Дополнительное руководство по основной сети: развертывание групповой политики
Применимо к: Windows Server 2012
Это руководство дополняет руководство по основной сети Windows Server® 2012, которое доступно для загрузки в формате Microsoft Office Word в Центре загрузки Майкрософт (https://go.microsoft.com/fwlink/?LinkId=255199) и в формате HTML в технической библиотеке Windows Server 2012 (https://technet.microsoft.com/library/hh911995.aspx).
В руководстве по основной сети Windows Server 2012 приводятся инструкции по планированию и развертыванию основных компонентов, необходимых для создания полнофункциональной сети и нового домена Active Directory в новом лесу.
В этом руководстве объясняется, как создать основную сеть и предоставляются инструкции по развертыванию объектов групповой политики (GPO) с помощью членства в группах, а не подразделений (OU), которые формируют иерархию домена Active Directory.
Данное руководство содержит следующие разделы.
Информация о руководстве
Требования
Чего в этом руководстве нет
Общие сведения о технологии групповой политики
Примечание
Руководство доступно в следующих местоположениях.
- Windows Server 2012 Дополнительное руководство по основной сети: развертывание групповой политики в формате Word в Центре загрузки Майкрософт.
- Core Network Companion Guide: Group Policy Deployment Windows Server 2012 в формате HTML доступно в технической библиотеке Windows Server 2012.
Информация о руководстве
В этом руководстве приведены инструкции по развертыванию параметров групповой политики для набора клиентских компьютеров или пользователей на основе членства в группах, а не места учетной записи в иерархии подразделений домена.
Метод, описанный в этом руководстве, предусматривает создание одной группы, в которую можно добавить учетные записи пользователей или компьютеров для получения конфигурации с помощью объектов групповой политики. Членство в группе, а не место учетной записи в иерархии подразделений, определяет получение компьютером одного из объектов групповой политики, связанных с группой. Кроме того, используются фильтры инструментария управления Windows (WMI), чтобы гарантировать применение на компьютере только объектов групповой политики с параметрами, которые соответствуют версии Windows данного компьютера.
Существует два основных преимущества развертывания объектов групповой политики с помощью данного метода.
Обеспечивается полная независимость от структуры подразделений домена. Для применения объекта групповой политики к одному компьютеру больше не требуется перемещать компьютеры в другое подразделение или изменять структуру иерархии подразделений.
Применить или остановить применение параметров в объекте групповой политики очень просто. Нужно всего лишь удалить учетную запись пользователя или компьютера из группы. При этом пользователь или компьютер будет удален из области объекта групповой политики, не влияя на другие объекты групповой политики, применяемые к пользователю или компьютеру.
Данное руководство предназначено для системных администраторов и администраторов сетей, которые следовали приведенным в руководстве по основной сети Windows Server 2012 инструкциям по развертыванию основной сети, а также для тех, кто уже выполнил развертывание основных технологий, включенных в основную сеть, в том числе доменных служб Active Directory (AD DS), службы DNS, протоколов DHCP и TCP/IP и службы WINS (необязательно).
Рекомендуется ознакомиться с руководствами по проектированию и развертыванию для каждой из технологий, используемых в данном сценарии развертывания. Эти руководства помогут вам определить, предоставляет ли данный сценарий развертывания службы и конфигурации, необходимые для сети организации.
Требования
Предупреждение
Методы, описанные в данном руководстве, рекомендуется использовать только для объектов групповой политики, которые должны быть развернуты на большинстве компьютеров в организации, и только в том случае, если иерархия подразделений домена Active Directory не вполне соответствует потребностям развертывания этих объектов групповой политики. Если такой режим поддерживается иерархией подразделений, выполните развертывание объекта групповой политики, связав его с подразделением нижнего уровня, содержащим все учетные записи, к которым будет применен объект групповой политики.
В среде больших предприятий с сотнями или тысячами объектов групповой политики использование этого метода может привести к включению учетных записей пользователей или компьютеров в слишком большое число групп. Что, в свою очередь, вызовет проблемы с сетевым подключением при превышении ограничений сетевого протокола. Дополнительные сведения о проблемах, связанных с членством в слишком большом количестве групп, см. в следующих статьях базы знаний Майкрософт:
- Статья "Что нового в проверке подлинности Kerberos в Windows Server 2012" содержит сведения об улучшениях, призванных уменьшить число сбоев проверки подлинности из-за больших размеров билетов службы (https://technet.microsoft.com/library/hh831747.aspx)
- Статья 327825 "Новое решение проблем с проверкой подлинности Kerberos, когда пользователь входит в несколько групп" (https://go.microsoft.com/fwlink/?LinkId=23044)
- Статья 263693 "Групповая политика может не применяться к пользователям, которые входят в несколько групп" (https://go.microsoft.com/fwlink/?LinkId=126293)
- Статья 328889 "Для пользователей, являющихся членами более 1015 групп, может происходить сбой проверки подлинности при входе в систему" (https://go.microsoft.com/fwlink/?LinkId=115213)
Ниже приведены требования к использованию групповой политики.
Для развертывания групповой политики требуется контроллер домена Active Directory, на котором размещается домен и компьютеры, присоединенные к домену.
Для настройки объектов групповой политики, создания групп и назначения им членов необходимо войти в систему с ролью участника группы администраторов домена.
Чего в этом руководстве нет
В этом руководстве нет подробных инструкций по проектированию и развертыванию инфраструктуры групповой политики с помощью доменных служб Active Directory (AD DS). Рекомендуется ознакомиться с документацией по службам AD DS и групповым политикам перед развертыванием технологий в данном руководстве. Дополнительные сведения см. в разделе Дополнительные ресурсы.
Общие сведения о технологии групповой политики
Групповая политика — это технология управления, которая обеспечивает пользователям согласованный доступ к приложениям, параметрам приложений, а также перемещение профилей и данных пользователей с любого управляемого компьютера, даже если он отключен от сети. Параметры групповой политики содержатся в объектах групповой политики, которые связаны с сайтами, доменами или подразделениями в домене Active Directory. Параметры в объектах групповой политики проверяются и применяются целевыми компьютерами и пользователями. Групповая политика — одна из основных причин для развертывания доменных служб Active Directory (AD DS), поскольку она позволяет управлять объектами-пользователями и компьютерами.
Большинство администраторов связывает развертывание объектов групповой политики с иерархией подразделений домена Active Directory. Объект групповой политики можно связать с подразделением, и все компьютеры и пользователи в этом подразделении или одном из его потомков получат и применят политику. Тем не менее, домен Active Directory может содержать только одну иерархию подразделений, а учетные записи компьютеров и пользователей можно поместить только в одно подразделение. По этой причине бывают случаи, когда иерархия подразделений, подходящая для решения одной проблемы, не подходит для решения другой. Например, во многих организациях иерархия подразделений проектируется для поддержки делегированного администрирования. Учетные записи компьютеров и пользователей помещаются в подразделения, ответственность за которые назначается ИТ-отделу. Предоставляя ИТ-отделу административные разрешения для контейнера подразделения, можно управлять компьютерами и пользователями, учетные записи которых содержатся в подразделении. Однако эта иерархия может оказаться неэффективной для развертывания параметров групповой политики, влияющих на компьютеры во всей организации, например при развертывании параметров протокола IPsec для сценариев изоляции сервера и домена.
Кроме того, настройка одной версии Windows может потребовать использования параметра политики, который отличается от параметра политики, используемого в другой версии Windows. Например, правила IPsec в Windows Server 2012, Windows Server 2008, Windows 8, Windows 7 и Windows Vista управляются частью объекта групповой политики, которая отличается от предназначенной для правил IPsec в Windows Server 2003 и более ранних версиях Windows. Это означает возможность существования шести отдельных объектов групповой политики, выполняющих одну и ту же функцию в разных операционных системах: Windows Server 2012, Windows Server 2008, Windows Server 2003, Windows 8, Windows 7 и Windows Vista. Объект групповой политики Windows Server 2003 также применяется к более ранним версиям Windows.