ADG Оставить заявку
Блог Системное администрирование 4 мин чтения

Групповые политики Windows 2000: три часа из-за не того подразделения

Закрываем панель управления и съёмные носители через GPO в домене Windows 2000. Политика создана правильно, но три часа не работает - компьютеры лежат не в том OU.

Контекст момента

групповые политики - главный инструмент централизованного управления рабочими местами

После переезда с NT 4.0 на Active Directory у клиента появился нормальный домен - и вместе с ним появился правильный инструмент централизованного управления рабочими местами. В NT это был System Policy Editor с его ntconfig.pol, который применялся ко всему домену сразу и разбирался с трудом. В Active Directory - групповые политики, GPO, привязанные к организационным единицам. Разница принципиальная: можно делать разные политики для бухгалтерии, для склада, для IT-отдела, не трогая всех остальных.

Конкретная задача пришла от клиента в апреле. Требования понятные: пользователи на складе не должны открывать панель управления и не должны иметь возможности что-то записать на дискету или флешку. Причины тоже понятные - уже был случай, когда кто-то переставил настройки мышки так, что кнопки поменялись местами, и потом полдня разбирались. Про флешки - и вовсе отдельная история, которую вслух не рассказывают.

Что настраивали

Задача на уровне GPO решается без особых усилий. Открываем Group Policy Object Editor, идём в нужные ветки:

  • Панель управления - User Configuration -> Administrative Templates -> Control Panel, параметр «Prohibit access to the Control Panel». Включить.
  • Съёмные носители - здесь сложнее. В Windows 2000 отдельного параметра «запретить флешки» в стандартных шаблонах не предусмотрено, поэтому идём через ограничения дисководов: User Configuration -> Administrative Templates -> Windows Components -> Windows Explorer и выключаем доступ к сменным дискам. Плюс дополнительно через Computer Configuration ограничиваем запись через параметры реестра - добавляем Software Restriction в нужные ветки.

Создали GPO, назвали его «Склад - ограничения рабочих мест», прикрепили к подразделению «Склад» в структуре AD. Всё логично, всё аккуратно. Ждём применения.

Не работает.

Три часа в поисках не того места

Проверили GPO - настройки на месте. Проверили привязку к подразделению - привязана. Запустили gpresult на рабочей станции склада - политика не применяется вообще, как будто её нет.

Первый подозреваемый - репликация. Подождали, попробовали ещё раз. Не работает.

Второй подозреваемый - gpupdate. Принудительно запустили обновление политик на машине. Не работает.

Третий подозреваемый - права на GPO. Проверили разрешения на объект политики. Authenticated Users с правом Read и Apply Group Policy - всё в порядке.

К концу второго часа один из инженеров решил посмотреть не на политику, а на сами компьютеры - где они физически живут в структуре AD. Открыли Active Directory Users and Computers и начали искать учётки рабочих станций склада.

Учётки компьютеров лежали в стандартном контейнере Computers - том самом, который создаётся по умолчанию при поднятии домена и который, в отличие от OU, вообще не принимает групповые политики уровня компьютера нормальным образом. Более того - даже если бы принимал, GPO мы привязали к подразделению «Склад», а компьютеры там не стояли. В подразделении «Склад» были только учётки пользователей.

Вот здесь и зарыта собака. GPO с настройками Computer Configuration применяется к компьютеру по его расположению в AD, а не по расположению пользователя. GPO с настройками User Configuration применяется по расположению пользователя. У нас политика содержала оба раздела - и пользовательская часть в итоге тоже не работала как ожидалось, потому что мы неправильно понимали, к чему она привязана.

Как разобрались

Перенесли учётки компьютеров из контейнера Computers в подразделение «Склад». Это заняло пять минут. После следующего обновления политик - всё заработало. Панель управления закрыта, с дисководами ограничения на месте.

Потом немного переработали структуру GPO, чтобы было понятно что к чему:

  • Пользовательские ограничения (панель управления, рабочий стол) - в User Configuration, политика привязана к OU с пользователями.
  • Компьютерные ограничения (устройства, реестр) - в Computer Configuration, политика привязана к OU с компьютерами.

Когда компьютеры и пользователи лежат в одном OU - это удобнее, но не всегда возможно. Лучше сразу понять, какой раздел GPO к чему привязывается, иначе три часа отладки обеспечены.

Gpresult стал первым инструментом диагностики - он честно показывает, какие политики применились и откуда. Если политики нет в выводе gpresult, значит машина её просто не видит, и дальше надо смотреть структуру AD, а не настройки самого GPO.

Полезный инструмент - Active Directory Users and Computers с включённым отображением «Advanced Features» в меню View. Тогда видно и контейнеры, и OU, и где реально лежат объекты. По умолчанию это отключено, и стандартный вид скрывает часть структуры.

В итоге клиент получил то, что просил. Обслуживание инфраструктуры на постоянной основе позволяет держать структуру AD в порядке - не допускать ситуации, когда компьютеры разбросаны по умолчательному контейнеру и ни одна политика нормально не применяется.

Контакт

Нужна такая же инженерная работа?

Опишите задачу и контекст. Ответим в течение рабочего дня, при необходимости подпишем NDA.