Структура компонентів групової політики. Частина 2, Windows, Операційні системи, статті

Продовження. Початок див тут.


Архітектура результуючої групової політики


Багато хто з вас вже не раз користувалися можливостями результуючої групової політики (RSoP) і знають про те, що дана можливість забезпечує віддалений метод визначення застосування об’єктів групової політики до користувача або комп’ютера з урахуванням блокування успадкування, усіх зв’язків, включаючи примусові, а також фільтри безпеки і фільтрації WMI. Також, ні для кого не виявиться секретом, що результуюча політика може працювати в двох режимах: режимі журналювання (також званим режимом протоколювання або входу) і режимі планування. Режим журналювання дозволяє вам працювати зі звітом за результатами застосування параметрів групової політики до існуючого користувачеві чи комп’ютера. Цей режим доступний для будь-якої операційної системи Windows, починаючи з Windows XP. У свою чергу, режим планування дозволяє імітувати результати політики, грунтуючись на аналізі “що-якщо”, які можуть бути застосовані в майбутньому до конкретного користувача або комп’ютера на підставі зазначених вами змінних. Даний режим доцільно застосовувати в тому випадку, якщо плануєте перемістити користувача або комп’ютер між сайтами, доменами або підрозділами, а також у тому випадку, якщо у користувача буде змінена група безпеки, під область якої потрапляє цільовий об’єкт Active Directory. Обидва режими результуючої політики інтерпретуються за допомогою оснастки “Управління групової політики”, Причому, режим журналювання реалізується за допомогою результатів групової політики, а режим планування – засобами моделювання групової політики.


Для того щоб визначити параметри групової політики, поширювані на цільового користувача або комп’ютер, результуюча політика під час своєї роботи використовує інструментарій управління Windows (WMI). Постачальник WMI дозволяє створювати звіти по заданих в майстрі результуючої політики параметрам, а також визначає, коли саме виконувалася обробка об’єкта групової політики, які параметри були застосовані, які помилки виникли в процесі застосування і так далі. Для виконання збору інформації, як на контролері домена, так і на клієнтському комп’ютері повинна бути запущена служба “Інструментарій управління Windows” (Winmgmt.exe), за допомогою якої інформація ієрархії WMI моделюється як ієрархія стандартів об’єктів загальної моделі даних (Common Information Model, CIM). Така ієрархія є розширенням, що дозволяє різним службам і додатків надавати постачальнику WMI інформацію про конфігурацію. Вся інформація, яка збирається постачальником, зберігається в базі даних WMI на локальному комп’ютері, також відомому, як база даних CIMOM. Так як згенеровані постачальником WMI дані можуть бути динамічними і статичними, а, в свою чергу, статичні дані зберігаються в базі CIMOM для того, щоб вони могли бути витягнуті в будь-який час, при виконанні запитів результуючої політики генеруються статичні дані WMI. За допомогою запитів результуючої групової політики в базу даних WMI на контролері домену зберігається інформація про політиків цільового комп’ютера, після чого вся ця інформація відображається в оснащенні “Управління груповою політикою”. Також при обробці результуючої політики варто звернути увагу на роботу постачальника результуючого набору політики. Роботу постачальника результуючого набору групової політики можна проаналізувати на прикладі режиму планування результуючої політики. У цьому режимі, для генерації звіту результуючої політики навіть не потрібно присутність в мережі самого клієнтського комп’ютера, так що інформація розраховується на підставі існуючих об’єктів групової політики, які будуть застосовуватися до поточного об’єкту. У цьому випадку, на контролері домену, постачальник результуючого набору політики виконує певні функції клієнтської операційної системи, необхідні для застосування об’єктів GPO. Даний постачальник при обробці режиму планування результуючої групової політики використовує три наступні параметри:


Область управління (Scope of management, SOM), Яка є поєднанням об’єктів користувача і комп’ютера;


WMI фільтр, Який може застосовуватися до цільового об’єкту під час генерування звіту результуючої політики;


Членство в групах безпеки об’єктів комп’ютерів і користувачів, Що визначає реальні групи безпеки, членами яких є цільовою користувач або комп’ютер.


Крім усього зазначеного вище, слід також звернути увагу на те, що для успішного генерування звіту результуючої групової політики, повинні бути дотримані такі обов’язкові умови:



Принципи роботи результуючої політики в режимі журналювання та планування відображено на наступній ілюстрації:

Збільшити малюнок

Рис. 1. Схема роботи результуючої групової політики в режимах журналювання та планування


Виходячи з наданої вище ілюстрації, режим журналювання результуючої групової політики працює наступним чином:



  1. Під час виконання користувачем входу в домен, процес Gpsvc при використанні контексту безпеки користувача або комп’ютера отримує список об’єктів групової політики з домену Active Directory, які поширюються на цей об’єкт;

  2. Процес Gpsvc послідовно зберігає в базу даних WMI екземпляри розширень клієнтської боку об’єктів групової політики;

  3. Список зареєстрованих розширень групової політики витягується з бази даних і на кінцевий комп’ютер виводиться докладний звіт у динамічному форматі HTML, після чого в самій консолі відображається динамічний вміст звіту результуючої групової політики.

У свою чергу, при виконанні результуючої групової політики в режимі планування, постачальник результуючого набору політики виконує такі дії:



  1. За допомогою майстра утиліта результуючої групової політики, RSoP моделює застосування політики за допомогою служби групової політики доступу до каталогу (GPDAS) і витягує з контролера домену ім’я користувача або комп’ютера і підключається до бази даних WMI;

  2. Служба WMI на тому самому комп’ютері, на якому генерується звіт результуючої політики викликає постачальника WMI, а потім отримує список об’єктів групової політики, які поширюються на певного користувача або комп’ютер в Active Directory;

  3. База даних WMI заповнюється примірниками об’єктів групової політики для певного користувача або комп’ютера;

  4. Після чого витягується список зареєстрованих розширень клієнтські програми, де кожне розширення завантажується послідовно. Після того як дані були занесені в базу даних, оператор результуючого набору групової політики повертає список імен і передає їх інструменту результуючої політики;

  5. Результуюча політика підключається до простору імен бази даних WMI на контролері домену і за допомогою API інтерфейсу WMI отримує дані про групову політику. На кінцевий комп’ютер виводиться докладний звіт в динамічному форматі HTML, після чого в самій консолі відображається динамічний вміст звіту результуючої групової політики.


Розширення клієнтської сторони CSE


Як ви вже зрозуміли з усього вищевикладеного, кожна група параметрів групової політики обслуговується певним розширенням клієнтської сторони (Client-side Extension, CSE), встановленому і зареєстрованому в процесі установки операційної системи Windows. По суті, розширень клієнтської сторони можна розділити на логічні категорії, що відповідають певним вузлів, розташованих в дереві консолі оснащення “Редактор керування груповою політикою”. Самі розширення CSE складаються з динамічно підключаються бібліотек, що викликаються за допомогою модуля групової політики, який для визначення параметрів групової політики, що застосовуються до цільового комп’ютера або користувачеві, використовує інформацію шаблону групової політики з контейнера групової політики. Відповідно, розширення клієнтської сторони застосовуються на цільовий комп’ютер тільки в тому випадку, якщо змінені відповідні параметри групової політики. Фізично, всі бібліотеки DLL, що відповідають за розширення клієнтської сторони можна знайти в папці% windir% System32, проте, якщо якесь певне розширення CSE було написано стороннім виробником, воно може зберігатися в розташуванні відмінному від розташування CSE за замовчуванням. Незважаючи на те, що більшість параметрів групової політики застосовуються так, щоб ні користувач, ні адміністратор клієнтського комп’ютера не могли змінити відповідний системний параметр за допомогою графічного інтерфейсу, деякі параметри, керовані розширеннями CSE все-таки можна змінити. Варто звернути увагу на те, що всі бібліотеки DLL для кожного розширення клієнтської сторони реєструються в операційній системі і переглянути список розширень CSE можна за допомогою редактора реєстру в розділі HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonGPExtensions.


Як ви вже, напевно, здогадалися, судячи з інформації з розділу, присвяченого контейнеру групової політики, до кожного розширення клієнтської сторони прив’язується ідентифікатор GUID, що включає в себе набір певних атрибутів, що дозволяють вказати різні параметри конфігурації обробки групової політики. У контейнері GPC ви могли побачити ці ідентифікатори в атрибутах gPCMachineExtensionNames і gPCUserExtensionNames. Перебуваючи в розділі ідентифікатора GUID певного розширення CSE, ви можете з легкістю дізнатися ім’я бібліотеки DLL, що відповідає за поточне розширення клієнтської боку, подивившись на значення параметра Dllname. Все розширення клієнтської сторони, створені при установці операційної системи, пов’язані з ідентифікаторами GUID, наданими в наступній таблиці:































































































































































Розширення клієнтської сторони  DLL  Ідентифікатор GUID 
Групові політики бездротової мережі gptext.dll {0ACDD40C-75AC-47ab-BAA0-BF6DE7E7FE63}
Групові політики середовища gpprefcl.dll {0E28E245-9368-4853-AD84-6DA3BA35BB75}
Групові політики локальних користувачів і груп gpprefcl.dll {17D89FEC-5C44-4972-B12D-241CAEF74509}
Групові політики налаштувань пристроїв gpprefcl.dll {1A6364EB-776B-4120-ADE1-B63A406A76B5}
Перенаправлення папок fdeploy.dll {25537BA6-77A8-11D2-9B6C-0000F8080861}
Реєстр userenv.dll {35378EAC-683F-11D2-A89A-00C04FBBCFA2}
Квота дисків Microsoft dskquota.dll {3610eda5-77ef-11d2-8dc5-00c04fa31a66}
Групові політики мережевих налаштувань gpprefcl.dll {3A0DBA37-F8B2-4356-83DE-3E90BD5C261F}
QoS на основі політики gptext.dll {426031c0-0b47-4852-b0ca-ac3d37bfcb39}
Сценарії gptext.dll {42B5FAAE-6536-11d2-AE5A-0000F87571E3}
Групові політики зон безпеки Internet Explorer iedkcs32.dll {4CFB60C1-FAA6-47f1-89AA-0B18730C9FD3}
Групові політики зіставлення дисків gpprefcl.dll {5794DAFD-BE60-433f-88A2-1A31939AC01F}
Групові політики папок gpprefcl.dll {6232C319-91AC-4931-9385-E70C2B099F0E}
Групові політики загальних мережевих ресурсів gpprefcl.dll {6A4C88C6-C502-4f74-8F60-2CB23EDC24E2}
Групові політики файлів gpprefcl.dll {7150F9BF-48AD-4da4-A49C-29EF4A8369BA}
Групові політики джерел даних gpprefcl.dll {728EE579-943C-4519-9EF7-AB56765798ED}
Групові політики INI-файлів gpprefcl.dll {74EE6C03-5363-4554-B161-627540339CAB}
Групові політики пошуку Windows / WDS srchadmin.dll {7933F41E-56F8-41d6-A31C-4148A711EE93}
Безпека scecli.dll {827D319E-6EAC-11D2-A4EA-00C04F79F83A}
Групові політики розгортання принтерів gpprnext.dll {8A28E2C5-8D06-49A4-A08C-632DAA493E17}
Групові політики служб gpprefcl.dll {91FBB303-0CD5-4055-BF42-E512A681B325}
Internet Explorer Branding / Internet Explorer iedkcs32.dll {A2E30F80-D7DE-11d2-BBDE-00C04F86AE3B}
Групові політики налаштувань папок gpprefcl.dll {A3F3E39B-5D83-4940-B954-28315B82F0A8}
Групові політики призначених завдань gpprefcl.dll {AADCED64-746C-4633-A97C-D61349046527}
Групові політики реєстру Windows gpprefcl.dll {B087BE9D-ED37-454f-AF9C-04291E351182}
Відновлення EFS scecli.dll {B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}
Групові політики проводової мережі 802.3 dot3gpclnt.dll {B587E2B1-4D59-4e7e-AED9-22B9DF11D053}
Групові політики принтерів gpprefcl.dll {BC75B1ED-5833-4858-9BB8-CBF0B166DF9D}
Групові політики ярликів gpprefcl.dll {C418DD9D-0D14-4efb-8FBF-CFE535C8FAC7}
Групові політики файлів Microsoft Offline cscobj.dll {C631DF4C-088F-4156-B058-4375F0853CD8}
Установка програм appmgmts.dll {c6dc5466-785a-11d2-84d0-00c04fb169f7}
IP безпека polstore.dll {e437bc1c-aa7d-11d2-a382-00c04f991e27}
Групові політики налаштувань Інтернету gpprefcl.dll {E47248BA-94CC-49c4-BBB5-9EB7F05183D0}
Групові політики параметрів меню “Пуск” gpprefcl.dll {E4F48E54-F38D-4884-BFB9-D4D2E5729C18}
Групові політики регіональних налаштувань gpprefcl.dll {E5094040-C46C-4115-B030-04FB2E545B00}
Групові політики налаштування електроживлення gpprefcl.dll {E62688F0-25FD-4c90-BFF5-F508B9D2E31F}
Групові політики додатків gpprefcl.dll {F9C77450-3A41-477E-9310-9ACD617BD9E3}
Корпоративна політика QoS gptext.dll {FB2CA36D-0B40-4307-821B-A13B252DE56C}


Далі буде.


Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*