Управление групповыми политиками в организации. Часть 4
Введение
Вы уже имеете представление о назначении и принципах работы с оснасткой «Управление групповой политикой», о методах создания объектов групповой политики, а также о поиске объектов GPO. Помимо этого, вы научились привязывать объекты групповой политики к подразделениям, доменам или сайтам. Также вы узнали о делегировании объектов групповой политики. Кроме всех этих функций, существует еще один такой компонент, как узел «Начальные объекты групповой политики», который содержит параметры административных шаблонов, называемые начальными или стартовыми объектами групповой политики. На основании стартовых объектов групповой политики, вы можете создавать новые объекты GPO, в которых будут предварительно скопированы параметры начального объекта групповой политики. Стартовый объект GPO является шаблоном, и поэтому, вы можете импортировать и экспортировать начальные объекты групповой политики, что позволяет вам распространять их в разные доменные окружения. После того как будут настроены стартовые объекты групповой политики, вы сможете при создании нового объекта GPO в диалоговом окне «Новый объект групповой политики» из раскрывающегося списка «Исходный объект групповой политики» выбрать созданный вами ранее стартовый объект GPO. В этой статье вы узнаете о способах создания, редактирования, импорта, экспорта и удаления начальных объектов групповой политики.
Создание стартового объекта групповой политики
По сути, создание объектов не сложнее создания обычного объекта GPO и они создаются тоже непосредственно из оснастки «Управление групповой политикой». Перед тем как вы начнете создавать начальные объекты групповых политик, вам нужно создать папку стартовых объектов GPO. Для этого сделайте следующее:
- Откройте оснастку «Управление групповой политикой»;
- В дереве консоли выберите узел «Начальные объекты групповой политики» и в области сведений нажмите на кнопку «Создать папку стартовых GPO»;
Рис. 1. Создание папки стартовых объектов групповой политики
По нажатию на эту кнопку будет создано восемь начальных объектов групповой политики: четыре объекта для Windows XP и четыре для Windows Vista, которые предназначены только для чтения, и представляют основу для параметров определенного сценария. Эти объекты содержат параметры для компьютеров и пользователей с рекомендуемыми параметрами для среды клиентских компьютеров на предприятии (Enterprise Client – EC) и для клиентской среды с особыми параметрами безопасности и ограниченной функциональности (Specialized Security — Limited Functionality – SSLF). Системные начальные объекты групповой политики вы можете увидеть на следующей иллюстрации:
Рис. 2. Системные начальные объекты GPO
Для того чтобы просмотреть параметры системного начального объекта GPO, вам нужно в узле начальных объектов групповой политики дерева консоли выбрать любой объект и перейти на вкладку «Параметры». Эти параметры вы можете просмотреть ниже:
Рис. 3. Параметры системных начальных объектов групповой политики
Одних лишь настроек предустановленных начальных объектов групповой политики может быть недостаточно для ваших потребностей. В отличие от системных начальных объектов GPO, начальные объекты групповой политики, созданные вами, подвластны внесению изменений. Для того чтобы создать начальный объект групповой политики, вам предстоит выполнить следующие действия:
- Откройте оснастку b«Управление групповой политикой»;
- В дереве консоли выберите узел «Начальные объекты групповой политики» и выберите команду создания стартового объекта GPO одним из следующих способов:
- Нажмите правой кнопкой мыши на узле «Начальные объекты групповой политики» и из контекстного меню выберите команду «Создать»;
- Нажмите правой кнопкой на панели сведений и из контекстного меню выберите команду «Создать»;
- Если у вас отображается панель действий, то перейдите на ней по ссылке «Создать»;
- В меню «Действие» выберите команду «Создать».
- В диалоговом окне «Новый стартовый объект групповой политики», в поле «Имя» введите название вашего начального объекта GPO, а в поле «Комментарий», при необходимости, укажите подробное описание для вашего начального объекта групповой политики и нажмите на кнопку «ОК»;
Рис. 4. Создание начального объекта групповой политики
После того как вы нажмете на кнопку «ОК», новый начальный объект групповой политики будет добавлен в область сведений данного узла. Как видно со следующей иллюстрации, значок созданного вами начального объекта GPO отличается от системного;
Рис. 5. Начальные объекты групповой политики в области сведений
Новый начальный объект групповой политики создается без каких-либо настроек параметров политик. Для того чтобы указать параметры политик, выберите пользовательский начальный объект групповой политики, нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Изменить». В открывшейся оснастке «Редактор стартового GPO групповой политики» вы можете указать параметры групповой политики. При помощи этой оснастки, вы можете настраивать только административные шаблоны конфигурации компьютера или конфигурации пользователя;
Рис. 6. Оснастка «Редактор стартового GPO групповой политики»
Экспорт и импорт начальных объектов групповой политики
Оснастка «Управление групповой политикой» обеспечивает не только создание новых объектов групповых политик из начальных объектов GPO, а еще и превосходный механизм архивации и восстановления начальных объектов GPO. Помимо архивации и восстановления из архива, подобно обычным объектам групповой политики средствами соответствующих команд из контекстного меню (об архивации и восстановлении групповых политик я расскажу подробно в одной из следующих статей), вы можете архивировать и развертывать начальные объекты GPO в CAB-архивы. Такие архивы помогают вам как ИТ-администраторам развертывать существующие начальные объекты групповой политики в окружении, отличающемся от вашей интрасети. Для того чтобы сохранить ваш начальный объект групповой политики как CAB-архив, выполните следующие действия:
- Откройте оснастку «Управление групповой политикой»;
- В дереве консоли перейдите к узлу «Начальные объекты групповой политики» и в области сведений выделите сохраняемый начальный объект GPO;
- Нажмите на кнопку «Сохранить как CAB-файл», как показано на следующей иллюстрации:
Рис. 7. Сохранение начального объекта GPO в CAB-архив
Созданный вами архив будет содержать такие элементы, как: настройки административных шаблонов конфигурации компьютера и пользователя, название и тип начального объекта GPO, сохранённый отчет параметров политик, имя автора, комментарии и прочую информацию.
Сохраненный ранее начальный объект групповой политики при помощи оснастки «Управление групповой политикой» вы можете также просто загрузить на любой домен. Для загрузки начального объекта GPO, вам нужно сделать следующее:
- Откройте оснастку «Управление групповой политикой»;
- В дереве консоли перейдите к узлу «Начальные объекты групповой политики» и нажмите на кнопку «Загрузить CAB-файл»;
- В диалоговом окне «Загрузить начальный объект групповой политики» нажмите на кнопку «Поиск CAB-файла»;
- Найдите CAB-файл с нужным начальным объектом GPO в диалоговом окне «Загрузить начальный объект групповой политики» и нажмите на кнопку «Открыть»;
- В диалоговом окне загрузки начального объекта GPO вы можете ознакомиться с информацией об открытом архиве. Здесь вы можете увидеть имя начального объекта групповой политики, его GUID, а также просмотреть все настройки загружаемого CAB-файла. Для этого в поле «Сравнение версий» выделите источник «CAB-файл начального объекта групповой политики» и нажмите на кнопку «Просмотреть параметры». В браузере, установленном по умолчанию, откроется удобный для чтения отчет со всеми изменениями политик. Диалоговое окно загрузки начального объекта GPO отображено ниже:
Рис. 8. Диалоговое окно «Загрузить начальный объект групповой политики»
Создание объектов групповой политики на основании начальных объектов групповой политики и сохранение отчетов
Все действия, которые были подробно описаны выше, являются предварительной частью для выполнения назначения основного функционала этого компонента – создания объектов групповой политики на основании начальных объектов GPO. Созданный объект GPO из начального объекта групповой политики, позволит вам минимизировать время, которые вы затратили бы на определение параметров политик административных шаблонов. После того как у вас будут настроены начальные объекты GPO, вы можете создать на их основе новый объект из узла «Объекты групповой политики», из узлов с названием подразделений или, непосредственно, из узла «Начальные объекты групповой политики».
Для того чтобы создать новый объект групповой политики, основанный на начальном объекте GPO из узла «Начальные объекты групповой политики», вам нужно выполнить следующие действия:
- В оснастке «Управление групповой политикой» перейти к узлу «Начальные объекты групповой политики»;
- Выделить нужный для вас начальный объект GPO, нажать на нем правой кнопкой мыши и из контекстного меню выбрать команду «Создать объект групповой политики из стартового объекта групповой политики»;
- В диалоговом окне «Новый объект групповой политики», в поле «Имя», введите название нового объекта, например: «Объект на основании начального объекта GPO» и нажмите на кнопку «ОК». Как видно на следующей иллюстрации, в этом случае раскрывающийся список «Исходный объект групповой политики» не активен;
Рис. 9. Создание нового объекта GPO из узла «Начальные объекты групповой политики»
Если вы не хотите создавать новые объекты групповой политики из этого узла, то при создании нового объекта групповой политики, удобным способом вам нужно будет выбрать начальный объект групповой политики из раскрывающегося списка «Исходный объект групповой политики». По нажатию на кнопку «ОК», у созданного вами объекта групповой политики будут настроены все параметры политик, которые вы указали в начальном объекте GPO.
Рис. 10. Выбор исходного объекта групповой политики
Функционал оснастки «Управление групповой политикой» позволяет вам экспортировать отчеты начальных объектов групповых политик для последующего изучения требований к защищаемой информации, охраняемых объектов и управлением рисками. Для того чтобы распечатать отчет, вам нужно выделить начальный объект групповой политики, перейти на вкладку «Параметры» и из контекстного меню выбрать команду «Печать». В диалоговом окне «Печать» выберите принтер и распечатайте отчет. Помимо этого, вы можете экспортировать отчет в HTML формат. Для этого выберите команду «Сохранить отчет» из контекстного меню начального объекта групповой политики в дереве консоли, из контекстного меню выбранного объекта на вкладке «Содержимое» узла «Начальные объекты групповой политики» или из контекстного меню области сведений на вкладке «Параметры» начального объекта групповой политики. В диалоговом окне «Сохранение отчета начального объекта групповой политики» выберите папку, введите название отчета и нажмите на кнопку «Сохранить». Полученный отчет отображен на следующей иллюстрации:
Рис. 11. Отчет начального объекта групповой политики
Заключение
Из этой статьи вы узнали о начальных (стартовых) объектах групповых политик. Рассмотрены примеры создания папки начальных объектов групповой политики с системными начальными объектами GPO, которые там расположены по умолчанию, а также создание начальных объектов групповых политик. Помимо этого вы узнали об экспорте и загрузке данных объектов GPO в CAB-файлы. Научились создавать объекты групповых политик на основании начальных объектов GPO, а также сохранять такие политики в HTML файлы для дальнейшего анализа. В следующей статье вы узнаете о моделировании групповой политики.
Как сделать копию GPO политики
Как сделать копию GPO политики
Добрый день! Уважаемые читатели и гости IT блога Pyatilistnik.org. В прошлый раз мы с вами подробно рассмотрели, как создается загрузочная флешка с Windows 10 1903, который вышел буквально несколько дней назад. Сегодня я вновь вернусь к теме групповых политик, а именно мы рассмотрим, как сделать копию объекта GPO, со всеми настройками и параметрами, применяемыми к объектам Active Directory. Уверен, что начинающим падаванам, это окажется полезно.
Постановка задачи
Для каких целей вам может потребоваться с клонировать один объект групповой политики в вашем домене:
- Вы хотите иметь копию оригинальной политики перед внесением значимых изменений, эффект от которых вам сложно просчитать и оценить, и чтобы можно было всегда отказаться от новой GPO и вернуть старую, рабочую.
- В вашей GPO много настроек, которые вы хотели бы сохранить для новой групповой политики, но с небольшими изменениями. Чтобы не делать рутинную, дополнительную работу вы можете быстро и удобно скопировать нужную GPO, для дальнейшей работы с ней.
Методы клонирования объекта групповой политики
Существует несколько методов, позволяющих вам произвести полное копирование GPO:
- Через оснастку управление групповыми политиками GPMC
- Это использование моего любимого сильного языка, PowerShell
Открываем оснастку «Управление групповой политикой (gpmc.msc)». Находим нужный объект GPO который вам необходимо скопировать. В моем примере, это будет «Управление UIPI».
Посмотрим на вкладке «Параметры», что делает данная политика. Я ее использовал для отключения User Interface Privilege Isolation.
Далее переходим в контейнер «Объекты групповой политики», который содержит все ваши объекты GPO присутствующие в данном домене Active Directory. Щелкаем правым кликом по нужному и из контекстного меню выбираем пункт «Копировать».
Вот вы нажали скопировать и ничего не произошло, на мой взгляд, что Microsoft сделала очень не очевидно, что нужно делать дальше, особенно если вы делаете, это впервые. Парадокс заключается в том, что скопировать объект GPO вы можете только в контейнере «Объекты групповой политики» и нигде более. Вот почему бы сразу сюда не вставлять? Чтобы вы могли теперь создать скопированный объект GPO, кликните правым кликом по данному контейнеру и из контекстного меню выберите «Вставить«.
У вас появится дополнительное окно с выбором действий «Копирование объекта групповой политики»:
- Использовать разрешения по умолчанию для новых объектов групповой политики
- Сохранить существующие разрешения
Если хотите создать полный клон, то выбираем второй пункт, если хотите под шаманить список доступа к объекту, то выбираем первый вариант. Далее появится окно со статусом и прогрессом копирования, дожидаемся успешного окончания операции.
В итоге у вас появится новый объект GPO. у которого в начале названия будет слово «Копия». Обратите внимание, что все разрешения я сохранил, это видно по списку в фильтре безопасности и примененному WMI фильтру. Так же стоит отметить, что у новой политики, будет новый GUID, можете проверить на вкладке «Сведения».
Для вашего удобства советую вам переименовать новую политику, через клавишу F2 или контекстное меню.
Теперь посмотрим на сколько удобнее, это сделать через PowerShell. Для начала откройте PowerShell от имени администратора. Первым делом я вам предлагаю посмотреть вашу текущую политику, для этого есть командлет Get-GPO и вот такая конструкция.
Убедившись, как называется объект GPO и удостоверившись, что он вообще есть мы приступаем к его копированию. Для этого воспользуемся командлетом Gopy-GPO (https://docs.microsoft.com/en-us/powershell/module/grouppolicy/copy-gpo?view=win10-ps)
- SourceName — Имя копируемой политики
- TargetName — Имя новой политики
- -CopyAcl — Копирует все разрешения на политику GPO.
Теперь сделав просмотр новой политики, я вижу, что были скопированы права и WMI фильтры.
Так же вы можете проводить копирование между доменами. Между исходным доменом и доменом назначения должны существовать доверительные отношения.
Для переименовывания политики, через PowerShell можно применить командлет Rename-GPO.