Групові політики windows vista

У Windows Vista значно оновлена інфраструктура групових політик. Коли організації в усьому світі почнуть активно використовувати Windows Vista, багато адміністраторів навіть не помітять різниці, оскільки всі численні зміни групових політик приховані. Однак адміністратори безсумнівно побачать, що можливості групових політик в Windows Vista ™ набагато ширше, ніж в попередніх версіях.

До Windows Vista за обробку групових політик відповідав процес winlogon. Процес Winlogon відповідав за виконання багатьох завдань, в тому числі за вхід користувачів в систему і за обслуговування групових політик. Тепер групові політики представляють собою окрему службу Windows. Більш того, ця служба має високий рівень захисту, що означає, що її не можна зупинити, і адміністратор не може отримати права відключення групових політик. Ці зміни підвищують загальну надійність механізму групових політик.

І це лише початок. Давайте більш детально розглянемо деякі значні зміни в групових політиках.

Доступність розширеної інформації мережі

До появи Windows Vista механізм групових політик намагався визначити швидкість підключення до мережі. Ця інформація використовувалася для того, щоб визначити, які параметри політик слід застосовувати. При низькій швидкості зв`язку на комп`ютер користувача відправлялися не всі параметри політик, оскільки їх завантаження займала досить багато часу. У новій службі групових політик ця функція також збережена. Однак при цьому змінений принцип розрахунку поточної швидкості мережі.

Раніше швидкість визначалася за допомогою відправки пакетів ICMP ping на контролери домену. При використанні цього підходу виникало багато проблем. Перш за все, багато адміністраторів відключають пакети ICMP на своїх маршрутизаторах. По-друге, розрахунки були ненадійними у випадках, коли з`єднання здійснювалося через канали з високим рівнем затримки (наприклад, через супутникові канали). У таких ситуаціях механізм групових політик не міг визначити, чи є з`єднання дійсно швидким, чи ні.

Крім того, механізм групових політик не міг визначати випадки, коли комп`ютер підключався до мережі після тривалого простою. Також механізм групових політик не міг визначати і випадки, коли комп`ютер підключався до мережі після довгого часу роботи в автономному режимі. На комп`ютерах під управлінням Windows XP або Windows 2000 користувач міг підключитися до мережі, перевірити електронну пошту і відключитися, і при цьому оновлення групових політик не виконувалося. Більшість адміністраторів хотіли б оновлювати групові політики на системах, заново підключаються до мережі після тривалого простою або після довгого періоду автономної роботи.

Нова служба групових політик Windows Vista розуміє основні аспекти підключення до мережі в реальному часі. Основна зміна полягає в тому, що тепер механізм групових політик використовує обробник NLA 2.0 в Windows Vista. Служба NLA просто сповіщає службу групових політик про доступність контролера домену. Якщо контролер домену доступний, при необхідності виконується оновлення групових політик.

Використання декількох локальних об`єктів GPO

До появи Windows Vista підтримувалося використання тільки одного об`єкта локальної групової політики (GPO). Якщо ви набирали GPEDIT.MSC в командному рядку і вносили деякі зміни в налаштування, ці зміни впливали на всіх користувачів і адміністраторів, які використовували цей комп`ютер. Це нерідко представляло собою проблему, наприклад, в ситуаціях, коли потрібно видалити команду «Виконати» з меню «Пуск» для звичайних користувачів, але залишити її доступною для адміністраторів.

Можливість використання декількох локальних об`єктів GPO дозволяє вирішити цю проблему за допомогою багаторівневої системи GPO. Це можливість буде в основному використовуватися на системах, що не входять в домен Active Directory. Однак вона може здатися корисною і для кінцевих користувачів.

Нова багаторівнева система локальних об`єктів GPO може виглядати трохи складною (див. Малюнок 1). Локальний об`єкт GPO, який використовується за замовчуванням, як і раніше діє в контексті локальної системи і впливає на всіх користувачів цієї системи. Цей об`єкт GPO визначає параметри комп`ютера і параметри користувача.

Відео: Windows Server 2008. Нове в управлінні інфраструктурою. Групові політики, розгортання. Інтеграція з Windows Vista. частина 3

Малюнок 1 Повна місцева групова політика користувачів

Другий рівень належить або до учасників локальної групи Адміністратори, або до всіх інших користувачам. Обліковий запис користувача за визначенням не може належати до обох групах одночасно. Даний рівень визначає, чи є користувач адміністратором або звичайним користувачем локальної системи, а потім використовує відповідний об`єкт GPO (для адміністраторів або для інших користувачів). Третій рівень відноситься до конкретних облікових записів користувачів локальної системи.

Отже, ми перерахували три локальних об`єкта GPO, які можуть вплинути на будь-якого користувача комп`ютера. Наприклад, ви можете використовувати три рівня для налаштування параметрів для всіх користувачів комп`ютера, для налаштування додаткових параметрів, що діють тільки для адміністраторів, і для настройки ще кількох параметрів, що діють тільки для одного користувача комп`ютера.

Зрозуміло, якщо система входить в домен Active Directory®, об`єкти групових політик Active Directory мають пріоритет по відношенню до об`єктів локальних політик. Також необхідно відзначити, що адміністратори домену можуть скасувати обробку всіх локальних об`єктів GPO в Windows Vista.

Повідомлення про помилки, пошук і усунення несправностей

У Windows Vista використовується абсолютно нова система журналу подій. Механізм групових політик використовує цю нову систему під назвою Windows Eventing 6.0 (також відому як журналом подій) і розділяє події на два журнали. Уже знайомий більшості фахівців системний журнал (тепер носить назву Адміністративний журнал) містить перелік проблем з груповими політиками. При виникненні помилки в механізмі групових політик, ця помилка повинна публікуватися в системному журналі, при цьому має бути зазначено, що джерелом помилки є служба групових політик (а не процес Userenv).

Відео: Kraulf Групові Політики, Основи в Active Directory Windows Server 2003

Уже знайомий більшості фахівців системний журнал (тепер носить назву Адміністративний журнал) містить перелік проблем з груповими політиками. Він фактично замінює незручний файл userenv.log, оскільки в ньому для зручності читання перераховані всі кроки механізму групових політик.