 |
|
отчёт по лабораторному занятию
Практическое занятие №4
Создание групповых политик и разрешение конфликтов между политиками
Цель
Создание групповых политик Active Directory
Оборудование и обеспечение
2.1. Персональный компьютер c виртуальной машиной VMWare c установленной ОС Microsoft Windows Server 2003, Active Directory.
2.2. Дистрибутив ОС Microsoft Windows Server 2003 на виртуальной машине на диске C:\I386.
Теория
Политики групп (group policies) — это совокупность правил управления, контроля и наблюдения за действиями пользователей.
На уровене родительского производственного подразделения, домена или сайта Политики групп обрабатываются в следующем порядке:
1. Системы Windows 2000, Windows XP Professional и Windows Server 2003 обладают одним объектом политики локальной группы, и при запуске системы он обрабатывается первым. В сценарии с доменом этот объект политики групп скорее всего будет в наименьшей степени влиять на локальную систему, которая входит в домен, поскольку последующие объекты политики групп, вероятно, замещают эти параметры. В автономных системах Windows обычно обрабатывается только один объект политики групп. В этой ситуации он будет обладать наибольшим, если не единственным, влиянием.
2. Следующим набором параметров политики групп, подлежащим обработке, являются параметры для всех объектов политики сайтов. Эти объекты политики групп обрабатываются синхронно (администраторы доменов устанавливают порядок, в котором выполняется их обработка). Они обрабатываются в соответствии со списком снизу вверх, при этом одна из них на самом верху списка вступает в действие последней на этом уровне.
3. После того как все политики групп для сайтов задействованы, следующим развертывается набор объектов политик групп на уровне домена. Эти политики также выполняются синхронно и обрабатываются снизу вверх по списку, при этом одна из них на самом верху списка вступает в действиепоследней, если развертыванию подлежит больше одного набора.
4. Последним должен быть выполнен набор объектов политик групп уровня производственных подразделений. Все объекты политик групп, связанные с самым верхним (родительским) производственным подразделением в дереве наследования, выполняются первыми, за ними следуют те, которые расположены на следующем более высоком уровне, и так до тех пор, пока вы не достигнете локального производственного подразделения, политика которого применяется последней. Для каждого производственного подразделения в иерархии может существовать несколько политик. Они обрабатываются в определенном порядке, который устанавливается администратором домена, и выполняются синхронно. Это означает, что все объекты политики групп в самой верхней точке дерева наследования выполняются первыми в определенном порядке, который устанавливается администратором домена, после чего все объекты политики групп, расположенные в следующей точке иерархии дерева наследования, выполняются в определенном порядке, устанавливаемом администратором домена, и т.д. по всему пути сверху вниз, вплоть до локального производственного подразделения.
Обратите внимание, что когда вы переходите на вкладку Group Policy и щелкаете на кнопке Edit, на экране отображается информация, относящаяся к конфигурации компьютера, а также пользовательская конфигурация. Если между ними существует противоречие, в Windows Server 2003 преимущество остается за конфигурацией компьютера.
Задание
4.1.создайте на уровне сайта групповую политику Site, которая назначала бы для пользователя в качестве обоев рабочего стола картинку Site.jpg;
4.2.на уровне домена - групповую политику Domain, назначала пользователю картинку Domain.jpg;
4.3.на уровне организационного подразделения HR - групповую политику OU, которая назначала бы пользователю картинку OU.jpg.
4.4.какую картинку увидит пользователь HR_User1 из OU HR? Войдите от его имени на компьютер и проверьте.
4.5.отключите групповую политику OU на уровне OU HR. Какую картинку теперь увидит пользователь? Выполните проверку.
4.6.установите на уровне OU HR параметр Блокировать наследие политики. Какую картинку должен увидеть пользователь? Выполните проверку.
4.7.создайте новую политику Message на уровне домена, которая будет выводить при входе пользователя окно сообщения с текстом “Групповая политика Message”. Эта политика должна использовать настройки для пользователя (а не для компьютера). Применилась ли эта политика при входе пользователя HR_User1? А при входе пользователя Administrator?
Примечание. Для вывода сообщения можно использовать Сценарии входа, например, c названием message.vbs и состоящий из одной строки: MsgBox “Групповая политика Message”
4.8. Установите для групповой политики Message параметр Не перекрывать. Определите, должно ли появляться окно сообщение при входе пользователя.
5. Указания к заданиям
Сделайте поиск картинок на диске С:\ вашей виртуальной машины. Выбирите 3 из них, скопируйте на диск С:\Pictures и откройте общий доступ к этой папке Pictures. Картинки назовите следующими именами Site.jpg, Domain.jpg, OU.jpg
5.1.Откройте консоль Active Directory - сайты и службы (Пуск--Администрирование), в ней раскройте узел Sites, щелкните правой кнопкой мыши по сайту Default-First-Site-Name, в контекстном меню выберите Свойства, перейдите на вкладку Групповая политика и нажмите на кнопку Создать. Введите название для нового объекта групповой политики Site. Выделите созданный вами объект в списке и нажмите на кнопку Изменить.
5.2.Раскройте узел Конфигурация пользователя -> Административные шаблоны -> Рабочий стол (Desktop) -> Активный рабочий стол (Active Desktop), в правой части экрана щелкните два раза по параметру Обои активного рабочего стола (Active Desktop Wallpaper), переведите переключатель в положение Включен, в поле Фоновый рисунок введите \\имя_вашего_компьютера\pictures\Site.jpg (например \\lab41\pictures\Site.jpg) и в списке Отобразить фоновый рисунок выберите Растянуть, а затем нажмите OK. Выберите параметр Включить Active Desktop и установите переключатель в положение Включен. Закройте консоли Групповая политика и Active Directory сайты и службы. Можно проверить, работает ли эта политика, завершив свой сеанс и войдя обратно от имени учетной записи администратора.
5.3.Откройте консоль Active Directory пользователи и компьютеры, щелкните правой кнопкой мыши по узлу имя_вашего_домена, в контекстном меню выберите Свойства и перейдите на вкладку Групповая политика. Создайте аналогично п.2 для домена новую политику с именем Domain и настройте для нее те же параметры, что и для политики Site, только в качестве файла обоев используйте Domain.jpg. Сделайте Выход из системы и Войдите снова, чтобы проверить работоспособность этой политики.
5.4.Точно так же настройте при помощи консоли Active Directory пользователи и компьютеры создайте и настройте групповую политику для организационного подразделения HR. Эта политика должна называться OU, и в ней должен использоваться файл OU.jpg.
5.5.Завершите свой сеанс работы и войдите на компьютер от имени пользователя HR_User1. Если все сделано правильно, то на экране должен отображаться файл OU.JPG.
5.6.Щелкните правой кнопкой мыши по консоли Active Directory пользователи и компьютеры и контекстном меню выберите Запустить от имени. Запустите эту консоль от имени пользователя Administrator из вашего домена. Откройте свойства организационного подразделения HR, на вкладке Групповые политики выделите созданный вами объект групповой политики, нажмите на кнопку Параметры и установите флажок Отключить. Ответьте Да в ответ на предупреждение и выйдите из консоли Active Directory пользователи и компьютеры. Выполните выход их системы и вход от имени того же пользователя. Должна появиться картина Domain.
5.7.Еще раз запустите консоль Active Directory пользователи и компьютеры от имени пользователя Administrator, зайдите в свойства групповой политики OU, на вкладке Групповые политики установите флажок Блокировать наследие политики. Войдите от имени пользователя HR_User1. Если все сделано правильно, то картинка Domain должна остаться - по причине того, что сейчас не проходят команды ни на применение групповых политик уровня домена и сайта, ни на их отмену.
5.8.Создайте в блокноте новый текстовый файл, введите в нем одну строку
MsgBox “Групповая политика Message” и сохраните этот файл как C:\Message.vbs. В консоли Active Directory пользователи и компьютеры, откройте свойства домена, на вкладке Групповые политики создайте новую политику Message. Откройте ее на редактирование, раскройте узел Конфигурация пользователя -> Конфигурация Windows -> Сценарии (Вход/Выход) и в правой части экрана щелкните два раза мышью по строке Вход. Нажмите на кнопку Добавить, затем Обзор, скопируйте в открывшийся каталог Logon созданный вами файл Message.vbs и выберите его в этом окне. Убедитесь, что скрипт появился в окне Сценарии и закройте все окна редактора политик с сохранением сделанных изменений.
5.9.Войдите от имени пользователя HR_User1. Если все сделано правильно, то сообщение для него выводиться не будет, поскольку распространение вышестоящих политик на организационное подразделение HR заблокировано.
5.10. Войдите от имени пользователя Administrator. Для него при входе должно открыться окно сообщения “Групповая политика Message”.
5.11. Откройте консоль Active Directory пользователи и компьютеры, зайдите в свойства домена, на вкладке Групповые политики, выделите групповую политику Message, нажмите на кнопку Параметры и в открывшемся окне установите флажок Не перекрывать. Закройте консоль Active Directory пользователи и компьютеры с сохранением внесенных изменений и произведите вход от имени пользователя HR_User1. Если все сделано правильно, то окно сообщения должно появиться, так как параметр Не перекрывать отменяет действие Блокировать наследие политики.
- Disabled (Отключить). Временно отключает политику групп от объекта каталога.
- No Override (He перекрывать). Эта опция подобна наложению вето. После выбора этой опции дочерние каталоги должнынаследовать групповую политику от их родительского каталога. Даже параметр Block Policy Inheritance не может предохранить эту групповую политику от принудительного наследования после установки флажка No Override.
6. Контрольные вопросы
1. Дайте определение групповой политики.
2. Дайте определение термину «Домен», «Сайт».
3. Как политики на уровне домена, подразделения, сайта перекрывают друг друга?
4. Какие настройки групповых политик нужно сделать чтобы политика Домена не перекрывала политку Подразделения?
отчёт по лабораторному занятию
Зачёт по лабораторному занятию выставляется студенту на основании:
а) проверки преподавателем на занятии правильности выполнения заданий на компьютере;
б) результатов собеседования преподавателя со студентом при поэтапном выполнении заданий;
в) правильности ответов студента на контрольные вопросы.