Изменения, связанные с групповой политикой в Windows Server 2008. Часть 1. Что такое начальные объекты групповой политики?

Если вы хотите прочитать другие части этой серии статей, перейдите по ссылке:

• Изменения, связанные с групповой политикой, в Windows Server 2008 — часть 2: консоль управления групповыми политиками, версия 2
• Изменения, связанные с групповой политикой, в Windows Server 2008. Часть 3. Введение в настройки групповой политики
• Изменения, связанные с групповой политикой в Windows Server 2008 — Часть 4. Настройки групповой политики (продолжение)

В этой статье мы обсудим «Starter GPO». С начальными объектами групповой политики вы получаете возможность сохранять базовые шаблоны для использования при создании новых объектов групповой политики (GPO). Эти шаблоны можно экспортировать в другие доменные среды, что дает вам повышенную гибкость.

В следующих статьях этой серии будут рассмотрены новые функции консоли управления групповыми политиками (GPMC) версии 2.0, новые параметры политики для Windows Server 2008, расширения предпочтений групповой политики и многое другое…

Обратите внимание, что часть информации в этой серии статей основана на информации из бета-версий Windows Server 2008 (бета-версия 3, RC0 и RC1). Таким образом, некоторые функции и диалоговые окна могут немного измениться перед финальным релизом.

GPMC - вход и выход?

В Windows Server 2008 встроена новая и блестящая консоль управления групповыми политиками (GPMC) версии 2.0. Внешний вид очень похож на старые версии, но были добавлены некоторые приятные функции.

Как вы, наверное, знаете, Service Pack 1 для Windows Vista удалит версию GPMC, которая входит в состав операционной системы, оставив вас без инструмента для управления объектами групповой политики вашего домена… Но не стоит слишком разочаровываться: вокруг выпуска Пакет обновления 1 (SP1) для Vista GPMC версии 2.0 будет доступен для отдельной загрузки с веб-сайта Microsoft.

Итак, для использования GPMC версии 2 вам потребуется одно из следующего:

1. Пакет обновления 1 для Microsoft Windows Vista с загрузкой консоли управления групповыми политиками 2.0 или
2. Microsoft Windows Server 2008 с добавленной функцией управления групповыми политиками.

Исходные начальные объекты групповой политики

При открытии GPMC 2.0 вы, вероятно, заметите новый (пустой) контейнер под названием «Starter GPO». Этот новый контейнер может содержать то, что я назвал бы «шаблонами» для создания новых объектов групповой политики — с тем ограничением, что доступны только настройки « Административные шаблоны» — как из «Конфигурации компьютера», так и из «Конфигурации пользователя». Такие параметры, как «Параметры программного обеспечения» (установка программного обеспечения) и «Параметры Windows» (скрипты, политики учетных записей, права пользователей, политики ограниченного использования программ и т. д.), НЕ доступны в объектах GPO Starter, см. рис. 1.

Фигура 1:
Только настройки из «Административных шаблонов»

При создании новых объектов групповой политики вы можете использовать начальный объект групповой политики в качестве исходного начального объекта групповой политики (читай: шаблона), что упрощает создание нескольких объектов групповой политики с одинаковой базовой конфигурацией, см. рис. 2.

Фигура 2:
Исходные начальные объекты групповой политики

Новый объект групповой политики будет содержать все параметры политики «Административные шаблоны» из начального объекта групповой политики, который использовался в качестве шаблона при создании, а также дополнительные функции, которые мы обычно имеем в объектах групповой политики (например, «Параметры безопасности» и т. д.). Все, кроме параметров политики «Административные шаблоны», должно быть создано с нуля, как и сегодня. Именно здесь шаблоны расширенного управления групповыми политиками (AGPM) показывают свою ценность. Однако этот продукт не является частью этой серии статей, но у моего коллеги Дерека Мелбера есть отличная статья о продукте AGPM прямо здесь.

Новая папка в SYSVOL

В первый раз, когда вы хотите протестировать или использовать начальные объекты групповой политики, вы должны включить эту функцию в соответствующем домене (доменах). Это можно сделать, нажав кнопку « Создать папку Starter GPO » или просто щелкнув правой кнопкой мыши контейнер « Starter GPO » и выбрав «Создать…» (см. рис. 3). Последний вариант фактически также создает папку Starter GPO. После нажатия кнопки «Создать папку Starter GPO» вам все равно придется щелкнуть правой кнопкой мыши контейнер «Starter GPO» и выбрать «Создать…». Итак, если вы хотите сохранить щелчок (эй, может быть, когда-нибудь он вам понадобится в другом месте), просто забудьте о причудливой кнопке и вместо этого выберите «Новый…» в качестве первого действия (если только у вас нет действительно веской причины не делать этого). делать это).

Рисунок 3:
Первое использование

Должно появиться диалоговое окно «Новый начальный объект групповой политики», в котором вас попросят оставить имя и комментарий впереди, см. рис. 4.

Рисунок 4:
Создание нового начального объекта групповой политики

Обратите внимание, что все, что вы вводите в поле «Комментарий», будет унаследовано от любого объекта групповой политики, созданного с использованием этого конкретного начального объекта групповой политики в качестве источника. Текст будет записан в виде комментария GPO — новой функции, к которой мы вернемся в другой части этой серии статей.

Когда вы «включаете» Starter GPO в домене в первый раз, внутри папки SYSVOL создается папка «StarterGPOs» по этому пути: «\domain.comSYSVOLdomain.comStarterGPOs» — здесь все «волшебство» сделано (см. рис. 5).

Рисунок 5:
Папка StarterGPOs в SYSVOL

Для каждого нового начального объекта групповой политики, который вы создаете, вы увидите новую папку под этой папкой — каждая будет иметь уникальный идентификатор GUID (как и обычные объекты групповой политики). Таким образом, когда вы создаете новый объект групповой политики с использованием начального объекта групповой политики в качестве источника, приятный и простой процесс копирования фактически выполняется за кулисами. Подпапки и файлы, расположенные ниже папки GUID Starter GPO, просто копируются в папку \domain.comSYSVOLdomain.comPolicies[SomeNewGUID] (на лету создается новый уникальный GUID) — и «престо», вы готовы развернуть новый объект групповой политики.

Рисунок 6:
Готов создать новый GPO, но уже не с нуля

Если щелкнуть правой кнопкой мыши начальный объект групповой политики, см. рис. 6, у вас есть возможность создать «Новый объект групповой политики из начального объекта групповой политики…». Это приведет к почти такому же диалоговому окну, как если бы вы решили создать новый объект групповой политики из контейнера «Объекты групповой политики» (см.: «Создайте объект групповой политики в этом домене и свяжите его здесь…» — только на этот раз раскрывающийся список «Исходный начальный объект групповой политики» неактивен и статичен.

Рисунок 7. Source Starter GPO выделен серым цветом

Шкаф и что внутри

Очень здорово то, что теперь вы можете «экспортировать» эти шаблоны GPO (Starter GPO) в файл CAB-файла (.CAB), а затем импортировать этот CAB-файл в другую среду — совершенно независимо от исходного домена/леса! Эти объекты групповой политики, так сказать, находятся «в воздухе» — наконец, вы можете добавить…

Итак, теперь вы можете создать PERFECT Starter GPO, экспортировать его (см. кнопку «Сохранить как кабинет…» на рис. 8), а затем распространить его по всему миру, поделиться им с друзьями на своем веб-сайте, развернуть его на всех системах, которые вы можете получить удержание и т. д. После чрезвычайно простого процесса импорта (см. кнопку «Загрузить шкаф…» на рис. 8) вы готовы создавать новые объекты групповой политики, взяв за основу начальный объект групповой политики.

Рис. 8. Загрузка или сохранение файла CAB-файла

Если вы такой же любопытный, как и я, вы, вероятно, умираете от желания узнать, что находится внутри файла.CAB… Позвольте мне избавить вас от вашей боли: каждый файл содержит минимум 2 (если ничего не настроено) и до 6 сжатых файлов., в зависимости от того, какие параметры вы настроили в конкретном Starter GPO:

Таблица 1

* Я вернусь к «комментариям» в другой части этой серии статей.

Одним из ограничений экспорта CAB-файла является то, что вы можете экспортировать только один начальный объект групповой политики для каждого файла CAB-файла. Таким образом, эта процедура не заменяет обычную процедуру резервного копирования, которая рассматривается далее.

Резервное копирование Starter GPO отдельно

Судя по тому, как обстоят дела сейчас, вам придется создать отдельный процесс резервного копирования для Starter GPO. Это связано с тем, что они не резервируются с помощью метода GPMC «Резервное копирование всех», который используется для обычных объектов групповой политики, а имеют отдельную процедуру резервного копирования.

Если щелкнуть правой кнопкой мыши контейнер Starter GPO, появится опция «Резервное копирование всех…». Это создаст резервную копию всех ваших начальных GPO за один раз (см. рис. 9).

Рисунок 9. Резервное копирование сразу всех начальных GPO

Если вы просто щелкните правой кнопкой мыши один начальный объект групповой политики на правой панели GPMC, вы увидите параметр «Резервное копирование…». Это создаст резервную копию только этого конкретного Starter GPO.

Рисунок 10: Выберите место для резервного копирования

Пока нет сценария для резервного копирования начальных объектов групповой политики, но я почти уверен, что он появится (так же, как сценарий « BackupAllGPOs.wsf » из пакета примеров сценариев GPMC).

Делегировать власть

Как и во многих других функциях Windows, вы можете делегировать разрешения другим пользователям и/или группам. В этом случае вы можете делегировать права на создание Starter GPO в домене. Это делается на вкладке «Делегирование», которая отображается только тогда, когда контейнер «Starter GPO» выбран в представлении в виде дерева слева внутри консоли управления групповыми политиками (см. рис. 11).

Рисунок 11: Вкладка «Делегирование» для Starter GPO

За кулисами эта вкладка отражает разрешения безопасности NTFS для папки «StarterGPOs» ниже SYSVOL (см. выше); в этом представлении будут отображаться только пользователи и группы с соответствующими разрешениями.

Вывод

Начальные объекты групповой политики — это шаблоны, которые можно использовать в качестве основы для новых объектов групповой политики, что позволяет быстро и легко создавать, экспортировать и импортировать параметры политики «Административные шаблоны». Они могут не включать в себя те же функции, что и шаблоны GPO, которые мы получили с AGPM, но даже если у вас нет требуемой лицензии DOP/SA, вы все равно получаете несколько файлов cookie «бесплатно» с GPO Starter…

Единственное, что мне лично не нравится в Starter GPO, это название — для меня это старый добрый «шаблон», только для настроек GPO. Но я предполагаю, что слово «шаблон» зарезервировано для более «функциональной» функциональности: шаблонов AGPM, но подробнее об этом в другой раз.

Обновлять

С момента публикации этой статьи корпорация Майкрософт выпустила необходимые клиентские расширения предпочтений групповой политики. Это ссылки:

• CSE GPP для Windows Vista (KB943729)
• GPP CSE для Windows Vista x64 Edition (KB943729)
• CSE GPP для Windows Server 2003 (KB943729)
• GPP CSE для Windows Server 2003 x64 Edition (KB943729)
• CSE GPP для Windows XP (KB943729)
• GPP CSE для Windows XP x64 Edition (KB943729)

• Изменения, связанные с групповой политикой, в Windows Server 2008 — часть 2: консоль управления групповыми политиками, версия 2
• Изменения, связанные с групповой политикой, в Windows Server 2008. Часть 3. Введение в настройки групповой политики
• Изменения, связанные с групповой политикой в Windows Server 2008 — Часть 4. Настройки групповой политики (продолжение)