Определение объектов групповой политики

  • 7 мин

С первых версий Windows Server функция "Групповая политика" операционных систем Windows предоставляет инфраструктуру, которая позволяет администраторам централизованно определять параметры, а затем развертывать их на компьютерах организаций.

Следовательно, с помощью параметров GPO ИТ-специалисты компании Contoso могут определять, принудительно применять и обновлять всю конфигурацию. С помощью параметров GPO они могут оказать влияние на весь сайт или домен в составе организации либо сфокусироваться на одном подразделении.

Совет

Фильтрация на основе членства в группе безопасности и атрибутов физического компьютера также позволяет компании Contoso еще точнее определять целевой объект для параметров GPO.

Что такое групповая политика?

Групповая политика — это платформа в операционных системах Windows, компоненты которой размещаются в AD DS, на контроллерах домена, а также на каждом сервере Windows Server и клиенте. С помощью этих компонентов можно управлять конфигурацией в домене AD DS. Параметры групповой политики определяются в объекте групповой политики. GPO — это объект, содержащий один параметр политики, который применяется к одному параметру конфигурации для пользователя или компьютера или нескольким, или несколько.

A screenshot of the Group Policy Management console. The administrator has selected the Contoso.com domain. Displayed are three GPOs. Also displayed are the OUs in the domain, some of which have linked GPOs.

Групповая политика является мощным средством администрирования. Объекты групповой политики можно использовать для отправки различных параметров большому числу пользователей и компьютеров. Так как эти параметры можно применять к различным уровням — от локального компьютера до домена, их можно точно сфокусировать. Как правило, групповая политика используется для настройки параметров, которые не должны настраиваться пользователями. Кроме того, групповую политику можно использовать для стандартизации сред рабочего стола на всех компьютерах в подразделении (OU) или во всей организации. Кроме того, групповую политику можно использовать для обеспечения повышенной безопасности, настройки некоторых дополнительных параметров системы, а также в других целях, которые будут рассмотрены в последующих демонстрациях.

A screenshot of the Group Policy Management Editor. The administrator has expanded the Computer Configuration and User Configuration nodes to display the Policies and Preferences folders.

Что такое объекты групповой политики?

Самым детальным компонентом групповой политики является отдельный параметр политики. Отдельный параметр политики определяет конкретную конфигурацию, например параметр политики, предотвращающий обращение пользователя к средствам редактирования реестра. Если определить этот параметр политики, а затем применить его к пользователю, этот пользователь не сможет запускать такие средства, как Regedit.exe.

Одни параметры влияют на пользователя. Это параметры конфигурации пользователя, или политики пользователя. Другие влияют на компьютер. Это параметры конфигурации компьютера, или политики компьютера.

Внимание

Параметры не влияют на группы напрямую и применяются только к объектам-пользователям и объектам-компьютерам.

Групповая политика управляет различными параметрами политики, а платформа групповых политик является расширяемой. С помощью групповой политики можно управлять практически любыми настраиваемыми параметрами.

A screenshot of the Configure Automatic Updates dialog box in the Group Policy Management Editor. The setting is enabled. Other values are displayed.

Чтобы определить параметр политики, выполните следующие действия.

  1. В редакторе "Управление групповыми политиками" найдите параметр политики, а затем нажмите клавишу ВВОД. Откроется диалоговое окно Свойства.
  2. Измените состояние политики на Включено или Отключено. Большинство параметров политики могут находиться в одном из трех состояний: не настроено, включено и отключено.
  3. При необходимости настройте дополнительные значения, а по завершении нажмите кнопку OK.

В объектах групповой политики хранятся параметры групповой политики. В новом объекте групповой политики для всех параметров политики по умолчанию задано состояние Не настроено. При включении или отключении параметра политики Windows Server вносит изменение в конфигурацию пользователей и компьютеров, к которым применяется объект групповой политики.

Примечание.

При возврате параметра в состояние Не настроено он возвращается к значению по умолчанию.

Чтобы создать новый объект групповой политики в домене, выполните следующие действия.

  1. В редакторе "Управление групповыми политиками" нажмите правую кнопку мыши или откройте контекстное меню для контейнера Объекты групповой политики, а затем выберите Новый.
  2. Чтобы изменить параметры конфигурации в объекте групповой политики, нажмите правую кнопку мыши или откройте контекстное меню для объекта групповой политики, а затем выберите пункт Изменить. Откроется оснастка редактора "Управление групповыми политиками".

В редакторе "Управление групповыми политиками" отображаются все параметры политики, доступные в объекте групповой политики, в виде упорядоченной иерархии, которая начинается с разделения между параметрами компьютера и параметрами пользователя: узел Конфигурация компьютера и узел Конфигурация пользователя.

Объекты групповой политики отображаются в контейнере под названием "Объекты групповой политики". Следующие два уровня иерархии — узлы с именами Политики и Параметры. Далее в редакторе "Управление групповыми политиками" отображается следующий уровень иерархии: папки, которые называются узлами или группами параметров политики. Параметры политики находятся в папках.

Что такое начальные объекты групповой политики?

Начальный объект групповой политики можно использовать в качестве шаблона для создания других объектов групповой политики в консоли управления групповыми политиками. Начальные объекты групповой политики имеют только параметры административных шаблонов. Начальный объект групповой политики можно использовать в качестве отправной точки для создания новых объектов групповой политики в домене. У начального объекта групповой политики уже могут быть определенные параметры, являющиеся рекомендациями для вашей среды. Начальные объекты групповой политики можно экспортировать в CAB-файлы, а также импортировать из CAB-файлов, чтобы упростить распространение в другие среды и повысить его эффективность.

Примечание.

Консоль управления групповыми политиками сохраняет начальные объекты групповой политики в папке с именем StarterGPOs, которая находится в SYSVOL.

Примечание.

SYSVOL — это общая папка на контроллерах домена.

Корпорация Майкрософт включает предварительно настроенные начальные объекты групповой политики для клиентских операционных систем Windows. Параметры административных шаблонов этих начальных объектов групповой политики отражают рекомендации корпорации Майкрософт по настройке клиентской среды.