Знакомство с оснасткой групповая политика
Эта оснастка позволяет настраивать компьютеры сети как ло-кально, так и глобально посредством взаимодействия со специаль-ной распределенной по всем компьютерам этой сети базой дан-ных. Эта база данных организована в виде распределенного по се-ти каталога и предназначена для хранения значений всевозможных параметров и состояния различных объектов (компьютеров и дру-гих устройств, а также элементов системного программного обес-печения ). Такое взаимодействие обеспечивается специальной рас-пределенной программой, разные части которой функционируют в различных компьютерах сети. Эта программа называется службой каталогов Active Directory или просто Active Directory.
Административное средство Active Directory предназначено для решения повседневных задач сетевого управления, в число которых входят: создание, удаление, изменение, перемещение и предоставление разрешений на объекты каталога, которые назы-ваются объектами управления в сети. Такими объектам могут быть отделы организации, где сеть функционирует, пользователи, кон-такты, группы, компьютеры, принтеры, а также общие файлы.
Active Directory обеспечивает системного администратора ие-рархическим представлением сети в виде иерархически организо-ванной структуры, отдельные элементы которой объединены в группы по функциональному признаку (группа отделов, группа пользователей, группа контактов, группа компьютеров и так да-лее). Эти группы в свою очередь могут подразделяться на более мелкие группы уже по структурному признаку, например, группа пользователей состоит из локальных групп пользователей отдель-ных компьютеров сети, а группа компьютеров подразделяется на группы компьютеров отдельных доменов, на которые разбивается сеть, если она оказывается достаточно сложной. В тех случаях,
когда сеть очень сложна (например, Интернет), ее домены могут в свою очередь разбиваться на части, называемые подразделениямислужбы каталогов Active Directory.Служба каталоговActiveDirectory представляет собою единую систему средств управления всеми сетевыми объектами операционной системы. Служба ката-логовActiveDirectory в ОС Windows является по умолчанию скрытой от пользователей сети.
Задачи конфигурирования системы и задание набора условий
и параметров, приводящих к определенным ограничениям или разрешениям в ОС, составляют групповую политику этой систе-мы. Параметры групповой политики, в частности, определяют раз-личные элементы конфигурации пользователя в части окружения пользовательского рабочего стола – программы, доступные поль-зователям, программы, отображающиеся на рабочем столе, и па-раметры меню Пуск, а также конфигурации компьютера, включая параметры, применяемые вне зависимости от того, кто работает на этих компьютерах.
Набор указанных параметров групповой политики составляет отдельный ее объект, который, в свою очередь, связан с другими объектами Active Directory – сайтами, доменами или подразделения-ми. Объект групповой политики в целом состоит из объектов, созда-ваемых оснасткой, когда кто-то из пользователей меняет значения соответствующих параметров. Они хранятся на уровне домена и ока-зывают влияние на пользователей и на компьютеры доменов и их подразделений. Кроме того, каждый компьютер с ОС Windows имеет единственную, хранящуюся локально группу параметров, ко-
торая называется локальным объектом групповой политики. Чтобы создать частную конфигурацию компьютера для определенной груп-пы пользователей используется оснастка Редактор объекта группо-
вой политики (другое название– Групповая политика).
При установке оснастки Редактор объекта групповой поли-
тики на консольMMCтребуется указать,для какого компьютера(локального или какого-либо другого компьютера сети) оснастка устанавливается. Ниже мы будем рассматривать вариант установ-ки оснастки для локального компьютера, то есть того, за которым работает текущий пользователь. В этом варианте установленная оснастка получает название Политика"Локальный компьютер".
Все многообразие параметров групповой политики содержит-ся в соответствующих так называемых расширениях оснастки "Ло-
кальный компьютер",посредством которых системному админи-стратору предоставляются следующие возможности по управле-нию процессами и ресурсами ОС Windows:
– На основе реестра, используя расширение Административныешаблоны.При этом создается файл,содержащий параметры реестра,записанные в область базы данных реестра пользователя, в разделе
HKEY_CURRENT_USER и в разделе KEY_LOCAL_MACHINE для локального компьютера.
– Посредством расширения Назначение сценариев. Групповая политика указывает сценарии входа/выхода пользователей из сис-темы и загрузки/завершения работы.
– Используя Редактор перенаправления папок, имеется воз-
можность перенаправить системные папки Мои документы и Моирисунки,из папки Documents and Settings локального компьютера вновое место расположения в сети.
– На основе расширения Установка программ, которое по-зволяет назначать, блокировать и восстанавливать приложения.
– Посредством расширения Параметры безопасности, позво-ляющего устанавливать ограничения на использование программ, политику отрытого ключа, а также осуществлять управление по-литикой безопасности IP.
Более подробная информация приводится ниже.
2.2.1.1. Административные шаблоны –это текстовые файлы
с расширением .adm, содержащие сведения о политике для эле-ментов, расположенных в папке Административные шаблоны ос-настки. В ОС Windows доступно четыре файла административ-ных шаблонов, справочные файлы которых приведены в табл. 2.
Файлы административных шаблонов состоят из иерархии ка-тегорий и подкатегорий, которые вместе определяют отображение параметров групповой политики. В них содержатся следующие сведения:
– размещение параметров реестра, соответствующих каждому параметру административного шаблона групповой политики, ве-личина параметров или ограничений, связанных с каждым пара-метром административного шаблона,
– значение по умолчанию для большинства параметров,
– объяснение функции каждого параметра,
– версии ОС Windows, поддерживающие каждый параметр.
| Таблица 2 | ||
| Административные шаблоны ОС Windows | ||
| Шаблон (.adm) | Справка по параметрам | Описание |
| System – управле- | %systemroot%\help\system.chm | В групповой политике |
| ние оборудовани- | шаблон установлен по | |
| ем системы | умолчанию для клиен- | |
| тов ОС Windows 2000 | ||
| и XP | ||
| Inetres – управле- | %systemroot%\help\inetres.chm | В групповой политике |
| ние работой Inter- | шаблон Internet Ex- | |
| net Explorer | plorer установлен по | |
| умолчанию для клиен- | ||
| тов ОС Windows 2000 | ||
| и XP | ||
| Wmplayer – про- | %systemroot%\help\wmplay.chm | Параметры проигры- |
| игрыватель Win- | вателя для клиентов | |
| dows media player | ОС Windows 2000 и | |
| (WMP) | XP | |
| Conf – программа | %systemroot%\help\conf1.chm | Параметры програм- |
| организации кон- | мы NetMeeting для | |
| ференций (Net- | клиентов ОС Windows | |
| Meeting) | 2000 и XP |
2.2.1.2.В среде ОСWindowsимеется возможность исполь-зования сценариев посредством двух серверов Wscript.exe или Cscript.exe, поддерживающих как Visual Basic Scripting Edition (расширение .vbs), так и JScript (расширение .js) файлы. В частно-сти, в средствах оснастки Групповая политика имеется два рас-ширения, расположенные в узлах консоли Конфигурация компью-тера | Конфигурация Windows или Конфигурация пользователя | Конфигурация Windows,позволяющие развертывать сценарии сиспользованием указанных серверов ОС Windows. Эти расши-рения следующие:
– сценарии (запуск/завершение)–расширение,посредствомкоторого можно указать локально выполняемый сценарий при за-пуске и завершении работы компьютера;
– сценарии (вход/выход из системы)–расширение,посред-
ством которого можно указать выполняемый сценарий при входе и выходе пользователя из системы. Эти сценарии запускаются с пра-вами пользователя, а не администратора.
2.2.1.3.Перенаправление папки используется для перемеще-ния некоторых специальных папок, например Мои документы и
Мои рисунки,в заданное место в сети для их последующего досту-па с разных узлов. В ОС Windows возможны следующие спе-циальные папки для перенаправления (табл. 3).
| Таблица 3 | |
| Специальные папки ОС Windows | |
| Специальная папка | Примечания |
| Application Data | Параметры групповой политики управляют |
| поведением папки «Application Data» при | |
| включении кэширования на стороне клиента. | |
| Параметры расположены в дереве консоли | |
| «Групповая политика» в Административных | |
| шаблонах\Сеть\Автономные файлы. | |
| Рабочий стол | Папка может быть перенаправлена независи- |
| мо от всех остальных специальных папок. | |
| Мои документы | Особенности и преимущества перенаправле- |
| ния этой папки описаны ниже. | |
| Мои документы\Мои рисунки | Эта папка может быть перенаправлена незави- |
| симо от предыдущей папки Мои документы | |
| или совместно с ней, как это происходит по | |
| умолчанию. Именно эта комбинация является | |
| рекомендуемой. | |
| Главное меню | При перенаправлении папки Главное меню ее |
| подпапки всегда перенаправляются вместе с | |
| ней. |
Некоторые из преимуществ, описанных ниже, относятся к пе-ренаправлению любой специальной папки, однако перенаправле-ние папки Мои документы может быть особенно удобным, по-скольку со временем размер этой папки может увеличиваться.
– При использовании перемещаемого профиля пользователя его частью является только сетевой путь к папке Мои документы, но не сама папка. Поэтому ее содержимое не нужно копировать и перемещать между клиентом и сервером каждый раз при входе пользователя в систему или его выходе, что делает процессы входа
и выхода сравнительно быстрее.
– Даже если пользователь входит в сеть с различных компью-теров, все его документы всегда доступны.
– Технология автономных файлов обеспечивает пользовате-лям доступ к папке Мои документы даже при отсутствии подклю-чения к сети. Это особенно полезно для пользователей, приме-няющих мобильные компьютеры.
– Имеется возможность архивировать данные, хранящиеся на сервере, при управлении перемещаемыми профилями. Это являет-ся более безопасным, поскольку не требуется вмешательство поль-зователя.
– Системный администратор может устанавливать дисковые квоты с помощью групповой политики, ограничивая дисковое пространство, выделенное пользователю для специальных папок.
– Данные пользователя могут быть перенаправлены на жесткий диск локального компьютера с другого жесткого диска, на котором хранятся системные файлы ОС. Это может обезопасить пользова-тельские файлы, если необходимо будет ее переустанавливать.
Кроме всего прочего, в ОС Windows имеется возможность предоставления исключительных прав на специальные папки. Ес-ли на вкладке Параметры диалогового окна свойств каждой папки установить флажок Предоставить права монопольного доступа кпапке «Мои документы»,пользователь и локальная система полу-чают полный контроль над папкой, и никто другой, включая адми-нистратора, не будет иметь на нее никаких прав. В противном слу-чае, если этот параметр отключен, то разрешения для папки не из-меняются, а используются, применяемые по умолчанию разреше-ния. Еще одна возможность заключается в том, что на специаль-ные папки могут быть расширены дополнительные разрешения, полный список которых доступен в справке ОС Windows.
2.2.1.4.Установка программного обеспечения является неотъ-емлемой процедурой при работе с любой ОС. Для этого использу-ется одноименная оснастка «Установка программного обеспече-ния», которая помогает определить способ установки и сопровож-дения приложений. Также с ее помощью можно управлять прило-жением внутри объекта групповой политики посредством службы каталогов Active Directory.
Приложения управляются в одном из двух режимов: назначе-ния или публикации.Приложение назначается,когда необходимо,чтобы оно было установлено на всех узлах сети. Например, требу-ется, чтобы на всех компьютерах аудитории было установлено од-но и то же приложение. Поскольку объект групповой политики управляет всеми пользователями аудитории, при назначении при-ложения в объекте групповой политики оно одновременно объяв-ляется на всех компьютерах, но при этом фактически не устанав-
ливается. Устанавливаются лишь только необходимые данные для создания ярлыка этого приложения в меню Пуск, а в реестре осу-ществляется связывание расширения его документа с ним самим. При первом выборе приложения на загрузку, а также, если пользо-ватель, не запускавший приложение ранее, выбирает его документ для работы, приложение устанавливается автоматически с одно-временным открытием этого документа. Назначенное в системе приложение можно удалить, но оно будет объявлено снова при следующем входе. Если выбрать его в меню Пуск, оно будет по-вторно автоматически установлено.
Приложение публикуется, если необходимо сделать его дос-тупным для тех пользователей, управляемых объектом групповой политики, кто хочет установить это приложение. При этом у поль-зователей имеется выбор самостоятельно решать, устанавливать приложение или нет. Например, если приложение публикуется для пользователей, желающих его установить, им следует для этого открыть компонент Установка и удаление программ на панели управления и произвести установку. В случае, если пользователям не удалось установить приложение с помощью этого компонента, но файлы с соответствующим расширением связаны с приложени-ем, оно будет установлено при первой попытке открыть файл с этим расширением.
2.2.1.5.Безопасность компьютера,уязвимость системы безо-пасности, а также различного вида угрозы заботят не только про-фессионалов в области информационных технологий, но и рядо-вых пользователей компьютеров. Многие организации и отдель-ные пользователи имеют постоянные подключения к Интернету, что подвергает их компьютеры рискам заражения вирусами, не-санкционированного проникновения, атак на службы и другим угрозам. Существуют некоторые правила, называемые политиками или параметрами безопасности, которые предназначены для обес-печения защиты ресурсов одного или нескольких компьютеров в сети. Параметры безопасности позволяют контролировать:
– проверку подлинности пользователей при входе в сеть или отдельный узел,
– ресурсы, которые пользователи могут использовать,
– включение и отключение записи действий пользователя или группы в журнале событий,
– принадлежность к группам.
Настраиваются параметры безопасности, используя средства диспетчера настройки безопасности. К этим средствам относятся:
– шаблоны безопасности,
– анализ и настройка безопасности,
– программа командной строки Secedit.exe,
– локальная политика безопасности,
– расширение Параметры безопасности для групповой поли-тики.
Расширение Параметры безопасности позволяет пользовате-лям изменять настройку безопасности в оснастке Групповая поли-тика,влияющей,в свою очередь,одновременно на все узлы сетипосредством объекта групповой политики. Однако чтобы устано-вить или изменить отдельные параметры безопасности на отдель-ных компьютерах, используется средство Локальная политикабезопасности,включающее политику аудита,назначение правпользователя и локальные параметры безопасности.
Чтобы применить несколько параметров безопасности едино-временно, имеется возможность определить их с помощью шабло-нов безопасности и затем применить к системе с помощью средства Анализ и настройка безопасности или программыSecedit.exe (Пуск
→ Выполнить → Secedit.exe),а также импортировать готовый шаб-лон в соответствующую локальную или групповую политику.
В заключение следует отметить, что в пакете обновления SP2 для ОС Windows с целью повышения безопасности вводятся некоторые изменения параметров безопасности. Обобщая ново-введения, параметры безопасности сгруппированы по соответст-вующим областям (табл. 4).
| Таблица 4 | |
| Области безопасности ОС Windows | |
| Область безопасности | Описание |
| Политики учетных записей | Политика паролей, политика блокировки |
| учетной записи и политика Kerberos | |
| Локальные политики | Политика аудита, назначение прав пользо- |
| вателя и параметры безопасности | |
| Журнал событий | Параметры журналов событий приложе- |
| ний, системных событий и событий безо- | |
| пасности |
| Окончание табл. 4 | |
| Область безопасности | Описание |
| Группы с ограниченным досту- | Состав групп с особыми требованиями к |
| пом | безопасности |
| Системные службы | Параметры запуска и разрешения для сис- |
| темных служб | |
| Реестр | Разрешения для разделов реестра |
| Файловая система | Разрешения для файлов и папок |
Дополнительная информация о групповой политике и смеж-ных темах в среде ОС Windows доступна в разделах Общиесведения о групповой политике, Административные шаблоны, Сценарии, Перенаправление папки, Установка программного обеспечения, Параметры безопасности справки(Пуск → Справка и поддержка).