Сами групповые политики представляют собой файлы, хранящиеся на контроллерах домена. Каждая политика соответствует папке Policies с GUID-именем, хранящейся в каталоге Sysvol контроллера домена.

Внутри нее находятся две папки, соответствующие настройкам компьютера и пользователя. В каждой из них имеется файл Registry.pol, в котором и хранятся настройки политик (в сущности, политики - это параметры соответствующих ключей реестра системы). В структуре папки Machine хранится файл gpttmpl.inf. Этот файл включает в себя параметры опций безопасности раздела компьютера.

Кроме того, хранятся административные шаблоны - ADMX-файлы, представляющие собой XML-файлы конфигураций.

ПримЕчАниЕ Для хранения ADMX-файлов используется централизованное хранилище, что позволяет уменьшить размер папки SYSVOL. При желании (если все рабочие станции оснащены операционными системами Windows Vista и старше) можно мигрировать ADM-файлы в ADMX. Соответствующая утилита доступна для загрузки с сайта вендора.

Порядок применения групповых политик можно регулировать, опять же, настройками в групповой политике. Хотя обычно администраторы не меняют установленные по умолчанию значения. Политика компьютера применяется при каждом включении компьютера (так называемое применение переднего плана). Политика пользователя - при каждом входе в систему (после нажатия комбинации клавиш <Ctrl>+<Alt>+<Del>). По умолчанию политики применяются синхронно, причем при желании можно переопределить порядок применения, например, сменить синхронный вариант на асинхронный и т. д. Это значит, что на экране не появится приглашение для нажатия "заветных" трех клавиш до тех пор, пока не будет применена политика компьютера, а пользователь не увидит своего рабочего стола (после ввода пароля) до завершения применения пользовательской политики.

Во время работы компьютера система проверяет наличие изменений групповых политик. По умолчанию это происходит каждые полтора часа. Если политика изменена, то она будет вновь применена к системе (фоновое изменение). Если изменений не обнаружено, то никаких действий не выполняется. Чтобы не создавать пиковую нагрузку на контроллеры домена, момент проверки наличия изменений случайным образом меняется до получаса в ту или иную сторону. Если контроллер домена в момент проверки недоступен по причинам отсутствия связи с ним, то обновление политики будет проведено сразу после восстановления связи (в домене Windows 2003 в этом случае проверка просто пропускалась до следующего события в графике).

Политику можно обновить и вручную. Для этого следует воспользоваться командой gpupdate /force (в системах на базе Windows 2000 (и Windows XP без SP1) необходимо использовать команду secedit (secedit /refreshpolicy {machine_policy user_policy} /enforce)). Для ускорения процесса возможно использовать дополнительный ключ (target), сужающий область применяемой политики (компьютер или пользователь).

К чему и как применяются групповые политики | Самоучитель системного администратора | Последствия отключений политик


Самоучитель системного администратора



Новости за месяц

  • Август
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31