. Страница «Фильтры WMI для пользователей» мастера

  12. На следующем шаге, странице «Сводка выбранных параметров» вы можете просмотреть все настройки генерируемого отчета. Данная страница отображена ниже:

  13. Рис. 15. Страница «Сводка выбранных параметров» мастера

  14. По завершении выполнения отчета вы увидите соответствующую страницу, и вам нужно будет только нажать на кнопку«Готово».

После выполнения указанных выше действий откроется оснастка«Результирующая политика», в которой вы можете просмотреть все параметры политики, а также исходные объекты GPO, которые будут выполняться для выбранного вами контейнера. Данная оснастка отображена на следующей иллюстрации:

Рис. 16. Оснастка «Результирующая политика» с отчетом RSoP

Помимо всех вышеперечисленных возможностей, вы также можете выполнять запрос результирующей групповой политики для указанного вами сайта. Для того чтобы сгенерировать такой отчет, вам нужно открыть оснастку «Active Directory – сайты и службы». Находясь в этой оснастке, в дереве консоли выберите сайт, для которого вам нужно сгенерировать отчет, нажмите на нем правой кнопкой мыши и в контекстном меню выберите команду «Все задачи», а затем команду«Результирующая политика (Планирование)…», как показано на следующей иллюстрации:

Рис. 17. Открытие мастера результирующей политики из оснастки «Active Directory – сайты и службы»

Для формирования отчета вам нужно выполнить все действия, указанные в предыдущей процедуре. Основным отличием является лишь то, что в данном способе формирования результирующей групповой политики невозможно изменить имя сайта в запросе RSoP. Это видно на следующей иллюстрации:

Рис. 18. Выбор сайта при формировании отчета RSoP из оснастки «Active Directory – сайты и службы»

Продолжение следует.

Автор статьи: Дмитрий Буланов, MVP, MVP Windows Expert - IT Pro