Объекты групповой политики
Что такое групповая политика и объекты групповой политики
Групповая политика — это инструмент, доступный администраторам, использующим домен Active Directory Windows 2000 или более поздней версии. Он позволяет централизованно управлять настройками на клиентских компьютерах и серверах, присоединённых к домену, а также обеспечивает рудиментарный способ распространения программного обеспечения.
Настройки сгруппированы в объекты, называемые Group Policy Objects (GPO), то есть объектами групповой политики. Объекты групповой политики сопрягаются с и могут применяться к пользователям и компьютерам. Объекты групповой политики нельзя применять к группам напрямую, хотя вы можете использовать фильтрацию безопасности или таргетинг на уровне элементов для фильтрации применения политики на основе членства в группе.
Что могут делать организационные политики
Что угодно.
Серьёзно, вы можете делать всё, что захотите, с пользователями или компьютерами в вашем домене. Существуют сотни предопределённых настроек для таких вещей, как перенаправление папок, сложность пароля, параметры питания, сопоставление дисков, шифрование дисков, обновление Windows и так далее. Все настройки, которые вы можете сделать для одного компьютера или пользователя, вы можете с лёгкостью распространить на десятки или сотни компьютеров с помощью организационных подразделений.
Всё, что вы не сможете настроить с помощью предустановленных параметров, вы можете контролировать с помощью скриптов, в том числе на PowerShell.
Значение объектов групповой политики для Active Directory
Объекты групповой политики это и есть тот мощнейший инструмент, который позволяет очень гибко и эффективно управлять Active Directory.
Схема типичного механизма управления:
- Создаются организационные подразделения, в которые добавляются компьютеры и пользователи, а также другие типы объектов
- С организационными подразделениями спрягаются те или иные объекты групповых политик, в результате чего выбранные настройки начинают применяться сразу ко всем элементам организационного подразделения.
- Права и разрешения пользователей могут также настраиваться с помощью групп (например, если добавить пользователя в группу «Администраторы домена», то такой пользователь получит полномочия администратора домена).
Групповые политики очень важны и им будет посвящена отдельная глава, в которой будет рассмотрен процесс редактирования объектов групповых политик и их спряжение с организационными подразделения.
После детального знакомства с групповыми политиками, мы углубимся в управление пользователями, компьютерами и другими типами объектов с помощью групповых политик и групп.
Также в этой части мы лишь поверхностно затронули вопросы траста (доверия) между доменами и контроллерами доменов — и этой теме будет посвящена отдельная глава.
НУЖНА ПОМОЩЬ hdsystems?
Если у Вас что-то не получается или просто нет времени заниматься решением этого вопроса, мы можем на платной основе оказать Вам техническую поддержку по телефону 8(499)391-28-78 или через программу удаленного доступа.
Прежде чем приступить к переименованию компьютера в домене , необходимо понимать, что сертификаты выданные на компьютер, перестанут работать. Т.е. всевозможные площадки, банк-клиенты могут перестать работать.
Итак, как переименовать компьютер в домене из командной строки ?Заходим в командную строку на контроллере домена и выполняем команду: netdom renamecomputer ИмяКомпьютера /newname:НовоеИмяКомпьютера /userd:ИмяДоменаИмяАдминистратора /passwordd:* Например: netdom renamecomputer pc-123 /newname:pc-001 /userd:hdsystems.localAdmin01 /passwordd:* После выполнения команды вводим пароль от пользователя Admin01
Следует отметить, что после переименования компьютер пользователя необходимо будет перезагрузить во избежании всевозможных глюков. Дать команду на удаленную перезагрузку можно ключом /reboot:ВремяВСекундахДоПерезагрузки
Имена сайтов
При создании нового имени сайта рекомендуется использовать допустимое имя DNS. В противном случае сайт будет доступен только в том случае, если используется сервер Microsoft DNS. Дополнительные сведения о действительных именах DNS см. в разделе
-
Разрешенные символы
Имена DNS могут содержать только алфавитные символы (A-Z), численные символы (0-9), знак минус (-) и период (.). Символы периода допускаются только в том случае, если они используются для разграничить компоненты имен доменного стиля.
В Windows 2000 доменных имен (DNS) и DNS Windows Server 2003 поддерживаются символы Unicode. Другие реализации DNS не поддерживают символы Юникод. Избегайте символов Юникод, если запросы будут переданы на серверы, которые используют вне Microsoft реализации DNS.
Дополнительные сведения можно получить на следующих веб-сайтах:
- rfc952
- rfc1123
-
Неустановимые символы
Имена DNS не могут содержать следующие символы:
-
запятая (,)
-
tilde (~)
-
двоеточие (:)
-
восклицательный пункт (!)
-
при входе (@)
-
знак номера (#)
-
Знак доллара ($)
-
% (%)
-
caret (^)
-
ampersand (&)
-
apostrophe (‘)
-
период (.)
-
скобки (())
-
скобки ( {} )
-
подчеркивание (_);
-
белое пространство (пустое)
Подчеркивать имеет особую роль. Это разрешено для первого символа в записях SRV по определению RFC. Но более новые DNS-серверы также могут разрешить его в любом месте имени. Дополнительные сведения см. в дополнительных сведениях о соблюдении ограничений имен для хостов и доменов.
Другие правила:
-
Все символы сохраняют форматирование кейсов, за исключением символов ASCII.
-
Первый символ должен быть алфавитным или числимым.
-
Последний символ не должен быть знаком минус или периодом.
-
-
Минимальная длина имени: 1 символ
-
Максимальная длина имени: 63 символа
Максимальная длина имени DNS — 63 bytes на метку.
В Windows 2000 и Windows Server 2003 максимальное имя хоста и FQDN используют стандартные ограничения длины, которые упоминались ранее, с добавлением поддержки UTF-8 (Unicode). Так как некоторые символы UTF-8 превышают один октет в длину, вы не можете определить размер, подсчитывая символы.
Что такое домен?
Домены Windows предоставляют сетевым администраторам возможность управлять большим количеством компьютеров и контролировать их из одного места. Один или несколько серверов, известных как контроллеры домена, контролируют домен и компьютеры на нём.
Домены обычно состоят из компьютеров в одной локальной сети. Однако компьютеры, присоединённые к домену, могут продолжать обмениваться данными со своим контроллером домена через VPN или подключение к Интернету. Это позволяет предприятиям и учебным заведениям удалённо управлять ноутбуками, которые они предоставляют своим сотрудникам и учащимся.
Когда компьютер присоединён к домену, он не использует свои собственные локальные учётные записи пользователей. Учётные записи пользователей и пароли устанавливаются на контроллере домена. Когда вы входите в систему в этом домене, компьютер аутентифицирует имя вашей учётной записи и пароль с помощью контроллера домена. Это означает, что вы можете войти в систему с одним и тем же именем пользователя и паролем на любом компьютере, присоединённом к домену.
Сетевые администраторы могут изменять параметры групповой политики на контроллере домена. Каждый компьютер в домене получит эти настройки от контроллера домена, и они переопределят любые локальные настройки, указанные пользователями на своих компьютерах. Все настройки контролируются из одного места. Это также «блокирует» компьютеры. Вероятно, вам не будет разрешено изменять многие системные настройки на компьютере, присоединённом к домену.
Другими словами, когда компьютер является частью домена, организация, предоставляющая этот компьютер, управляет и настраивает его удалённо. Они контролируют ПК, а не тот, кто им пользуется.
Поскольку домены не предназначены для домашних пользователей, к домену можно присоединить только компьютер с версией Windows Professional или Enterprise. Устройства под управлением Windows RT также не могут присоединяться к доменам.
Является ли мой компьютер частью домена?
Если у вас есть домашний компьютер, он почти наверняка не является частью домена. Вы можете настроить контроллер домена дома, но нет причин для этого, если вам действительно это не нужно для чего-то. Если вы используете компьютер на работе или в школе, скорее всего, ваш компьютер является частью домена. Если у вас есть портативный компьютер, предоставленный вам на работе или в школе, он также может быть частью домена.
Вы можете быстро проверить, является ли ваш компьютер частью домена. Откройте приложение «Параметры» (Win+x).
Нажмите «Система».
Перейдите на вкладку «О программе» и найдите пункт «Переименовать этот ПК (для опытных пользователей)»:
Если вы видите «Домен»: за которым следует имя домена, ваш компьютер присоединён к домену.
Если вы видите «Рабочая группа»: за которым следует имя рабочей группы, ваш компьютер присоединён к рабочей группе, а не к домену.
В англоязычной версии это соответственно «Settings» → «System» → «About» → «Rename this PC (advanced)».
Используя командную строку (PowerShell) вы также можете узнать, прикреплён ли компьютер к домену или входит в рабочую группу.
Для этого выполните команду (можно за один раз всё скопировать-вставить в окно терминала):
$ComputerSystem = Get-CimInstance -Class Win32_ComputerSystem; $ComputerName = $ComputerSystem.DNSHostName if ($ComputerName -eq $null) { $ComputerName = $ComputerSystem.Name } $fqdn = (::GetHostByName($ComputerName)).HostName $ComputerSystem | Microsoft.PowerShell.Utility\Select-Object ` @{ Name = "ComputerName"; Expression = { $ComputerName }}, @{ Name = "Domain"; Expression = { if ($_.PartOfDomain) { $_.Domain } else { $null } }}, @{ Name = "DomainJoined"; Expression = { $_.PartOfDomain }}, @{ Name = "FullComputerName"; Expression = { $fqdn }}, @{ Name = "Workgroup"; Expression = { if ($_.PartOfDomain) { $null } else { $_.Workgroup } }}
Подробности смотрите в статье: Как в PowerShell узнать, прикреплён ли компьютер к домену или к рабочей группе
Как называть нельзя
Single-Label Domain Name
Этот частный случай именования домена получается, когда ему дают DNS-имя какdomain (без точек). Отсюда и следует название такого способа именования домена Active Directory, как Single-Label. Чем плох такой способ? Тем, что полностью противоречит самой идеологии DNS, от которой зависит Active Directory. Компьютеры, включенные в такой однокомпонентный домен, требуют настройки для регистрации и разрешения в DNS-зонах с однокомпонентными именами. Windows Server 2008 выдает предупреждение при попытке создать такой домен Active Directory, а начиная с Windows Server 2008 R2 мастер dcpromo.exe заблокирует попытку создания Single-Label домена. Большинство приложений также не работают с таким типом доменов Active Directory, например Exchange Server. Более подробно о Single-Label доменах можно прочитать в статье базы знаний Microsoft.
Недопустимые символы в имени домена
Функционирование Active Directory целиком зависит от службы DNS, поэтому если в имени домена будут запрещенные символы, то нормальная работа такого домена будет невозможна. К таким символам, например, относятся: двоеточие ( : ), слэш ( / ) и бэк-слэш ( \ ), знак номера ( # ), собачка ( @ ), тильда ( ~ ). Так же, согласно RFC 1123, не следует использовать в имени домена знак подчеркивания ( _ ). Это сулит большие проблемы, например, нельзя установить Exchange Server 2007 и выше. Единственные символы, которые можно использовать в имени домена Active Directory это буквы, цифры, знак тире ( — ) и точка ( . ), но она не может стоять в начале или в конце имени домена. Новые версии Windows Server не позволят вам дать имя домену если оно не соответствует стандарту.
Инструкции ADSIEdit
Предупреждение
Если вы используете ADSI (Интерфейсы службы active Directory) Изменить привязку, утилиту LDP или любой другой клиент версии LDAP (Облегченный протокол доступа к каталогу) и неправильно изменить атрибуты объектов Active Directory, вы можете вызвать серьезные проблемы. Эти проблемы могут потребовать переустановки Microsoft Windows 2000 Server, Microsoft Windows Server 2003, Microsoft Exchange 2000 Server, Microsoft Exchange Server 2003 или Windows и Exchange. Корпорация Майкрософт не может гарантировать, что проблемы, которые возникают при неправильном изменении атрибутов объектов Active Directory, могут быть решены. Измените эти атрибуты на свой собственный риск.
-
Вставьте Windows cd сервера 2000.
-
Перейдите к каталогу.
-
Дважды щелкните по Support.cab файлу.
-
Найдите файлы adsiedit.msc и adsiedit.dll. Извлеките их в каталог.
-
Запуск regsvr32 adsiedit.dll.
-
Запустите консоль управления Майкрософт (MMC), а затем добавьте оснастку ADSI Edit.
-
Щелкните правой кнопкой мыши верхний узел и выберите Подключение .
-
Измените контекст именования на контейнер конфигурации, а затем выберите ОК для привязки и проверки подлинности.
-
Расширь узел Контейнер конфигурации, а затем расширь узел Конфигурация.
-
Размести узел cn=DisplaySpecifiers, а затем дважды щелкните CN=409.
Примечание
409 — это локальный ID для английского языка США. Если вы находитесь в многоязычной среде, может потребоваться внести изменения в другие коды. Большинство азиатских кодов уже за установлены.
Международный союз электросвязи (МСЭ) и Международная организация по стандартизации (ISO) определяют страницы кода. Дополнительные сведения можно получить на веб-страницах МСЭ
-
В правой области откройте свойства для CN=user-Display.
-
Прокрутите в необязательный свойство createDialog.
-
Установите атрибут %< sn>.%<givenName >. Убедитесь, что вы выбрали Set.
Примечание
Только маркеры, которые могут быть отформатированы в dislayName% <sn> , % и % <givenName> <initials> .
-
Выберите ОК, чтобы закрыть диалоговое окно.
-
В Active Directory Пользователи и компьютеры создайте нового пользователя; Полное имя (и, таким образом, имя отображения) строится в соответствии с вашим правилом.
Внесение этих изменений может иметь негативные последствия.
Нет точек входа, подлежащих обновлению
Получено предупреждение. Параметры контроллера домена не были изменены. Если вы считаете, что изменения необходимы, убедитесь, что параметры командлета заданы правильно и что объекты групповой политики реплицированы на требуемые контроллеры домена.
Причина
При вызове командлета с параметром служба DirectAccess проверяет все точки входа и обновляет точки входа, связанные с указанным контроллером домена. Однако ни одна точка входа не использует контроллер домена, указанный в параметре ExistingDC.
Решение
Чтобы просмотреть список точек входа и связанных с ними контроллеров домена, воспользуйтесь командлетом . Если изменения должны были произойти, убедитесь в том, что параметры командлета написаны правильно и что объекты групповой политики реплицированы на соответствующие контроллеры домена, после чего повторите попытку.
Не удается получить объект групповой политики
-
Проблема 1
Произошла ошибка. <Не удается получить объект групповой политики GPO_name > на контроллере домена < previous_domain_controller > из replacement_domain_controller контроллера домена, <> так как они находятся в разных доменах.
Причина
Сервер удаленного доступа и контроллер домена находятся в разных доменах, поэтому получить объект групповой политики не удается.
Решение
Если вы пытались обновить параметры конкретной точки входа, убедитесь, что новый контроллер домена находится в том же домене, что и сервер точки входа. Если вы пытались заменить конкретный контроллер домена, убедитесь, что новый контроллер домена находится в том же домене, что и подлежащий замене контроллер.
-
Проблема 2
Произошла ошибка. <Не удается получить объект групповой политики GPO_name > на контроллере домена < previous_domain_controller > из replacement_domain_controller контроллера домена <> . Дождитесь завершения репликации домена и повторите попытку.
Причина
В процессе назначения точке входа нового контроллера домена командлет предпринимает попытку прочесть объект групповой политики сервера с данного контроллера, но найти этот объект не удается, поскольку он еще не реплицирован.
Решение
Объект групповой политики сервера отсутствует на новом контроллере домена. Убедитесь, что все объекты групповой политики успешно реплицированы на новом контроллере домена, а затем повторите попытку.
-
Выпуск 3
Произошла ошибка. У вас нет разрешений на доступ к GPO_name объектов групповой политики <> .
Причина
В процессе назначения нового контроллера домена точке входа командлет предпринимает попытку прочесть объект групповой политики сервера с данного контроллера, но сделать это не удается, поскольку у пользователя нет соответствующих разрешений.
Решение
Объект групповой политики существует на контроллере домена, но не может быть считан. Заручитесь необходимыми разрешениями и повторите попытку.
Параметры сервера удаленного доступа
-
Проблема 1
Произошла ошибка. <><> Не удается получить доступ к server_name сервера в точке входа entry_point_name.
Причина
В процессе назначения точке входа нового контроллера домена командлет предпринимает попытку прочесть и записать данные об этом контроллере домена на всех соответствующих серверах удаленного доступа. Командлету не удалось прочесть данные с одного или нескольких серверов удаленного доступа.
Решение
Убедитесь в том, что все соответствующие серверы удаленного доступа работают и на каждом из них у вас имеются разрешения локального администратора, после чего повторите попытку.
-
Проблема 2
Произошла ошибка. не удается сохранить Параметры в реестре на сервере < server_name > в точке входа < entry_point_name > .
Причина
В процессе назначения точке входа нового контроллера домена командлет предпринимает попытку прочесть и записать данные об этом контроллере домена на всех соответствующих серверах удаленного доступа. Командлету не удалось записать данные на один или несколько серверов удаленного доступа.
Решение
Убедитесь в том, что все соответствующие серверы удаленного доступа работают и на каждом из них у вас имеются разрешения локального администратора, после чего повторите попытку.
-
Выпуск 3
Произошла ошибка. Обновления объектов групповой политики не могут применяться к < server_name > . Изменения вступят в силу только при следующем обновлении политики.
Причина
При использовании командлета указанный параметр является сервером удаленного доступа в точке входа, отличной от последней, добавленной в многосайтовое развертывание.
Решение
Увидеть, какие серверы не были обновлены, можно в разделе Состояние конфигурации на панели мониторинга консоли управления удаленным доступом. Это не влечет никаких функциональных нарушений; чтобы немедленно обновить состояние конфигурации, можно запустить командлет на серверах, которые не были обновлены.
2.1. Настройка дополнительных сайтов Active Directory
Все точки входа могут находиться на одном Active Directory сайте. Поэтому для реализации серверов удаленного доступа в многосайтовой конфигурации требуется по крайней мере один Active Directory сайт. Используйте эту процедуру, если необходимо создать первый сайт Active Directory или если требуется использовать дополнительные сайты Active Directory для многосайтового развертывания. Используйте оснастку «Active Directory сайты и службы» для создания новых сайтов в сети Организации.
для выполнения этой процедуры требуется членство в группе «администраторы Enterprise » в лесу или группе «администраторы домена » в корневом домене леса или эквивалентной ей. Просмотрите сведения об использовании соответствующих учетных записей и членстве в группах в локальной среде и группах домена по умолчанию.
Дополнительные сведения см. в разделе Добавление сайта в лес.
Настройка дополнительных сайтов Active Directory
-
На основном контроллере домена нажмите кнопку Пуски выберите Active Directory сайты и службы.
-
В консоли Active Directory сайты и службы в дереве консоли щелкните правой кнопкой мыши узел сайтыи выберите команду создать сайт.
-
В диалоговом окне новый объект — сайт в поле имя введите имя нового сайта.
-
В окне имя ссылкищелкните объект связи сайтов и дважды нажмите кнопку ОК .
-
В дереве консоли разверните узел сайты, щелкните правой кнопкой мыши элемент подсетии выберите пункт создать подсеть.
-
В диалоговом окне новый объект — подсеть в разделе префиксвведите префикс подсети IPv4 или IPv6 в списке выберите объект сайта для этого префикса , щелкните сайт, чтобы связать его с этой подсетью, а затем нажмите кнопку ОК.
-
Повторите шаги 5 и 6, пока не будут созданы все подсети, необходимые для развертывания.
-
Закройте оснастку Active Directory — сайты и службы.
Windows PowerShell эквивалентные команды
Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.
чтобы установить компонент Windows «Active Directory module для Windows PowerShell»:
или добавьте оснастку «Active Directory PowerShell» через Оптионалфеатурес.
при выполнении следующих командлетов на Windows 7 «или Windows Server 2008 R2 необходимо импортировать модуль Active Directory PowerShell:
Чтобы настроить сайт Active Directory с именем «второй сайт», используя встроенные ДЕФАУЛТИПСИТЕЛИНК:
Чтобы настроить подсети IPv4 и IPv6 для второго сайта, выполните следующие действия.
Настройка после развертывания сервиса
После развертывания контроллера домера, выполняем следующие действия.
Синхронизация времени
На контроллере домена с ролью PDC Emulator необходимо настроить источник синхронизации времени. Для этого открываем командную строку от администратора и вводим команду:
w32tm /config /manualpeerlist:»time.nist.gov,0x8 time.windows.com,0x8″ /syncfromflags:manual /reliable:yes /update
* данная команда задаст в качестве источника времени 2 сервера — time.nist.gov и time.windows.com.
* если мы не знаем, на каком контроллере у нас роль PDC Emulator, воспользуемся инструкцией Управление FSMO через powershell.
Соответствие рекомендациям Best Practice
1. Создание коротких имен файлов должно быть отключено
Ранее в DOS все файлы называли в формате 8.3 — 8 символов под имя, 3 для расширения. Необходимость такого подхода сильно устарело, однако по умолчанию для обеспечения совместимости может быть включено.
В командной строке от имени администратора вводим:
fsutil 8dot3name set 1
Готово — поддержка создания коротких имен отключено.
2. Файл Srv.sys должен быть настроен на запуск по требованию.
В обычной командной строке от имени администратора вводим:
sc config srv start= demand
3. Некоторые сетевые адаптеры поддерживают RSS, но эта возможность отключена.
Необходимо для сетевого адаптера, который используется для подключения к сети, включить RSS.
Вводим команду в Powershell:
Enable-NetAdapterRss -Name *
4. Некоторые сетевые адаптеры поддерживают IPsec TOv2, но эта возможность отключена.
Вводим команду в Powershell:
Enable-NetAdapterIPsecOffload -Name *
Настройка DNS
Как правило, на один сервер с ролью контроллера домена устанавливается DNS. В этом случае необходимо выполнить ряд действий.
1. Настройка перенаправления.
Если наш сервер DNS не может ответить на запрос, он должен передавать его на внешний сервер. Для настройки перенаправления открываем консоль управления сервером имен и кликаем правой кнопкой по названию сервера — выбираем Свойства:
Переходим на вкладку Сервер пересылки:
Кликаем по кнопке Изменить:
Вводим адреса серверов, на которые хотим переводить запросы:
* это могут быть любые DNS, например, глобальные от Google или Яндекса, а также серверы от Интернет-провайдера.
2. Удаление корневых ссылок
Если наш сервер не работает по Ipv6, стоит удалить корневые ссылки, которые работают по этой адресации. Для этого заходим в свойства нашего сервера DNS:
Переходим во вкладку Корневые ссылки:
Мы увидим список серверов имен — удаляем все с адресами IPv6.
3. Включение очистки
Чтобы в DNS не хранилось много ненужных записей, настраиваем автоматическую читску. Для этого открываем настройки сервера имен:
Переходим на вкладку Дополнительно:
Ставим галочку Разрешить автоматическое удаление устаревших записей и ставим количество дней, по прошествию которых считать запись устаревшей:
Готово.