

.. _GP_sum:

Наследование и суммирование параметров групповых политик
---------------------------------------------------------

Аннотация
~~~~~~~~~~~~~~~~~~~~~~~~~~

Настоящий документ объясняет порядок наследования и суммирования параметров групповых политик в ALD Pro в сравнении с Microsoft Active Directory (MS AD).

Термины и определения
~~~~~~~~~~~~~~~~~~~~~~~~~~

.. raw:: latex

    {\fontsize{8}{8}\selectfont

.. tabularcolumns:: |\Y{0.2}|\Y{0.2}|\Y{0.6}|

.. include:: tables/t1.md
   :parser: myst_parser.sphinx_

.. raw:: latex

    }

Предварительные настройки
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Создание дополнительных параметров групповых политик
""""""""""""""""""""""""""""""""""""""""""""""""""""""

Если для работы с функционалом групповых политик будут созданы дополнительные параметры групповых политик, необходимо воспользоваться инструкцией :ref:`add_parameter_GP`.

Создание объекта групповой политики
""""""""""""""""""""""""""""""""""""

Для создания объектов групповой политики необходимо перейти в подраздел :ref:`group_policies_2` (раздел :ref:`group_policies_1`)


Наследование
~~~~~~~~~~~~~~~~~~~~~~~~~

В домене **ALD Pro** назначить объект групповой политики (далее - ГПО) возможно только на подразделения. ГПО, назначенный на подразделение, называется связанным объектом групповой политики. Назначение ГПО на подразделение возможно 2 способами:

* Групповые политики → Групповые политики → {Имя ГПО} → Подразделения;
* Более удобный способ: Пользователи и компьютеры → Организационная структура → {Имя подразделения} → Групповые политики.

При назначении ГПО на структурное подразделение, его параметры по умолчанию наследуются пользователями/компьютерами всех нижестоящих подразделений. На рис. 1 показано, что на Целевой компьютер распространяется действие как объектов групповой политики ГПО-7 и ГПО-8, назначенных на OU3 напрямую, так и объектов ГПО-1 ... ГПО-6, назначенных на вышестоящие подразделения. Приоритет ГПО - это выставленный пользователем приоритет ГПО в рамках выбранного подразделения. Порядок применения - порядок в котором параметры ГПО будут суммироваться. 

.. figure:: images/image_1.png
   :name: image_1

Рис. 1. Порядок наследования суммирования групповых политик

Флаг "Отключить наследование"
""""""""""""""""""""""""""""""

C 2.4.0 в домене **ALD Pro** для структурного подразделения можно установить флаг **Включить наследование** (аналог ``Block Inheritance`` (отключить наследование) в MS AD), что позволит включать и отключить наследование параметров, определенных в объектах групповых политик, назначенных на родительские (вышестоящие) подразделения, см. рисунок 2.

По умолчанию наследование включено для всех подразделений. Функция удобна для отладки или если в рамках организационной структуры есть объекты, на которые нужно назначить принципиально иные настройки. Например, в рамках московского офиса может быть open space или компьютерный класс, для которых проще задать настройки заново, чем переопределять общие настройки, заданные для офиса в целом. 

.. figure:: images/image_2.png
   :name: image_2

Рис. 2. Включение наследования ГПО для структурного подразделения в интерфейсе ALD Pro

Если отключить наследование для OU1, то объекты групповой политики ГПО-1 и ГПО-2, назначенные на Корневое подразделение, перестанут распространять свое действие на Целевой компьютер. Применяться будут только объекты ГПО-3 ... ГПО-8, см. рисунок 3.

.. figure:: images/image_3.png
   :name: image_3

Рис. 3. Иллюстрация работы блокировки наследования ГПО для структурного подразделения

Флаг "Наследование принудительно"
""""""""""""""""""""""""""""""""""

С **ALD Pro** версии 2.4.0 для связанного ГПО, можно установить флаг **Наследовать принудительно** (аналог флага ``Enforced`` (Наследовать принудительно) в MS AD), что позволит сделать наследование параметров соответствующего объекта групповой политики обязательным для всех дочерних подразделений, даже если где-то наследование отключено, см. рисунок 4.

По умолчанию флаг выключен для всех ГПО. Более того, связанные ГПО, отмеченные флагом **Наследовать принудительно**, применяются после обычных ГПО, поэтому переопределяют их значения. То есть алгоритм суммирования имеет два вложенных цикла, сначала суммирует параметры обычных ГПО, потом сверху накладывает суммирование ``Enforced`` ГПО. Функция удобна, например, для настройки параметров безопасности, действие которых должно распространяться на все структурные подразделения, вне зависимости от того, используется ли отключение наследования или нет. 

.. figure:: images/image_4.png
   :name: image_4

Рис. 4. Включение принудительного наследования параметров для связанного ГПО в интерфейсе ALD Pro

Если для ГПО-1 включить флаг принудительного наследования, то параметры этого объекта будут применяться к Целевому компьютеру, не смотря на то, что для OU1 установлен флаг на запрет наследования. В итоге будут применяться объекты ГПО-1, ГПО-3 ... ГПО-8, см. рисунок 5.

.. figure:: images/image_5.png
   :name: image_5

Рис. 5. Иллюстрация работы флага принудительного наследования для ГПО

Суммирование
~~~~~~~~~~~~~

Порядок суммирования
""""""""""""""""""""""

Если пользователь или компьютер попадает в область действия нескольких объектов групповых политик, их параметры суммируются следующим образом:

#. Если на одно и тоже структурное подразделение назначено несколько объектов групповых политик, то порядок применения параметров устанавливается с помощью приоритета. Приоритет представляет из себя целое число, если приоритет равен единице, то параметры этого ГПО будут применяться в самую последнюю очередь и смогут переопределить ранее установленные значения в случае конфликтов. На рисунке 6 показано, что на подразделение OU3 назначено два объекта GPO-7 и GPO-8 и первым из них применяется GPO-8, т.к. у него приоритет 2, а вторым GPO-7, поэтому параметры GPO-7 будут перетирать параметры GPO-8 в случае конфликтов.
#. Если ГПО назначены на разные подразделения, то порядок их применения определяется иерархией подразделений. Чем ближе ГПО по иерархии к целевому пользователю/компьютеру, тем позже будут применяться параметры этого объекта, поэтому параметры этого ГПО смогут переопределить ранее установленные значения в случае конфликтов. На рисунке 6 показано, что GPO-1 и GPO-2, назначенные на корневое подразделение, применяются в самом начале, а GPO-7 и GPO-8, которые назначены на OU3, в котором компьютер находится непосредственно, выполняются в последнюю очередь.

Конфликтом считается если на целевого пользователя/компьютер назначено несколько одинаковых параметров групповых политик, которые наследуются от разных ГПО. 

.. figure:: images/image_6.png
   :name: image_6

Рис. 6. Порядок суммирования ГПО

Механика разрешения конфликтов для простых параметров
""""""""""""""""""""""""""""""""""""""""""""""""""""""

Простой параметр имеет один список атрибутов, и если такой параметр определен в нескольких ГПО, остается один список значений атрибутов согласно правилам суммирования и наследования. В этом случае берется список атрибутов целиком, и, если какие-то из атрибутов не определены, то будет взято его "пустое" значение.

Механика разрешения конфликтов для составных (списочных) параметров
""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""""

В домене ALD Pro есть составные (списочные) параметры для которых можно задавать таблицу однотипных таблицу атрибутов, например, ярлыки, принтеры и т.п. Если такой параметр определен в нескольких объектах ГПО, то после суммирования получатся результирующий массив строк в том же порядке, в котором параметры должны применяться на целевом хосте. Бизнес-логика разрешения конфликтов для составных параметров может различаться. Есть 3 типа разрешения конфликтов для составных параметров:

.. tabularcolumns:: |\Y{0.4}|\Y{0.6}|

.. include:: tables/tbl_4.md
   :parser: myst_parser.sphinx_

Поведение составных параметров компьютеров
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

В таблице ниже приведено описание работы каждого составного параметра компьютеров, в зависимости от его типа.

.. raw:: latex

    {\fontsize{6}{6}\selectfont

.. tabularcolumns:: |\Y{0.05}|\Y{0.35}|\Y{0.35}|\Y{0.25}|

.. include:: tables/tbl_5.md
   :parser: myst_parser.sphinx_

.. raw:: latex

    }

Поведение составных параметров пользователей
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

В таблице ниже приведено описание работы каждого составного параметра компьютеров, в зависимости от его типа.

.. raw:: latex

    {\fontsize{8}{8}\selectfont

.. tabularcolumns:: |\Y{0.05}|\Y{0.35}|\Y{0.35}|\Y{0.25}|

.. include:: tables/tbl_6.md
   :parser: myst_parser.sphinx_

.. raw:: latex

    }

Суммирование дополнительных параметров ГП
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

Суммирование дополнительных параметров ГП не отличается от коробочных. Для составных дополнительных параметров ГП можно настроить уникальный атрибут.

Просмотр смоделированного отчета о назначенных параметрах ГП
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Для каждого компьютера и пользователя можно посмотреть моделирование результатов применения групповых политик (рисунок 7). (см. Пользователи и Компьютеры).

Для компьютера: **Пользователи и компьютеры → Компьютеры → {Имя компьютера} → Групповые политики**. Для пользователя: **Пользователи и компьютеры → Пользователи → {Логин пользователя} → Групповые политики**. Данный список представляет собой моделирование результатов применения групповых политик. Это значит, что не все параметры из данного списка могут быть применены к конкретному пользователю и не все политики могут быть отображены в данном списке. Чтобы групповая политика применилась к пользователю, необходимо соблюдать требования к операционной системе и заполненять значения атрибутов.

.. figure:: images/image_7.png
   :name: image_7

Рис. 7. Моделирование результата применения параметров ГП на пользователя