G14
Добрый фей | Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Первая часть здесь
Обсуждение первой части здесь
Вступление.
В предыдущей статье мы познакомились с основами работы с групповыми политиками. Теперь я постараюсь немного углубить тему и описать структуру объекта групповых политик (Group Policy Object, GPO). Сразу приношу извинения за форматирование текста, старался как мог 
Структура объекта групповой политики(Group Policy Object, GPO).
Контейнер групповой политики.
Объекты GPO, основанные на Active Directory фактически состоят из двух частей.
Первая – это контейнер групповой политики(Group Policy Container, GPC). Обратиться к нему можно, например, из инструмента AD Users & Computers, выбрав System\Policies. Если Вы не видите у себя пункта System, выберите Advanced Features(Дополнительные функции) в меню View(Вид). Каждый GPC отображается в виде GUID (глобального уникального идентификатора).
Чтобы определить имя GPC объекта используйте утилиту ADSIedit.msc. Найдите объект GPC в Active Directory и рассмотрите атрибут displayName
GPC содержит информацию о версии, список компонентов и информацию о состоянии.
Так же контейнер политики содержит следующие свойства:
Version information – информация о версии. Используется для того, чтобы сравнить версии контейнера и шаблона GPO, чтобы убедиться, что они синхронизированы.
Status information – статус. Показывает включен (enabled) или отключен (disabled) объект.
Список клиентских расширений, для которых есть сконфигурированные параметры в этом GPO.
File System path – UNC путь к папке SYSVOL (gPCFileSysPath. Этот атрибут содержит строку в которой содержится полный путь к шаблону групповой политики. Между каждым контейнером групповой политики и шаблоном существует отношение 1 : 1, т.е. нельзя сделать так, чтобы на один шаблон ссылалось несколько контейнеров.)
Functionality version – версия оснастки, с помощью которой создан GPO.
Так же контейнер содержит информацию, используемую «Конфигурацией программ» (Software Installation), включающую все данные о программе, интерфейсах и API, требуемых для назначения (assign) или публикации (publish) приложений.
Шаблон групповой политики
Вторая часть объекта групповой политики, это шаблон групповой политики (Group Policy Template, GPT). GPT хранится в папке SYSVOL\sysvol\domainname\Policies\{GUID} на каждом контроллере домена. Выглядит GPT как обычный набор директорий и файлов, коим, по сути, и является.
В директории SYSVOL\sysvol\domainname\Policies\{GUID} содержится файл Gpt.ini с единственной записью Version=число, где число – это номер версии GPO в десятичном виде. Переведя это число в 16-ричный вид мы получим 32-х битовую величину (DWORD, двойное слово), где первое слово будет номером версии Computer Configuration, а второе – номером версии User Configuration. Например, если Version=131076, то в 16-ричном представлении это 0x00020004, то есть версия Computer Configuration (первое слово) 0х0002 (двоичное два), а версия User Configuration (второе слово) 0х0004 (двоичное 4).
Примечание: В gpt.ini для локального объекта групповой политики содержится намного больше информации:
[General]
gPCUserExtensionNames //Здесь указан список GUID который описывает какие клиентские расширения (Client
Side Extensions) имеют данные в разделе «Конфигурация пользователя» (User Configuration) GPO.
GPCMachineExtensionNames //Список GUID описывает какие клиентские расширения (Client
Side Extensions) имеют данные в разделе «Конфигурация компьютера» (Computer configuration) GPO.
Options.. //Установки объекта, отключены или нет части «Конфигурация пользователя» или «Конфигурация компьютера».
GPCFunctionalityVersion // Номер версии редактора политик, с помощью которого создан объект.
Вот как выглядит этот файл (пример):
При каждой загрузке и входе в систему, а также каждые 90+\-30 минут (интервал обновления по умолчанию), ОС проверяет номер версии в файле Gpt.ini и сравнивает его с номером версии последнего примененного к ней GPO, и если они отличаются – GPO применяется снова. (GPO может быть применен и при не отличающихся версиях, в случае, если задана соответствующая политика).
В директории Adm содержатся копии текущих административных шаблонов, добавленных в этот GPO.
В подкаталогах MACHINE и USER могут содержаться следующие папки (состав и содержание этих папок зависит от конкретных параметров, определенных в данном объекте политик):
Applications. Данный каталог содержит файлы вида <GUID>.aas, которые являются сценариями установки приложений. Сценарии ссылаются на пакеты, указанные в контейнере групповой политики.
Documents & Settings. Здесь содержатся настройки перенаправления папок (Folder Redirection). Настройки представляют собой .ini файл, примерно следующего содержания:
Код: [FolderStatus]
Application Data=11
Desktop=11
My Documents=11
My Pictures=2
Start Menu=0
Programs=2
Startup=2
[Application Data]
s-1-1-0=\\server\share\%username%\Application data
[Desktop]
s-1-1-0=\\server\share\%username%\Desktop
[My Documents]
s-1-1-0=\\server\share\%username%\My Documents
[My Pictures]
[Start Menu]
s-1-1-0=\\server\share\%username%\Start Menu
[Programs]
[Startup]
|
В разделе [FolderStatus] описываются условия перенаправления. В разделе [ApplicationData] – пути, в формате SID=путь.
Microsoft. Эта папка содержит настройки для Security Configuration Editor, IE Admin и RIS. Подкаталоги с соответствующими файлами настройки создаются, когда вы определяете параметры в соответствующих разделах объекта групповой политики. Например, для для Security Editor создаются вложенные папки \Windows NT\Secedit в которые помещается файл GtpTmpl.inf. Этот файл по сути содержит правила доменой безопасности (в том случае, если данный объект привязан к объекту домена. Если данный объект связан с сайтом (Site) или подразделением (Organizational Unit), данные настройки будут действовать на локальных пользователей компьютеров, находящихся в области действия GPO!). Вот так выглядит его содержимое (например):
Код: [Unicode]
Unicode=yes
[System Access]
MinimumPasswordAge = 0
MaximumPasswordAge = 42
MinimumPasswordLength = 0
PasswordComplexity = 0
PasswordHistorySize = 5
LockoutBadCount = 0
RequireLogonToChangePassword = 0
ForceLogoffWhenHourExpire = 0
ClearTextPassword = 0
[Kerberos Policy]
MaxTicketAge = 10
MaxRenewAge = 7
MaxServiceAge = 600
MaxClockSkew = 5
TicketValidateClient = 1
[Version]
signature="$CHICAGO$"
Revision=1 |
Scripts. В этом каталоге находятся 2 подкаталога. Shutdown и Startup, если это machine\scripts, и Logon и Logoff, если это user\scripts. Как все уже догадались, здесь содержатся сценарии, выполняемые во время процесса, соответствующего названию подпапки. Также в папках Scripts находятся файлы scripts.ini, которые содержат ссылки на файлы сценариев и передаваемые параметры и/или условия запуска.
Также в папках Machine и User могут находиться другие каталоги, если установлены программы, имеющие возможность конфигурирования с помощью групповых политик. Как правило эти каталоги называются по имени производителя программы.
Ну и наконец, в папках Machine и User находятся файлы Registry.pol. Эти файлы появляются, когда в разделе «Административные шаблоны» (Administrative Templates) определяется какой-нибудь параметр. Файл Registry.pol тесно связан с административными шаблонами (.adm). Административные шаблоны содержат параметры реестра, которые возможно сконфигурировать с помощью групповых политик. Ключевое слово здесь – «возможно». Registry.pol содержит сконфигурированные параметры.
Когда вы открываете редактор политик, он создает временную ветвь реестра с двумя узлами: user и machine. Когда вы передвигаетесь по узлам «административных шаблонов» в редакторе политик, редактор политик показывает вам соответствующие разделы административных шаблонов (.adm), подгружая их динамически (после выбора соответствующего раздела шаблонов). Все просмотренные параметры кэшируются.
Когда вы выбираете какую-нибудь политику, редактор политики читает временную ветвь реестра для того, чтобы определить значение этой политики (параметра). Если во временной ветви нет значения, запрашивается значение по умолчанию из .adm файла. Если в .adm файле нет значения по умолчанию, запрашивается соответствующее клиентское расширение.
Все параметры (политики), которые вы определяете в процессе редактирования раздела «Административные шаблоны» GPO, сохраняются во временной ветви реестра. Когда вы закрываете редактор политик, ветвь реестра импортируется в соответствующие файлы Registry.pol (в папке user или machine).
Впоследствии при открытии редактора групповой политики в создаваемую временную ветвь реестра импортируются соответствующие файлы Registry.pol, чтобы вы видели текущие настройки политик.
Registry.pol состоит из заголовка и параметров реестра.
Заголовок содержит текущую версию и сигнатуру, оба являются значениями DWORD:
Код: REGFILE_SIGNATURE 0x67655250
REGISTRY_FILE_VERSION 00000001 (повышается каждый раз, когда вы вносите изменения) |
Ключи реестра начинаются с символа “[“ и заканчиваются символом “]”. Выглядит это так:
[key;value;type;size;data]
«Key» - это относительный путь реестра (например, S o f t w a r e \ M i c r o s o f t \ W i n d o w s \ C u r r e n t V e r s i o n \ P o l i c i e s \ E x p l o r e r). Он не включает в себя HKEY_LOCAL_MACHINE или HKEY_CURRENT_USER. В какую из этих ветвей импортировать параметр определяется местонахождением файла Registry.pol (папка USER или MACHINE).
В качестве key может передаваться специальный параметр DeleteKeys, который указывает, что данные параметры нужно удалить. Параметры вносятся через точку с запятой «;».
DeleteKeys NoRun;NoFind.
«Value» - это имя ключа реестра (например, N o W e l c o m e S c r e e n). Имеет несколько специальных параметров:
DeleteValues – разделенный точкой с запятой (;) список параметров, которые нужно удалить.
Del.valuename – один параметр, который нужно удалить.
DelVals – удалить все параметры в данном ключе реестра.
«Type» - это тип параметра реестра. Может быть любым типом данных реестра (например REG_DWORD или REG_EXPAND_SZ). Помните, что хотя тип может быть любым, в разделе «Административные шаблоны» редактора групповой политики не поддерживаются типы REG_BINARY и REG_MULTI_SZ.
«Size» - это размер поля data в байтах. Например 4.
«Data» - значение параметра реестра. Например, 0x00000001.
Могут быть ситуации, когда value, type, size или data (или все сразу) отсутствуют или равны 0. В этом случае просто создается пустая ветка реестра, без самих ключей.
Обе части объекта реплицируются на все контроллеры домена в домене. GPC – как часть репликации AD. А GPT с помощью службы репликации файлов (FRS). Так как две части объекта групповой политики реплицируются разными механизмами, существуют ситуации, когда одна часть уже реплицирована, а другая еще нет (из-за несовпадения расписаний репликации).
----------
http://OpsMgr.ru (более мне не принадлежит. Кому принадлежит - не знаю.) |
|
