В первой части статьи разбираем основы групповых политик Active Directory: иерархию, приоритеты и наследование настроек для Windows 10/11
Определение объекта групповой политики и его применение
Управление параметрами пользователей и компьютеров с операционной системой Windows в домашней сети или сети небольшого предприятия можно проводить достаточно эффективно с помощью редактора локальных групповых политик. Если речь идет о среднем или крупном предприятии с сотнями и тысячами компьютеров в сети, то в этом случае администраторы применяют централизованные средства управления. Одними из таких средств являются групповые политики службы каталога Active Directory (AD).
Очевидно, что действовать они будут только на членов доменов AD.
Процедура настройки и применения групповых политик следующая. Необходимо создать новый или использовать существующие по умолчанию объекты групповой политики (GPO). GPO содержат группы политик, собранные в иерархическую структуру папок и подпапок. Каждая политика – это один из параметров пользователя или компьютера.
По умолчанию в AD создаются два GPO с названиями «Политика домена по умолчанию» и «Политика контроллеров домена по умолчанию».
Первый GPO привязан к домену, второй к подразделению «Контроллеры домена».
Если администратор создал новые GPO, то применять их можно только к контейнерам AD: к сайтам, доменам или подразделениям (OU). Применять GPO к учетным записям пользователей, компьютеров или групп невозможно. Действие политик на содержимое контейнеров основано на эффекте наследования.
Если GPO привязан к OU, то по умолчанию политики действуют на объекты в этом OU и на объекты в дочерних OU. Если GPO привязан к домену, то политики действуют на объекты в этом домене и на объекты в OU, которые могут быть созданы в этом домене, а также на объекты в дочерних к первоначальным OU. Если GPO привязан к сайту, то политики действуют на объекты во всех доменах, которые созданы в этом сайте, а также на объекты в OU и в дочерних к ним OU. Допускается применение нескольких GPO к одному контейнеру AD, а также одного и того же GPO к нескольким контейнерам.
Порядок применения объектов групповых политик и их приоритет
Первыми применяются локальные групповые политики, затем политики, привязанные к сайту, затем к домену, затем к OU и его дочерним OU. Если настройки политик на разных уровнях не конфликтуют, то мы получим кумулятивный эффект применения всех настроенных политик. Если есть конфликты, то приоритет у тех политик, которые применяются позже. Таким образом выигрывают GPO для OU.
Если к одному контейнеру привязаны несколько GPO, то они применяются в обратном порядке, т.е. тот GPO, который привязан раньше имеет больший приоритет. Чтобы изменить приоритет GPO, надо в консоли управления групповыми политиками (GPMC) стрелками изменить порядок обработки GPO.
Чтобы отменить применение политик из GPO, привязанных к вышестоящим контейнерам, надо отключить наследование для выбранного OU.
Может возникнуть необходимость в обязательном применении политик из вышестоящего GPO. Например, администратор домена должен применить политики из доменного GPO ко всем компьютерам во всех OU в домене. В этом случае надо в контекстном меню GPO отметить пункт «Enforced».
GPO в режиме Enforced получает наивысший приоритет и политики в этом GPO не могут быть переопределены нижележащими GPO. На такое GPO не действует блокировка наследования.
Политики находящиеся в GPO делятся на два больших раздела: Computer Configuration и User Configuration. Первый содержит политики, применяемые к параметрам учетных записей компьютеров, а второй – учетных записей пользователей.
Есть возможность отключить в свойствах GPO каждый раздел. При большом количестве GPOотключение неиспользуемых разделов позволит сократить количество обрабатываемых политик и тем самым сократить время необходимое для логона пользователей.