Введение

Моделирование групповых политик – это компонент оснастки «Управление групповой политикой», который позволяет администраторам увидеть настройки, которые будут применены определенным пользователем или компьютером, если объект находится в определенном месторасположении в Active Directory. Этот компонент будет полезным для вас в том случае, если, например, пользователь перевелся в другое подразделение или филиал организации, и вы хотите узнать, какие настройки к нему будут применяться после перемещения из одного OU в другое. Соответственно, моделирование поможет вам выполнять свои административные задачи более эффективно и позволит свести к минимуму временные затраты на исправление негативного результата применения новых политик после перемещения пользователя. В этой статье будет рассмотрен принцип использования данного компонента и мастера моделирования групповой политики, и вы на примере увидите, насколько эффективным может оказаться функционал моделирования, как в тестовой, так и в рабочей среде. Приобретенные навыки из этой статьи помогут вам экономить время, которое может быть потрачено на расследование проблем, связанных с работой операционной системы после перемещения пользователей в различные подразделения.

Использование моделирования групповой политики

Для того чтобы вы могли использовать функционал моделирования групповой политики, у вас должны быть разрешения на создание результирующих политик в домене или в том подразделении, для которого вам нужно выполнить соответствующий запрос. Также для использования данного компонента оснастки «Управление групповой политикой» необходимо, чтобы контроллер домена был не ниже Windows Server 2003.

Создание сценария моделирования групповой политики

Для выполнения сценария моделирования вам нужно воспользоваться мастером моделирования групповой политики. Открыть диалоговое окно «Мастер моделирования групповой политики» вы можете одним из следующих способов:

  • Откройте оснастку «Active Directory – пользователи и компьютеры» и в дереве консоли выделите подразделение, для которого вы хотите смоделировать результирующий набор политик. Нажмите правой кнопкой мыши на подразделении, для которого будете проводить моделирование и из контекстного меню выберите команду «Все задачи», а затем выберите «Результирующая политика (Планирование)…». Используя данный метод, мастер сразу откроется на шаге «Выбор компьютера и пользователя»;
    gpmc5-01Рис. 1. Открытие мастера моделирования групповой политики из оснастки «Active Directory – пользователи и компьютеры»
  • Откройте оснастку «Управление групповой политикой» и в дереве консоли перейдите к узлу «Моделирование групповой политики». Выделив данный узел, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Мастер моделирования групповой политики…».

После того как вы откроете диалоговое окно «Мастер моделирования групповой политики», для создания результирующего набора, выполните следующие действия:

  1. На первом шаге приветствия прочитайте краткое описание данного компонента и нажмите на кнопку «Далее»;
  2. На странице «Выбор контроллера домена» вам нужно выбрать контроллер домена, на который будет распространяться создаваемый набор моделирования. Устанавливать переключатель на опцию «Любой доступный контроллер домена с ОС Windows Server 2003 и выше» лучше в том случае, если в вашей организации развернут только один домен. Если в вашем распоряжении более одного домена, установите переключатель на опцию «Указанный контроллер домена» и выберите из списка нужный вам контроллер домена. После того как вы сделаете свой выбор, нажмите на кнопку «Далее»;
    gpmc5-02Рис. 2. Страница выбора контроллера домена мастера моделирования групповой политики
  3. На следующем шаге вам нужно выбрать компьютер и пользователя, для которого будет произведено моделирование групповых политик. На этом этапе вы можете выбрать информацию как для обоих типов объектов (указать пользователя и его компьютер), так и только для одного объекта. Как в группе «Сведения о пользователе», так и в группе «Сведения о компьютере» вы можете выбрать помимо основного назначения (пользователя или компьютера) контейнер. Помимо этого, если для вашего сценария достаточно указать только пользователя или компьютер, вы можете сразу перейти к последнему шагу, установив флажок «Перейти к последней странице, не собирая дополнительных данных»;
    gpmc5-03Рис. 3. Выбор пользователя или компьютера
  4. На странице «Дополнительные параметры эмуляции» вы можете настроить такие параметры, как эмуляция применения политики при медленных соединениях, что удобно в случае с филиалами, а также обработку петлевого адреса. Петлевым адресом называется метод цифровых потоков данных от их источника и обратно к тому же источнику без специальной обработки или модификаций. Помимо этого вы можете указать сайт, в котором будут эмулироваться политики;
    gpmc5-04Рис. 4. Настройка дополнительных параметров эмуляции
  5. На следующем шаге, странице «Альтернативные пути Active Directory» вам нужно указать будущее расположение пользователя и компьютера в домене. Вы можете ввести путь вручную, используя синтаксис LDAP или нажать на кнопку «Обзор» и выбрать новое расположение из диалогового окна «Выбор контейнера…»;
    gpmc5-05Рис. 5. Настройка альтернативных путей Active Directory
  6. На следующих двух страницах – «Группы безопасности пользователя» и «Группы безопасности компьютера» укажите те группы безопасности, членом которых являются пользователь и компьютер, для которого выполняется данный сценарий. При помощи кнопок «Добавить» и «Удалить» вы можете сэмулировать изменение групп безопасности, членом которых будет выступать целевой пользователь и его компьютер. На следующей иллюстрации изображена страница «Группы безопасности пользователя» с новой для данного пользователя группой:
    gpmc5-06Рис. 6. Изменение группы безопасности пользователя для эмуляции
  7. На страницах «Фильтры WMI для пользователей» и «Фильтры WMI для компьютеров» вы можете указать фильтры, которые будут привязаны к объектам групповых политик, и применяться только к тем пользователям и компьютерам, которые будут соответствовать его критерию. Вы можете указать определенные фильтры, установив переключатель на «Только следующие фильтры», нажав на кнопку «Перечислить фильтры» и удалить те фильтры, которые не соответствуют вашим потребностям;
    gpmc5-07Рис. 7. Изменение фильтров WMI для пользователя, указанного в сценарии
  8. На предпоследнем шаге – странице «Сводка выбранных параметров» вы можете просмотреть все настройки моделирования и при необходимости нажать на кнопку «Назад» и изменить несоответствующие параметры;
    gpmc5-08Рис. 8. Сводка указанных ранее параметров
  9. Страница «Завершение мастера моделирования групповой политики» свидетельствует о завершении моделирования. Нажмите на кнопку «Готово».
    gpmc5-09Рис. 9. Завершающая страница мастера моделирования групповой политики

Анализ созданного сценария моделирования групповой политики

После того как будет создан сценарий моделирования, в узле «Моделирование групповой политики» дерева консоли появится новая групповая политика. Информацию о вашем запросе политики моделирования вы можете просматривать на панели сведений оснастки «Управление групповой политикой» при помощи трех существующих вкладок, которые подробно описаны в следующих подразделах.

Вкладка «Сводка»

При помощи этой вкладки вы можете ознакомиться со сводными данными результирующей политики для конфигурации пользователя и конфигурации компьютера. Как для конфигурации пользователя, так и для конфигурации компьютера вы можете просмотреть следующие сводные данные:

  • Общие данные, которые включают в себя имя компьютера, его расположение в домене, а также домен, сайт и прочие данные которые собираются при формировании результирующей политики;
  • Список групповых политик, которые применяются или отклоняются для всего домена, подразделения или индивидуально для пользователя или компьютера;
  • Имитация членства в группе безопасности для пользователя или компьютера, которая отображает все группы, членом которых является данный объект;
  • Список WMI фильтров, которые связаны с групповой политикой и будут включены в конечный запрос;
  • Состояние компьютера, где вы сможете узнать, насколько удачно будет применена инфраструктура групповой политики, политик безопасности и изменения в системном реестре.

На следующей иллюстрации вы увидите информацию, которая отображена на вкладке «Сводка» с данными по конфигурации компьютера:

gpmc5-10
Рис. 10. Вкладка «Сводка» политики моделирования

Вкладка «Параметры»

На вкладке «Параметры» отображается отчет со всеми политиками, которые в итоге будут применены к объекту, над которым на данный момент проводится анализ. Данный отчет по своей структуре ничем не отличается от уже известных вам отчетов обычных и начальных объектов групповых политик. На следующей иллюстрации вы можете увидеть данную вкладку:

gpmc5-11
Рис. 11. Вкладка «Параметры» политики моделирования

Вкладка «Запрос»

На этой вкладке вы можете просмотреть параметры запроса, которые вы использовали для формирования данного отчета при помощи «Мастера моделирования групповой политики». Эта вкладка содержит такие данные, как последнее время выполнения данного запроса, fqdn контроллера домена, на котором выполнялась эта эмуляция, данные о пользователе и компьютере, над которыми производится анализ, а также все остальные параметры, которые использовались при создании запроса. На следующей иллюстрации отображена данная вкладка:

gpmc5-12
Рис. 12. Вкладка «Запрос» политики моделирования

Дополнительные возможности компонента моделирования групповых политик

Стоит отметить, что после закрытия и повторного открытия оснастки «Управление групповой политикой» отчет будет недоступен. Для того чтобы снова вы смогли просмотреть созданный ранее отчет моделирования групповой политики вам нужно повторить запрос. Чтобы это сделать, вам нужно в дереве консоли найти созданную ранее политику моделирования, нажать на ней правой кнопкой мыши и из контекстного меню выбрать команду «Повторить запрос», как показано ниже:

gpmc5-13
Рис. 13. Повтор созданного ранее запроса моделирования групповой политики

Если вам нужно создать запрос, который по своей структуре будет похож на запрос, который вы уже создавали ранее, вы можете из контекстного меню существующего запроса выбрать команду «Создать новый запрос из существующего». Эту команды вы также можете выбрать из меню «Действие». При выборе этой команды будет открыто диалоговое окно «Мастер моделирования групповой политики», в котором на каждом шаге будут присутствовать данные из существующего запроса.

Для того чтобы постоянно не формировать отчеты при открытии оснастки «Управление групповой политикой», вы можете сохранить существующий отчет в HTML или XML формате. Для этого выделите отчет, который вам нужно сохранить и из контекстного меню выберите команду «Сохранить отчет». В открывшемся диалоговом окне «Сохранение отчета объекта групповой политики» выберите папку для сохранения отчета, введите его название и укажите тип файла. Сохраненный отчет будет выглядеть следующим образом:

gpmc5-14
Рис. 14. Отчет моделирования групповой политики

Заключение

В этой статье вы узнали об очередном компоненте групповой политики – моделировании групповой политики. Этот компонент позволяет администраторам увидеть настройки, которые будут применены определенным пользователем или компьютером, если объект находится в определенном месторасположении в Active Directory. В статье был рассмотрен процесс создания политики моделирования, просмотр самого отчета и работа с такими дополнительными действиями, как создание нового запроса на основании существующего, сохранение отчета и т.д. В следующей статье вы узнаете об очередном компоненте групповой политики – результирующей политике.

Реклама