Оснастка Resultant set of Policies
В системах Windows XP и Windows Server 2003 имеется очень удобный инструмент для работы с групповыми политиками, который особенно оценят администраторы крупных доменов с многоуровневой иерархией объектов GPO — это оснастка Resultant set of Policies
(Результирующая политика).
Информацию о результирующих политиках можно получать в одном из двух режимов.
- Режим планирования (planning mode) позволяет администраторам моделировать использование групповых политик, определенных в различных объектам GPO, при этом можно даже не выбирать целевые компьютеры и пользователей. К примеру, с помощью этого режима можно получить ответ на вопрос "Какие установки групповых политик применяются к пользователям, учетные записи которых находятся в подразделении Admins, а зарегистрировались они на компьютерах, входящих в подразделение Managers?" При этом можно также моделировать присутствие или отсутствие пользователя в определенных группах безопасности.
- Режим ведения журнала (logging mode) можно использовать только для определения реально действующих параметров групповых политик для пользователя, зарегистрированного на некотором компьютере.
Режим планирования можно применять для любого объекта каталога: домена, подразделения, пользователя и компьютера. Очевидно, что режим ведения журнала возможен только для учетных записей пользователей и компьютеров — поскольку только пользователь может регистрироваться на компьютере.
Процедура предварительного конфигурирования оснастки Resultant Set of Policy практически одинакова для обоих режимов, поэтому нет смысла рассматривать их индивидуально. Для примера определим, какие групповые политики применяются к пользователям, чьи учетные записи располагаются в некотором подразделении. Для этого:
1. Откроем оснастку Active Directory Users and Computers, выберем в окне структуры интересующее нас подразделение и в контекстном меню выполним команду
All Tasks | Resultant Set of Policy (Planning) (Все задачи | Результирующие политики (планирование)).
2. В окне мастера Resultant Set of Policy Wizard (рис. 21.17) можно изменить выбранный контейнер (нажав кнопку
Browse и выбрав другой контейнер для пользовательского или компьютерного объекта) или конкретизировать запрос, установив переключатель
User или Computer и выбрав соответствующую учетную запись (которая может находиться и в другом подразделении).
Рис. 21.17.Окно выбора объектов, для которых определяются результирующие политики
3. Пропустим второстепенные настройки мастера, для чего установим флажок
Skip to the final page и нажмем кнопку Далее (Next).
4. После проверки правильности заданных критериев на странице Summary of Selections снова нажмем кнопку
Next. Система некоторое время будет анализировать параметры политик.
5. На последней странице мастера нажмем кнопку Finish (Готово).
Процесс анализа завершен — можно анализировать результаты. В окне (рис. 21.18), напоминающем окно оснастки
Group Policy Object Editor, будут отображаться только те папки (ниже второго уровня), в которых имеются установленные политики. В нашем случае узел
Computer Configuration содержит все политики, действующие на учетные записи компьютеров, находящиеся в подразделении
Admins, а узел User Configuration содержит все
политики, действующие на учетные записи пользователей, находящиеся в этом же подразделении.
Рис. 21.18. Оснастка Resultant Set of Policy позволяет быстро найти действующие политики
Например, в нашем примере показано, что для выбранного пользователя установлен сценарий выхода из системы (узел
Logoff), а для компьютера задана политика отключения журнала событий выключения системы —
Display Shutdown Event Tracker; причем в столбце GPO Name можно видеть, что эта политика была установлена доменным объектом GPO. Полученные сведения можно (и полезно!) проверить с помощью утилиты GRResult и сравнить результаты.
Полученный инструмент ММС можно закрыть или сохранить (при повторном запуске оснастка вновь анализирует систему и выводит обновленные данные). Можно изменить критерии запроса и выполнить анализ повторно, не закрывая полученной оснастки
Resultant Set of Policy. Для этого нужно выбрать корневой узел в окне структуры и в меню
Action выполнить команду Change Query.
|