Групповые политики Windows 2000: три часа из-за не того подразделения
Закрываем панель управления и съёмные носители через GPO в домене Windows 2000. Политика создана правильно, но три часа не работает - компьютеры лежат не в том OU.
групповые политики - главный инструмент централизованного управления рабочими местами
После переезда с NT 4.0 на Active Directory у клиента появился нормальный домен - и вместе с ним появился правильный инструмент централизованного управления рабочими местами. В NT это был System Policy Editor с его ntconfig.pol, который применялся ко всему домену сразу и разбирался с трудом. В Active Directory - групповые политики, GPO, привязанные к организационным единицам. Разница принципиальная: можно делать разные политики для бухгалтерии, для склада, для IT-отдела, не трогая всех остальных.
Конкретная задача пришла от клиента в апреле. Требования понятные: пользователи на складе не должны открывать панель управления и не должны иметь возможности что-то записать на дискету или флешку. Причины тоже понятные - уже был случай, когда кто-то переставил настройки мышки так, что кнопки поменялись местами, и потом полдня разбирались. Про флешки - и вовсе отдельная история, которую вслух не рассказывают.
Что настраивали
Задача на уровне GPO решается без особых усилий. Открываем Group Policy Object Editor, идём в нужные ветки:
- Панель управления -
User Configuration -> Administrative Templates -> Control Panel, параметр «Prohibit access to the Control Panel». Включить. - Съёмные носители - здесь сложнее. В Windows 2000 отдельного параметра «запретить флешки» в стандартных шаблонах не предусмотрено, поэтому идём через ограничения дисководов:
User Configuration -> Administrative Templates -> Windows Components -> Windows Explorerи выключаем доступ к сменным дискам. Плюс дополнительно черезComputer Configurationограничиваем запись через параметры реестра - добавляем Software Restriction в нужные ветки.
Создали GPO, назвали его «Склад - ограничения рабочих мест», прикрепили к подразделению «Склад» в структуре AD. Всё логично, всё аккуратно. Ждём применения.
Не работает.
Три часа в поисках не того места
Проверили GPO - настройки на месте. Проверили привязку к подразделению - привязана. Запустили gpresult на рабочей станции склада - политика не применяется вообще, как будто её нет.
Первый подозреваемый - репликация. Подождали, попробовали ещё раз. Не работает.
Второй подозреваемый - gpupdate. Принудительно запустили обновление политик на машине. Не работает.
Третий подозреваемый - права на GPO. Проверили разрешения на объект политики. Authenticated Users с правом Read и Apply Group Policy - всё в порядке.
К концу второго часа один из инженеров решил посмотреть не на политику, а на сами компьютеры - где они физически живут в структуре AD. Открыли Active Directory Users and Computers и начали искать учётки рабочих станций склада.
Учётки компьютеров лежали в стандартном контейнере Computers - том самом, который создаётся по умолчанию при поднятии домена и который, в отличие от OU, вообще не принимает групповые политики уровня компьютера нормальным образом. Более того - даже если бы принимал, GPO мы привязали к подразделению «Склад», а компьютеры там не стояли. В подразделении «Склад» были только учётки пользователей.
Вот здесь и зарыта собака. GPO с настройками Computer Configuration применяется к компьютеру по его расположению в AD, а не по расположению пользователя. GPO с настройками User Configuration применяется по расположению пользователя. У нас политика содержала оба раздела - и пользовательская часть в итоге тоже не работала как ожидалось, потому что мы неправильно понимали, к чему она привязана.
Как разобрались
Перенесли учётки компьютеров из контейнера Computers в подразделение «Склад». Это заняло пять минут. После следующего обновления политик - всё заработало. Панель управления закрыта, с дисководами ограничения на месте.
Потом немного переработали структуру GPO, чтобы было понятно что к чему:
- Пользовательские ограничения (панель управления, рабочий стол) - в
User Configuration, политика привязана к OU с пользователями. - Компьютерные ограничения (устройства, реестр) - в
Computer Configuration, политика привязана к OU с компьютерами.
Когда компьютеры и пользователи лежат в одном OU - это удобнее, но не всегда возможно. Лучше сразу понять, какой раздел GPO к чему привязывается, иначе три часа отладки обеспечены.
Gpresult стал первым инструментом диагностики - он честно показывает, какие политики применились и откуда. Если политики нет в выводе gpresult, значит машина её просто не видит, и дальше надо смотреть структуру AD, а не настройки самого GPO.
Полезный инструмент - Active Directory Users and Computers с включённым отображением «Advanced Features» в меню View. Тогда видно и контейнеры, и OU, и где реально лежат объекты. По умолчанию это отключено, и стандартный вид скрывает часть структуры.
В итоге клиент получил то, что просил. Обслуживание инфраструктуры на постоянной основе позволяет держать структуру AD в порядке - не допускать ситуации, когда компьютеры разбросаны по умолчательному контейнеру и ни одна политика нормально не применяется.
- Первый домен NT 4.0 в Active Directory: апгрейд без лишних нервов · 5 октября 2000
- 25 машин на Windows 2000: три сюрприза за два дня · 8 августа 2000