Архив рубрики: GPO

Looking for a GP object?

image

Внимание: мой новый RSS-Feed: http://feed.feedcat.net/815939

Измените свою подписку, пожалуйста.

Какое-то время назад я писал о поиске конкретных настроек в редакторе групповых политик, что, вне всяких сомнений, полезно. Однако это важно, когда Вы пытаетесь создать новую политику или найти нужную настройку в конкретной одной существующей. Что же делать, если нужно найти все политики в Вашем окружении, в которых такие настройки присутствуют? Ответ существует еще со времен 2003го сервера. Отнюдь не идеальный, но все же лучше, чем ничего.

Итак, нам нужно найти в наших GPO те, которые отвечают за настройки, связанные со, скажем, безопасностью? Поехали:

1) Запускаем консоль GPMC, щелкаем правой кнопкой по нужному домену:

image

После нажатия на пункт “Search…” получаем следующий интерфейс:

image

Скажем, нам нужно найти настройки безопасности в компьютерной части GPO. Ок, давайте добавим этот критерий:

image

image
image

и нажмем кнопку поиска:

image

Как несложно увидеть у нас два объекта содержат такие настройки.

Чудесно! Или нет? Что же, как я и сказал в самом начале, это лучше, чем ничего, однако все еще недостаточно хорошо, чтобы считаться даже близким к идеалу. Что можно было бы улучшить? Ну, например, можно добавить поиск не только объектов, но и линков, чтобы можно было понять, что и на что действует, а так же искать по OU, а не только из корня. Ну или поиск не по разделу, а по имени конкретной политики.

А у читателей есть какие-нибудь идеи?

Реклама

>Легенды и мифы ИТ #1: Number of previous logons to cache

>

imageЗнаете, как IT Pro я частенько сталкиваюсь с тем, что иначе как мифами и не назовешь. Видимо, IT уже настолько старая отрасль, что свои мифы в ней просто не обходимы. Иногда, столкновение с ними становится настолько частым, что объяснение что и где не так, как в этой легенде становится смертельно скучным. Что еще более удивительно, чем сам факт существования мифов, так это то, что описание того, как правильно, есть на куче ресурсов в Интернете, но… Ну, в любом случае, наверняка есть люди, которые знают людей, которые читают мой блог и не читают эти ресурсы, так что я все равно их тут изложу постепенно.

Давайте начнем с самого базового, но очень часто всплывающего мифа о работе одной настройки в групповых политиках. Да, ту самую, о которой сказано в заголовке. Я однажды встречал человека, которого из-за нее чуть не уволили. Правда. Как всегда: “входит шеф и говорит, что нужно запретить продажникам входить в их ноутбуки больше, чем 15 раз без подсоединения к корпоративной сети, а то задолбали вообще в офисе не появляться”. “Нет проблем”, отвечает ему администратор, меняет настройку политики на 15 и отчитывается о выполнении задачи. А спустя некоторое время выясняется, что задача вовсе и не выполнена и начальство спускает всех собак. Что же случилось и как это поправить?

Перво-наперво, однозначно было ошибкой не проверить, а работает ли Ваше изменение (Я тоже наступал в свое время на эти грабли… Плохие воспоминания… Smile).

Во-вторых, эта настройка регулирует вовсе не то, что кажется на первый взгляд. Если мы прочитаем ее описание в первоисточнике (а это хорошая идея для реализации перед изменениями), то мы увидим следующее: “Determines the number of users who can have cached credentials on the computer”. Или в моём вольном переводе: “Определяет количество пользователей, которые могут иметь закешированные учетные данные на этом компьютере”. Вот оно! Количество самих учетных данных, которые можно кешировать, а не раз, которые можно использовать каждый из них. Так что если у Вас есть разъездной ноутбук, на котором работает 15 пользователей (ого…), то это может Вам помочь. Но не сможет ограничить количество раз, которое можно входить в систему без контакта с  контроллером домена. 

И в-третьих, плохие новости: я не знаю, как сделать то, что требовал тот самый начальник. По-крайней мере, не знаю, как сделать это встроенными средствами Windows. Если Вы знаете – поделитесь. Впрочем, незнание, это все равно не повод говорить шефу, что Вы решили эту задачу.  Smile

>Нажми на кнопку–получишь результат

>

GPOА Вы знаете, в какой точно момент происходит применение настроек GPO, когда Вы их правите? Когда Вы переключаете крыжик в положение “Enabled”? Или когда Вы закрываете консоль редактора групповых политик? Я довольно давно об этом задумался, но, конечно же, слишком ленился, чтобы проверить это самостоятельно ;) Однако, некоторое время назад я был на курсах, где спросил тренера об этом. Так как он не знал ответа, то мы (“мы пахали”, ага) тут же провели некий эксперимент. Выяснилось, что настройки появляются в Sysvol в момент, когда нажимается кнопка “OK” или “Apply” для каждой конкретной настройки. Вы мне не верите? И правильно – проведите свой эксперимент или, если Лень родилась не позже, то можете посмотреть этот короткий ролик:

>Делегирование полномочий на создание GPO в другом домене

>

imageТакая задача неизбежно встает во весь  рост, как только  Вы начинаете пользоваться концепцией ролевого администрирования. Если честно, то пребывая в эйфории от возможностей AGPM, я что оно яйца выеденного не стоит: включили учетную запись в некоторые группы, включая “Group Policy Creator Owners” и вуаля – вот оно. Ага, черта с два!=) Эта чертова группа – глобальная и поэтому не может содержать объекты из других доменов. Более того, мы даже не можем изменить этот факт: такие возможности недоступны:

image

По крайней мере, я пока не знаю, как это сделать (но пометил себе разобраться с этим вопросом в будущем). Таким образом, уделать “по-быстрому” у нас не получится. отступим ли мы? Конечно же нет! Если мы не можем добавить объект в группу, то нужно создать новую группу, выдать ей такие же полномочия и включить объект в нее. Какие разрешения есть у группы “Group Policy Creator Owners”? Насколько я знаю, чтобы создать любой GPO нам нужно иметь права на контейнере Policies в AD и на папке Policies в sysvol. Так что давайте делегируем такие права нашей свежесозданной группе “Role GP Creator Owners”:

1) На контейнер Domain/System/Policies в AD:

image

image

image

image

Причем я полагаю, что “Create All Child Objects” это немного слишком, и можно сделать более тонкую настройку (но я не проверял – просто предположение)однако группа “Group Policy Creator Owners” имеет именно такие полномочия, так что хуже мы точно не сделаем.

2) И на папке Policies:

image

image

Вот теперь все должно работать. У меня, вроде, работает, хотя я еще буду спрашивать об этом ребят из MS, да и Вам рекомендую все тщательно проверить на тестовых стендах. Если выяснятся новые детали, то статью я поправлю, разумеется.

>Поиск по групповым политикам

>

“Где эта @#$% политика?! Ведь точно где-то здесь была”, – этот вопрос периодически беспокоит большую системных администраторов (ну кроме тех, кто знает GPO как свои пять пальцев). Поиск нужной опции был и остается кошмаром многих, особенно, не слишком опытных. Однако, кажется, мы стали на один шаг ближе к решению этой проблемы: разгребая бардак, который неизбежно создается в моем OneNote после каждого отпуска, я наткнулся на статью из блога Ask DS Team, которая заявила мне: “Милейший, Вы теперь можете осуществлять полнотекстовый поиск по GPO и их внутренностям”. Отличная новость – нужно попробовать. Итак:

Шаг 1: идем на http://gps.cloudapp.net/

Шаг 2: задаем поиск чего-нибудь вроде “screen saver timeout”

Шаг 3: Перемещаемся куда-нибудь вниз страницы, находим секцию “Search Results” (да, я так и понял, что это очень удобно) и ищем то, что нам нужно:

image

Шаг 4: нажать найденное и:

image

Вы получаете путь к настройке в GPEdit.msc, и, что немаловажно, ветку в реестре, которая отвечает за данную настройку. Конечно, можно это все найти и в некоем Excel-файле, но .

1) процесс поиска здесь несколько легче

2) поддерживается полнотекстовый поиск

2) это не единственная возможность, которую нам предоставили.

Что же еще:

1) можно отобразить как дерево GPO, так и дерево реестра:

image

2) можно отфильтровать ненужное:

image

3) копировать данные почти одним кликом. Не то чтобы сильно удобнее, но позволит избежать ошибок, когда это важно:

image

4) Вы даже можете добавить поиск по политикам в Ваш браузер или Windows Explorer:

image

Первая опция добавляет поиск в браузер:

image

image

Вторая дает загрузить заархивированный search connector для поиска Windowsю Теперь можно искать нужную GPO прямо из эксплорера:

image

Последнее – мое любимое. Я не люблю идти на сайт там, где можно оставаться вне браузера, так что все, что имеет поддержку OpenSearch, мне очень нравится, включая и мой SharePoint. Надеюсь, понравится и Вам.