Управление групповыми политиками в организации. Часть 4

Введение

Вы уже имеете представление о назначении и принципах работы с оснасткой«Управление групповой политикой», о методах создания объектов групповой политики, а также о поиске объектов GPO. Помимо этого, вы научились привязывать объекты групповой политики к подразделениям, доменам или сайтам. Также вы узнали о делегировании объектов групповой политики. Кроме всех этих функций, существует еще один такой компонент, как узел «Начальные объекты групповой политики», который содержит параметры административных шаблонов, называемые начальными или стартовыми объектами групповой политики. На основании стартовых объектов групповой политики, вы можете создавать новые объекты GPO, в которых будут предварительно скопированы параметры начального объекта групповой политики. Стартовый объект GPO является шаблоном, и поэтому, вы можете импортировать и экспортировать начальные объекты групповой политики, что позволяет вам распространять их в разные доменные окружения. После того как будут настроены стартовые объекты групповой политики, вы сможете при создании нового объекта GPO в диалоговом окне «Новый объект групповой политики» из раскрывающегося списка «Исходный объект групповой политики»выбрать созданный вами ранее стартовый объект GPO. В этой статье вы узнаете о способах создания, редактирования, импорта, экспорта и удаления начальных объектов групповой политики.

Создание стартового объекта групповой политики

По сути, создание объектов не сложнее создания обычного объекта GPO и они создаются тоже непосредственно из оснастки «Управление групповой политикой». Перед тем как вы начнете создавать начальные объекты групповых политик, вам нужно создать папку стартовых объектов GPO. Для этого сделайте следующее:

  1. Откройте оснастку «Управление групповой политикой»;
  2. В дереве консоли выберите узел «Начальные объекты групповой политики» и в области сведений нажмите на кнопку «Создать папку стартовых GPO»;

  3. Рис. 1. Создание папки стартовых объектов групповой политики

  4. По нажатию на эту кнопку будет создано восемь начальных объектов групповой политики: четыре объекта для Windows XP и четыре для Windows Vista, которые предназначены только для чтения, и представляют основу для параметров определенного сценария. Эти объекты содержат параметры для компьютеров и пользователей с рекомендуемыми параметрами для среды клиентских компьютеров на предприятии (Enterprise Client – EC) и для клиентской среды с особыми параметрами безопасности и ограниченной функциональности (Specialized Security — Limited Functionality – SSLF). Системные начальные объекты групповой политики вы можете увидеть на следующей иллюстрации:

  5. Рис. 2. Системные начальные объекты GPO

  6. Для того чтобы просмотреть параметры системного начального объекта GPO, вам нужно в узле начальных объектов групповой политики дерева консоли выбрать любой объект и перейти на вкладку«Параметры». Эти параметры вы можете просмотреть ниже:

  7. Рис. 3. Параметры системных начальных объектов групповой политики

Одних лишь настроек предустановленных начальных объектов групповой политики может быть недостаточно для ваших потребностей. В отличие от системных начальных объектов GPO, начальные объекты групповой политики, созданные вами, подвластны внесению изменений. Для того чтобы создать начальный объект групповой политики, вам предстоит выполнить следующие действия:

  1. Откройте оснастку b«Управление групповой политикой»;
  2. В дереве консоли выберите узел «Начальные объекты групповой политики» и выберите команду создания стартового объекта GPO одним из следующих способов:
    • Нажмите правой кнопкой мыши на узле «Начальные объекты групповой политики» и из контекстного меню выберите команду «Создать»;
    • Нажмите правой кнопкой на панели сведений и из контекстного меню выберите команду «Создать»;
    • Если у вас отображается панель действий, то перейдите на ней по ссылке«Создать»;
    • В меню «Действие» выберите команду «Создать».
  3. В диалоговом окне «Новый стартовый объект групповой политики», в поле«Имя» введите название вашего начального объекта GPO, а в поле«Комментарий», при необходимости, укажите подробное описание для вашего начального объекта групповой политики и нажмите на кнопку «ОК»;

  4. Рис. 4. Создание начального объекта групповой политики

  5. После того как вы нажмете на кнопку«ОК», новый начальный объект групповой политики будет добавлен в область сведений данного узла. Как видно со следующей иллюстрации, значок созданного вами начального объекта GPO отличается от системного;

  6. Рис. 5. Начальные объекты групповой политики в области сведений

  7. Новый начальный объект групповой политики создается без каких-либо настроек параметров политик. Для того чтобы указать параметры политик, выберите пользовательский начальный объект групповой политики, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Изменить». В открывшейся оснастке «Редактор стартового GPO групповой политики» вы можете указать параметры групповой политики. При помощи этой оснастки, вы можете настраивать только административные шаблоны конфигурации компьютера или конфигурации пользователя;

  8. Рис. 6. Оснастка «Редактор стартового GPO групповой политики»

  9. По окончанию внесения изменений в административные шаблоны вашего начального объекта GPO закройте оснастку.

Экспорт и импорт начальных объектов групповой политики

Оснастка «Управление групповой политикой» обеспечивает не только создание новых объектов групповых политик из начальных объектов GPO, а еще и превосходный механизм архивации и восстановления начальных объектов GPO. Помимо архивации и восстановления из архива, подобно обычным объектам групповой политики средствами соответствующих команд из контекстного меню (об архивации и восстановлении групповых политик я расскажу подробно в одной из следующих статей), вы можете архивировать и развертывать начальные объекты GPO в CAB-архивы. Такие архивы помогают вам как ИТ-администраторам развертывать существующие начальные объекты групповой политики в окружении, отличающемся от вашей интрасети. Для того чтобы сохранить ваш начальный объект групповой политики как CAB-архив, выполните следующие действия:

  1. Откройте оснастку «Управление групповой политикой»;
  2. В дереве консоли перейдите к узлу «Начальные объекты групповой политики»и в области сведений выделите сохраняемый начальный объект GPO;
  3. Нажмите на кнопку «Сохранить как CAB-файл», как показано на следующей иллюстрации:

  4. Рис. 7. Сохранение начального объекта GPO в CAB-архив

  5. В открывшемся диалоговом окне«Сохранить начальный объект групповой политики в виде CAB-файла» выберите папку, в которую будет сохранен файл, в текстовом поле «Имя файла» введите имя будущего архива и нажмите на кнопку«Сохранить»;

Созданный вами архив будет содержать такие элементы, как: настройки административных шаблонов конфигурации компьютера и пользователя, название и тип начального объекта GPO, сохранённый отчет параметров политик, имя автора, комментарии и прочую информацию.

Сохраненный ранее начальный объект групповой политики при помощи оснастки«Управление групповой политикой» вы можете также просто загрузить на любой домен. Для загрузки начального объекта GPO, вам нужно сделать следующее:

  1. Откройте оснастку «Управление групповой политикой»;
  2. В дереве консоли перейдите к узлу «Начальные объекты групповой политики»и нажмите на кнопку «Загрузить CAB-файл»;
  3. В диалоговом окне «Загрузить начальный объект групповой политики»нажмите на кнопку «Поиск CAB-файла»;
  4. Найдите CAB-файл с нужным начальным объектом GPO в диалоговом окне«Загрузить начальный объект групповой политики» и нажмите на кнопку«Открыть»;
  5. В диалоговом окне загрузки начального объекта GPO вы можете ознакомиться с информацией об открытом архиве. Здесь вы можете увидеть имя начального объекта групповой политики, его GUID, а также просмотреть все настройки загружаемого CAB-файла. Для этого в поле «Сравнение версий» выделите источник «CAB-файл начального объекта групповой политики» и нажмите на кнопку «Просмотреть параметры». В браузере, установленном по умолчанию, откроется удобный для чтения отчет со всеми изменениями политик. Диалоговое окно загрузки начального объекта GPO отображено ниже:

  6. Рис. 8. Диалоговое окно «Загрузить начальный объект групповой политики»

  7. По окончанию просмотра изменений и проверки загружаемого объекта нажмите на кнопку «ОК». Если у вас уже существует начальный объект групповой политики с полностью совпадающим названием, в отобразившемся диалоговом окне вам нужно будет решить, стоит ли перезаписывать существующий файл.

Создание объектов групповой политики на основании начальных объектов групповой политики и сохранение отчетов

Все действия, которые были подробно описаны выше, являются предварительной частью для выполнения назначения основного функционала этого компонента – создания объектов групповой политики на основании начальных объектов GPO. Созданный объект GPO из начального объекта групповой политики, позволит вам минимизировать время, которые вы затратили бы на определение параметров политик административных шаблонов. После того как у вас будут настроены начальные объекты GPO, вы можете создать на их основе новый объект из узла«Объекты групповой политики», из узлов с названием подразделений или, непосредственно, из узла «Начальные объекты групповой политики».

Для того чтобы создать новый объект групповой политики, основанный на начальном объекте GPO из узла «Начальные объекты групповой политики», вам нужно выполнить следующие действия:

  1. В оснастке «Управление групповой политикой» перейти к узлу «Начальные объекты групповой политики»;
  2. Выделить нужный для вас начальный объект GPO, нажать на нем правой кнопкой мыши и из контекстного меню выбрать команду «Создать объект групповой политики из стартового объекта групповой политики»;
  3. В диалоговом окне «Новый объект групповой политики», в поле «Имя», введите название нового объекта, например: «Объект на основании начального объекта GPO» и нажмите на кнопку «ОК». Как видно на следующей иллюстрации, в этом случае раскрывающийся список «Исходный объект групповой политики» не активен;

  4. Рис. 9. Создание нового объекта GPO из узла «Начальные объекты групповой политики»

Если вы не хотите создавать новые объекты групповой политики из этого узла, то при создании нового объекта групповой политики, удобным способом вам нужно будет выбрать начальный объект групповой политики из раскрывающегося списка «Исходный объект групповой политики». По нажатию на кнопку «ОК», у созданного вами объекта групповой политики будут настроены все параметры политик, которые вы указали в начальном объекте GPO.

Рис. 10. Выбор исходного объекта групповой политики

Функционал оснастки «Управление групповой политикой» позволяет вам экспортировать отчеты начальных объектов групповых политик для последующего изучения требований к защищаемой информации, охраняемых объектов и управлением рисками. Для того чтобы распечатать отчет, вам нужно выделить начальный объект групповой политики, перейти на вкладку «Параметры» и из контекстного меню выбрать команду«Печать». В диалоговом окне «Печать» выберите принтер и распечатайте отчет. Помимо этого, вы можете экспортировать отчет в HTML формат. Для этого выберите команду «Сохранить отчет» из контекстного меню начального объекта групповой политики в дереве консоли, из контекстного меню выбранного объекта на вкладке«Содержимое» узла «Начальные объекты групповой политики» или из контекстного меню области сведений на вкладке «Параметры» начального объекта групповой политики. В диалоговом окне «Сохранение отчета начального объекта групповой политики» выберите папку, введите название отчета и нажмите на кнопку «Сохранить». Полученный отчет отображен на следующей иллюстрации:

Рис. 11. Отчет начального объекта групповой политики

Заключение

Из этой статьи вы узнали о начальных (стартовых) объектах групповых политик. Рассмотрены примеры создания папки начальных объектов групповой политики с системными начальными объектами GPO, которые там расположены по умолчанию, а также создание начальных объектов групповых политик. Помимо этого вы узнали об экспорте и загрузке данных объектов GPO в CAB-файлы. Научились создавать объекты групповых политик на основании начальных объектов GPO, а также сохранять такие политики в HTML файлы для дальнейшего анализа. В следующей статье вы узнаете о моделировании групповой политики.

Автор статьи:  Дмитрий Буланов, MVP, MVP Windows Expert - IT Pro