Як системним адміністраторам у підприємствах, так і домашнім користувачам рано чи пізно доводиться налаштовувати комп'ютери, а також конфігурацію призначених для користувача облікових записів. У домашніх умовах ви можете просто застосувати до свого комп'ютера і необхідним облікових записів твіки реєстру, за допомогою яких більшість налаштувань будуть застосовані після перезавантаження комп'ютера або налаштовувати його вручну, що може зайняти дуже багато часу. Але як же бути, якщо ви працюєте адміністратором у великій компанії, де потрібно налаштувати десятки, а може і сотні комп'ютерів. Причому, у вашій організації, швидше за все, існує кілька відділів, у кожного з яких повинні бути індивідуальні настройки. Наприклад, комп'ютери, розташовані в конференц-залах, призначені для проведення презентацій повинні бути оснащені шпалерами робочого столу з корпоративним логотипом. Або співробітники відділу маркетингу не повинні мати права на запуск оснащення служб системи або редактора системного реєстру. Більшість налаштувань локального комп'ютера, а також комп'ютерів, які входять до складу доменної мережі, налаштовуються за допомогою групових політик.
Групові політики - це набір правил, що забезпечують інфраструктуру, в якій адміністратори локальних комп'ютерів і доменних служб Active Directory можуть централізовано розгортати і керувати налаштуваннями користувачів і комп'ютерів в організації. Всі настройки облікових записів, операційної системи, аудиту, системного реєстру, параметрів безпеки, установки програмного забезпечення та інші параметри розгортаються і оновлюються в рамках домена за допомогою параметрів об'єктів групової політики GPO (Group Policy Object). Групові політики є компонентом операційної системи Windows і ґрунтуються на тисячах окремих параметрів політик, інакше кажучи, політик, що визначають певну конфігурацію для свого застосування.
Для операційних систем Windows концепція групових політик не є інноваційним кроком у сфері системної безпеки і настройки операційних систем. Перші політики з'явилися ще в Windows NT 4.0 і називалися системними політиками. Ці політики призначалися тільки для зміни даних системного реєстру і грунтувалися на файлах, які називалися шаблонами adm. Для створення цих політик використовувався спеціальний редактор системних політик. На той час системні політики були значним кроком в забезпеченні безпеки операційних систем Windows, незважаючи на те, що об'єкти локальної політики не використовувалися, і система Windows NT 4.0 не підтримувала служби Active Directory.
Групові політики з'явилися в операційній системі Windows 2000 і включали в себе близько 900 налаштувань для користувачів і комп'ютерів, які могли в повній мірі застосовуватися до клієнтських комп'ютерів. З утиліти, призначеної для зміни даних системного реєстру, групові політики операційної системи Windows 2000 перетворилися в компонент, призначений для зміни налаштувань операційної системи. Групові політики як і раніше розташовані в шаблонах ADM. Система Windows 2000 Server вже дозволяє поширювати об'єкти групових політик для комп'ютерів, розташованих в домені і підрозділах (OU) в Active Directory.
В операційних системах Windows XP і Windows Server 2003 можливості групових політик були розширені. З появою цих систем у адміністраторів з'явилася можливість управляти параметрами безпеки і установкою додатків, а кількість політик збільшилася до 1400. Локальні об'єкти групової політики існували незалежно від того, чи входить комп'ютер до складу домену, робочої групи або зовсім не належить до мережевому середовищі. Все це об'єкти зберігалися в папці% SystemRoot% System32Group Policy. Політики поширювалися тільки на той комп'ютер, де зберігаються самі GPO. У тому випадку, якщо комп'ютер не належав до домену, локальна політика використовувалася тільки для настройки конфігурації локального комп'ютера. Але якщо він входив до складу домену Active Directory, то параметри, прив'язані до інфраструктурної одиниці домену (домен, ліс, сайт) замінювали параметри локального об'єкта групової політики.
Операційні системи Windows Vista і Windows Server 2008 вже підтримують близько 2500 налаштувань групових політик. Нові категорії управління політиками тепер уже забезпечують управління живленням, можливість блокування встановлення пристроїв, поліпшені параметри безпеки, розширення налаштувань Internet Explorer, а також можливість делегувати користувачам право встановлювати драйвери принтерів. У цих операційних системах було створено розширення для формату шаблонів політик. У форматів adm був значний недолік - для реалізації локалізації групових політик потрібно було створювати окремий adm-файл для кожної мови. Тепер адміністративні шаблони представляють собою пару XML-файлів - * .admx файл, який визначає зміни в реєстрі, а також .adml файл, який відповідає за мовні настройки зазначеної політики. Незважаючи на ці зміни, в одній системі можуть співіснувати як adm, так і admx / adml шаблони без всяких проблем. В операційній системі Windows Server 2008 можна створювати стартові об'єкти групової політики. Використання стартового об'єкта групової політики дозволяє зберігати набір параметрів адміністративних шаблонів політик в одному об'єкті і включати ці параметри в нові об'єкти групової політики. Також для кожного об'єкта групових політик з'явилися можливості додавання коментарів, а відомості про підключені мережах забезпечують поліпшення відгуку групової політики на зміну мережевих умов.
В операційній системі Windows Server 2008 з'явився наступний функціонал:
- Уподобання групових політик. Ці переваги надають безлічі розширень для групової політики. За допомогою переваг групової політики можна керувати сопоставлениями дисків, параметрами реєстру, локальними користувачами і групами, службами, файлами і папками без необхідності вивчення мови сценаріїв.
- Служба групової політики. Інфраструктура групової політики вдосконалена за рахунок розробки нової архітектури для виконання групової політикою повідомлень і обробки.
- Ведення журналу. Для запису повідомлень про події групової політики тепер використовується журнал системи, а не історію послуги. У засобі «Перегляд подій» ці нові повідомлення із зазначенням джерела Microsoft-Windows-GroupPolicy.
- Робота з декількома об'єктами локальної групової політики. На відміну від групової політики операційних систем Windows XP і Windows Server 2003, тепер з'явилася можливість управління декількома локальними об'єктами групової політики на одному комп'ютері, що полегшує управління для середовища, де потрібно управляти груповими політиками тільки на одному комп'ютері.
В операційних системах Windows 7 і Windows Server 2008 R2 вже налічується близько 3200 налаштувань групових політик, а також з'явилися такі зміни в порівнянні з попередніми версіями Windows:
- Командлети Windows PowerShell для керування груповою політикою. Тепер, в операційних системах Windows 7 і Windows Server 2008 R2 з'явилася можливість управління груповими політиками засобами найпотужнішою оболонки і мови сценаріїв Windows - PowerShell. Для виконання цих завдань можна використовувати понад 25 командлетів.
- Зміни в перевагах групових політик. З появами нових систем також оновилися переваги групових політик. Найпростішим прикладом того служить поліпшення розширення переваги «Параметри оглядача», де додані елементи переваги для Internet Explorer 8.
- Зміни в початкових об'єктах групових політик. Крім початкових об'єктів групових політик в Windows 7 і Windows Server 2008 R2 з'явилися системні початкові об'єкти групової політики. Це об'єкти, призначені тільки для читання, і що представляють основу для параметрів певного сценарію.
- Поліпшення призначеного для користувача інтерфейсу параметрів політик. У новітніх операційних системах дуже сильно змінився зовнішній вигляд параметрів політики. У попередніх версіях Windows діалогове вікно властивостей політики адміністративного шаблону містило три окремих вкладки: Параметр, Пояснення і Коментар. У Windows Server 2008 R2 ці настройки виконуються в одному місці діалогового вікна властивостей.
З циклу статей, присвячених, присвячених груповим політикам Windows ви дізнаєтеся про функціонал:
- оснащення консолі управління «Редактор локальної групової політики»;
- локальних політиках безпеки (піднаборі політик, пов'язаних з безпекою комп'ютера);
- шаблонах безпеки і групових політик;
- управлінні політиками засобами PowerShell;
- створення власних адміністративних шаблонів.
У статтях, присвячених функціоналу групових політик в Windows Server 2008 / 2008R2 ви дізнаєтеся про роботу:
- оснащення «Консоль керування груповою політикою»;
- перевагах групових політик;
- використанні пріоритетів для одного і того ж параметра політики в підрозділі;
- фільтрах інструментарію управління Windows;
- початкових об'єктах групової політики;
- делегування прав групових політик;
- аналізі та налаштування безпеки.
Також будуть розглянуті утиліти командного рядка, які є аналогами майстри результатів групової політики, оснащення «Аналіз та налаштування безпеки», оснащення «Майстер налаштування безпеки», а також мають бути включені аудиту успішних змін служби каталогів на контролері домену.