Win2kServ - Дорога в AD

Frozen (frozen@real.xakep.ru)

Спецвыпуск Xakep, номер #033, стр. 033-022-6

А теперь можешь с легкостью ветра создавать записи пользователей и группы в этих OU. Кстати говоря, при добавлении нового юзверя тебе предлагается настроить лишь малую часть доступных параметров, все же прелести ты сможешь ощутить при настройке свойств через ПКМ :).

Пришло время разобраться с групповыми политиками, а то говорили о них достаточно, но до этого момента с GP еще не сталкивались. Как я уже говорил раньше, настраивать policy можно только для OU, а делается это через свойства контейнера:

Причем, добавляя политику, помни, что применяются они в таком порядке: локальная->сайт->домен->OU(1)->...->OU(n)->политика1->политика2->политика3, то есть сверху вниз по нашему дереву :). Если GP от разных уровней между собой не конфликтуют, то они как бы сливаются и действуют вместе, в ином случае работает более низкоуровневая. А чтобы избежать проблем с запрещением действий на какую-то единицу всех политик, существует перекрытие и блокирование наследования:

Причем если одновременно выбрано "не перекрывать" и "блокировать наследие" на разных уровнях, то более сильным правилом является первое.

Но игра не стоила бы свеч, если бы не было того количества настраиваемых параметров, которое становится доступным при работе с GP. Ты, наверное, не раз читал о том, как можно отключать всякие пункты меню в пуске, запрещать смену параметров экрана, настраивать панель управления и систему, но для этого приходилось все ручками править в реестре. Причем не всегда можно было быть уверенным на 100% в смысле и результате настройки. Теперь же ты можешь управлять сразу ВСЕМИ компьютерами/пользователями сети, настраивая нужные параметры с помощью политик, а все изменения автоматически внесутся в реестр при следующем входе объекта в домен. Описывать все возможные настройки не имеет смысла по причине их количества, да и потом на вкладке "Объяснение" каждого пункта вполне понятно рассказано, что и как работает. Наигравшись с настройкой прав, предлагаю заострить свое внимание на самой верхней папке в политике - "Конфигурация программ". При помощи этой фичи можно, не парясь, установить практически любую программу на клиентский компьютер, даже не подходя к нему, а называется сия вещь SDP (Software Distribution Point - точка распространения программ). Существует два вида установки программ - "назначение" (жестко обозначить программу) и "опубликование" (добавить возможность установки через панель управления), причем можно управлять инсталлом как для компьютеров, так и для пользователей (потому что для юзверя и компа существуют две отдельные части GP). Для распространения программы она должна быть упакована в MSI-формат (впрочем, если разработчик этого не сделал, на диске с Виндой должна находиться программа WinInstall, специально для таких случаев). Я же покажу, как жестко назначить определенной группе приложение MSWord (я использую корпоративную версию офиса).