Модуль 5. Лабораторная работа 1

Создание групповых политик и разрешение конфликтов между политиками

Создание групповых политик Active Directory, параметры Block Policy Inheritance и No Override

Задание:

·       скопируйте из каталога, указанного преподавателем, каталог Pictures на свой диск C:\ и расшарьте его как Pictures.

·       создайте:

·       на уровне сайта - групповую политику Site, назначала бы для пользователя в качестве обоев рабочего стола картинку Site.jpg;

·       на уровне домена - групповую политику Domain, назначала пользователю картинку Domain.jpg;

·       на уровне организационного подразделения HR - групповую политику OU, которая назначала бы пользователю картинку OU.jpg.

·       какую картинку увидит пользователь HR_User1 из OU HR? Войдите от его имени на компьютер и проверьте.

·       отключите групповую политику OU на уровне OU HR. Какую картинку теперь увидит пользователь? Выполните проверку.

·       установите на уровне OU HR параметр Block Policy Inheritance. Какую картинку должен увидеть пользователь? Выполните проверку.

·       создайте новую политику Message на уровне домена, которая будет выводить при входе пользователя окно сообщения с текстом “Групповая политика Message”. Эта политика должна использовать настройки для пользователя (а не для компьютера). Применилась ли эта политика при входе пользователя HR_User1? А при входе пользователя Administrator?

Примечание. Для вывода сообщения можно использовать Logon Script, например, c с названием message.vbs и состоящий из одной строки:

MsgBox “Групповая политика Message”

·       установите для групповой политики Message параметр No Override (название в Group Policy Management Console - Enforced).Определите, должно ли появляться окно сообщение при входе пользователя.

Решение:

1. Откройте консоль Active Directory Sites and Services, в ней раскройте узел Sites, щелкните правой кнопкой мыши по сайту Default-First-Site-Name, в контекстном меню выберите Properties, перейдите на вкладку Group Policy и нажмите на кнопку New. Введите название для нового объекта групповой политики Site. Выделите созданный вами объект в списке и нажмите на кнопку Edit.

2. Раскройте узел User Configuration -> Administrative Templates -> Desktop -> Active Desktop, в правой части экрана щелкните два раза по параметру Active Desktop Wallpaper, переведите переключатель в положение Enabled, в поле Wallpaper Name введите \\имя_вашего_компьютера\pictures\Site.jpg и в списке Wallpaper Style выберите Tile, а затем нажмите OK. Щелкните правой кнопкой мыши по параметру Enable Active Desktop и установите переключатель в положение Enabled. Закройте консоли Group Policy Object Editor и Active Directory Sites and Services. Можно проверить, работает ли эта политика, завершив свой сеанс и войдя обратно от имени учетной записи администратора.

3. Откройте консоль Active Directory Users and Computers, щелкните правой кнопкой мыши по узлу имя_вашего_компьютера, в контекстном меню выберите Properties и перейдите на вкладку Group Policy. Создайте аналогично п.2 для домена новую политику с именем Domain и настройте для нее те же параметры, что и для политики Site, только в качестве файла обоев используйте Domain.jpg. Сделайте Log Off и Log On, чтобы проверить работоспособность этой политики.

4. Точно так же настройте при помощи консоли Active Directory Users and Computers создайте и настройте групповую политику для организационного подразделения HR. Эта политика должна называться OU, и в ней должен использоваться файл OU.jpg.

5. Завершите свой сеанс работы и войдите на компьютер от имени пользователя HR_User1. Если все сделано правильно, то на экране должен отображаться файл OU.JPG.

6. Щелкните правой кнопкой мыши по консоли Active Directory Users and Computers и контекстном меню выберите Run As. Запустите эту консоль от имени пользователя Administrator из вашего домена. Откройте свойства организационного подразделения HR, на вкладке Group Policy выделите созданный вами объект групповой политики, нажмите на кнопку Options и установите флажок Disabled. Ответьте Yes в ответ на предупреждение и выйдите из консоли Active Directory Users and Computers. Выполните выход их системы и вход от имени того же пользователя. Должна появиться картина Domain.

7. Еще раз запустите консоль Active Directory Users and Computers от имени пользователя Administrator и на вкладке Group Policy свойств групповой политики OU установите флажок Block Policy Inheritance. Войдите от имени пользователя HR_User1. Если все сделано правильно, то картинка Domain должна остаться - по причине того, что сейчас не проходят команды ни на применение групповых политик уровня домена и сайта, ни на их отмену.

8. Создайте в блокноте новый текстовый файл, введите в нем одну строку

MsgBox “Групповая политика Message” и сохраните этот файл как C:\Message.vbs. Откройте в консоли Active Directory Users and Computers вкладку Group Policy свойств домена и создайте на уровне домена новую политику Message. Откройте ее на редактирование, раскройте узел User Configuration -> Windows Settings -> Scripts (Logon/Logoff) и в правой части экрана щелкните два раза мышью по строке Logon. Нажмите на кнопку Add, затем Browse, скопируйте в открывшийся каталог Logon созданный вами файл Message.vbs и выберите его в этом окне. Убедитесь, что скрипт появился в окне Logon Scripts for Message и закройте все окна редактора политик с сохранением сделанных изменений.

Войдите от имени пользователя HR_User1. Если все сделано правильно, то сообщение для него выводиться не будет, поскольку распространение вышестоящих политик на организационное подразделение HR заблокировано.

Войдите от имени пользователя Administrator. Для него при входе должно открыться окно сообщения “Групповая политика Message”.

9. Откройте в консоли Active Directory Users and Computers вкладку Group Policy свойств домена, выделите групповую политику Message, нажмите на кнопку Options и в открывшемся окне установите флажок No Override. Закройте консоль Active Directory Users and Computers с сохранением внесенных изменений и произведите вход от имени пользователя HR_User1. Если все сделано правильно, то окно сообщения должно появиться, так как параметр No Override отменяется действие Block Policy Inheritance.

Получить учебные материалы по этому курсу