Справочный центр ALD Pro 3.2.1
Наследование и суммирование параметров групповых политик¶
Аннотация¶
Настоящий документ объясняет порядок наследования и суммирования параметров групповых политик в ALD Pro.
Термины и определения¶
Термин |
Альтернатива |
Определение |
|---|---|---|
Групповая политика |
ГП |
Разделы параметров, с помощью которых можно выполнить централизованную настройку ОС и окружения пользователя. Например, «безопасность», «оборудование», «сеть», «система» |
Объект групповой политики |
ГПО, group policy object, gpo, Объект ГПО |
Именованный набор параметров с конкретными значениями, которые могут быть назначены на структурные подразделения |
Параметр групповой политики |
Именованный набор атрибутов, которые позволяют сконфигурировать определенную функцию операционной системы или окружения пользователя. Например, параметр «Переменная окружения» объединяет такие атрибуты как «Имя переменной» и «Значение переменной» |
|
Атрибут параметра групповой политики |
Именованное значение, которое позволяет управлять конкретной настройкой операционной системы или окружения пользователя. Например, атрибуту «Имя переменной» можно присвоить значение «var1» |
|
Связанный объект ГП |
Связанный ГПО, Назначенный ГПО, gpo link |
Объект групповой политики, назначенный на конкретное подразделение |
Наследуемые ГПО |
Объекты групповых политик, назначенные на родительские подразделения, параметры которых по умолчанию наследуются дочерними подразделениями |
|
Простой параметр |
Параметр групповой политики, имеющий один список атрибутов |
|
Составной параметр |
Списочный параметр |
Параметр групповой политики, атрибуты которого представлены массивом списков |
Подразделение |
Organizational unit, ou |
Структурные подразделения организации, предназначенные для группировки объектов, чтобы на них можно было назначать ГПО |
Приоритет |
Целое число, определяющее порядок применения параметров ГПО, если на одно подразделение назначено несколько объектов. Если у объекта приоритет равен единице, то его параметры будут применяться в самую последнюю очередь и смогут переопределить все ранее установленные значения в соответствии с правилами суммирования |
|
Флаг «Отключить наследование» |
block inheritance |
Устанавливается для подразделения и позволяет отключить наследование параметров, определенных в объектах групповых политик, назначенных на родительские (вышестоящие) подразделения |
Флаг «Наследовать принудительно» |
enforced |
Устанавливается для связанного объекта ГП (gpo link) и позволяет сделать наследование параметров соответствующего объекта обязательным на все дочерние подразделения, даже если где-то наследование отключено |
Флаг «Связь включена» |
Link Enabled |
Устанавливается для связанного объекта ГП (gpo link) и позволяет отключить применение параметров соответствующего объекта, не удаляя назначение ГПО на структурное подразделение |
Флаг «Состояние объекта групповой политики» |
GPO Status |
Устанавливается для ГПО и позволяет отключить применение параметров этого объекта, не удаляя настроек. Переключатель имеет следующие состояния:
|
Целевой объект |
Target, target object, объект применения политики |
Пользователь или компьютер, к которому могут быть применены параметры групповой политики |
Фильтр применения ГПО |
Group policy Application Filter, фильтр применения |
Функционал, ограничивающий круг целевых объектов, к которым может применится конкретная ГПО при наличии связи с подразделением (OU). У каждой политики может быть задан свой набор разрешающих и запрещающих фильтров |
Разрешающий фильтр |
Allow Filter, Group policy Allow Filter |
Фильтр, определяющий, к каким целевым объектам может быть применена политика. Не гарантирует применение, только ограничивает область применения. Определяется состоянием и объектами фильтрации |
Запрещающий фильтр |
Deny Filter, Group policy Deny Filter |
Фильтр, определяющий, к каким целевым объектам не должна применяться политика. Определяется состоянием и объектами фильтрации |
Предварительные настройки¶
Создание дополнительных параметров групповых политик¶
Если для работы с функционалом групповых политик будут созданы дополнительные параметры групповых политик, необходимо воспользоваться разделом Руководство Администратора. Часть 2 → Портал управления. Настройка и работа → Групповые политики → Групповые политики → Создание групповой политики.
Создание объекта групповой политики¶
Для создания объектов групповой политики необходимо перейти в раздел Портал управления. Настройка и работа → Групповые политики → Групповые политики.
Наследование¶
В домене ALD Pro назначить объект групповой политики (далее - ГПО) возможно только на подразделения. ГПО, назначенный на подразделение, называется связанным объектом групповой политики. Назначение ГПО на подразделение возможно 2 способами:
Групповые политики → Групповые политики → {Имя ГПО} → Подразделения;
Пользователи и компьютеры → Организационная структура → {Имя подразделения} → Групповые политики.
При назначении ГПО на структурное подразделение, его параметры по умолчанию наследуются пользователями/компьютерами всех нижестоящих подразделений. На Карт. Порядок наследования и суммирования групповых политик показано, что на Целевой компьютер распространяется действие как объектов групповой политики ГПО-7 и ГПО-8, назначенных на OU3 напрямую, так и объектов ГПО-1-ГПО-6, назначенных на вышестоящие подразделения. Приоритет ГПО - это выставленный пользователем приоритет ГПО в рамках выбранного подразделения. Порядок применения - порядок в котором параметры ГПО будут суммироваться.
Порядок наследования и суммирования групповых политик¶
Флаг «Отключить наследовани延
C 2.4.0 в домене ALD Pro для структурного подразделения можно установить флаг Включить наследование (аналог Block Inheritance (отключить наследование) в MS AD), что позволит включать и отключить наследование параметров, определенных в объектах групповых политик, назначенных на родительские (вышестоящие) подразделения, см. Карт. Включение наследования ГПО для структурного подразделения в интерфейсе ALD Pro.
По умолчанию наследование включено для всех подразделений. Функция удобна для отладки или если в рамках организационной структуры есть объекты, на которые нужно назначить принципиально иные настройки. Например, в рамках московского офиса может быть open space или компьютерный класс, для которых проще задать настройки заново, чем переопределять общие настройки, заданные для офиса в целом.
Включение наследования ГПО для структурного подразделения в интерфейсе ALD Pro¶
Если отключить наследование для OU1, то объекты групповой политики ГПО-1 и ГПО-2, назначенные на Корневое подразделение, перестанут распространять свое действие на Целевой компьютер. Применяться будут только объекты ГПО-3-ГПО-8, см. Карт. Иллюстрация работы блокировки наследования ГПО для структурного подразделения.
Иллюстрация работы блокировки наследования ГПО для структурного подразделения¶
Флаг «Наследование принудительн
С ALD Pro версии 2.4.0 для связанного ГПО, можно установить флаг Наследовать принудительно (аналог флага Enforced (Наследовать принудительно) в MS AD), что позволит сделать наследование параметров соответствующего объекта групповой политики обязательным для всех дочерних подразделений, даже если где-то наследование отключено, см. Карт. Включение принудительного наследования параметров для связанного ГПО в интерфейсе ALD Pro.
По умолчанию флаг выключен для всех ГПО. Более того, связанные ГПО, отмеченные флагом Наследовать принудительно, применяются после обычных ГПО, поэтому переопределяют их значения. То есть алгоритм суммирования имеет два вложенных цикла, сначала суммирует параметры обычных ГПО, потом сверху накладывает суммирование Enforced ГПО. Функция удобна, например, для настройки параметров безопасности, действие которых должно распространяться на все структурные подразделения, вне зависимости от того, используется ли отключение наследования или нет.
Включение принудительного наследования параметров для связанного ГПО в интерфейсе ALD Pro¶
Если для ГПО-1 включить флаг принудительного наследования, то параметры этого объекта будут применяться к Целевому компьютеру, несмотря на то, что для OU1 установлен флаг на запрет наследования. В итоге будут применяться объекты ГПО-1, ГПО-3 … ГПО-8, см. Карт. Работа флага принудительного наследования для ГПО.
Работа флага принудительного наследования для ГПО¶
Суммирование¶
Порядок суммирования¶
Если пользователь или компьютер попадает в область действия нескольких объектов групповых политик, их параметры суммируются следующим образом:
Если на одно и тоже структурное подразделение назначено несколько объектов групповых политик, то порядок применения параметров устанавливается с помощью приоритета. Приоритет представляет из себя целое число, если приоритет равен единице, то параметры этого ГПО будут применяться в самую последнюю очередь и смогут переопределить ранее установленные значения в случае конфликтов. На
Карт. Порядок суммирования ГПОпоказано, что на подразделение OU3 назначено два объекта GPO-7 и GPO-8 и первым из них применяется GPO-8, т.к. у него приоритет 2, а вторым GPO-7, поэтому параметры GPO-7 будут перетирать параметры GPO-8 в случае конфликтов;Если ГПО назначены на разные подразделения, то порядок их применения определяется иерархией подразделений. Чем ближе ГПО по иерархии к целевому пользователю/компьютеру, тем позже будут применяться параметры этого объекта, поэтому параметры этого ГПО смогут переопределить ранее установленные значения в случае конфликтов. На
Карт. Порядок суммирования ГПОпоказано, что GPO-1 и GPO-2, назначенные на корневое подразделение, применяются в самом начале, а GPO-7 и GPO-8, которые назначены на OU3, в котором компьютер находится непосредственно, выполняются в последнюю очередь.
Конфликтом считается, если на целевого пользователя/компьютер назначено несколько одинаковых параметров групповых политик, которые наследуются от разных ГПО.
Порядок суммирования ГПО¶
Фильтры групповых политик¶
С целью повышения гибкости и управляемости применения групповых политик (ГП) в ALD Pro начиная с версии 3.2.0 реализована возможность ограничивать применение политики к конкретным пользователям, компьютерам и группам, в которые они входят. Это позволяет применять политику точечно, не изменяя структуру подразделений (OU) и не создавая избыточных связей.
Поведение по умолчанию¶
При создании новой ГП фильтры применения отключены:
Разрешающий фильтр: в состоянии Любой целевой объект политика применяется ко всем объектам назначенного подразделения;
Запрещающий фильтр: в состоянии Никому не запрещать политика не исключает ни один объект.
Разрешающий фильтр¶
Для включения разрешающего фильтра необходимо установить состояние разрешающего фильтра в значение Указанные объекты. Это ограничит применение политики только к целевым объектам, указанным в фильтре:
Пользователи и компьютеры – политика применяется только к ним;
Группы – политика применяется к пользователям и компьютерам, входящим в указанные группы напрямую или через их вложенные группы;
Если фильтр включён, но объекты не заданы — политика не применяется ни к одному целевому объекту назначенных подразделений.
Для применения целевой объект должен быть включён в объекты разрешающего фильтра и находиться в подразделении, связанном с ГПО.
Запрещающий фильтр¶
Для включения запрещающего фильтра необходимо установить состояние запрещающего фильтра в значение Указанные объекты. Это ограничит применение политики к целевым объектам, указанным в фильтре:
Пользователи и компьютеры – политика не применится к этим целевым объектам;
Группы – политика не применяется к пользователям и компьютерам, входящим в указанные группы напрямую или через их вложенные группы;
Если фильтр включён, но объекты не заданы — политика применяется без ограничений ко всем целевым объектам назначенных подразделений.
Работа разрешающего и запрещающего фильтров вместе¶
Разрешающий и запрещающий фильтры могут использоваться как по отдельности, так и совместно. При совместном использовании запрещающий фильтр (Deny) всегда имеет приоритет над разрешающим (Allow). Таким образом групповая политика применяется только к целевым объектам, указанным в разрешающем фильтре, за исключением тех, что указаны в запрещающем.
Примеры¶
Пример 1: Политика назначена на OU «Разработка ALD Pro», но в разрешающем фильтре указана только группа «Отдел тестирования». В результате политика будет применяться только к участникам этой группы, находящимся в OU «Разработка ALD Pro». Остальные пользователи OU не затронутся.
Пример 2: Политика назначена OU «Все компьютеры», в запрещающем фильтре указаны «Серверы». Политика применится ко всем компьютерам подразделения, кроме тех, кто находится в указанной группе.
Время применения фильтров¶
Обновление информации о членстве в группах и применении фильтров зависит от настроек SSSD и периодичности применения ГП. Для немедленного эффекта может потребоваться ручное обновление кэша SSSD и принудительного применения ГП.
Условия применения групповой политики с учётом фильтров¶
Несмотря на то, что в фильтре можно указать любых доменных пользователя, Posix группу пользователей, компьютер и группу компьютеров, чтобы политика применялась, она должна быть назначена на подразделение. Разрешающие фильтры лишь уточняют, на кого из объектов этого подразделения она действительно подействует. Пояснение работы с включённым разрешающим фильтром в Табл. Применение ГП с учётом фильтров:
Назначение ГП на OU |
Объект в разрешающем фильтре |
Объект в OU |
Итог |
|---|---|---|---|
Да |
Да |
Да |
Применяется |
Да |
Да |
Нет |
Не применяется |
Да |
Нет |
Да |
Не применяется |
Да |
Нет |
Нет |
Не применяется |
Механика разрешения конфликтов для простых параметров¶
Простой параметр имеет один список атрибутов, и если такой параметр определен в нескольких ГПО, остается один список значений атрибутов согласно правилам суммирования и наследования. В этом случае берется список атрибутов целиком, и, если какие-то из атрибутов не определены, то будет взято его «пустое» значение.
Механика разрешения конфликтов для составных (списочных) параметров¶
В домене ALD Pro есть составные (списочные) параметры, для которых можно задавать таблицу однотипных атрибутов, например, ярлыки, принтеры и т.п. Если такой параметр определен в нескольких объектах ГПО, то после суммирования получатся результирующий массив строк в том же порядке, в котором параметры должны применяться на целевом хосте. Бизнес-логика разрешения конфликтов для составных параметров может различаться. Есть 3 типа разрешения конфликтов для составных параметров. См. Табл. Механика разрешения конфликтов для составных (списочных) параметров:
Тип разрешения конфликта |
Описание работы |
|---|---|
С уникальными атрибутами |
Составные параметры, у которых возможны конфликты. Для разрешения конфликтов для каждого параметра определен уникальный атрибут. В рамках одного ГПО нельзя создать массив списка атрибутов с одинаковыми значениями уникального параметра. Результат суммирования будет состоять из массива списка атрибутов с неповторяющимися значениями уникальных атрибутов в случайном порядке |
Без уникальных атрибутов |
Составные параметры, массивы списка атрибутов, которых суммируются без конфликтов |
Комбинация уникальных атрибутов |
Составные параметры, у которых массивы списка атрибутов считаются уникальными при комбинации атрибутов. С точки зрения работы механизма Групповых политик, эти составные атрибуты суммируются аналогично типу «Без уникальных атрибутов».Конфликты в этом случае разрешаются на стороне операционной системы |
Поведение составных параметров компьютеров¶
В таблице Табл. Поведение составных параметров компьютеров приведено описание работы каждого составного параметра компьютеров, в зависимости от его типа.
Поведение составных параметров пользователей¶
В Табл. Поведение составных параметров пользователей приведено описание работы каждого составного параметра компьютеров, в зависимости от его типа.
Суммирование дополнительных параметров ГП¶
Суммирование дополнительных параметров ГП не отличается от коробочных. Для составных дополнительных параметров ГП можно настроить уникальный атрибут.
Просмотр отчета о назначенных параметрах ГП¶
Для каждого компьютера и пользователя можно посмотреть Карт. Моделирование результата применения параметров ГП на пользователя (см. Пользователи и Компьютеры).
Для компьютера: Пользователи и компьютеры → Компьютеры → {Имя компьютера} → Групповые политики. Для пользователя: Пользователи и компьютеры → Пользователи → {Логин пользователя} → Групповые политики. Данный список представляет собой моделирование результатов применения групповых политик. Это значит, что не все параметры из данного списка могут быть применены к конкретному пользователю и не все политики могут быть отображены в данном списке. Чтобы групповая политика применилась к пользователю, необходимо соблюдать требования к операционной системе и заполнять значения атрибутов.
Моделирование результата применения параметров ГП на пользователя¶