Иерархия обработки групповой политики Windows

Чтобы использовать групповую политику, вам не обязательно понимать, как она работает внутри. Вы настраиваете объекты групповой политики, которые содержат параметры, а затем указываете Active Directory, к кому или к чему должны применяться эти объекты групповой политики. Затем, когда эти компьютеры и пользователи подключатся к корпоративной сети и, следовательно, к Active Directory, они автоматически получат эти настройки GPO и разместят их на компьютерах. Другими словами, групповая политика обрабатывает эти параметры автоматически.

Что очень важно понимать при обработке групповой политики, так это иерархию, которой она следует. Как и в большинстве технологий Microsoft, обработка групповой политики следует древовидной схеме, в которой применение параметров происходит по ветвям дерева. Существует четыре уровня, также называемых ярусами или ветвями, на которых происходит обработка групповой политики.

Уровни обработки GPO

Четыре уникальных уровня иерархии для обработки групповой политики называются Local, Site, Domain и OU. Давайте потратим несколько минут на изучение каждого из них, чтобы вы могли понять, чем они отличаются, а также как они сочетаются друг с другом.

Местная политика

Мы уже обсуждали локальную групповую политику и использование gpedit.msc для ссылки на эти настройки. Это локальная политика компьютера, и любые параметры, включенные в локальную политику, будут обрабатываться в первую очередь при запуске Windows. Эти настройки влияют на весь компьютер — не имеет значения, какие пользователи вошли в систему.

Очень редко компании используют локальную политику для установки каких-либо параметров, потому что это означает, что вам придется вручную касаться каждой рабочей станции, чтобы установить эти параметры на место. Это не очень удобно для времени. Что наиболее важно понимать в отношении локальной политики, так это то, что ваши настройки, подключенные на уровне локальной политики, могут не всегда действовать.

Поскольку локальная политика применяется первой, это означает, что любые уровни групповой политики Active Directory, которые мы собираемся рассмотреть через минуту, будут иметь приоритет над локальной политикой. Другими словами, ваш компьютер может установить параметры локальной политики на место, но через несколько миллисекунд в процессе загрузки эти параметры могут быть перезаписаны параметрами политики AD.

Политики на уровне сайта

Что-то, что выходит за рамки этой статьи, но уместно здесь, — это сайты и службы Active Directory. Внутри любой среды Active Directory на ваших контроллерах домена будет автоматически установлен этот инструмент, который называется AD Sites and Services. Цель здесь состоит в том, чтобы определить ваше физическое местоположение в сети, сайты, если хотите.

У многих малых предприятий есть только один сайт, и часто им даже не приходится открывать этот инструмент. Имеет смысл, так как все всегда связано с одним и тем же сайтом. Однако, как только вы расширяете свой бизнес и расширяетесь до второго местоположения, сеть обычно становится намного более сложной, и теперь у вас есть IP-подсети, которые различаются между двумя сайтами.

Сайты Active Directory определяются пространством IP-адресов или подсетью, в которой в данный момент находится компьютер. Когда ваш компьютер регистрируется в AD, автоматически определяется, частью какого сайта вы являетесь, на основе IP-адреса вашего компьютера.

Вот краткое изображение сайтов и служб Active Directory, чтобы вы могли увидеть макет, а также увидеть, что разные сайты определяются тем, какие пространства IP-адресации они содержат:

1.png

Как только ваша среда станет достаточно большой и вы определите свои сайты в этом инструменте, вы теперь включили групповую политику, чтобы иметь возможность задавать настройки для компьютеров (и пользователей) на основе сайта, на котором они находятся. Пользователи следуют за компьютерами в этом сценарии. . Если учетная запись компьютера входит в систему и групповая политика распознает, что она находится на сайте GrandRapids, она применит все параметры GPO, помеченные для GrandRapids.
То же самое верно для любых пользователей, которые входят в этот компьютер; поскольку компьютер в настоящее время находится в GrandRapids, также будут применяться любые пользовательские политики, отфильтрованные для GrandRapids.

> Примечание
Имейте в виду, что компьютеры получают параметры групповой политики на основе сайта только тогда, когда они физически находятся на этом сайте. Если компьютер перемещается на новый сайт, все применяемые объекты групповой политики уровня сайта будут остановлены, и будут применяться новые объекты групповой политики уровня сайта с нового сайта.

Политики на уровне домена

Некоторые политики и параметры будут применяться ко всем компьютерам или пользователям во всем домене, и подходящим местом для этих параметров являются объекты групповой политики на уровне домена. Важно отметить, что сами объекты групповой политики не отличаются друг от друга, поскольку мы говорим обо всех этих различных уровнях политики — объект групповой политики — это объект групповой политики. Уровень, на котором связан объект групповой политики, — это то, о чем мы говорим, когда обсуждаем эти иерархические уровни.

На следующем снимке экрана политика домена по умолчанию связана с верхним уровнем или корнем домена:

2.png

Когда вы связываете политику в верхней части домена, этот объект групповой политики будет фильтроваться для каждой учетной записи пользователя и учетной записи устройства, которые присутствуют внутри домена, с которым она связана, теоретически применяясь ко всем рабочим станциям, серверам и пользователям. Я говорю «теоретически», потому что есть пара причин, по которым объект групповой политики на уровне домена может не применяться ко всему внутри домена.

Одной из таких причин может быть то, что объект групповой политики был отфильтрован для применения только к определенным машинам или группам. Другая причина заключается в том, что в некоторых местах внутри Active Directory может быть включена блокировка наследования, что не позволит объектам групповой политики применяться к любым объектам, содержащимся в этих местах. Эти местоположения, о которых я говорю, называются OU, и они являются нашим следующим уровнем обработки GPO.

Политики уровня подразделения

Подразделения содержат папки для учетных записей компьютеров и пользователей, присоединенных к вашему домену. Сами подразделения управляются и манипулируются с помощью инструмента «Пользователи и компьютеры Active Directory», и именно так администраторы домена обычно организуют все свои объекты.

В простой среде у вас может быть одна организационная единица для пользователей и другая организационная единица для компьютеров. Продвигаясь немного дальше, вы можете создать отдельные подразделения для бухгалтерского учета, финансов, управления персоналом и так далее. Использование всех преимуществ OU приведет к тому, что несколько OU будут содержаться в OU большего масштаба.

Например, у вас может быть подразделение для учетных записей пользователей и отдельное подразделение для учетных записей компьютеров. Или вы даже можете создать отдельные OU для настольных и портативных компьютеров. Может быть, один для планшетов, один (или несколько) для ваших серверов… список можно продолжать и продолжать.

Если вы хотите по-настоящему сойти с ума, вы можете создать разные организационные единицы для каждого из ваших компьютеров! (Пожалуйста, не делайте этого, так как администратор, который займет вашу работу после того, как вы уйдете на пенсию, будет ненавидеть вас из-за этого.)

Вложение OU также является очень распространенной практикой. Точно так же, как при создании папок внутри других папок с помощью проводника, вы можете использовать пользователей и компьютеры AD для создания подразделений внутри других подразделений. Это важно для создания чистой структуры, содержащей все объекты вашего домена, но также важно для обработки групповой политики.

Когда вы спрашиваете любого администратора, который раньше работал с групповой политикой: «Где применяется этот объект групповой политики?» они почти наверняка начнут думать в категориях «К каким OU относится этот GPO?»

Применение групповой политики на уровне подразделения — это наш менталитет по умолчанию при работе с объектами групповой политики, потому что это наиболее распространенный уровень, к которому применяются настройки. Связывание объектов групповой политики с определенными подразделениями дает нам исключительную гибкость при передаче различных настроек разным группам людей или машин.

В отличие от объекта групповой политики на уровне домена, показанного ранее, здесь приведен снимок экрана объекта групповой политики, который связан только с одной OU (отделом кадров). Несмотря на то, что многие другие OU существуют и содержат объекты, настройки в GPO настроек брандмауэра будут применяться только к тем машинам, которые находятся внутри OU Human Resources:

3.png

Рабочий процесс объекта групповой политики

Теперь, когда вы знаете четыре уровня обработки групповой политики, давайте вернемся к причине, по которой это вообще важно. Конечно, вы могли бы начать создавать объекты групповой политики и раздавать настройки волей-неволей, ничего из этого не зная, верно? Да, и вам это тоже может сойти с рук в течение длительного времени, но в конечном итоге вам придется устранять неполадки с объектом групповой политики или выяснять, откуда берется конкретный параметр, или, возможно, почему параметр не отображается или не работает. Вот когда эта информация вступает в игру.

Также очень полезно знать все это, когда вы устраиваетесь на новую работу в новую организацию, где вы не были первоначальным создателем инфраструктуры групповой политики.

Четыре типа обработки политик перечислены в определенном порядке по определенной причине. Это порядок, которому следует рабочий процесс, когда групповая политика делает свое дело. Когда компьютер загружается, он обрабатывает параметры групповой политики в следующем порядке:
• Местная политика
• Политики на уровне сайта
• Политики на уровне домена
• Политики уровня подразделения

Машина проходит через эти политики сверху вниз, и это хороший способ подумать об этом, потому что, когда вы заглядываете внутрь GPMC, сохраняя мышление сверху вниз, вы также можете понять, какие политики применяются в первую очередь. Параметры, содержащиеся в этих политиках, применяются кумулятивно, поэтому они абсолютно точно могут наступать друг другу на пятки.

Если у вас есть конфликтующие параметры политики между двумя уровнями объектов групповой политики, один из них выиграет, а другой проиграет. Глядя на этот список, вы сможете определить, какие параметры будут существовать в конце цикла обработки GPO.

Глядя на список заказов на обработку, вы вспоминаете несколько примеров, которые могут быть полезны для завершения вашего понимания этой темы:
• Поскольку сначала идет локальная политика, все внутри любой политики Active Directory может аннулировать или изменить этот параметр локальной политики.
• Политики уровня сайта, полученные компьютером, будут меняться в зависимости от того, к какому физическому местоположению они подключены, поэтому важно помнить, что эти параметры могут меняться.
• Если есть параметр политики на уровне домена, который противоречит параметру политики на уровне сайта, политика на уровне домена применяется последней и, следовательно, имеет преимущество. Эта настройка будет той, которая окажется на клиентской рабочей станции.
• Если применяется политика уровня подразделения, которая конфликтует с политикой уровня сайта или домена, политика, связанная с подразделением, всегда имеет преимущество.

OU требуют еще большего внимания, потому что вы можете легко связать несколько объектов групповой политики с одним и тем же OU, которые могут конфликтовать друг с другом. В этом случае один из них выиграет, и по моему опыту это не всегда один и тот же объект групповой политики. Конечно, это может немного сбивать с толку, поэтому очень важно правильно спланировать фильтрацию объектов групповой политики при их создании.

Возможность иметь подразделения, вложенные в другие подразделения, также вносит некоторые сложности в этот сценарий. Помните, что общее правило состоит в том, что групповая политика обрабатывается сверху вниз, поэтому объекты групповой политики, связанные с вложенным подразделением, скорее всего, перевешивают объекты групповой политики, связанные с подразделением более высокого уровня.

Когда машина получает настройку объекта групповой политики с уровня, который находится выше OU, в которой она находится, это называется наследованием этого объекта групповой политики. Вот пример, основанный на предыдущих скриншотах. Компьютеры внутри подразделения Human Resources будут получать настройки из GPO настроек брандмауэра, поскольку он напрямую связан с этим подразделением. Компьютеры внутри OU Human Resources также могут получать параметры из политики домена по умолчанию, которая применяется на уровне домена, и в этом случае эти компьютеры будут «наследовать» эти параметры из политики домена по умолчанию.

Если вам понравилось читать эту статью и вы хотите узнать о дополнительных понятиях объектов групповой политики, вы должны изучить Освоение групповой политики Windows. Практическое руководство, наполненное реальными задачами, использующими параметры групповой политики для управления вашей средой Active Directory, Освоение групповой политики Windows обязательна к прочтению для ИТ-специалистов, работающих с серверами Windows или интересующихся средой Active Directory.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *