headermask image
Рекомендую: Фриланс-биржа | Кэшбэк-сервис | Интернет-бухгалтерия

Настройки групповой политики: как хранятся настройки, часть 1

Введение

Когда создается параметр GPO, он должен где-то храниться, чтобы его можно было поставлять на целевые машины. В этой статье мы рассмотрим, как хранятся эти параметры, где они хранятся, и как они отслеживаются контроллерами доменов в доменах Active Directory.

Вам когда-либо приходилось создавать новый GPO, а затем настраивать несколько политик, после чего вам становилось интересно, где и как хранятся эти настройки? В этой статье рассматривается, как параметры в GPO хранятся, а также где они хранятся. Эта информация необходима для администраторов домена и администраторов групповой политики во время диагностирования и для общих знаний того, как работает групповая политика. Бывают ситуации, когда вам необходимо выполнить определенные задачи с объектом групповой политики вручную, а также с параметрами, хранящимися в файлах, когда GPO поврежден, и параметры невозможно посмотреть через обычный редактор.

Где хранятся параметры GPO

Во время создания GPO в фоновом режиме происходит много процессов. Прежде всего, когда вы создаете новый GPO, контроллер домена, управляющий ролью эмулятора главного контроллера домена (PDC Emulator), является главным. Это встроенное, стандартное поведение, которое можно изменить, но изначально PDC Emulator является главным.

 Интересное

Отличные демотиваторы на любой вкус. Сообщество только набирает обороты. Внеси и ты свой вклад

На этом контроллере домена обновляется «оболочка» для содержимого того, что вы настроили в GPO во время редактирования. «Оболочка» для GPO представляет собой папку, хранящуюся в папке Политик (Policies). Чтобы зайти в эту папку Policies, вам нужно найти папку Sysvol на контроллере домена. По умолчанию она располагается по следующему пути c:\Windows\Sysvol\sysvol\\Policies. В папке Policies список папок представлен длинным буквенно-цифровым значением. Это буквенно-цифровое значение представляет собой GUID (Global Unique Identifier) для GPO. На рисунке 1 показана обычная папка Policies, в которой перечислено много GUID. Список GUID представляет все GPO, которые имеются в вашем домене.

gpo_1.jpg

Рисунок 1: GUID представлены папками в папке Policies на контроллере домена

Это расположение в Sysvol на контроллере домена называется шаблонами групповой политики (Group Policy Template – GPT). GPT имеются на каждом контроллере домена. Когда PDC Emulator создает GPT для GPO, служба репликации берет файлы и дублирует их на другие контроллеры домена в домене. Служба репликации файлов (File Replication Service –FRS) осуществляет процесс копирования на все контроллеры домена.

Примечание:FRS может управляться DFS-R в зависимости от версии Windows, которую вы используете.

Как хранятся параметры GPO

Теперь, когда «оболочка» для GPO создана в виде папки с названием GPO GUID, можно настроить GPO, используя редактор групповой политики (Group Policy Editor). Когда вы редактируете GPO, вы видите два верхних раздела GPO: конфигурация компьютера и конфигурация пользователя (Computer Configuration, User Configuration), как показано на рисунке 2.

  gpo_2.jpg

Рисунок 2: Каждый GPO содержит два основных раздела: конфигурация пользователя и конфигурация компьютера

Если вы посмотрите на структуру папок GPT для GPO, вы увидите две основные папки: Машина и Пользователь (Machine and User), рисунок 3.

gpo_3.jpg

Рисунок 3: GPT для GPO хранит параметры в папках Machine или User

Как предполагают названия папок, параметры, настраиваемые в разделе «Конфигурация компьютера», хранятся в папке Machine, а параметры раздела «Конфигурация пользователя» хранятся в папке User.

С этого момента каждая настройка обрабатывается немного по-разному, при хранении в папках Machine или User. Структура файла, тип файла и расширение файла значительно варьируется. Здесь я расскажу о многих параметрах и способе их хранения.

Настройки шаблонов администрирования

Существует две области, в которых эти параметры можно настроить в GPO. Конечно, одна из них находится в Computer Configuration|Policies, а другая в User Configuration|Policies. Каждый параметр политики в этих узлах редактора GPO представляет собой модификацию раздела системного реестра. Все эти параметры хранятся в файле под названием Registry.pol в папке Machine или User, как показано на рисунке 4.

  gpo_4.jpg

Рисунок 4: Все параметры шаблонов администрирования хранятся в файле Registry.pol

Структура этого файла довольно проста. Раздел реестра, значение, которое необходимо изменить, и данные значения перечислены в файле, как показано на рисунке 5.

  gpo_5.jpg

Рисунок 5: Раздел реестра, значение и данные содержатся в Registry.pol файле

Параметры опций безопасности

Вы найдете длинный список параметров безопасности в узле Computer Configuration|Policies|Windows Settings|Security Settings|Local Policies|Security Options. Эти параметры представляют собой либо модификации переменных операционной системы, либо модификации системного реестра. Все параметры этого узла хранятся в файле под названием gpttmpl.inf, который находится в папке Machine\Microsoft\Windows NT\SecEdit.

Например, если вы изменяете имя учетной записи администратора (используя политику Учетные записи: переименовать учетную запись администратора (Accounts: Rename administrator account policy)), это создаст запись в файле gpttmpl.inf в разделе System Access, как показано на рисунке 6.

  gpo_6.jpg

Рисунок 6: Некоторые настройки опций безопасности изменяют переменные ОС

Еще одним примером является ситуация, когда вы изменяете параметры UAC (используя User Account Control: Admin Approval Mode for the Built in Administrator Account setting), это создает запись в файле gpttmpl.inf в разделе Registry Values, как показано на рисунке 7.

  gpo_7.jpg

Рисунок 7: Некоторые параметры опций безопасности изменяют значение системного реестра

Параметры предпочтений

Самым новым из всех параметров групповой политики является параметр предпочтений групповой политики (Group Policy Preferences). Эти параметры можно посмотреть, если вы редактируете GPO на Windows Server 2008 или Windows Vista SP1 (с установленной RSAT) .

Эти параметры работают подобно прочим параметрам, но они сохраняются в XML файлы. Например, если вы задали GPP Shortcut в User Configuration, файл XML для этого значка будет сохранен в папке User\Preferences\Shortcuts в файле под названием shortcuts.xml.

Структура файла не столь проста, как структуры прочих файлов, но вы все же сможете увидеть общие разделы файла и его содержимое.

Заключение

Теперь, когда вы знаете, где хранятся параметры, когда вы создаете и настраиваете групповую политику, вы можете выполнять более детальное диагностирование этих параметров самостоятельно. Суть в том, что когда параметр создается, также создается файл, который будет хранить параметры и подробности конфигурации. Есть два основных уровня конфигурации: пользователь и компьютер. Эти уровни определяют, где будет храниться параметр на основе того, какой раздел GPO настраивается. Теперь благодаря этой информации вы сможете диагностировать, просматривать и решать практически любые проблемы с хранением GPO.

Автор: Дерек Мелбер (Derek Melber)

Похожие посты
  • Продолжение настройки squid и не только
  • Уникальные настройки безопасности групповой политики
  • Привилегии групповой политики: понимание и применение нацеливания на уровень элементов
  • Как настроить групповые политики для использования агента восстановления данных с дисками зашифрованными “BitLocker to Go” – часть 4
  • Как настроить групповые политики для использования агента восстановления данных с дисками зашифрованными “BitLocker to Go” – часть 3
  • Использование групповой политики для назначения пользователям любого скринсейвера за исключением (None)
  • Как настроить групповые политики для использования агента восстановления данных с дисками зашифрованными “BitLocker to Go” – часть 2
  • Расширения групповой политики в операционной системе Windows Vista и Windows Server 2008. Часть 3
  • Установка сервера IPsec Server и изоляции домена с помощью групповой политики Windows Server 2008 (часть 2, продолжение)
  • Расширения групповой политики в Windows Vista и Windows Server 2008. Часть 2