logo
не все но почти

43 - Объекты gpo и Active Directory. Локальный gpo

  • Групповые политики (GroupPolicy) являются комплексным инструментом централизованного управления компьютерами с ОС Windows 2000 и выше в домене ActiveDirectory.

  • Объекты групповых политик Объект групповой политики — это общее название набора файлов, директорий и записей в базе ActiveDirectory (если это не локальный объект), которые хранят ваши настройки и определяют, какие ещё параметры вы можете изменить с помощью групповых политик. Локальный объект групповой политики хранится в %SystemRoot%System32GroupPolicy. GPO ActiveDirectory хранятся на контроллере домена и могут быть связаны с сайтом, доменом или OU (OrganizationalUnit, подразделение или организационная единица). Привязка объекта определяет его область действия. По умолчанию в домене создается два объекта групповой политики: DefaultDomainPolicy и DefaultDomainControllerPolicy. В первом определяется политика по умолчанию для паролей и учетных записей в домене. Второй связывается с OU DomainControllers и повышает настройки безопасности для контроллеров домена. Порядок применения объектов групповой политики Когда компьютер запускается, происходят следующие действия: 1. Читается реестр и определяется, к какому сайту принадлежит компьютер. Делается запрос серверу DNS с целью получения IP адресов контроллеров домена, расположенных в этом сайте. 2. Получив адреса, компьютер соединяется с контроллером домена. 3. Клиент запрашивает список объектов GP у контроллера домена и применяет их. Последний присылает список объектов GP в том порядке, в котором они должны применяться. 4. Когда пользователь входит в систему, компьютер снова запрашивает список объектов GP, которые необходимо применить к пользователю, извлекает и применяет их. Объект групповой политики может действовать только на объекты «компьютер» и «пользователь». Политика действует только на объекты, находящиеся в объекте каталога (сайт, домен, подразделение), с которым связан GPO и ниже по «дереву» (если не запрещено наследование). Групповые политики применяются к клиентам с ОС Windows XP асинхронно, а с ОС Windows 2000 — синхронно, то есть пользовательский экран входа появляется только после применения всех политик компьютера, а политики пользователя применяются до того, как появился рабочий стол. Асинхронное применение политик означает, что пользовательский экран входа появляется раньше, чем успевают примениться все политики компьютера, а рабочий стол — раньше, чем применятся все пользовательские политики, что приводит к ускорению загрузки и входа пользователя.