Параметры групповой политики: как хранятся параметры (часть 1)
- Параметры групповой политики (часть 3)
Введение
При создании параметра GPO его необходимо сохранить, чтобы его можно было доставить на целевой компьютер. В этой статье будет рассказано, как эти параметры хранятся, где они хранятся и как они отслеживаются контроллерами домена в домене Active Directory.
Вы когда-нибудь создавали новый объект групповой политики, а затем настраивали одну или две политики и задавались вопросом, где и как хранятся эти настройки? В этой статье будет описано, как хранятся настройки в GPO, а также где они хранятся. Эта информация важна для администраторов домена и администраторов групповой политики во время устранения неполадок и общего понимания того, как работает групповая политика. Бывают случаи, когда вам нужно будет выполнить ручную работу с объектом групповой политики и настройками, хранящимися в файлах, когда объект групповой политики поврежден, настройки недоступны для просмотра в редакторе.
Где хранятся настройки GPO
При создании объекта групповой политики в фоновом режиме происходит множество событий. Во-первых, когда вы создаете новый объект групповой политики, контроллер домена, который управляет ролью эмулятора PDC, является ответственным. Это встроенное поведение по умолчанию, которое можно изменить, но изначально за него отвечает эмулятор PDC.
То, что обновляется на этом контроллере домена, является «оболочкой» для содержимого того, что вы настроили в объекте групповой политики во время редактирования. «Оболочка» для GPO — это папка, которая хранится в папке Policies. Чтобы получить доступ к этой папке Policies, вы должны найти папку Sysvol на контроллере домена. По умолчанию это будет расположено в c:WindowsSysvolsysvol<domainname>Policies. В папке Policies находится список папок, представленных длинным буквенно-цифровым значением. Это буквенно-цифровое значение представляет собой GUID (глобальный уникальный идентификатор) для объекта групповой политики. На рис. 1 показана общая папка Policies, в которой можно увидеть множество перечисленных идентификаторов GUID. Список идентификаторов GUID представляет все объекты групповой политики, имеющиеся у вас для вашего домена.
Рисунок 1. GUID представлены в виде папок в папке Policies на контроллерах домена.
Это расположение в Sysvol на контроллере домена называется шаблоном групповой политики (GPT). GPT находится на каждом контроллере домена. Как только эмулятор PDC создает GPT для объекта групповой политики, репликация берет файлы и дублирует их на других контроллерах домена в домене. Служба репликации файлов (FRS) обрабатывает эту репликацию на все контроллеры домена.
Примечание:
Служба FRS может управляться DFS-R в зависимости от используемой версии Windows.
Как хранятся настройки GPO
Теперь, когда у нас есть «оболочка» для объекта групповой политики, созданная в виде папки, названной в честь GUID объекта групповой политики, вы можете настроить объект групповой политики с помощью редактора групповой политики. При редактировании объекта групповой политики вы увидите два раздела верхнего уровня объекта групповой политики: «Конфигурация компьютера» и «Конфигурация пользователя», показанные на рисунке 2.
Рис. 2. Каждый объект групповой политики имеет два основных раздела: «Конфигурация компьютера» и «Конфигурация пользователя».
Если вы посмотрите на структуру папок GPT для GPO, вы увидите две основные папки: Machine и User, показанные на рисунке 3.
Рис. 3. GPT для объекта групповой политики хранит настройки в папке «Машина» или «Пользователь».
Как будто это не очевидно из названий, параметры, настроенные в разделе «Конфигурация компьютера», хранятся в папке «Машина», а параметры «Конфигурация пользователя» хранятся в папке «Пользователь».
С этого момента каждый параметр обрабатывается немного по-разному, если он хранится в папках «Машина» и «Пользователь». Структура файла, тип файла и расширение файла сильно различаются. Здесь я расскажу о многих настройках и о том, как они хранятся, но если вам нужно более подробное объяснение каждого типа настроек и того, как они хранятся, обратитесь к www.technet.com или к моей книге The Group Policy Resource Kit.
Настройки административных шаблонов
Есть две области, где эти параметры могут быть настроены в GPO. Конечно, один находится в разделе «Конфигурация компьютера | Политики», а другой — в разделе «Конфигурация пользователя | Политики». Каждый параметр политики в этих узлах в редакторе GPO представляет собой изменение реестра. Все эти настройки хранятся в файле с именем Registry.pol в папке «Машина» или «Пользователь», как показано на рисунке 4.
Рисунок 4: Все настройки административных шаблонов хранятся в файле Registry.pol
Структура этого файла довольно проста. Путь реестра, значение, которое необходимо изменить, и данные для значения перечислены в файле, который можно увидеть на рисунке 5.
Рисунок 5. Путь к реестру, значение и данные подробно описаны в файле Registry.pol
Настройки параметров безопасности
Вы найдете длинный список параметров безопасности в узле Конфигурация компьютера|Политики|Параметры Windows|Параметры безопасности|Локальные политики|Параметры безопасности. Эти настройки являются либо изменениями переменных операционной системы, либо изменениями реестра. Все настройки, относящиеся к этому узлу, будут храниться в файле с именем gpttmpl.inf, который будет храниться в папке MachineMicrosoftWindows NTSecEdit.
Например, если вы измените имя учетной записи администратора (используя политику «Учетные записи: переименовать учетную запись администратора»), это создаст запись в файле gpttmpl.inf в разделе «Доступ к системе», как показано на рисунке 6.
Рисунок 6: Некоторые настройки параметров безопасности изменяют переменные ОС
Другой пример: когда вы изменяете настройки UAC (используя «Контроль учетных записей пользователей: режим одобрения администратором» для параметра «Встроенная учетная запись администратора»), это создает запись в файле gpttmpl.inf в разделе «Значения реестра», который можно увидеть в Рисунок 7.
Рисунок 7: Некоторые настройки параметров безопасности изменяют значения реестра
Настройки настроек
Новейшим из всех параметров групповой политики являются предпочтения групповой политики. Эти параметры можно увидеть, если вы редактируете объект групповой политики в Windows Server 2008 или Windows Vista SP1 (с установленным RSAT) (прочитайте одну из моих предыдущих статей для получения дополнительной информации о предпочтениях групповой политики).
Эти параметры работают аналогично другим параметрам, но сохраняются в виде XML-файлов. Например, если вы настроили ярлык GPP в конфигурации пользователя, файл XML для ярлыка будет сохранен в папке UserPreferencesShortcuts в файле с именем ярлыки.xml.
Структура файла не так проста, как другие файловые структуры, но вы все равно можете увидеть общую суть файла и его содержимое.
Резюме
Теперь, когда вы можете видеть, где хранятся параметры при создании и настройке параметра групповой политики, вы можете самостоятельно исследовать другие параметры. Общий смысл заключается в том, что при установке параметра создается файл, в котором будут храниться параметры и сведения о конфигурации. Существует два основных уровня конфигурации: пользовательский и компьютерный. Эти уровни определяют, где будет храниться параметр, в зависимости от того, какая часть объекта групповой политики настроена. Теперь, когда у вас есть эта информация, вы можете устранять неполадки, исследовать и решать практически любые проблемы с хранилищем объектов групповой политики.
- Параметры групповой политики (часть 3)