Оснастка Результирующая политика

Еще одной оснасткой, служащей для работы с групповыми политиками, является оснастка РЕЗУЛЬТИРУЮЩАЯ ПОЛИТИКА. С помощью данной оснастки можно просмотреть все групповые политики, которые были установлены для конкретного пользователя как на уровне локального компьютера, так и на уровне домена или организационной единицы.

Также оснастка РЕЗУЛЬТИРУЮЩАЯ ПОЛИТИКА позволяет определить групповые политики, состояние которых конфликтует на уровне локального компьютера, домена или организационной единицы.

Чтобы начать работу с оснасткой РЕЗУЛЬТИРУЮЩАЯ ПОЛИТИКА, нужно не только загрузить ее в консоль управления Microsoft, но и выбрать в контекстном меню подраздела оснастки команду СОЗДАТЬ ДАННЫЕ RSOP…. После этого отобразится мастер результирующей политики, который предложит вам выбрать компьютер, сведения о групповых политиках которого нужно отобразить, а также конкретного пользователя этого компьютера.

Другие программы для работы с групповыми политиками

Также в стандартную поставку операционной системы Windows Vista входят дополнительные программы, предназначенные для работы с групповыми политиками. В основном эти программы работают в режиме командной строки.

Group Policy Result Tool v2.0

Расположение: %systemroot%\system32\gpresult.exe

Данная программа является аналогом оснастки РЕЗУЛЬТИРУЮЩАЯ ПОЛИТИКА, и позволяет получить сведения RSoP для локального или удаленного компьютера при помощи командной строки.

Если вы выполните программу gpresult.exe без параметров, перед вами отобразятся подробные сведения о компьютере, пользователе, времени применения групповых политик, а также сами примененные групповые политики.

Вы можете воспользоваться дополнительными опциями программы, чтобы отобразить только нужную вам информацию. Например, при помощи опции /user можно отобразить результирующие политики для конкретного пользователя. А если вы хотите просмотреть сведения о групповых политиках, примененных не для конкретного пользователя, а для всего компьютера, тогда нужно воспользоваться опцией /scope, значениями которой могут быть слова user или computer.

Migration Table

Расположение: %systemroot%\system32\mtedit.exe

Данная программа не является программой командной строки. Она позволяет выполнить копирование групповых политик одного домена в другой.

Использование данной программы необходимо в том случае, если вы копируете групповые политики, работа которых основана на SID учетных записей пользователей и групп, именах компьютеров, путях UNC. Эти данные должны быть уникальными для любого компьютера, поэтому при копировании групповых политик значения этих данных должны быть изменены. Именно этим и занимается программа mtedit.exe.

После использования программы mtedit.exe будет создан текстовый файл в формате XML с расширением .migtable.

Group Policy Update Utility v6.0

Расположение: %systemroot%\system32\Gpupdate.exe

Еще одна программа командной строки. Она позволяет выполнить обновление групповых политик компьютера на основе локальных групповых политик и политик домена, не дожидаясь времени, когда групповые политики обновляются по умолчанию.

Чтобы немедленно выполнить обновление групповых политик, достаточно выполнить данную программу без дополнительных опций. Кроме того, вы можете воспользоваться дополнительными опциями программы, чтобы конкретизировать групповые политики, которые нужно применить.

Механизм работы групповых политик

Но как же все-таки работают групповые политики. На этот вопрос мы постараемся сейчас ответить.

Настройки групповых политик можно отредактировать при помощи самих же групповых политик. Для этого применяются параметры REG_DWORD типа, расположенные в ветви HKLM\SOFTWARE\Policies\Microsoft\Windows\System.

AllowX-ForestPolicy-and-RUP. Если значение данного параметра равно 1, тогда применение политик пользователя из доверенного леса будет разрешено. Также будет разрешено использование перемещаемого профиля пользователя.

DenyRsopToInteractiveUser. Если значение данного параметра равно 1, тогда интерактивным пользователям будет запрещено использование механизм RSoP для формирования сведений о применении групповых политик к собственной учетной записи. Также данный параметр может находиться в ветви корневого раздела HKCU.

DisableLGPOProcessing. Если значение данного параметра равно 1, тогда локальные групповые политики применяться не будут.

DenyUsersFromMachGP. Если значение данного параметра равно 1, тогда пользователи не смогут вручную вызвать обновление групповых политик компьютера.

GroupPolicyMinTransferRate. Значение данного параметра определяет минимальную скорость подключения (в Кбит/сек), при использовании которой соединение будет считаться медленным. По умолчанию медленным считается соединение, скорость которого не превышает 500 Кбайт/сек. Также данный параметр может находиться в ветви корневого раздела HKCU.

GroupPolicyRefreshTime. Значение данного параметра определяет интервал автоматического обновления групповых политик для обычных компьютеров (в минутах). По умолчанию используется интервал в 90 минут. Также данный параметр может находиться в ветви корневого раздела HKCU.

GroupPolicyRefreshTimeDC. Значение данного параметра определяет интервал автоматического обновления групповых политик для контроллеров домена (в минутах). По умолчанию используется интервал в 5 минут.

GroupPolicyRefreshTimeOffset. Значение данного параметра определяет максимальное значение случайной величины для обычных компьютеров (в минутах), которое будет добавляться к параметру GroupPolicyRefreshTime, чтобы определить время следующего обновления групповой политики. По умолчанию может использоваться значение случайной величины, не превышающее 30 минут. Также данный параметр может находиться в ветви корневого раздела HKCU.

GroupPolicyRefreshTimeOffsetDC. Значение данного параметра определяет максимальное значение случайной величины для контроллеров домена (в минутах), которое будет добавляться к параметру GroupPolicyRefreshTimeDC, чтобы определить время следующего обновления групповой политики. По умолчанию может использоваться значение 0.

RSoPLogging. Если значение данного параметра равно 0, тогда протоколирование результирующей политики (информации о групповых политиках, которые были применены к клиенту) на локальном компьютере будет отключено.

GpNetworkStartTimeoutPolicyValue. Значение данного параметра определяет интервал ожидания (в секундах) доступности сети при обработке групповых политик загрузки (во время входа в систему). По умолчанию интервал ожидания равен 30 секундам.

UserPolicyMode. Значение данного параметра определяет режим обработки замыкания пользовательской групповой политики. Если значение данного параметра равно 2, тогда будет использоваться режим замены. Если же значение данного параметра равно 1, тогда будет использоваться режим слияния.

Также настройки групповых политик можно отредактировать при помощи параметров REG_DWORD типа, расположенных в ветви реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System.

DisableBkGndGroupPolicy. Если значение данного параметра равно 1, тогда фоновое обновление групповых политик во время работы пользователя будет запрещено, и операционная система будет ожидать выхода пользователя из системы.

И еще одной ветвью реестра, в которой могут находиться настройки групповых политик, является ветвь HKLM\SOFTWARE\Policies\Microsoft\Windows\Group Policy. В данной ветви также хранятся параметры REG_DWORD типа.

OnlyUseLocalAdminFiles. Если значение данного параметра равно 1, тогда при отображении оснастки Редактор объектов групповой политики всегда будут использоваться локальные adm-файлы, расположенные в каталоге %windir%\inf.

Еще одной ветвью реестра, в которой могут находиться параметры настройки работы расширений групповой политики, является ветвь HKLM\SOFTWARE\Policies\Microsoft\Windows\Group Policy. Данная ветвь реестр может содержать в себе дочерние подразделы, которые, в свою очередь, могут содержать следующие параметры REG_DWORD типа: NoGPOListChanges (не применять групповые политики данного расширения, если они не были изменены), NoSlowLink (запрещает применение групповых политик данного расширения при обнаружении медленного подключения) и NoBackgroundPolicy (не применять групповые политики данного расширения при выполнении периодической фоновой обработки). Данные параметры могут находиться в следующих подразделах.

{c6dc5466-785a-11d2-84d0-00c04fb169f7}. Определяет настройки обработки политик установки программ (раздел Конфигурация программ/Установка программ).

{42B5FAAE-6536-11d2-AE5A-0000F87571E3}. Определяет настройки обработки политик сценариев (раздел Конфигурация Windows/Сценарии).

{35378EAC-683F-11D2-A89A-00C04FBBCFA2}. Определяет настройки обработки политик реестра (раздел Административные шаблоны).

{25537BA6-77A8-11D2-9B6C-0000F8080861}. Определяет настройки обработки политик перенаправления папок (раздел Конфигурация Windows/Перенаправление папок).

{A2E30F80-D7DE-11d2-BBDE-00C04F86AE3B}. Определяет настройки обработки политик браузера Internet Explorer (раздел Конфигурация пользователя/Конфигурация Windows/Настройка Internet Explorer).

{3610eda5-77ef-11d2-8dc5-00c04fa31a66}. Определяет настройки обработки политик дисковых квот.

{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}. Определяет настройки обработки политик восстановления EFS (раздел Конфигурация Windows/Параметры безопасности).

{827D319E-6EAC-11D2-A4EA-00C04F79F83A}. Определяет настройки обработки политик безопасности (раздел Конфигурация Windows/Параметры безопасности).

{e437bc1c-aa7d-11d2-a382-00c04f991e27}. Определяет настройки обработки политик IP-безопасности (раздел Конфигурация Windows/Параметры безопасности/Политики IP-безопасности).

{B587E2B1-4D59-4e7e-AED9-22B9DF11D053}. Определяет настройки обработки политик проводных сетей (раздел Конфигурация Windows/Сценарии).

{0ACDD40C-75AC-47ab-BAA0-BF6DE7E7FE63}. Определяет настройки обработки политик беспроводных сетей (раздел Конфигурация Windows/Сценарии).

И еще одной ветвью реестра, в которой могут находиться настройки групповых политик, является ветвь HKCU\Software\Policies\Microsoft\Windows\Group Policy Editor. Большинство из ее параметров имеет тип REG_DWORD.

DCOption. Если значение данного параметра равно 3, тогда редактор объектов групповой политики для своей работы будет использовать любой доступный контроллер домена. Если же значение данного параметра равно 2, тогда будет использоваться контроллер домена, унаследованный от оснасток Active Directory. А если значение данного параметра равно 1, тогда будет использоваться основной контроллер домена Active Directory (по умолчанию).

DisableAutoADMUpdate. Если значение данного параметра равно 1, тогда операционная система при запуске редактора объектов групповой политики не будет сравнивать время последнего изменения административных файлов локального компьютера с файлами, хранящимися в GPO (если окажется, что файлы из GPO более старые, они будут перезаписаны).

GPODisplayName. Данный параметр имеет строковый тип. Он содержит в себе имя по умолчанию, используемое для новых объектов групповой политики.

NewGPOLinksDisabled. Если значение данного параметра равно 1, тогда все ссылки на новые объекты групповой политики будут создаваться в отключенном состоянии.

ShowPoliciesOnly. Если значение данного параметра равно 1, тогда администраторам будет запрещено просматривать или изменять предпочтения групповых политик (групповые политики, которые изменяют значения параметров, не находящихся в ветвях реестра Software\Policies или Software\Microsoft\Windows\CurrentVersion\Policies).

Служба Клиент групповой политики

Тип запуска: автоматически.
Учетная запись: система.
Дополнительные привилегии: SEIMPERSONATEPRIVILEGE, SETCBPRIVILEGE, SETAKEOWNERSHIPPRIVILEGE,
 SEINCREASEQUOTAPRIVILEGE, SEASSIGNPRIMARYTOKENPRIVILEGE, SESECURITYPRIVILEGE,
 SECHANGENOTIFYPRIVILEGE, SECREATEPERMANENTPRIVILEGE.
Файлы службы: gpsvc.dll.
Исполняемый файл: svchost.exe -k netsvcs.
Подраздел реестра: gpsvc.
Службы, необходимые для работы данной: УДАЛЕННЫЙ ВЫЗОВ ПРОЦЕДУР (RPC) (RPCSS), MULTIPLE UNC PROVIDER (Mup).

Если в предыдущих версиях операционных систем семейства Windows все групповые политики применялись процессом winlogon.exe, операционная система Windows Vista использует для применения групповых политик специальную службу, описанную в подразделе реестра gpsvc.

Служба КЛИЕНТ ГРУППОВОЙ ПОЛИТИКИ управляет автоматическим применением групповых политик. После отключения данной службы групповые политики применяться не будут. Именно поэтому данная служба считается важной службой операционной системы с точки зрения безопасности, и именно поэтому отключение данной службы с помощью консоли services.msc запрещено, так как доступ на запись к ветви HKLM\System\CurrentControlSet\Services\gpsvc запрещен даже администраторам.

Кроме того, данная служба предназначена для определения медленного подключения. В операционной системе Windows Vista изменился и способ определения медленного подключения. Раньше для этого использовались запросы протокола ICMP. Проблема в том, что многие администраторы компьютеров с целью повышения безопасности блокируют ответы на запросы протокола ICMP.

Если служба определит, что используется низкоскоростное сетевое подключение, она будет с определенным интервалом времени применять не все групповые политики, а только некоторые из них, которые влияют на безопасность компьютера.

И еще одним нововведением операционной системы Windows Vista является изменение способа обнаружения контроллера домена. Теперь для этого используется обработчик NLA 2.0, который сам оповещает службу КЛИЕНТ ГРУППОВОЙ ПОЛИТИКИ о том, что домен в данный момент доступен.

И еще одной задачей данной службы является загрузка при запуске операционной системы расширений групповых политик, описанных в ветви реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions.

Сведения о работе данной службы заносятся в лог-файл gpsvc.log, расположенный в каталоге %systemroot%\Debug\UserMode.

Продолжение следует