Моделирование групповой политики и результаты групповой политики

В средах доменных служб Active Directory используйте моделирование групповой политики в консоли управления групповыми политиками (GPMC) для имитации развертывания объектов групповой политики на любом целевом компьютере. Основное средство для просмотра фактического приложения объектов групповой политики — использование результатов групповой политики в GPMC.

Prerequisites

Чтобы использовать GPMC и выполнять моделирование групповой политики, необходимо выполнить следующие предварительные требования.

• Установите функцию управления групповыми политиками на компьютере под управлением Windows Server или клиентской операционной системы Windows.
• У вас есть разрешения на чтение для каталогов и объектов групповой политики.
• Чтобы связать объекты групповой политики, вам потребуется разрешение на изменение этого сайта, домена или подразделения. По умолчанию у администраторов домена и администраторов предприятия есть это разрешение.
  • Пользователи и группы с разрешением на связывание объектов групповой политики с определенным сайтом, доменом или подразделением могут связывать объекты групповой политики, изменять порядок ссылок и задавать наследование блоков на этом сайте, домене или подразделении.

Моделирование групповой политики

Мастер моделирования групповой политики в GPMC вычисляет имитированный чистый эффект объектов групповой политики. Моделирование групповой политики также может имитировать такие факторы, как членство в группах безопасности, оценка фильтра инструментария управления Windows (WMI) и эффекты перемещения объектов пользователя или компьютера в другой контейнер Active Directory. Служба, которая выполняется на контроллере домена, выполняет имитацию. Эти вычисленные параметры политики указываются в HTML и отображаются на вкладке "Параметры" в области сведений для выбранного запроса в GPMC. Чтобы развернуть и скрыть параметры политики в каждом элементе, выберите "Скрыть " или "Показать все ", чтобы просмотреть все параметры политики или только несколько. Для выполнения моделирования групповой политики необходимо иметь разрешение на анализ групповой политики для домена или подразделения, содержащего объекты, в которых требуется запустить запрос.

Чтобы имитировать развертывание политики для планирования и тестирования, выполните действия.

1. Чтобы открыть GPMC, нажмите кнопку "Пуск", введите групповую политику управления в поле поиска и выберите "Управление групповыми политиками".

2. В дереве консоли GPMC щелкните правой кнопкой мыши групповую модель политики, выберите мастер моделирования групповой политики.

3. Нажмите кнопку "Далее ", чтобы приступить к работе.

4. Выберите домен, который вы хотите моделировать, а затем выберите один из следующих вариантов:

   Option	Description
   Любой доступный контроллер домена под управлением Windows 2003 или более поздней версии	Ближайший контроллер домена обрабатывает имитацию.
   Этот контроллер домена	Указывает контроллер домена для обработки имитации.

   После того как вы выбрали один из переключателей, выберите Далее.

5. Выберите контейнер, в котором находятся пользователи, или укажите конкретного пользователя, используя отличительное имя (DN) пользователя. Вместо ввода DN можно выбрать "Обзор" для поиска контейнера или пользователя. Повторите этот шаг для контейнера компьютера или конкретного компьютера, а затем нажмите кнопку "Далее".

6. Нажмите кнопку "Далее " или "При необходимости" заполните следующие сведения, чтобы имитировать параметры политики для:

   Option	Description
   Медленное сетевое подключение (например, модемное подключение)	Ответ на медленное подключение политики зависит от политик. Политика может указать ответ на медленную ссылку. Например, можно указать, разрешена ли обработка скриптов в медленном сетевом подключении.
   Обработка обратного цикла	Выберите "Заменить " или "Объединить". Дополнительные сведения о режиме обработки обратного цикла см. в разделе "Обработка групповой политики".
   Site	Выберите сайт Active Directory, чтобы имитировать параметры политики.

   После того как вы выберете одну из радиокнопок, нажмите Далее.

7. Нажмите «Далее» или при необходимости выберите «Добавить» или «Удалить», чтобы имитировать эффект изменений членства пользователя в группе. Убедившись в правильности выбора групп для симуляции, нажмите кнопку "Далее".

8. Выберите Далее или, при необходимости, Добавить или Удалить, чтобы имитировать эффект изменений членства компьютера в группах. Когда вы подтвердите группы для моделирования, нажмите Далее.

9. Нажмите кнопку "Далее " или "При необходимости", чтобы имитировать эффект изменений в фильтрах WMI, примененных к пользователям, выполните следующие сведения:

   Option	Description
   Все связанные фильтры	Использует фильтры, применяемые к любой из связанных политик.
   Только эти фильтры	Выберите фильтры списка , чтобы отобразить текущее применение к любой из строковых политик. Чтобы удалить определенные фильтры, выберите фильтр, а затем нажмите кнопку "Удалить".

   После того как вы убедитесь, что группы для имитации подтверждены, выберите Далее.

10. Просмотрите экран "Сводка выборок ", а затем нажмите кнопку "Далее ", чтобы запустить имитацию.

11. Нажмите кнопку "Готово ", чтобы завершить работу мастера.

После завершения работы мастера результаты отображаются так, как будто они принадлежат единому объекту групповой политики. Они также сохраняются в виде запроса, представленного в качестве нового элемента в GPMC, в моделировании групповой политики. Под заголовком Выигравшего объекта групповой политики также отображается, какой объект групповой политики отвечает за каждый параметр политики. Вы также можете просмотреть более подробные сведения о приоритете (например, какие объекты групповой политики пытались задать параметры политики, но им это не удалось), щелкнув правой кнопкой мыши элемент запроса и выбрав Расширенный вид. Откроется предварительный вид результирующий набор оснастки политики. Каждый параметр политики имеет вкладку "Приоритет" при просмотре свойств параметров политики в результирующем наборе политик.

Помните, что моделирование групповой политики не включает оценку локальных объектов групповой политики. Поэтому в некоторых случаях можно увидеть разницу между имитацией и фактическими результатами. Результаты моделирования можно сохранить, щелкнув запрос правой кнопкой мыши, а затем нажмите кнопку "Сохранить отчет".

Результаты групповой политики

Используйте мастер результатов групповой политики, чтобы определить, какие параметры групповой политики применяются для пользователя или компьютера, получив данные RSoP с целевого компьютера. В отличие от моделирования групповой политики результаты групповой политики показывают фактические параметры групповой политики, примененные к целевому компьютеру.

Параметры политики передаются в ФОРМАТЕ HTML. Отчет отображается в окне браузера GPMC на вкладках сводки и параметров в области сведений для выбранного запроса. Вы можете развернуть и заключить параметры политики в каждом элементе, нажав кнопку "Скрыть" или "Показать все", чтобы просмотреть все параметры политики или только несколько. Чтобы удаленно получить доступ к данным результатов групповой политики для пользователя или компьютера, необходимо иметь разрешение безопасности на удалённый доступ к данным результатов групповой политики в домене или организационной единице, содержащих пользователя или компьютер. Чтобы настроить разрешения, сначала выберите домен, контейнер, подразделение, а затем перейдите на вкладку "Делегирование ". На вкладке "Делегирование" выберите удаленный доступ к данным результатов групповой политики в раскрывающемся меню. Кроме того, необходимо быть членом локальной группы администраторов на соответствующем компьютере и иметь сетевое подключение к конечному компьютеру.

Чтобы запустить мастер результатов групповой политики, выполните следующие действия.

1. Щелкните правой кнопкой мыши элемент "Результаты групповой политики", а затем выберите мастер результатов групповой политики.

2. Нажмите кнопку "Далее ", чтобы приступить к работе.

3. Нажмите кнопку " Этот компьютер " и нажмите кнопку "Далее". При необходимости можно выбрать другой компьютер и ввести имя компьютера, а затем нажмите кнопку "Далее".

4. Нажмите кнопку "Текущий пользователь", а затем нажмите кнопку "Далее". При необходимости можно выбрать определенного пользователя и выбрать имя пользователя из списка пользователей, вошедшего на компьютер. Нажмите кнопку "Далее ", чтобы продолжить.

5. Просмотрите экран "Сводка выборок ", а затем нажмите кнопку "Далее ", чтобы запустить результаты групповой политики.

6. Нажмите кнопку "Готово", чтобы завершить работу мастера.

GPMC создает отчет, отображающий данные RSoP для пользователя и компьютера, указанного в мастере. Под заголовком "Выигравший объект групповой политики" отображается, какой объект групповой политики отвечает за каждый параметр политики на вкладке «Параметры».

Результаты можно сохранить, щелкнув запрос правой кнопкой мыши и выбрав команду "Сохранить отчет".

Оценка параметров политики из командной строки

Вы можете запустить gpresult.exe на локальном компьютере, чтобы получить те же данные, которые можно получить с помощью мастера результатов групповой политики в GPMC. По умолчанию gpresult.exe возвращает параметры политики, действующие на компьютере, на котором он работает. gpresult.exe выводит результаты в HTML-файле, который можно открыть с помощью Microsoft Edge или другого веб-браузера.