Наследование групповой политики
Объекты групповых политик можно связывать только с контейнерами трех типов:
· контейнером сайта
Политики, связанные с сайтами Active Directory, будут применяться ко всем компьютерам, которые подключены к домену из определенных подсетей, связанных с сайтом, и, естественно, к пользователям, входящим в систему на этих компьютерах.
По умолчанию для сайтов Active Directory не создается ни одной групповой политики.
GPO связывают с сайтами очень редко, поскольку гораздо эффективнее связывать GPO с OU, структура которых основана на территориальном делении. Но при определенных обстоятельствах связывание GPO с сайтом — приемлемое решение. Если параметры должны быть общими для всех компьютеров, физически находящихся в определенном месте, и для этого места создан сайт, есть смысл связать GPO с сайтом.
Например, для компьютеров, расположенных в некоем филиале, нужно задать определенную сетевую конфигурацию с поддержкой подключения к Интернету. В этом случае идеально подходит GPO, связанный с сайтом.
· контейнером домена
Поскольку это мощная политика, следует свести к минимуму количество GPO этого уровня. Типичное применение GPO уровня домена — реализация корпоративных стандартов. Например, в компании может действовать стандартное требование, состоящее в том, что ко всем компьютерам и пользователям должна применяться одна и та же политика управления паролями и аутентификацией. В этом случае применение GPO уровня домена было бы отличным решением.
· контейнером OU
В большинстве случаев лучше связывать GPO с хорошо продуманной структурой OU, чем с сайтами или доменами. OU обеспечивают наибольшую гибкость, поскольку позволяют спроектировать структуру, хотя бы отчасти упрощающую применение групповой политики.
Кроме того, OU гибче в администрировании. Вы можете без проблем перемещать пользователей и компьютеры между OU, изменять структуру OU и даже переименовывать сами OU.
Групповые политики связываются только с этими контейнерами и не могут связываться с контейнерами Users или Computers.
По умолчанию параметры настройки групповой политики наследуются от контейнеров высокого уровня к контейнерам низкого уровня. Следовательно, групповые политики, назначенные пользователю или компьютеру, применяются при каждом запуске компьютера или при каждом входе пользователя в систему. Групповые политики применяются в следующем порядке.
1. Local group policy (Локальная групповая политика).
2. Site-level group policies (Групповые политики уровня сайта).
3. Domain-level group policies (Групповые политики уровня домена).
4. OU-level group policies (Групповые политики уровня OU). Если домен содержит несколько уровней OU, вначале применяются групповые политики более высоких уровней OU, а затем — OU низшего уровня.
Иногда на любом из уровней Active Directory может применяться свыше одной групповой политики. В этом случае порядок их применения определяется порядком, в котором объекты GPO перечислены в административном окне снизу вверх.
Порядок применения групповых политик важен, если они изменяют одни и те же параметры настройки.
Если GPO определены и для родителя, и для потомка и если заданные в них параметры совместимы, эти параметры комбинируются.
Если параметры несовместимы, то по умолчанию с дочерним контейнером связывается значение, переопределяющее значение параметра, который связан с родительским контейнером.
Изменение заданного по умолчанию способа применения групповых политик
· Блокировать наследование политики (BlockPolicyInheritance). При выборе этого параметра контейнер не наследует параметры GPO, заданные для родительского контейнера.
· Не перекрывать (NoOverride). При связывании GPO с контейнером можно выбрать, чтобы параметры, заданные в этом GPO, не переопределялись параметрами в GPO, связанными с дочерними контейнерами. Это гарантирует, что для дочерних контейнеров будет применяться заданная политика.
Эта опция используется для предписания применения групповой политики даже в тех контейнерах, в которых установлена опция блокировки наследования групповой политики.
ЗАДАНИЯ:
Перед запуском гостевых операционных систем в свойствах виртуальных машин выбрать сетевые адаптеры VMnet2 и подключить виртуальный CD-ROM с образом (.iso) WindowsServer2008.
1. Создать новый домен, являющийся корнем нового дерева, нового леса.
Установка контроллера домена разбита на два этапа.
1.1. Запускаем консоль Server Manager (Пуск → Администрирование → Диспетчер сервера) и отмечаем роль Доменные службы ActiveDirectory (ActiveDirectoryDomainServices). Затем подтверждаем выбор и нажимаем Install. Мастер добавления ролей устанавливает файлы, необходимые для установки и настройки доменных служб Active Directory на сервере, но он не запускает их установку.
1.2. Чтобы начать установку Доменных служб Active Directory, необходимо выполнить Dcpromo.exe.
В командной строке ввести dcpromo, а затем нажать клавишу ВВОД (или нажать кнопку Пуск, ввести dcpromo, а затем нажать клавишу ВВОД).
На шаге «ChooseaDeploymentConfiguration» создаем новый домен, выбрав «Createanewdomaininanewforest».Вводим имя домена (например, cyber.local) и в раскрывающемся списке «Forest functional level» выбираем нужный функциональный уровень (WindowsServer 2008).
Далее мастер предложит выбрать каталоги для хранения базы, журналов и SYSVOL (оставляем по умолчанию). Вводим пароль администратора для режима восстановления.
Далее мастер предлагает установку DNS-сервера.
Доступность параметра установки DNS-сервера зависит от выбранного варианта установки и условий DNS в сети. При выборе установки DNS-сервера или при автоматической установке DNS-сервера DNS создает новое делегирование или автоматически обновляет существующие делегирования для сервера.
Примечание |
Попытка DNS создать новое делегирование может завершиться ошибкой, если невозможно обновить родительскую зону DNS. |
Попытка создания DNS-делегирования завершается неудачно, если родительская зона DNS не существует или если учетная запись, используемая для установки доменных служб Active Directory, не имеет разрешений на создание записей DNS-делегирования в родительской зоне DNS. В этом случае попытка автоматического создания DNS-делегирования завершается неудачно и открывается следующее диалоговое окно:
Можно нажать кнопку Да и продолжить установку доменных служб Active Directory. Чтобы диалоговое окно не открывалось, при выполнении Dcpromo.exe указывается параметр /Create DNS Delegation: No.
По окончании требуется перезагрузка.
2. Для выполнения следующего задания необходимо настроить сетевые параметры (статические).
2.1. Изменения параметров адаптера (Центр управления сетями и общим доступом → Изменение параметров адаптера)
Для контроллера домена: использовать следующий IP address192.168.0.1
Маска подсети 255.255.255.0
Предпочитаемый DNS сервер 127.0.0.1.
Для рабочей станции: использовать следующий IP address
Из диапазона 192.168.0.2 -192.168.0.254
Маска подсети 255.255.255.0
Предпочитаемый DNS сервер 192.168.0.1
2.2. Для контроллера домена включить сетевое обнаружение для доменного профиля (Центр управления сетями и общим доступом → Изменить дополнительные параметры общего доступа → Включить сетевое обнаружение)
2.3. Проверить настроенные параметры, выполнив команду ping.
3. Подключить компьютер (с ОС Windows 7) к домену.
Для входа в какой-либо домен компьютер должен иметь учетную запись в этом домене. Подобно пользовательским учетным записям учетная запись компьютера – это средство для аутентификации доступа компьютера к сети и к ресурсам в домене. Как и любая пользовательская учетная запись, учетная запись каждого компьютера должна быть уникальной. Учетные записи компьютеров можно создавать следующим способом: пользователь с правами присоединения компьютера к домену выполняет вход в домен с компьютера и создает учетную запись этого компьютера в процессе входа.
Чтобы присоединить компьютер к домену, выполните следующие шаги.
• Щелкните правой кнопкой на My Computer (Мой компьютер) и выберите в контекстном меню пункт Properties
• Перейдите во вкладку Computer Name (Имя компьютера)
• Щелкните на кнопке Change (Изменить), чтобы открыть диалоговое окно Computer Name Changes (Изменения в имени компьютера)
• Выберите Domain (Домен) и введите имя домена. (Вы можете ввести NetBIOS-имя или FQDN [полностью уточненное имя домена])
• Щелкните на кнопке OK
Появится диалоговое окно, где запрашивается имя входа и пароль учетной записи с правами на присоединение к домену. Если имя данного компьютера уже существует в этом домене, то ваше имя входа в домен должно иметь достаточные права, чтобы присоединить заранее заданную учетную запись компьютера к домену. Если имени данного компьютера еще нет в домене, то ваше имя входа в домен должно иметь достаточные права, чтобы создать учетную запись компьютера. Все необходимые права имеют члены группы Administrators на локальном компьютере и члены группы Domain Admins в домене.
По окончании требуется перезагрузка.
Проверить на контроллере домена факт присоединения нового компьютера к домену: в оснастке Active Directory пользователи и компьютеры в контейнере Компьютеры должна появиться учетная запись подключенного компьютера.
Логический вход в компьютер и домен
Когда вы входите в компьютер, который является членом домена и при этом не является контроллером домена, то у вас есть две возможности: войти в него локально или войти в домен. Этот выбор вы делаете, когда в панели Logon Information в поле Domain указываете имя компьютера или домена.
4. Создать учётную запись своего пользователя, запретить ему вход в ночное время, запретить смену пароля. Разрешить пользователю входить локально на контроллер домена.
5. Проверьте действие введенных установок.
6. Создать учетную запись пользователей А и В путем копирования вашей учетной записи. В оснастке Active Directory - пользователи и компьютеры (Active Directory Users And Computers) щелкните правой кнопкой мыши на имени учетной записи, которую вы хотите скопировать, и выберите команду Копировать (Copy) из контекстного меню. Откроется диалоговое окно Копировать объект – Пользователь (CopyObject – User). При создании копии существующей учетной записи в оснастке Active Directory - пользователи и компьютеры не происходит полного переноса информации в новую учетную запись. Сохраняются лишь данные, которые Вам могут понадобиться, а подлежащая обновлению персональная информация пользователя не копируется.
7. Исследовать возможность использования OUдля делегирования административных прав.
• создать подразделение OU Students.
• переместить созданных пользователей А и В в OUStudents.
• разрешить пользователю с вашей учетной записью сбрасывать пароли пользователей входящих в OUStudent (на ярлык OUStudent нажать правой кнопкой мыши – Делегирование управления)
• войти под учетной записью вашего пользователя на контроллер домена и проверить возможность сбрасывать пароли пользователей входящих в OUStudent. Проверить возможность корректировки других параметров.
8. Исследовать возможность использования OU для управления группой объектов как отдельным подразделением.
• создать подразделение OU Test
• в данное подразделение переместить рабочую станцию
• создать новый объект групповой политики связанный с OUTest
• в групповой политике связанной с OUTestразрешить пользователю А завершение работы системы.
• проверить действие политики.
Контрольные вопросы
1. Поясните понятие роли сервера.
2. Что такое служба каталогов?
3. Какая служба каталогов используется в ОС WindowsServer 2008?
4. Какой механизм аутентификации применяется в Windows Server 2008 Active Directory Domain Services?
5. Логическая структура Active Directory Domain Services.
6. Какие структурные объекты содержит база данных ActiveDirectoryDS?
7. Поясните понятие организационная единица (OrganizationalUnit — OU).
8. Поясните понятие домен.
9. Поясните понятия: дерево, лес.
10. Поясните понятие сайт.
11. Какие контейнеры создаются по умолчанию при установке ActiveDirectoryDS?
12. Какие организационные единицы создаются по умолчанию при установке ActiveDirectoryDS?
13. Поясните цели создания и использования организационных единиц?
14. Какие политики по умолчанию создаются при развертывании домена Active Directory?
15. С контейнерами каких типов можно связывать объекты групповых политик?
16. В каком порядке применяются групповые политики?
17. Какая политика имеет наибольший приоритет?
18. Какие параметры могут быть определены в объекте групповой политики связанной с контейнером домена?
19. Для каких целей используется Dcpromo.exe?