Наследование групповой политики

Объекты групповых политик можно связывать только с контейнерами трех типов:

· контейнером сайта

Политики, связанные с сайтами Active Directory, будут применяться ко всем компьютерам, которые подключены к домену из определенных подсетей, связанных с сайтом, и, естественно, к пользователям, входящим в систему на этих компьютерах.

По умолчанию для сайтов Active Directory не создается ни одной групповой политики.

GPO связывают с сайтами очень редко, поскольку гораздо эффективнее связывать GPO с OU, структура которых основана на территориальном делении. Но при определенных обстоятельствах связывание GPO с сайтом — приемлемое решение. Если параметры должны быть общими для всех компьютеров, физически находящихся в определенном месте, и для этого места создан сайт, есть смысл связать GPO с сайтом.

Например, для компьютеров, расположенных в некоем филиале, нужно задать определенную сетевую конфигурацию с поддержкой подключения к Интернету. В этом случае идеально подходит GPO, связанный с сайтом.

· контейнером домена

Поскольку это мощная политика, следует свести к минимуму количество GPO этого уровня. Типичное применение GPO уровня домена — реализация корпоративных стандартов. Например, в компании может действовать стандартное требование, состоящее в том, что ко всем компьютерам и пользователям должна применяться одна и та же политика управления паролями и аутентификацией. В этом случае применение GPO уровня домена было бы отличным решением.

· контейнером OU

В большинстве случаев лучше связывать GPO с хорошо продуманной структурой OU, чем с сайтами или доменами. OU обеспечивают наибольшую гибкость, поскольку позволяют спроектировать структуру, хотя бы отчасти упрощающую применение групповой политики.

Кроме того, OU гибче в администрировании. Вы можете без проблем перемещать пользователей и компьютеры между OU, изменять структуру OU и даже переименовывать сами OU.

Групповые политики связываются только с этими контейнерами и не могут связываться с контейнерами Users или Computers.

По умолчанию параметры настройки групповой политики наследуются от контейнеров высокого уровня к контейнерам низкого уровня. Следовательно, групповые политики, назначенные пользователю или компьютеру, применяются при каждом запуске компьютера или при каждом входе пользователя в систему. Групповые политики применяются в следующем порядке.

1. Local group policy (Локальная групповая политика).

2. Site-level group policies (Групповые политики уровня сайта).

3. Domain-level group policies (Групповые политики уровня домена).

4. OU-level group policies (Групповые политики уровня OU). Если домен содержит несколько уровней OU, вначале применяются групповые политики более высоких уровней OU, а затем — OU низшего уровня.

Иногда на любом из уровней Active Directory может применяться свыше одной групповой политики. В этом случае порядок их применения определяется порядком, в котором объекты GPO перечислены в административном окне снизу вверх.

Порядок применения групповых политик важен, если они изменяют одни и те же параметры настройки.

Если GPO определены и для родителя, и для потомка и если заданные в них параметры совместимы, эти параметры комбинируются.

Если параметры несовместимы, то по умолчанию с дочерним контейнером связывается значение, переопределяющее значение параметра, который связан с родительским контейнером.

Изменение заданного по умолчанию способа применения групповых политик

· Блокировать наследование политики (BlockPolicyInheritance). При выборе этого параметра контейнер не наследует параметры GPO, заданные для родительского контейнера.

· Не перекрывать (NoOverride). При связывании GPO с контейнером можно выбрать, чтобы параметры, заданные в этом GPO, не переопределялись параметрами в GPO, связанными с дочерними контейнерами. Это гарантирует, что для дочерних контейнеров будет применяться заданная политика.

Эта опция используется для предписания применения групповой политики даже в тех контейнерах, в которых установлена опция блокировки наследования групповой политики.

ЗАДАНИЯ:

Перед запуском гостевых операционных систем в свойствах виртуальных машин выбрать сетевые адаптеры VMnet2 и подключить виртуальный CD-ROM с образом (.iso) WindowsServer2008.

1. Создать новый домен, являющийся корнем нового дерева, нового леса.

Установка контроллера домена разбита на два этапа.

1.1. Запускаем консоль Server Manager (Пуск → Администрирование → Диспетчер сервера) и отмечаем роль Доменные службы ActiveDirectory (ActiveDirectoryDomainServices). Затем подтверждаем выбор и нажимаем Install. Мастер добавления ролей устанавливает файлы, необходимые для установки и настройки доменных служб Active Directory на сервере, но он не запускает их установку.

1.2. Чтобы начать установку Доменных служб Active Directory, необходимо выполнить Dcpromo.exe.

В командной строке ввести dcpromo, а затем нажать клавишу ВВОД (или нажать кнопку Пуск, ввести dcpromo, а затем нажать клавишу ВВОД).

На шаге «ChooseaDeploymentConfiguration» создаем новый домен, выбрав «Createanewdomaininanewforest».Вводим имя домена (например, cyber.local) и в раскрывающемся списке «Forest functional level» выбираем нужный функциональный уровень (WindowsServer 2008).

Далее мастер предложит выбрать каталоги для хранения базы, журналов и SYSVOL (оставляем по умолчанию). Вводим пароль администратора для режима восстановления.

Далее мастер предлагает установку DNS-сервера.

Доступность параметра установки DNS-сервера зависит от выбранного варианта установки и условий DNS в сети. При выборе установки DNS-сервера или при автоматической установке DNS-сервера DNS создает новое делегирование или автоматически обновляет существующие делегирования для сервера.

Примечание

Попытка DNS создать новое делегирование может завершиться ошибкой, если невозможно обновить родительскую зону DNS.

Попытка создания DNS-делегирования завершается неудачно, если родительская зона DNS не существует или если учетная запись, используемая для установки доменных служб Active Directory, не имеет разрешений на создание записей DNS-делегирования в родительской зоне DNS. В этом случае попытка автоматического создания DNS-делегирования завершается неудачно и открывается следующее диалоговое окно:

Можно нажать кнопку Да и продолжить установку доменных служб Active Directory. Чтобы диалоговое окно не открывалось, при выполнении Dcpromo.exe указывается параметр /Create DNS Delegation: No.

По окончании требуется перезагрузка.

2. Для выполнения следующего задания необходимо настроить сетевые параметры (статические).

2.1. Изменения параметров адаптера (Центр управления сетями и общим доступом → Изменение параметров адаптера)

Для контроллера домена: использовать следующий IP address192.168.0.1

Маска подсети 255.255.255.0

Предпочитаемый DNS сервер 127.0.0.1.

Для рабочей станции: использовать следующий IP address

Из диапазона 192.168.0.2 -192.168.0.254

Маска подсети 255.255.255.0

Предпочитаемый DNS сервер 192.168.0.1

2.2. Для контроллера домена включить сетевое обнаружение для доменного профиля (Центр управления сетями и общим доступом → Изменить дополнительные параметры общего доступа → Включить сетевое обнаружение)

2.3. Проверить настроенные параметры, выполнив команду ping.

3. Подключить компьютер (с ОС Windows 7) к домену.

Для входа в какой-либо домен компьютер должен иметь учетную запись в этом домене. Подобно пользовательским учетным записям учетная запись компьютера – это средство для аутентификации доступа компьютера к сети и к ресурсам в домене. Как и любая пользовательская учетная запись, учетная запись каждого компьютера должна быть уникальной. Учетные записи компьютеров можно создавать следующим способом: пользователь с правами присоединения компьютера к домену выполняет вход в домен с компьютера и создает учетную запись этого компьютера в процессе входа.

Чтобы присоединить компьютер к домену, выполните следующие шаги.

• Щелкните правой кнопкой на My Computer (Мой компьютер) и выберите в контекстном меню пункт Properties

• Перейдите во вкладку Computer Name (Имя компьютера)

• Щелкните на кнопке Change (Изменить), чтобы открыть диалоговое окно Computer Name Changes (Изменения в имени компьютера)

• Выберите Domain (Домен) и введите имя домена. (Вы можете ввести NetBIOS-имя или FQDN [полностью уточненное имя домена])

• Щелкните на кнопке OK

Появится диалоговое окно, где запрашивается имя входа и пароль учетной записи с правами на присоединение к домену. Если имя данного компьютера уже существует в этом домене, то ваше имя входа в домен должно иметь достаточные права, чтобы присоединить заранее заданную учетную запись компьютера к домену. Если имени данного компьютера еще нет в домене, то ваше имя входа в домен должно иметь достаточные права, чтобы создать учетную запись компьютера. Все необходимые права имеют члены группы Administrators на локальном компьютере и члены группы Domain Admins в домене.

По окончании требуется перезагрузка.

Проверить на контроллере домена факт присоединения нового компьютера к домену: в оснастке Active Directory пользователи и компьютеры в контейнере Компьютеры должна появиться учетная запись подключенного компьютера.

Логический вход в компьютер и домен

Когда вы входите в компьютер, который является членом домена и при этом не является контроллером домена, то у вас есть две возможности: войти в него локально или войти в домен. Этот выбор вы делаете, когда в панели Logon Information в поле Domain указываете имя компьютера или домена.

4. Создать учётную запись своего пользователя, запретить ему вход в ночное время, запретить смену пароля. Разрешить пользователю входить локально на контроллер домена.

5. Проверьте действие введенных установок.

6. Создать учетную запись пользователей А и В путем копирования вашей учетной записи. В оснастке Active Directory - пользователи и компьютеры (Active Directory Users And Computers) щелкните правой кнопкой мыши на имени учетной записи, которую вы хотите скопировать, и выберите команду Копировать (Copy) из контекстного меню. Откроется диалоговое окно Копировать объект – Пользователь (CopyObject – User). При создании копии существующей учетной записи в оснастке Active Directory - пользователи и компьютеры не происходит полного переноса информации в новую учетную запись. Сохраняются лишь данные, которые Вам могут понадобиться, а подлежащая обновлению персональная информация пользователя не копируется.

7. Исследовать возможность использования OUдля делегирования административных прав.

• создать подразделение OU Students.

• переместить созданных пользователей А и В в OUStudents.

• разрешить пользователю с вашей учетной записью сбрасывать пароли пользователей входящих в OUStudent (на ярлык OUStudent нажать правой кнопкой мыши – Делегирование управления)

• войти под учетной записью вашего пользователя на контроллер домена и проверить возможность сбрасывать пароли пользователей входящих в OUStudent. Проверить возможность корректировки других параметров.

8. Исследовать возможность использования OU для управления группой объектов как отдельным подразделением.

• создать подразделение OU Test

• в данное подразделение переместить рабочую станцию

• создать новый объект групповой политики связанный с OUTest

• в групповой политике связанной с OUTestразрешить пользователю А завершение работы системы.

• проверить действие политики.

Контрольные вопросы

1. Поясните понятие роли сервера.

2. Что такое служба каталогов?

3. Какая служба каталогов используется в ОС WindowsServer 2008?

4. Какой механизм аутентификации применяется в Windows Server 2008 Active Directory Domain Services?

5. Логическая структура Active Directory Domain Services.