Россия, Белгород
СДЕЛАЙТЕ СВОИ УРОКИ ЕЩЁ ЭФФЕКТИВНЕЕ, А ЖИЗНЬ СВОБОДНЕЕ
Благодаря готовым учебным материалам для работы в классе и дистанционно
Скидки до 50 % на комплекты
только до
Готовые ключевые этапы урока всегда будут у вас под рукой
Организационный момент
Проверка знаний
Объяснение материала
Закрепление изученного
Итоги урока
Был в сети 04.07.2019 23:55
Тангуила Серда Марко Суйу
Студент прикладной информатики, Белгородский государственный университет
31 год
6 743
8 513 
Местоположение
Специализация
Операционные системы
Категория:
Информатика
26.01.2019 00:21
Просмотр содержимого документа
«Операционные системы»
ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ
ГОУ ВПО «БЕЛГОРОДСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ»
КАФЕДРА ОБЩЕЙ МАТЕМАТИКИ
Отчет по лабораторной работе № 8
Администрирование групповой политики
студентки
2 курса группы 07001510
Марко С. Тангуила
Проверил:
ассистент кафедры прикладной информатики
и информационных технологий Павлов В.Н
БЕЛГОРОД 2016
Цель работы:
- изучить структуру групповых политик, включая их объекты, контейнеры и шаблоны
- ознакомиться с иерархией применения групповых политик, включая правила наследования и методы модификации наследования политик
- научиться создавать объекты групповой политики в оснастке Active Directory Users and Computers и настраивать групповые политики для компьютеров и пользователей из оснастки Group Policy
Ход работы Задания к выполнению:
Создание объекта групповой политики и настройка политики.
Создайте для своего домена GPO с именем 14XX Policy, затем из оснастки Group Policy измените параметры безопасности GPO, чтобы разрешить группе Domain Users (Пользователи домена) локально входить на контроллеры домена.
1. Создание GPO
Создайте GPO на уровне домена.
1.1. Войдите в домен как Administrator с паролем osso.
1.2. Раскройте меню Start\Programs\Administrative Tools и щелкните ярлык Active Directory Users AndComputers (Пользователи и компьютеры). Откроется оснастка Active Directory Users And Computers.
1.3. В дереве консоли щелкните infXX.bsu.edu.ru, затем в меню Action выберите команду Properties. (можно вызвать контекстное меню) Откроется окно свойств infXX.bsu.edu.ru.
1.4. Перейдите на вкладку Group Policy (Групповая политика) и щелкните кнопку Add (Добавить). Откроется окно Add A Group Policy Object Link (Добавить ссылку на объект групповой политики).
1.5. Перейдите на вкладку All (Все). В списке имеется Default Domain Policy.
1.6. Щелкните среднюю из трех имеющихся на панели инструментов кнопок.В перечне GPO появится New Group Policy Object (Новый объект групповой политики).
1.7. Назовите новый GPO 14XX Policy и щелкните кнопку ОК. В столбце Group Policy Object Links (ссылки на объекты групповой политики) появится объект 14XX Policy.
1.8. Закройте окно свойств политики. Оснастку Active Directory Users And Computers оставить открытой.
2: Изменение параметров безопасности.
С помощью редактора Group Policy измените параметры безопасности, чтобы разрешить группе Domain Users(Пользователи домена) локально входить на сервер INF01SXX.
2.1. В дереве консоли раскройте infXX.bsu.edu.ru.
2.2. Выберите контейнер Domain Controllers.
2.3. В меню Action (Действие) выберите команду Properties (Свойства). Откроется окно Domain Controllers Properties.
2.4. Перейдите на вкладку Group Policy.Убедитесь, что в списке Group Policy Object Links выбрана строка Default Domain Controllers Policy, и щелкните кнопку Edit (Изменить).
2.5. Откроется оснастка Group Policy, отображающая дерево консоли Default Domain Controller Policy.
2.6. Проверьте, что узел Computer Configuration в дереве консоли раскрыт.
2.7. Раскройте в узле Computer Configuration узел Windows Settings(Конфигурация Windows)\Security Settings(Параметры безопасности)\Local Policies(Локальные политики).
2.8. В объекте Local Policies щелкните User Right Assignment.
На правой панели появится список атрибутов User Right Assignment (Назначение прав пользователя).
2.9. На правой панели дважды щелкните Log On Locally (Локальный вход в систему). Откроется окно Log On Locally. Заметьте: этот параметр политики назначен нескольким пользователям и группам.
2.10. Щелкните кнопку Add (Добавить). Откроется окно Add User Or Group (Добавление пользователя или группы).
2.11. Выберите Browse (Обзор). Откроется окно Select Users Or Groups (Выбор: Пользователи или Группы).
2.12. В списке Name (Имя) выберите Domain Users (Пользователи домена), щелкните кнопку Add (Добавить), затем — ОК.
2.13.Еще раз щелкните кнопку ОК.
2.14. Группа Domain Users (Пользователи домена) появится в списке пользователей и групп с правом локального входа.
2.15. Закройте оснастку Group Policy (Групповая политика).
2.16. Закройте окно Domain Controllers Properties.
Изменение политик ПО.
Создайте и затем измените групповую политику ОП Sales, удалив из меню «Пуск» пункты Search (Найти) и Run (Выполнить). Отключите политику Lock Workstation и просмотрите результаты этих изменений политики ПО. Сделать так, чтобы политика ОП Sales не перекрывала групповую политику его родительского контейнера, домена.
3. Измените политики ПО.
Создайте и измените политики ПО для ОП Sales, созданного ранее.
3.1. В оснастке Active Directory Users And Computers раскройте узел infXX.bsu.edu.ru.
3.2. В дереве консоли щелкните Sales, затем в меню Action выберите команду Properties. Откроется окно Sales Properties (Свойства: Sales).
3.3. Перейдите на вкладку Group Policy (Групповая политика).
3.4. Щелкните кнопку Add (Добавить). Откроется окно Add A Group Policy Object Link.
3.5. Перейдите на вкладку All и щелкните среднюю из трех кнопок на панели инструментов. В списке Group Policy Objects Associated With This Container появится новый GPO.
3.6. Назовите новый GPO SalesSoftware и щелкните кнопку ОК. Вернитесь на вкладку Group Policy окна свойства ОП Sales.
3.7. Выделите SalesSoftware и щелкните кнопку Edit (Изменить). Откроется оснастка Group Policy.
3.8. Найдите и раскройте шаблоны Administrative (Административные) в узле User Configuration (Конфигурация пользователя).
3.9. В дереве консоли щелкните Start Menu & Task Bar (Панель задач и Меню Пуск). На правой панели появятся политики, доступные для этой категории.
3.10. На правой панели дважды щелкните Remove Search Menu From Start Menu (Удалить меню Найти из главного меню). Откроется окно свойств этой политики.
3.11. Перейдите на вкладку Explain (Объяснение), чтобы прочитать описание этой политики.
3.12. Перейдите на вкладку Policy и щелкните переключатель Enabled. Щелкните кнопку ОК.
3.14. Повторите пункты. 3.10 – 3.13 для активизации политики Remove Run Menu From Start Menu (Удалить команду Выполнить из меню Пуск).
3.15. В дереве консоли дважды щелкните System, затем Logon/Logoff (Вход/Выход из системы). На правой панели появятся политики, доступные для этой категории.
3.16. На правой панели активизируйте политику Disable Lock Computer (Запретить блокировку компьютера).
3.17. Закройте оснастку Group Policy (Групповая политика), затем закройте окно Sales Properties (Свойства Sales).
3.18. Закройте оснастку Active Directory Users And Computers (Пользователи и компьютеры).
4. Протестируйте политики ПО
В ОП Sales должны находиться учетные записи пользователей User1 и User2.
4.1. Завершите на сервере сеанс администратора.
4.2. Нажмите клавиши Ctrl+Alt+Delete.
4.3. Откроется окно Windows Security. Кнопка Shutdown (Завершение работы) недоступна. Это контролируется политикой Shutdown Without Logon. Windows 2000 Server не делает эту кнопку доступной по умолчанию.
4.4. Зарегистрируйтесь на сервере как User1 и раскройте меню Start. Обратите внимание: пункты Search (Найти) и Run (Выполнить) в меню Start (Пуск) не отображаются.
4.5. Завершите сеанс User1 (Доступно только завершение сеанса).
5. Предотвратите перекрытие групповой политики
Запретить ОП Sales перекрыть групповую политику его родительского контейнера.
5.1. Зарегистрируйтесь как Администратор с паролем osso.
5.2. Раскройте меню Start\Programs\Administrative Tools и щелкните ярлык Active Directory Users AndComputers. Откроется оснастка Active Directory Users And Computers (Пользователи и компьютеры).
5.3. Раскройте узел infXX.bsu.edu.ru.
5.4. Выделите Sales, затем выберите в меню Action команду Properties. Откроетсяокно Sales Properties.
5.5. Перейдите на вкладку Group Policy (Групповая политика).
5.6. Проверьте, что в списке Group Policy Objects Link (Ссылки на объекты групповой политики) выбрана строка SalesSoftware, и щелкните кнопку Options (Параметры).
5.7. Пометьте флажок No Override: Prevents Other Group Policy Objects From Overriding Policy Set In This One (Не перекрывать), затем щелкните кнопку OK.
5.8. Еще раз щелкните кнопку ОК и закройте оснастку Active Directory Users And Computers.
Контрольные вопросы:
Можно ли добавить к стандартным консолям Windows Server оснастки? Почему?
Можно. Оснастки – это один из инструментов настройки оболочки Windows. Они используются для администрирования компьютера. Чтобы добавить оснастку нужно в меню «Пуск» выбрать команду «Выполнить» и ввести в командную строку mmc. Для подтверждения нажать OK. Появиться окно управления. Открыть меню «Консоль» и использовать опцию «Добавить или удалить оснастку». Нажать «Добавить» и выбрать из списка нужную оснастку.
2. Пользователи жалуются на окно, появляющееся каждый раз, когда они входят в систему. В меню Startup (Автозагрузка) нет ярлыков. После закрытия окна, выхода из системы и перезагрузки компьютера окно по-прежнему появляется при входе в систему. Какова наиболее вероятная причина этой проблемы и как ее устранить?
Возможно у пользователя нет доступа к программе. Можно поменять настройки групповой политики. Также приложения могут быть настроены для автоматического запуска в качестве служб. Чтобы не дать работать приложению, настроенному для автоматического запуска в качестве службы, можно настроить его для запуска вручную. Могут быть назначены сценарии.
3. В каких случаях использовать группы безопасности вместо групп распространения?
Группы безопасности стоит использовать в том случае, если они будут использоваться для управления безопасностью (для назначения разрешений и предоставления доступа к ресурсам).
4. Каковы последствия изменения режима домена со смешанного на основной?
При изменении режима со смешанного на основной происходит следующее:
прекращается поддержка репликации нижнего уровня
запрещается добавление новых контроллеров нижнего уровня в данный домен;
сервер, исполнявший роль основного контроллера домена, перестает быть таковым, поэтому все контроллеры становятся равноправными.
5. Что такое GPO, GPC и GPT?
Объекты групповой политики cодержат параметры узлов, доменов и ОП, которые записываются в хранилище Active Directory в контейнер групповой политики (group policy container, GPC). Кроме того, GP хранят данные групповой политики в структуре папок — шаблоне групповой политик (group policy template, GPT).
Контейнеры групповой политики – это объекты Active Directory, хранящие свойства GPO и включающие подконтейнеры для компьютера и данных групповой политики пользователя. Сведения о версиях, содержащиеся в GPC, обеспечивают синхронизацию информации, хранящейся в GPC, с информацией GPT. GPC содержит также информацию о состоянии, указывающую, активен GPO или нет.
Шаблон GPT является контейнером, хранящим параметры политики для административных шаблонов, безопасности, ПО и сценариев.
Небольшие и редко меняющиеся данные групповой политики хранятся в GPC. Большие и часто меняющиеся данные групповой политики хранятся в GPT.
6. Преимущества групповой политики.
Групповые политики представляют собой набор параметров конфигурации, которые администратор групповой политики применяет к одному или нескольким объектам в хранилище Active Directory. С их помощью он управляет рабочей средой пользователей в домене и контролирует рабочую среду пользователей определенного ОП.
Задав соответствующие параметры групповой политики для определенных пользователей в сочетании с разрешениями NTFS, обязательными профилями и другими средствами безопасности Windows, можно предотвратить установку пользователями ПО и их доступ к запрещенным программам или данным. Можно также запретить пользователям удалять файлы, необходимые для правильного функционирования приложений или ОС.
Групповая политика позволяет защитить среду пользователя, настроив:
1 автоматическое включение приложений в меню Start (Пуск) для пользователя;
2 распространение приложений, чтобы пользователи легко находили их в сети и устанавливали;
3 доставку файлов или ярлыков в нужные места сети или в папку на компьютере пользователя;
4 автоматизацию выполнения заданий или программ в момент входа или выхода пользователя или в момент включения или выключения компьютера;
5 переназначение папок на сетевые ресурсы для увеличения надежности хранения данных.
7. Типы групповой политики.
Групповые политики влияют на множество сетевых компонентов и объектов Active Directory. Типы групповых политик таковы:
| Тип групповой политики | Описание |
| Конфигурация программ | Указывает приложения, к которым пользователь может получить доступ. Этот тип позволяет автоматически устанавливать приложения: назначением приложения — групповая политика автоматически устанавливает или обновляет приложения на клиентских компьютерах или обеспечивает пользователя связью с приложением, которое он не может удалить; публикацией приложения — администратор групповой политики публикует приложения в Active Directory, затем они появляются в списке компонентов, которые пользователь может установить с помощью команды Add/Remove Programs в Control Panel;пользователь может удалить это приложение. |
| Сценарии | Позволяет администраторам групповой политики определять сценарии и командные файлы, выполняемые в определенное время, например при запуске или остановке системы или в момент входа или выхода пользователя. Сценарии автоматизируют повторяющиеся задания, такие как подключение сетевых дисков. |
| Службы удаленной установки (Remote Installation Services, RIS) | Управляет параметрами установки RIS, предлагаемыми мастером клиентской установки. |
| Параметры безопасности | Позволяет администраторам групповой политики ограничивать доступ пользователей к файлам и папкам, конфигурировать учетные ограничения (например, сколько раз пользователь может ввести неверный пароль, до того как Windows заблокирует его учетную запись), настраивать локальную политику (например, права и аудит пользователя), управлять сервисной работой служб, ограничивать доступ к реестру и журналу событий, настраивать доступ к открытому ключу и конфигурировать политику безопасности IP (IPSec). |
| Административные шаблоны | Включает групповые политики, позволяющие регулировать параметры реестра в отношении поведения и вида рабочего стола, включая компоненты ОС и приложения. |
| Перенаправление папок | Позволяет перенаправлять папки Windows с места, определенного профилем пользователя по умолчанию, на новое место в сети, где ими можно будет управлять централизованно. |
8. Структура и объекты групповой политики.
Структура групповой политики
Групповые политики (group policies) — это наборы параметров конфигурации, применяемых к одному или нескольким объектам в хранилище Active Directory. Эти параметры находятся внутри объекта групповой политики (group policy object, GPO), который хранит данные групповой политики в контейнерах и шаблонах.
Объекты групповой политики
Содержат параметры узлов, доменов и ОП, которые записываются в хранилище Active Directory в контейнер групповой политики (group policy container, GPC). Кроме того, GP хранят данные групповой политики в структуре папок — шаблоне групповой политик (group policy template, GPT). Внутренняя структура GPO чаше всего скрыта от администратора.
Один или несколько объектов GPO могут быть применены к сайту, домену или ОП. Несколько контейнеров в хранилище Active Directory могут быть связаны с одним и те же GPO, а один контейнер может иметь более одного GPO, связанного с ним. Облает действия GPO обусловлена членством в группах безопасности.
Небольшие и редко меняющиеся данные групповой политики хранятся в GPC. Большие и часто меняющиеся данные групповой политики хранятся в GPT.
9. Порядок наследования.
Как правило, групповая политика передается от родительского к дочернему контейнеру. Групповая политика, назначенная родительскому контейнеру верхнего уровня, применяется ко всем нижележащим контейнерам, включая расположенные в них объекты пользователя и компьютера. Однако групповая политика дочернего контейнера, параметры которой заданы явным образом, имеет более высокий приоритет, чем родительского контейнера.
Если параметры политики родительского ОП не сконфигурированы, дочернее ОП их не наследует. Опущенные параметры политики наследуются как неактивные. Аналогично, если для родительского ОП политика сконфигурирована, и та же самая политика не сконфигурирована для дочернего, последнее наследует политику родительского ОП.
Если родительская и дочерняя политики совместимы, дочернее ОП наследует политику родительского, и дочерняя настройка также применяется. Политики наследуются, пока они совместимы. Например, если родительская политика помещает определенную папку на рабочий стол, а для дочерних параметров нужна дополнительная папка, то пользователь видит обе папки.
Если политика родительского ОП конфликтует с политикой дочернего, политика первого не наследуется. Применяется настройка дочернего ОП.
10. Администрирование групповых политик.
Управление настройками программ
Для централизованного управления распространением ПО служит оснастка Group Policy. ПО может быть установлено, назначено, опубликовано, обновлено, исправлено и удалено для групп пользователей и компьютеров.
Назначение и публикация приложений
Можно назначать приложения пользователям и компьютерам и публиковать приложения пользователям.
Назначение пользователям
Пользователю, которому назначено приложение, предлагается установить его при следующем входе на рабочую станцию. Оповещение приложения следует за пользователем независимо от того, на каком компьютере он работает в настоящее время. Это приложение устанавливается, как только пользователь первый раз активизирует приложение на компьютере, выбрав его в меню Start (Пуск) или открыв связанный с ним документ.
Назначение компьютерам
Приложение, назначенное компьютеру, предлагается пользователям и устанавливается когда это безопасно — обычно при запуске компьютера, когда в нем нет конфликтующих процессов.
Публикация пользователям
Приложение, опубликованное пользователям, не появляется среди установленного на компьютерах ПО. Ни на рабочем столе, ни в меню Start ярлыков не видно, и в локальный реестр на компьютерах пользователей изменения не вносятся. Вместо этого опубликованные приложения хранят свои атрибуты оповещения в хранилище Active Directory. Затем информация, например имя приложения и файловые ассоциации, представляется пользователям в контейнере Active Directory.
Управление сценариями
Групповая политика Windows позволяет достаточно гибко назначить сценарии. Можно назначить компьютерам сценарии включения и выключения, а пользователям — сценарии входа и выхода, выполняемые в процессе регистрации пользователя в системе или выхода из нее.
Управление параметрами безопасности
Политика безопасности покрывает различные области политики, административных прав Разрешений пользователей. В Windows определены два вида политики безопасности:
1 домена;
2 компьютера (известна также как локальная политика).
На компьютер, не включенный в домен Windows, влияет только политика безопасности компьютера. К компьютеру – члену в домене Windows сначала применяется политика безопасности компьютера, а затем – политика безопасности домена. Windows предоставляет инфраструктуру для определения и централизованного управления этими политиками безопасности и соблюдает их на всех компьютерах в домене.
Вебинар для учителей
Свидетельство об участии БЕСПЛАТНО!
