Изучи Windows Server 2003 за 15 минут в неделю:
 

Получение результатов. Часть 1: Инструмент Resultant Set of Policy (RSoP) в Windows Server 2003

Дэн Диниколо (Dan DiNicolo)

 

После выхода Windows Server 2003 несколько месяцев назад, компании и системные администраторы, наконец, вынуждены более пристально взглянуть на то, что эта новая операционная система может им предложить. В принципе верно утверждение о том, что больная часть ядра операционной системы, служб и функций в основе своей подобны своим аналогам в Windows 2000. Вместе с тем некоторое число новых и, потенциально очень полезных, улучшений было включено в Windows Server 2003. И это, несомненно, делает жизнь системного администратора несколько проще.

Целью данной статьи не является обзор всех новых функций Windows Server 2003. Напротив, в этой статье я решил сконцентрироваться только на одном важном инструменте, имеющем дело с «результатами», в данном случае в отношении настроек групповой политики. В следующей статье я опишу новую функцию, позволяющую проще получать накопительные (cumulative) разрешения, применяемые к пользователям, группам и компьютерам.

Описываемый в статье новый инструмент известен как Resultant Set of Policy (результирующий набор политик) или RsoP. RsoP является административным инструментом, предоставляемым в качестве оснастки ММС (Microsoft Management Console snap-in), позволяющей администратору упростить измерение накопительных настроек групповой политики, применяемых к пользователю или компьютеру. Если вы помните, в Windows 2000 настройки групповой политики в домене обычно устанавливались на трех различных уровнях: а именно, на уровне сайта (site), домена (domain) и организационной единицы (ОЕ – OU, организационная единица). Несмотря на то, что эта модель обеспечивает высокую степень гибкости, она затрудняет понимание действующих настроек, примененных к пользователю или компьютеру.

Например, первой главной проблемой является порядок обработки объектов групповых политик (ОГП) – ОГП сайта следует за ОГП домена, которая в свою очередь следует за ОГП ОЕ. На любом заданном уровне может быть применено несколько ОГП в различном порядке, в соответствии с порядком, в котором они перечислены для определенного контейнера. Фактором, сбивающим с толку является то, что определенные политики могут иметь настройки Block (блокировать) или No override (не перекрывать), что может приводить либо к изменению или переопределению политик на более низком уровне, либо к их полной обработке. Более того, ОГП может также фильтроваться через использование разрешений, что позволяет настройкам ОГП либо быть примененным к пользователям или компьютерам внутри определенного контейнера, либо нет, в зависимости от ваших специальных потребностей или требований. Когда все вышесказанное будет реализовано, определение реально действующих настроек, применяемых в конце концов к пользователю или компьютеру, может оказаться очень сложной (если вообще выполнимой) задачей, особенно в огромных организациях.

Для того, чтобы помочь разрешить эту проблему, Microsoft предоставила в Windows 2000 resource kit утилиту, называемую gpresult.exe. По сути, эта утилита командной строки использовалась для определения точных настроек политики, применяемых к пользователю или компьютеру, после того, как завершалась обработка ОГП. К сожалению, результат работы этой утилиты, представляющий собой длинный текстовый файл, делал ее недостаточно удобной и, как это случается с инструментами, помещенными в resource kit, многие администраторы даже не подозревают о ее существовании. Gpresult.exe теперь является встроенной в Windows Server 2003 утилитой, но большинство администраторов, возможно, почувствуют себя более комфортно с новым инструментом - Resultant Set of Policy.

Примечание: Все иллюстрации в этой статье основаны на предварительной версии Windows Server 2003. И хотя некоторые из деталей могут измениться в заключительной версии, функциональные возможности инструмента RSoP останутся в значительной степени теми же самыми.

Как уже упоминалось ранее, RSoP является попросту оснасткой MMC. Он может добавляться или удаляться из списка доступных оснасток, как показано на рисунке:

Добавленный в консоль MMC интерфейс RSoP является достаточно привычным. Помните, что целью данного инструмента является обеспечение вас списком настроек, которые будут применены к пользователю или компьютеру после того, как все настройки ОГП уже будут обработаны. Чтобы увидеть эту информацию, вы просто щелкаете узел Resultant Set of Policy и выбираете опцию Generate RSoP Data, как показано ниже. Это приведет к запуску Resultant Set of Policy Wizard (мастер создания результирующего набора политик), позволяющего выбирать пользователя или компьютер, для которого вы хотите увидеть данные RSoP.

RSoP позволяет вам собрать данные о политике в одном из двух режимов – режиме регистрации (logging mode) и режиме планирования (planning mode). Режим регистрации позволяет увидеть настройки, которые будут применены к определенному пользователю или компьютеру, основываясь на существующих настройках ОГП. Режим планирования несколько отличается от предыдущего, но имеет одну замечательную особенность – он позволяет выполнять анализ типа «а что будет, если...», имитируя реализацию политики для пользователей или групп, входящих в определенный контейнер. В этой статье мы выполним шаги, связанные с режимом регистрации, поскольку он, вероятнее всего, будет наиболее популярным выбором при попытках выяснить воздействие существующих настроек политики.

После определения режима регистрации, нашим первым шагом будет выбор того, хотим ли мы видеть влияние настроек политики на текущий компьютер (обычно являющийся сервером) или на другой компьютер в сети. Это поистине замечательная функция, поскольку она позволяет вам увидеть результаты настроек политики для любого компьютера пользователя в сети, который может быть под воздействием индивидуальных настроек политики. Окно для этого выбора показано на рисунке, расположенном ниже:

Определив компьютер, для которого мы хотим проводить анализ, перейдем к выбору пользователя. Выбором по умолчанию является текущий пользователь компьютера, однако существует возможность выбрать другого пользователя – в данном случае я выбрал пользователя Dan. Рисунок, приведенный ниже, показывает, что можно просматривать информацию о политике связанную только с компьютером, если только вы сделаете соответствующий выбор (включите опцию “Do not display user policy settings in the results (display computer policy settings only)” (Не отображать настройки политики пользователя в результате (отображать только настройки политики компьютера)) в нижней части данного окна. – прим. перев.).

После выбора пользователя, для которого должен быть сгенерирован результат, мастер собирает необходимую информацию о политиках для предоставления набора результатов. Это может занять от нескольких секунд до нескольких минут, в зависимости от числа объектов политики, которые должны быть обработаны и связанных с ними настроек. Когда процесс будет завершен, результат покажется вам знакомым, поскольку интерфейс будет выглядеть практически также, как тот, что использовался для настройки установок групповой политики:

Щелкнув отдельный элемент политики и углубляясь в настройки, инструмент RSoP предоставляет точную информацию, какие именно настройки применяются к пользователю Dan. Например, на рисунке, приведенном ниже, вы можете видеть настройки политики пароля, примененные к Dan вместе со списком исходных ОГП, из которых были собраны эти отдельные настройки.

Итак, инструмент RSoP предоставляет возможности, без которых системным администраторам будет трудно обходиться. Подобный инструмент был бы незаменим для администраторов Windows 2000, но я полагаю, что это тот случай, когда «лучше позже, чем никогда». Не стоит волноваться и о том, что когда вы заходите проанализировать влияние какого-либо изменения на настройки политики или оценить влияние политики на различных пользователей или компьютеры, то каждый раз придется заново проходить весь процесс работы этого мастера. RSoP позволяет обновлять ваши запросы, основываясь на изменениях политики или просто изменять эти запросы. Подводя итоги, можно сказать, что инструмент RSoP помогает системным администраторам Windows Server 2003 разрешать проблемы безопасности и администрирования среды пользователей.

Дэн

Дэн Диниколо является техническим преподавателем, консультантом и автором, а также управляющим редактором сайта 2000Trainers.com. Когда он не занят, то путешествует по свету в качестве ИТ-волонтера от организаций, подобных Geekcorps. Дэн живет в помешанном на хоккее городе Торонто (Канада). Является автором целого ряда технических книг, включая выходящую вскоре CCNA/CCDA Study Guide. С ним можно связаться по электронной почте: dan@2000trainers.com.