Новости
- Вступ Коли створюється параметр GPO, він повинен десь зберігатися, щоб його можна було постачати...
- Як зберігаються параметри GPO
- Налаштування шаблонів адміністрування
- Параметри опцій безпеки
- параметри переваг
- висновок
Вступ
Коли створюється параметр GPO, він повинен десь зберігатися, щоб його можна було постачати на цільові машини. У цій статті ми розглянемо, як зберігаються ці параметри, де вони зберігаються, і як вони відслідковуються контролерами доменів в доменах Active Directory.
Вам коли-небудь доводилося створювати новий GPO, а потім налаштовувати кілька політик, після чого вам ставало цікаво, де і як зберігаються ці налаштування? У цій статті розглядається, як параметри в GPO зберігаються, а також де вони зберігаються. Ця інформація необхідна для адміністраторів домену та адміністраторів групової політики під час діагностування та для загальних знань того, як працює групова політика. Бувають ситуації, коли вам необхідно виконати певні завдання з об'єктом групової політики вручну, а також з параметрами, що зберігаються в файлах, коли GPO пошкоджений, і параметри неможливо подивитися через звичайний редактор.
Де зберігаються параметри GPO
Під час створення GPO в фоновому режимі відбувається багато процесів. Перш за все, коли ви створюєте новий GPO, контролер домену, керуючий роллю емулятора головного контролера домену (PDC Emulator), є головним. Це вбудоване, стандартну поведінку, яке можна змінити, але спочатку PDC Emulator є головним.
цікаве
відмінні демотиватори на будь-який смак. Спільнота тільки набирає обертів. Внеси і ти свій внесок
На цьому контролері домену оновлюється «оболонка» для вмісту того, що ви налаштували в GPO під час редагування. «Оболонка» для GPO є текою, що зберігається в папці Політик (Policies). Щоб зайти в цю папку Policies, вам потрібно знайти папку Sysvol на контролері домену. За замовчуванням вона розташовується за наступним шляхом c: \ Windows \ Sysvol \ sysvol \\ Policies. В папці Policies список папок представлений довгим буквено-цифровим значенням. Це буквено-цифрове значення є GUID (Global Unique Identifier) для GPO. На малюнку 1 показана звичайна папка Policies, в якій перераховано багато GUID. Список GUID представляє все GPO, які є у вашому домені.
Малюнок 1: GUID представлені папками в папці Policies на контролері домену
Це розташування в Sysvol на контролері домену називається шаблонами групової політики (Group Policy Template - GPT). GPT є на кожному контролері домену. Коли PDC Emulator створює GPT для GPO, служба реплікації бере файли і дублює їх на інші контролери домену в домені. Служба реплікації файлів (File Replication Service -FRS) здійснює процес копіювання на всі контролери домену.
Примітка: FRS може управлятися DFS-R в залежності від версії Windows, яку ви використовуєте.
Як зберігаються параметри GPO
Тепер, коли «оболонка» для GPO створена у вигляді папки з назвою GPO GUID, можна налаштувати GPO, використовуючи редактор групової політики (Group Policy Editor). Коли ви редагуєте GPO, ви бачите два верхніх розділу GPO: конфігурація комп'ютера і конфігурація користувача (Computer Configuration, User Configuration), як показано на малюнку 2.
Малюнок 2: Кожен GPO містить два основні розділи: конфігурація користувача і конфігурація комп'ютера
Якщо ви подивіться на структуру папок GPT для GPO, ви побачите дві основні папки: Машина і Користувач (Machine and User), малюнок 3.
Малюнок 3: GPT для GPO зберігає параметри в папках Machine або User
Як припускають назви папок, параметри, що настроюються в розділі «Конфігурація комп'ютера», зберігаються в папці Machine, а параметри розділу «Конфігурація користувача» зберігаються в папці User.
З цього моменту кожна настройка обробляється трохи по-різному, при зберіганні в папках Machine або User. Структура файлу, тип файлу і розширення файлу значно варіюється. Тут я розповім про багатьох параметрах і способі їх зберігання.
Налаштування шаблонів адміністрування
Існує дві області, в яких ці параметри можна налаштувати в GPO. Звичайно, одна з них знаходиться в Computer Configuration | Policies, а інша в User Configuration | Policies. Кожен параметр політики в цих вузлах редактора GPO є модифікацією розділу системного реєстру. Всі ці параметри зберігаються в файлі під назвою Registry.pol в папці Machine або User, як показано на малюнку 4.
Малюнок 4: Всі параметри шаблонів адміністрування зберігаються в файлі Registry.pol
Структура цього файлу досить проста. Розділ реєстру, значення, яке необхідно змінити, і дані значення перераховані у файлі, як показано на малюнку 5.
Малюнок 5: Розділ реєстру, значення і дані містяться в Registry.pol файлі
Параметри опцій безпеки
Ви знайдете довгий список параметрів безпеки в вузлі Computer Configuration | Policies | Windows Settings | Security Settings | Local Policies | Security Options. Ці параметри є або модифікації змінних операційної системи, або модифікації системного реєстру. Всі параметри цього вузла зберігаються в файлі під назвою gpttmpl.inf, який знаходиться в папці Machine \ Microsoft \ Windows NT \ SecEdit.
Наприклад, якщо ви змінюєте ім'я облікового запису адміністратора (використовуючи політику Облікові записи: перейменувати обліковий запис адміністратора (Accounts: Rename administrator account policy)), це створить запис у файлі gpttmpl.inf в розділі System Access, як показано на малюнку 6.
Малюнок 6: Деякі настройки опцій безпеки змінюють змінні ОС
Ще одним прикладом є ситуація, коли ви змінюєте параметри UAC (використовуючи User Account Control: Admin Approval Mode for the Built in Administrator Account setting), це створює запис у файлі gpttmpl.inf в розділі Registry Values, як показано на малюнку 7.
Малюнок 7: Деякі параметри опцій безпеки змінюють значення системного реєстру
параметри переваг
Найновішим з усіх параметрів групової політики є параметр уподобань групової політики (Group Policy Preferences). Ці параметри можна подивитися, якщо ви редагуєте GPO на Windows Server 2008 або Windows Vista SP1 (зі встановленою RSAT).
Ці параметри працюють подібно іншим параметрам, але вони зберігаються в XML файли. Наприклад, якщо ви задали GPP Shortcut в User Configuration, файл XML для цього значка буде збережений в папці User \ Preferences \ Shortcuts в файлі під назвою shortcuts.xml.
Структура файлу не настільки проста, як структури інших файлів, але ви все ж зможете побачити загальні розділи файлу і його вміст.
висновок
Тепер, коли ви знаєте, де зберігаються параметри, коли ви створюєте і налаштовуєте групову політику, ви можете виконувати більш детальне діагностування цих параметрів самостійно. Суть в тому, що коли параметр створюється, також створюється файл, який буде зберігати параметри і подробиці конфігурації. Є два основних рівня конфігурації: користувач і комп'ютер. Ці рівні визначають, де буде зберігатися параметр на основі того, який розділ GPO налаштовується. Тепер завдяки цій інформації ви зможете діагностувати, переглядати і вирішувати практично будь-які проблеми зі зберіганням GPO.
Автор: Дерек Мелбер (Derek Melber)
Вам коли-небудь доводилося створювати новий GPO, а потім налаштовувати кілька політик, після чого вам ставало цікаво, де і як зберігаються ці налаштування?