Групповые политики Windows Vista

Возможности групповых политик в Windows Vista намного шире, чем в предыдущих версиях Windows. Давайте более подробно рассмотрим некоторые значительные изменения в групповых политиках.

24.11.2006 02:41,
Страницы: 1 2 След.

В Windows Vista значительно обновлена инфраструктура групповых политик. Когда организации во всем мире начнут активно использовать Windows Vista, многие администраторы даже не заметят разницы, поскольку все многочисленные изменения групповых политик скрыты. Однако администраторы несомненно увидят, что возможности групповых политик в Windows Vista™ намного шире, чем в предыдущих версиях.

До Windows Vista за обработку групповых политик отвечал процесс winlogon. Процесс Winlogon отвечал за выполнение многих задач, в том числе за вход пользователей в систему и за обслуживание групповых политик. Теперь групповые политики представляют собой отдельную службу Windows. Более того, эта служба имеет высокий уровень защиты, что означает, что ее нельзя остановить, и администратор не может получить права отключения групповых политик. Эти изменения повышают общую надежность механизма групповых политик.

И это лишь начало. Давайте более подробно рассмотрим некоторые значительные изменения в групповых политиках.

Доступность расширенной информации сети

До появления Windows Vista механизм групповых политик пытался определить скорость подключения к сети. Эта информация использовалась для того, чтобы определить, какие параметры политик следует применять. При низкой скорости связи на компьютер пользователя отправлялись не все параметры политик, поскольку их загрузка занимала довольно много времени. В новой службе групповых политик эта функция также сохранена. Однако при этом изменен принцип расчета текущей скорости сети.

Ранее скорость определялась посредством отправки пакетов ICMP ping на контроллеры домена. При использовании этого подхода возникало много проблем. Прежде всего, многие администраторы отключают пакеты ICMP на своих маршрутизаторах. Во-вторых, расчеты были ненадежными в случаях, когда соединение осуществлялось через каналы с высоким уровнем задержки (например, через спутниковые каналы). В таких ситуациях механизм групповых политик не мог определить, является ли соединение действительно быстрым, или нет.

Кроме того, механизм групповых политик не мог определять случаи, когда компьютер подключался к сети после длительного простоя. Также механизм групповых политик не мог определять и случаи, когда компьютер подключался к сети после долгого времени работы в автономном режиме. На компьютерах под управлением Windows XP или Windows 2000 пользователь мог подключиться к сети, проверить электронную почту и отключиться, и при этом обновление групповых политик не выполнялось. Большинство администраторов хотели бы обновлять групповые политики на системах, заново подключаемых к сети после длительного простоя или после долгого периода автономной работы.

Новая служба групповых политик Windows Vista понимает основные аспекты подключения к сети в реальном времени. Основное изменение заключается в том, что теперь механизм групповых политик использует обработчик NLA 2.0 в Windows Vista. Служба NLA просто оповещает службу групповых политик о доступности контроллера домена. Если контроллер домена доступен, при необходимости выполняется обновление групповых политик.

Использование нескольких локальных объектов GPO

До появления Windows Vista поддерживалось использование только одного объекта локальной групповой политики (GPO). Если вы набирали GPEDIT.MSC в командной строке и вносили некоторые изменения в настройки, эти изменения влияли на всех пользователей и администраторов, использовавших этот компьютер. Это нередко представляло собой проблему, например, в ситуациях, когда требовалось удалить команду «Выполнить» из меню «Пуск» для обычных пользователей, но оставить ее доступной для администраторов.

Возможность использования нескольких локальных объектов GPO позволяет решить эту проблему с помощью многоуровневой системы GPO. Это возможность будет в основном использоваться на системах, не входящих в домен Active Directory. Однако она может показаться полезной и для конечных пользователей.

Новая многоуровневая система локальных объектов GPO может выглядеть немного сложной (см. Рисунок 1). Локальный объект GPO, используемый по умолчанию, по-прежнему действует в контексте локальной системы и влияет на всех пользователей этой системы. Этот объект GPO определяет параметры компьютера и параметры пользователя.

Рисунок 1 Полная местная групповая политика пользователей
Рисунок 1 Полная местная групповая политика пользователей

Второй уровень относится или к участникам локальной группы Администраторы, или ко всем остальным пользователям. Учетная запись пользователя по определению не может состоять в обеих группах одновременно. Данный уровень определяет, является ли пользователь администратором или обычным пользователем локальной системы, а затем использует соответствующий объект GPO (для администраторов или для остальных пользователей). Третий уровень относится к конкретным учетным записям пользователей локальной системы.

Итак, мы перечислили три локальных объекта GPO, которые могут повлиять на любого пользователя компьютера. Например, вы можете использовать три уровня для настройки параметров для всех пользователей компьютера, для настройки дополнительных параметров, действующих только для администраторов, и для настройки еще нескольких параметров, действующих только для одного пользователя компьютера .

Разумеется, если система входит в домен Active Directory®, объекты групповых политик Active Directory имеют приоритет по отношению к объектам локальных политик. Также необходимо отметить, что администраторы домена могут отключить обработку всех локальных объектов GPO в Windows Vista.

Сообщения об ошибках, поиск и устранение неисправностей

В Windows Vista используется совершенно новая система журнала событий. Механизм групповых политик использует эту новую систему под названием Windows Eventing 6.0 (также называемую журналом событий) и разделяет события на два журнала. Уже знакомый большинству специалистов системный журнал (теперь носящий название Административный журнал) содержит перечень проблем с групповыми политиками. При возникновении ошибки в механизме групповых политик, эта ошибка должна публиковаться в системном журнале, при этом должно указываться, что источником ошибки является служба групповых политик (а не процесс Userenv).

Уже знакомый большинству специалистов системный журнал (теперь носящий название Административный журнал) содержит перечень проблем с групповыми политиками. Он фактически заменяет неудобный файл userenv.log, поскольку в нем для удобства чтения перечислены все шаги механизма групповых политик.

Страницы: 1 2 След.
Оцените материал:  
(Голосов: 1, Рейтинг: 2.93)

Каждый вечер мы будем присылать вам одно письмо со всеми опубликованными за день материалами. Нет материалов - нет писем, просто и удобно (другие варианты).

Материалы по теме


Комментарии (0)