ОС Windows расширяет возможности групповых политик и предоставляет возможность сделать реальностью следующий постулат: “администратор высказывает пожелание относительно статуса пользовательской операционной среды, а система будет обеспечивать автоматическую настройку необходимых параметров”.

В Windows модель групповых политик была полностью пересмотрена и теперь основана на службе каталогов Active Directory, а также предоставляет намного больше функций, чем обычные ограничения на обновление системного реестра. Например:

· развертывание программ (то есть их назначение/публикация);

· сценарии регистрации/завершения сеанса работы/выключения компьютера;

· перенаправление папок.

Объекты групповых политик (GPO — Group Policy Objects) являются структурными единицами групповой политики и могут применяться в рамках сайта, домена или организационного подразделения. На самом деле, часто будут возникать случаи, когда к пользователю или компьютеру будут относится несколько объектов групповой политики. Когда параметры пересекаются между собой, используется следующий порядок приоритетов: сайт, домен и организационное подразделение (SDOU — Site, Domain, Organizational Unit). Поэтому все параметры, определенные на уровне сайта, могут быть переопределены настройками домена, а все свойства домена, в свою очередь, могут быть переписаны параметрами организационного подразделения. Существует и четвертый тип объекта — политика локального компьютера, который имеет наименьший приоритет, поэтому реальная последовательность приоритетов выглядит, как LSDOU. Все политики, определенные для локального компьютера, могут быть переопределены другими объектами.

Существует три метода использования групповых политик для сайтов, доменов и организационных подразделений.

· Объект групповой политики домена.

Откройте оснастку Active Directory — Пользователи и компьютеры (Active Directory — Users and Computers), кликните на имени домена правой кнопкой мыши и выберите команду Свойства (Properties) в контекстном меню. Перескочите на вкладку Групповая политика (Group Policy).

· Объект групповой политики организационного подразделения.

Откройте оснастку Active Directory — Пользователи и компьютеры (Active Directory — Users and Computers), кликните на имени подразделения правой кнопкой мыши и выберите команду Свойства (Properties) в контекстном меню. Перескочите на вкладку Групповая политика (Group Policy).

· Объект групповой политики сайта.

Откройте оснастку Active Directory — Сайты и службы (Active Directory — Sites and Services), кликните на имени сайта правой кнопкой мыши и выберите команду Свойства (Properties) в контекстном меню. Перескочите на вкладку Групповая политика (Group Policy).

Когда групповая политика выбирается для контейнера, по умолчанию объекта групповой политики не существует и предоставляется возможность его создания или добавления к контейнеру уже существующего объекта. Для создания нового объекта групповой политики кликните на кнопке New и введите имя объекта. После создания можно кликнуть на кнопке Edit для редактирования указанной политики. Будет запущен новый экземпляр консоли MMC с редактором групповой политики и выбранным корневым объектом политики.

Групповые политики Windows NT 4.0 не обновляются при переходе на Windows новых версий, поэтому придется переопределить все политики в виде объектов политики Windows. В смешанном окружении с системами Windows NT 4.0 и Windows необходимо сохранить файл NTCONFIG.POL на ресурсе netlogon контроллера домена (даже если контроллер домена работает под управлением Windows, поскольку контроллер имеет возможность аутентифицировать клиентов Windows NT 4.0), что позволит обеспечить передачу параметров групповых политик для клиентов Windows NT 4.0. Клиентские системы под управлением Windows будут по умолчанию игнорировать содержимое файла NTCONFIG.POL, что, однако, можно изменить путем модифицирования параметров групповой политики. В подобном случае задействован следующий порядок применения групповых политик.

  1.  Объект групповой политики компьютера при загрузке.

  2.  Системный файл NTCONFIG.POL при регистрации.

  3.  Пользовательский файл NTCONFIG.POL при регистрации.

  4.  Пользовательский объект групповой политики при регистрации.

Как уже говорилось ранее, данные объекта групповой политики хранятся в Active Directory, однако сама политика содержится в контейнере SYSVOL на каждом контроллере домена в каталоге %systemroot%\SYSVOL\sysvol\<домен>\Policies\<GUID объекта групповой политики>.

В этой папке будет располагаться файл GPT.INI, имеющий для нелокальных объектов групповой политики следующее содержание:

[General]
Version=<номер версии>

Например, версия может иметь номер 65539. Младшие четыре значащие цифры (четыре правые цифры) представляют номер версии системных параметров (3), а четыре старшие цифры представляют номер версии пользовательских параметров (четыре левые цифры) (1). Число необходимо преобразовать в шестнадцатеричный формат:

65639 : 0010003

Кроме того, в папке располагаться каталог Adm, содержащий шаблоны .ADM, используемые в объектах групповой политики, а также папки MACHINE и USER, включающие в себя файлы со специальными параметрами.

Глобально уникальный идентификатор (GUID) объекта групповой политики можно узнать, щелкнув правой кнопкой мыши на корневом объекте, выбрав в контекстном меню команду Свойства (Properties) и просмотрев значение свойства Unique name.

Для того, чтобы избежать конфликтов при модификации объектов групповой политики, только компьютер-владелец роли главного контроллера домена (PDC) имеет право менять объекты групповой политики.

В Windows NT 4.0 параметры политики “намертво” записывались в системный реестр, то есть когда политика удалялась, ее свойства все равно оставались в системном реестре. Преимуществом групповых политик Windows новых версий является возможность полного удаления их параметров, что достигается удалением содержимого следующих разделов в системном реестре Windows:

· \Software\Policies;

· \Software\Microsoft\Windows\CurrentVersion\Policies.

Наконец, в отличие от системный политик Windows NT 4.0, групповая политика Windows обновляется через некоторый промежуток времени, что, однако, касается не всей политики — параметры развертывания программного обеспечения и перенаправление папок не обновляются. Представьте себе, что с помощью объекта системной политики было настроено удаление программы Microsoft Word и вдруг, во время работы пользователя с приложением, оно удаляется! Все компьютеры под управлением Windows обновляют параметры групповых политик каждые 90 минут, кроме контроллеров домена, проводящих обновление каждые 5 минут. Это время и реплицируемые свойства политики можно изменить, отредактировав соответствующий объект групповой политики.