Новости

Хрестоматія по темі

  1. Журнал TechNet Magazine, лютий 2007 року року
  2. проблемні параметри
  3. Синхронне і асинхронне застосування параметрів
  4. Обробка за замовчуванням на клієнті
  5. Зміна успадкування за замовчуванням
  6. Проблеми з шаблонами ADM
  7. Корисні інструменти

Дерек Мелбер

Журнал TechNet Magazine, лютий 2007 року року

http://www.microsoft.com/technet/technetmag/issues/2007/02/Troubleshooting

Дерек Мелбер (Derek Melber) є директором з питань рішень для освіти, сертифікації та сумісності компанії DesktopStandard, дочірнього підрозділу Microsoft. Дерек - співавтор керівництва Microsoft Windows Group Policy Guide (Microsoft Press, 2005). Він також написав серію книг, присвячених аудиту безпеки Windows ( www.theiia.org (англійською мовою)). З ним можна зв'язатися за адресою [email protected] .

Служба каталогів Microsoft Active Directory стала одним з найважливіших компонентів багатьох IT-середовищ. Однією з найважливіших можливостей служби Active Directory є підтримка групових політик, що дозволяють адміністраторам централізувати управління контролерами, серверами і робочими станціями домену.

Використання групової політики надає безліч очевидних переваг, є, однак, і один недолік. У великих організаціях вона може бути складна в розробці і реалізації, не кажучи вже про рішення можливих проблем. У даній статті ми з'ясуємо, як організована групова політика, і розглянемо способи усунення пов'язаних з нею проблем. В результаті ви будете готові до вирішення майже будь-яких проблем, пов'язаних з груповою політикою.

проблемні параметри

Групові політики являють собою складний механізм з безліччю складових, особливо в тому, що стосується способу їх взаємодії із загальною ідеєю та реалізацією служби Active Directory®. При пошуку рішення різних проблем, пов'язаних з мережами і доступом, необхідно завжди враховувати службу Active Directory та основи реалізації групової політики.

Щоб почати процес пошуку рішення, розглянемо параметри групової політики, під час налаштування яких можуть бути допущені помилки, а потім перейдемо до більш складних проблем, які можуть виникати в роботі групової політики.

Параметри групової політики проглядаються адміністраторами Active Directory за допомогою файлів адміністративних шаблонів (файли ADM або ADMX) і редактора об'єктів групової політики GPEdit (запускається файлом gpedit.msc). За допомогою GPEdit адміністратор створює файли об'єктів групової політики, або GPO. Об'єкти GPO налаштовуються таким чином, щоб застосовуватися (або не застосовуватися) до комп'ютерів і користувачам в структурі Active Directory. Для правильної роботи об'єкти GPO повинні відповідати багатьом правилам. Розглянемо їх докладніше.

Об'єкти GPO повинні бути пов'язані. Новостворений об'єкт GPO може бути не пов'язаний ні з одним вузлом Active Directory. Такий об'єкт GPO можна редагувати і змінювати, але поки він не пов'язаний з будь-яким вузлом, він не зможе впливати ні на один об'єкт. Щоб переконатися, що об'єкт GPO належним чином пов'язаний, слід переглянути вікно інформації в консолі керування груповою політикою (GPMC), показане на рис. 1.

Мал. 1. Явно відображені зв'язку об'єкта GPO

Об'єкт GPO повинен застосовуватися до об'єкта належного типу. Як відомо, групова політика повинна застосовуватися до об'єктів правильного типу в Active Directory. Однак в ході процесу налагодження цим іноді нехтують. Усередині об'єкту GPO існують дві основні категорії: комп'ютер і користувач. Під час налаштування GPO обов'язково відзначте, до якого типу об'єктів він застосовується - до комп'ютера або до користувача. Таким чином, можна буде перевірити, чи правильного типу об'єкти поміщені в підрозділ, з яким пов'язаний об'єкт GPO.

Об'єкти GPO незастосовні до груп. Об'єкт GPO не може застосовуватися до об'єкта групи безпеки Active Directory. За допомогою об'єкта GPO можна налаштовувати параметри тільки двох об'єктів - комп'ютерів і користувачів. Об'єкти GPO не можуть впливати на об'єкти через приналежність до груп. Наприклад, якщо об'єкт GPO пов'язаний з підрозділом Фінанси, як показано на рис. 2, він буде застосований тільки до об'єктів Дерек і Франк. Параметри об'єкта GPO не буде використовуватися до учасників групи Маркетинг, хто б в неї не входив.

Мал. 2. Підрозділ Фінанси і знаходяться в ньому об'єкти

Об'єкти, на які поширюється GPO, повинні знаходиться в межах області управління. Якщо параметр об'єкта GPO не виробляє належного впливу на об'єкт, існує ще більш важливий параметр - об'єкт повинен знаходитися в межах області управління об'єкта GPO. Це означає, що даний об'єкт повинен знаходитися нижче вузла, до яких пов'язаний об'єкт GPO (досить дочірнього вузла). Наприклад, об'єкт GPO, пов'язаний з підрозділом Фінанси, чи не буде застосований до жодного з об'єктів підрозділи Маркетинг, як показано на рис. 2. Область управління об'єкта GPO простягається від вузла, з яким він пов'язаний, далі вниз по структурі служби Active Directory.

Мал. 3. Для підрозділів, розташованих на одному рівні, об'єкт GPO застосовується тільки до підрозділу, з яким він пов'язаний.

Об'єкти GPO повинні бути включені. При створенні об'єкта GPO він не налаштований на внесення будь-яких змін в цільові об'єкти. Однак він включений як для комп'ютерів, так і для користувачів. Якщо одна з цих налаштувань відключена, це може бути дуже складно відстежити. Тому при налагодженні помилок застосування об'єкта GPO непогано перевірити, чи не відключені чи деякі або навіть всі об'єкти GPO. Це можна зробити в розділі Об'єкти групової політики | Політика облікових записів в консолі GPMC, перевіривши стан GPO.

Деякі параметри вимагають перезавантаження. Якщо параметр GPO працює неправильно, причиною може бути механізм обробки GPO. При періодичному фоновому оновленні об'єктів GPO можуть бути оброблені не всі параметри GPO, а лише деякі з них. Тому вже створений параметр може ще не діяти. Деякі параметри відносяться до категорії політик переднього плану і застосовуються тільки при перезавантаженні комп'ютера або виході користувача з системи і повторному вході. Прикладами параметрів, яким властиво таку поведінку, можуть бути установка програмного забезпечення, перенаправлення папки і додаток сценарію.

Синхронне і асинхронне застосування параметрів

В об'єкті GPO можна задати спосіб застосування політики при завантаженні і вході в систему. Внесені зміни або нададуть негайний доступ до робочого столу до повного застосування всіх політик, або забезпечать застосування всіх політик до того, як користувач отримає доступ до робочого столу. У табл. 1 показано поведінку кожної операційної системи за умовчанням.

Таблиця 1

Обробка за замовчуванням на клієнті

Операційна система

Завантаження

Вхід в систему

оновлення політики

Windows 2000

синхронно

синхронно

асинхронно

Windows XP Professional

асинхронно

асинхронно

асинхронно

Windows Server 2003

синхронно

синхронно

асинхронно

Якщо потрібно змінити дану поведінку, можна модифікувати наступний параметр політики:

Computer Configuration | Administrative Templates |

System | Logon | Always wait for the network at computer startup and logon

Більшість адміністраторів вважають за краще синхронне зміна політики для забезпечення застосування всіх політик до того, як користувач отримає доступ до робочого столу. Таким чином забезпечується застосування всіх параметрів безпеки і настройки до того, як користувач зможе виконати будь-які дії.

Зверніть увагу, що така поведінка за умовчанням відключено в Windows® XP Professional на користь оптимізації прискореного входу в систему.

Зміна успадкування за замовчуванням

Існує чотири методи зміни спадкування за замовчуванням для обробки об'єктів GPO. Ці потужні можливості слід використовувати з обережністю, оскільки вони можуть істотно змінити поведінку обробки групових політик. Вони також дуже важкі в налагодженні. Можливості зміни спадкування за замовчуванням включають такі чотири параметри і настройки:

  • блокувати спадкування політики;
  • примусове виконання об'єктів GPO;
  • фільтрація об'єктів GPO за списком управління доступом (ACL);
  • фільтри інструментарію управління Windows (WMI).

Оскільки ці параметри слід використовувати з обережністю, випадки їх використання повинно бути нескладно записати. З'ясувати, чи використовуються ці можливості, можна в консолі управління груповими політиками GPMC. Блокування спадкування виконується на рівні домену або підрозділу в панелі GPMC. Параметри примусового виконання об'єктів, фільтрації за списками ACL, і фільтрація WMI задаються для кожного об'єкта GPO окремо.

Ще один спосіб - це запустити на кінцевому комп'ютері команду Gpresult, щоб дізнатися, чи не перешкоджає чи якийсь із цих параметрів застосування політик. Для отримання більш докладної інформації про застосовуваний наборі політик можна додати до команди Gpresult параметр / v, що включає детальний висновок.

Проблеми з шаблонами ADM

Налаштовуючи параметри в об'єкті GPO в розділі Адміністративні шаблони, ви працюєте з шаблонами ADM. Крім шаблонів ADM, що поставляються з операційною системою, можна також створювати власні шаблони для використання в об'єктах GPO. Код в шаблоні ADM створює папки і політики в редакторі групових політик в розділі Адміністративні шаблони. Однак в разі, якщо шаблон ADM пошкоджений, відсутній або неправильно налаштований, деякі або всі з налаштувань можуть не відображатися в редакторі. Нижче наводяться деякі з проблем, яких слід остерігатися при використанні шаблонів ADM.

Відсутні шаблони ADM. Якщо при редагуванні об'єкта GPO в призначеному для користувача шаблоні ADM виявляються параметри, які не відображаються в редакторі, даний шаблон ADM необхідно імпортувати в об'єкт GPO. Це можна зробити, клацнувши правою кнопкою миші на вузлі Адміністративні шаблони в редакторі і вибравши Додати або видалити шаблони.

Відсутні переваги. Існує два типи параметрів, які можна створювати в призначеному для користувача об'єкті GPO: переваги і політики. Політики є параметрами за замовчуванням, всі вони потрапляють в один з чотирьох підрозділів в реєстрі, кожен з яких закінчується текстом "Policies" (політики). Уподобання - це зміни реєстру «старого стилю», які не потрапляють ні в один з чотирьох підрозділів і які важко скасувати після внесення. За замовчуванням такі переваги не відображаються в редакторі. Їх відображення потрібно включити, що можна зробити, вибравши Вид в меню на панелі інструментів. Далі потрібно вибрати Фільтрація, потім встановити прапорець "Показувати тільки керовані параметри політики". Це призведе до негайного відображення переваг, налаштованих в імпортованому призначеному для користувача шаблоні ADM.

Корисні інструменти

Існує безліч засобів виявлення проблем в області групової політики. Деякі з них вбудовані в операційну систему, інші можна завантажити і встановити. Далі ми обговоримо відповідні кошти, щоб ви могли вибрати те, що підходить для вирішення конкретного завдання.

Dcgpofix. Іноді можуть виникати проблеми з одним з двох стандартних об'єктів GPO: Використовуваний за замовчуванням GPO домену і буде використовуватися під GPO контролерів домену. Якщо один або обидва з них пошкоджені настільки серйозно, що їх не можна виправити, або ж виникає інша невідома неполадка, за допомогою засобу dcgpofix їх можна повернути в стан за замовчуванням. Даний засіб включено в Windows Server® 2003. Його не слід використовувати на контролері домену Windows 2000; замість цього можна використовувати інструмент Recreatedefpol. Необхідно пам'ятати, що після використання цього кошти будуть втрачені всі призначені для користувача настройки.

Recreatedefpol. Даний засіб працює аналогічно Dcgpofix, але для серверів Windows 2000. З його допомогою можна повернути два згаданих стандартних об'єкта GPO в їх початковий стан. Даний інструмент призначений для відновлення після серйозного збою, його не слід використовувати для поточного обслуговування об'єктів GPO. Цю програму можна com/fwlink/?LinkId=77612> завантажити з вузла корпорації Майкрософт (англійською мовою).

Перегляд подій. Засіб перегляду подій може надати велику інформації про групових політиках. На жаль, для пошуку записів про групових політиках потрібно переглянути всі з різних файлів журналів. Там можна знайти записи про застосування, реплікації і оновленні політик, що може допомогти у виявленні виниклої проблеми. У журналах подій іноді недостатньо інформації про конкретні помилки групових політик, але слід пам'ятати, що не піддаються ідентифікації помилки завжди можна пошукати в TechNet.

Gpresult. Даний засіб можна запускати тільки на цільовому комп'ютері, зате воно видає інформацію про результуючому наборі політик (RSoP), заблокованих об'єктах GPO, дозволах на GPO і багато іншого. З параметром / v дана команда виведе детальну інформацію про об'єкти GPO, що діють для даного комп'ютера, і облікові записи користувачів, пов'язаних з поточним сеансом роботи.

Gpupdate. Для реалізації нових параметрів GPO або перевірки повноти обробки всіх GPO можна використовувати засіб Gpupdate. Це утиліта командного рядка, яку поставляють з операційною системою (Windows XP і наступні версії). Вона викликає фонове оновлення, яке застосовує всі параметри GPO, які відповідають даному типу оновлення. З параметром / force вона повторно застосовує параметри GPO, навіть якщо з моменту останнього оновлення не відбувалося ніяких змін об'єктів GPO. Виконання даної команди перед виконанням команди Gpresult є дуже потужним способом відстеження неполадок об'єктів групових політик.

Gpotool. Оскільки всі об'єкти GPO реплицируются з контролера домену, на якому в них були внесені зміни, на всі інші контролери, існує ймовірність збою реплікації або неполадок при узгодженні змін. В результаті може виникнути неузгодженість або збій при застосуванні змін до кінцевих комп'ютерів. Утиліти Gpresult і RSOP допомагають визначити, які з об'єктів GPO були застосовані, але даний засіб, Gpotool, допомагає виявити неузгодженість об'єктів GPO між контролерами домена. Ця утиліта входить до складу Windows Server 2003 Resource Kit за адресою go.microsoft.com/fwlink/?LinkId=77613 (англійською мовою).

Replmon. При налагодженні реплікації об'єктів GPO з одного контролера домену на інший важливо знати, яким з інструментів можна скористатися для усунення неполадок. Оскільки реплікації підлягають дві частини об'єкта GPO, слід розглянути реплікацію кожної з них. Перша частина - вміст папки SYSVOL на кожному з контролерів домену, управляється службою реплікації файлів (FRS). Існує не так вже й багато способів управління такої репликацией, крім виключення і включення служби для спрацьовування інтервалу реплікації. Інша частина об'єкта GPO, яка зберігається в службі каталогів Active Directory, управляється репликацией Active Directory. Даною репликацией можна управляти між контролерами домену на тому ж сайті Active Directory за допомогою засобу Active Directory - сайти і служби. Однак в тих випадках, коли необхідно викликати реплікацію між контролерами домена на різних узла' Active Directory, потрібно використовувати таку утиліту, як Replmon. Засіб Replmon може запускати примусову реплікацію бази даних служби Active Directory за межі кордону сайту, що неможливо зробити за допомогою засобу Active Directory - сайти і служби. Таким чином у разі неузгодженості інформації групових політик, що зберігається в Active Directory, можна за допомогою Replmon запускати процес реплікації для узгодження цієї інформації на кожному контролері домену. Утиліта Replmon входить в Resource Kit і засоби підтримки Windows XP. Її можна завантажити за адресою go.microsoft.com/fwlink/?LinkID=77614 (англійською мовою).

RSOP. Подібно утиліті командного рядка Gpresult, засіб RSOP забезпечує графічний інтерфейс перегляду параметрів, застосованих до всіх об'єктів GPO. Файл RSOP.MSC вбудований в Windows XP Professional і Windows Server 2003. Даний інструмент надає дані про всіх застосованих параметрах політик в форматі, схожому на формат редактора об'єктів групової політики, як показано на рис. 4.

Мал. 4. Засіб перегляду результуючого набору політик

висновок

Пошук та усунення несправностей групових політик - не найлегша з можливих завдань. Насправді, як показано в даній статті, групова політика є складним предметом. Приступаючи до вирішення пов'язаних з груповою політикою проблем, необхідно розуміти загальні принципи її обробки і базову архітектуру. Необхідно також мати чітке уявлення про те, як оновлюються, реплицируются, обробляються і застосовуються об'єкти групової політики. Оволодіння всіма цими поняттями сильно допомагає при усуненні будь-якої конкретної проблеми в груповій політиці. Дотримуючись наведених у даній статті рекомендацій і правильно використовуючи необхідні інструменти, ви будете готові впоратися з будь-якими проблемами групової політики.

Com/fwlink/?
Com/fwlink/?

Уважаемые партнеры, если Вас заинтересовала наша продукция, мы готовы с Вами сотрудничать. Вам необходимо заполнить эту форму и отправить нам. Наши менеджеры в оперативном режиме обработают Вашу заявку, свяжутся с Вами и ответят на все интересующее Вас вопросы.

Или позвоните нам по телефонам: (048) 823-25-64

Организация (обязательно) *

Адрес доставки

Объем

Как с вами связаться:

Имя

Телефон (обязательно) *

Мобильный телефон

Ваш E-Mail

Дополнительная информация: