Групповая политика — важный элемент любой среды Microsoft Active Directory (AD). Её основная цель — дать ИТ-администраторам возможность централизованно управлять пользователями и компьютерами в домене. Групповая политика, в свою очередь, состоит из набора политик, называемых объектами групповой политики (GPO). У Microsoft реализованы тысячи разных политик и настроек, в которых можно утонуть и потом не всплыть. Все они подробно описаны в справочной таблице.
В этой статье мы расскажем о работах по настройке групповых политик и удобном инструменте для упрощения управления ими — Quest GPOAdmin. Подробности под катом.
Как устроены групповые политики
При создании домена AD автоматически создаются два объекта групповой политики:
Политика домена по умолчанию устанавливает базовые параметры для всех пользователей и компьютеров в домене в трех плоскостях: политика паролей, политика блокировки учетных записей и политика Kerberos.
Политика контроллеров домена по умолчанию устанавливает базовые параметры безопасности и аудита для всех контроллеров домена в рамках домена.
Для вступления настроек в силу, объект групповой политики необходимо применить (связать) с одним или несколькими контейнерами Active Directory: сайт, домен или подразделение (OU). Например, можно использовать групповую политику, чтобы потребовать от всех пользователей в определённом домене использовать более сложные пароли или запретить использование съемных носителей на всех компьютерах только в финансовом подразделении данного домена.
Объект групповой политики не действует, пока не будет связан с контейнером Active Directory, например, сайтом, доменом или подразделением. Любой объект групповой политики может быть связан с несколькими контейнерами, и, наоборот, с конкретным контейнером может быть связано несколько объектов групповой политики. Кроме того, контейнеры наследуют объекты групповой политики, например, объект групповой политики, связанный с подразделением, применяется ко всем пользователям и компьютерам в его дочерних подразделениях. Аналогичным образом, объект групповой политики, применяемый к OU, применяется не только ко всем пользователям и компьютерам в этом OU, но и наследуется всем пользователям и компьютерам в дочерних OU.
Настройки различных объектов групповой политики могут перекрываться или конфликтовать. По умолчанию объекты групповой политики обрабатываются в следующем порядке (причем созданные позднее имеют приоритет над созданными ранее):
- Локальный (индивидуальный компьютер)
- Сайт
- Домен
- Организационная единица
В эту последовательность можно и нужно вмешиваться, выполнив любое из следующих действий:
Изменение последовательности GPO. Объект групповой политики, созданный позднее, обрабатывается последним и имеет наивысший приоритет, перезаписывая настройки в созданных ранее объектах. Это работает в случае возникновения конфликтов.
Блокирование наследования. По умолчанию дочерние объекты наследуют все объекты групповой политики от родительского, но вы можете заблокировать это наследование.
Принудительное игнорирование связи GPO. По умолчанию параметры родительских политик перезаписываются любыми конфликтующими политиками дочерних объектов. Вы можете переопределить это поведение.
Отключение связей GPO. По умолчанию, обработка включена для всех связей GPO. Вы можете предотвратить применение объекта групповой политики для конкретного контейнера, отключив связь с объектом групповой политики этого контейнера.
Иногда сложно понять, какие политики фактически применяются к конкретному пользователю или компьютеру, определить т.н. результирующий набор политик (Resultant Set of Policy, RSoP). Microsoft предлагает утилиту командной строки GPResult, который умеет генерировать отчет RSoP.
Для управления групповыми политиками Microsoft предоставляет консоль управления групповыми политиками (GPMC). Используя этот бесплатный редактор групповой политики, ИТ-администраторы могут создавать, копировать, импортировать, создавать резервные копии и восстанавливать объекты групповой политики, а также составлять отчеты по ним. Microsoft также предлагает целый набор интерфейсов GPMC, которые можно использовать для программного доступа ко многим операциям, поддерживаемым консолью.
По умолчанию любой член группы администраторов домена может создавать объекты групповой политики и управлять ими. Кроме того, существует глобальная группа под названием «Владельцы-создатели групповых политик»; его члены могут создавать объекты групповой политики, но они могут изменять только созданные ими политики, если им специально не предоставлены разрешения на редактирование других объектов групповой политики.
В этой же консоли можно делегировать вспомогательным ИТ-администраторам разрешения для различных действий: создание, редактирование и создание связей для определенных объектов групповой политики. Делегирование — ценный инструмент; например, можно предоставить группе, ответственной за управление Microsoft Office, возможность редактировать объекты групповой политики, используемые для управления настройками Office на рабочем столе пользователей.
Управление групповой политикой и делегирование
Делегирование— та вещь, которая быстро выходит из-под контроля. Права делегируются то так то эдак и, в конце концов, не те люди могут получить не те права.
Ценность групповой политики заключается в ее силе. Одним махом вы можете применить политики в домене или подразделении, которые значительно укрепят безопасность или улучшат производительность бизнеса. Или наоборот.
Но этой властью также можно злоупотребить, намеренно или случайно. Одно неправильное изменение объекта групповой политики может привести к нарушению безопасности. Взломщик или злонамеренный администратор могут легко изменить объекты групповой политики, чтобы, например:
- Разрешить неограниченное количество попыток угадать пароль учетной записи.
- Включить возможность подключения съемных носителей для упрощения кражи данных.
- Развернуть вредоносное ПО на всех машинах в домене.
- Заменить сайты, сохранённые в закладках браузеров пользователей, вредоносными URL-адресами.
- Запустить вредоносный сценарий при запуске или завершении работы компьютера.
Интересно, что хакерам даже не нужно много навыков, чтобы взломать объекты групповой политики. Все, что им нужно сделать, это получить данные учетной записи, имеющую необходимые права для нужного объекта групповой политики. Есть инструмент с открытым исходным кодом BloodHound (прямо как известная группа, только без Gang), который предоставит им список этих учетных записей. Несколько целевых фишинговых атак и хакер контролирует объект групповой политики. Политика домена по умолчанию (Default Domain Policy) и политика контроллеров домена по умолчанию (Default Domain Controllers Policy) — наиболее популярные цели, т.к. они создаются автоматически для каждого домена и контролируют важные параметры.
Почему встроенные инструменты работы с GPO недостаточно удобны
К сожалению, встроенные инструменты не всегда позволяют в удобном формате поддерживать безопасность и контроль групповой политики. Изменения, внесенные в объекты групповой политики, по умолчанию вступают в силу, как только окно закрывается — отсутствует кнопка «Применить», которая могла бы дать администраторам шанс остановиться, одуматься и выявить ошибки, прежде чем организация подвергнется атаке.
Из-за того, что разрешения безопасности основаны на объектах групповой политики, любой администратор домена может изменять любой параметр безопасности объекта групповой политики. И даже параметры, которые должны препятствовать злонамеренным действиям этого человека. Например, администратор может отключить объект групповой политики, который отвечает за разрешение входа в систему на определенном сервере, на котором размещены конфиденциальные данные. Ну, а дальше скопировать часть или весь ценный контент на свой компьютер
и продать в даркнете
.
Но самое ужасное во всей этой истории с безопасностью GPO — изменения настроек не отслеживаются в собственных журналах безопасности, нет предупреждений, следовательно, невозможно отслеживать такие нарушения, даже если использовать SIEM-систему.
Как обезопасить GPO (объекты групповой политики)
Лучший способ минимизировать риск неправильной настройки объектов групповой политики — это создать многоуровневую структуру безопасности, которая дополняет собственные инструменты. Для надёжной защиты групповой политики нужны решения, которые позволят:
- Понять, кто и к каким объектам групповой политики имеет доступ.
- Внедрить воркфлоу с опцией согласования и разделением обязанностей для управления изменениями в GPO.
- Отслеживать, выполнять мониторинг и оповещать об изменениях в GPO.
- Предотвратить изменение наиболее важных настроек GPO.
- Быстро откатывать нежелательные изменения в GPO.
Для выполнения перечисленных выше задач (и не только их) предлагаем присмотреться к специальному прокси-решению GPOAdmin. Ниже мы приведём несколько скриншотов интерфейса этого продукта и расскажем о его возможностях.
Консолидация GPO
В интерфейсе можно выбрать избыточные или конфликтующие параметры групповой политики и объединить их в один объект групповой политики или создать новый.
Откат. Можно легко откатиться к предыдущим версиям объектов групповой политики и устранить негативные последствия.
Настраиваемый воркфлоу. В интерфейсе GPOADmin можно заранее определить автоматические действия для различных сценариев.
Политики защищенных настроек. Определите список параметров, по которым проверяются разрешенные настройки для политик.
Управление объектами. В интерфейсе легко определить, кто отвечает за управление определенными политиками.
Подтверждение по электронной почте. Утверждать или отклонять запросы на изменение объекта групповой политики можно прямо из письма в почте.
Пользовательские шаблоны писем. Для определенных ролей шаблоны писем можно кастомизировать.
Синхронизация GPO. Доступна возможность синхронизации настроек между несколькими GPO.
Сравнение GPO. Обеспечьте целостность настроек GPO и снизьте риск нарушения политики.
С GPOAdmin можно навести порядок в работе десятка администраторов, которые могут намеренно или случайно вносить неправильные изменения в объекты групповой политики. Теперь о каждом изменении будут знать все.
Мы готовы провести для вас демонстрацию или развернуть решение в вашей инфраструктуре, чтобы вы могли убедиться в ценности GPOAdmin для вашей организации. Решение, действительно, поможет уберечься от фатальных ошибок и навести порядок в домене. Свяжитесь с нами удобным для вас способом.
А еще у нас есть:
- А кто это сделал? Автоматизируем аудит информационной безопасности
- Что полезного можно вытащить из логов рабочей станции на базе ОС Windows
- Управление доступом и формирование отчётов безопасности для окружения Microsoft в Quest Enterprise Reporter
- Сравним инструменты для аудита изменений в Active Directory: Quest Change Auditor и Netwrix Auditor
- Sysmon теперь может записывать содержимое буфера обмена
- Включаем сбор событий о запуске подозрительных процессов в Windows и выявляем угрозы при помощи Quest InTrust
- Как InTrust может помочь снизить частоту неудачных попыток авторизаций через RDP
- Как снизить стоимость владения SIEM-системой и зачем нужен Central Log Management (CLM)
- Выявляем атаку вируса-шифровальщика, получаем доступ к контроллеру домена и пробуем противостоять этим атакам
- Группа в Facebook
- Канал в Youtube.
Групповые политики Windows являются неотъемлемой частью администрирования Windows-систем. Рассмотрим примеры работы с этим инструментом на VDS под управлением ОС семейства Windows Server.
Что такое групповые политики и как ими пользоваться:
- Для чего необходимы групповые политики
- Клиентский и серверный компоненты групповых политик
- Настройка управления групповыми политиками
- Как создать новый объект групповой политики
- Как настроить управление групповыми политиками
- Как найти нужный объект групповой политики
- Как удалить объект групповой политики
Для чего необходимы групповые политики
Говоря простым языком, Групповая политика — это инструмент архитектуры Active Directory, который позволяет управлять настройками серверов и рабочих терминалов, подключенных к домену, централизованно. Также, с помощью групповых политик достаточно просто распространить программное обеспечение. Администратор может указать политики для группы в одном месте, а затем применить их к целевой группе пользователей.
Во многих компаниях, как правило, применяется деление на отделы: отдел кадров, бухгалтерия, юристы, отдел системного администрирования. Предположим, что каждому отделу необходим собственный минимальный набор программного обеспечения, а рабочие станции должны быть настроены для конкретных нужд и под конкретные задачи. Благодаря групповым политикам появляется возможность создать настройки для конкретных групп пользователей в домене. При помощи Active Directory GPO администратор может устанавливать и управлять стандартизированными наборами настроек, конкретно для бухгалтерии или отдела кадров.
Настроить рабочие места (компьютеров и пользователей) проще и эффективнее потому что расположены по тому что располагаются централизованно и требуют дублирования на каждом ПК.
Клиентский и серверный компоненты групповых политик
Выделяют два компонента групповых политик — клиентский и серверный, т.е. формируется структура “клиент-сервер”.
Серверный компонент представляет оснастка MMC (Microsoft Management Console), предназначенная для настройки групповой политики. MMC можно использовать для создания политик, а также для контроля и управления административными шаблонами, настройками безопасности (установка ПО, скрипты и т.п.). Обобщенное название “возможностей” называется расширением. Каждое расширение может иметь дочернее расширение, которое разрешает добавление новых или удаление старых компонентов, а также их обновление.
Клиентский компонент получает и применяет настройки групповой политики. Клиентские расширения являются компонентами запускаемыми на клиентской ОС, которые отвечают за интерпретацию и обработку объектов групповой политики.
Для администрирования GPO используют оснастки MMC — Group Policy Management Console (GPMC) и Group Policy Management Editor.
Сценарии использования Active Directory GPO:
- Централизованная настройка пакета программ Microsoft Office.
- Централизованная настройка управлением питанием компьютеров.
- Настройка веб-браузеров и принтеров.
- Установка и обновление ПО.
- Применение определенных правил в зависимости от местоположения пользователя.
- Централизованные настройки безопасности.
- Перенаправление каталогов в пределах домена.
- Настройка прав доступа к приложениям и системным программам.
Как настроить управление групповыми политиками
Сперва следует установить роль сервера Active Directory Domain Service (AD DS) на контроллер домена. После этого будет доступна оснастка Group Policy Management, для ее запуска вызываем окно “Выполнить” (Windows + R). В открывшемся окне вводим команду:
gpmc.msc
И нажимаем “OK”.
Возможно оснастка не сможет открыться т.к. не была установлена ранее. Исправим это.
Открываем диспетчер серверов и выбираем установку ролей и компонентов.
На этапе выбора типа установки, отметим параметр “Установка ролей и компонентов”. Кликаем по кнопке “Далее”.
Так как установка выполняется для текущего сервера — нажимаем “Далее”.
Установку серверных ролей пропускаем нажатием на кнопку “Далее”.
На этапе выбора компонентов отметим галкой “Управление групповой политикой”. Кликаем по кнопке “Далее”.
Завершаем установку компонентов как обычно.
Окно оснастки управления групповой политикой выглядит так:
Как создать новый объект групповой политики
Добавим новый объект групповой политики. В левой части, проследуем по пути: Лес → Домены → <Ваш Домен> → Объекты групповой политики.
В правой части окна, кликаем правой кнопкой мыши в свободном месте. В открывшемся контекстном меню, выбираем “Создать”.
В открывшемся окне, вводим имя новой политики. Нажимаем “OK”.
Добавленный объект появится в общем списке:
Настройка созданного объекта групповой политики
Для настройки нового объекта кликаем по нему правой кнопкой мыши. В контектстном меню выбираем “Изменить”.
Откроется окно редактора управления групповыми политиками. Займемся “полезным” делом — удалим папку со стандартными играми из меню Пуск. Для этого, в меню слева проследуем по пути Конфигурация пользователя Конфигурация пользователя → Политики → Административные шаблоны: получены определения политик (ADMX-файлы) с локального компьютера → Меню “Пуск” и панель задач.
В правой части окна найдем параметр “Удалить ссылку “Игры” из меню “Пуск””. Для удобства поиска можно воспользоваться сортировкой по имени, вверху окна.
Кликаем по этому параметру правой кнопкой мыши, выбираем “Изменить”.
В открывшемся окне изменим состояние на “Включено”. В поле комментария рекомендуем не игнорировать. Для завершения настройки нажимаем “OK”.
Создание объектов можно считать оконченным.
Как найти нужный объект групповой политики
В корпоративных средах, как правило, создается большое количество объектов GPO. Хорошо было бы уметь находить нужный объект. У консоли есть данный функционал. Для этого, в левой части окна кликаем правой кнопкой мыши по лесу. В открывшемся меню выбираем “Найти…”
В открывшемся окне выбираем в каком домене выполнять поиск. Можно выполнить поиск и по всем доменам, но это может занять продолжительное время.
Попробуем найти созданный ранее объект.
В поле “Элемент поиска” из выпадающего списка выбираем “Имя объекта групповой политики”. В условии оставляем вариант “Содержит”. В “Значение“ указываем имя созданной ранее политики. Именно по этой причине следует создавать понятные имена политик. Нажимаем кнопку “Добавить”.
Критерии поиска заданы. нажимаем кнопку “Найти” и просматриваем результаты поиска.
Как удалить объект групповой политики
Если в объекте GPO пропадает необходимость, будет лучше его удалить. Кликаем по созданному объекту правой кнопкой мыши, в контекстном меню выбираем “Удалить”. Если уверены в своем решении, на вопрос подтверждения отвечаем “Да”.
220140
Минск
ул. Домбровская, д. 9
+375 (173) 88-72-49
700
300
ООО «ИТГЛОБАЛКОМ БЕЛ»
220140
Минск
ул. Домбровская, д. 9
+375 (173) 88-72-49
700
300
ООО «ИТГЛОБАЛКОМ БЕЛ»
From Wikipedia, the free encyclopedia
Parts of this article (those related to Windows 10 issues) need to be updated. Please help update this article to reflect recent events or newly available information. (September 2018) |
Group Policy is a feature of the Microsoft Windows NT family of operating systems (including Windows 7, Windows 8.1, Windows 10, Windows 11, and Windows Server 2003+) that controls the working environment of user accounts and computer accounts. Group Policy provides centralized management and configuration of operating systems, applications, and users’ settings in an Active Directory environment. A set of Group Policy configurations is called a Group Policy Object (GPO). A version of Group Policy called Local Group Policy (LGPO or LocalGPO) allows Group Policy Object management without Active Directory on standalone computers.[1][2]
Active Directory servers disseminate group policies by listing them in their LDAP directory under objects of class groupPolicyContainer
. These refer to fileserver paths (attribute gPCFileSysPath
) that store the actual group policy objects, typically in an SMB share \domain.comSYSVOL shared by the Active Directory server. If a group policy has registry settings, the associated file share will have a file registry.pol
with the registry settings that the client needs to apply.[3]
The Policy Editor (gpedit.msc) is not provided on Home versions of Windows XP/Vista/7/8/8.1/10/11.
Operation[edit]
Group Policies, in part, control what users can and cannot do on a computer system. For example, a Group Policy can be used to enforce a password complexity policy that prevents users from choosing an overly simple password. Other examples include: allowing or preventing unidentified users from remote computers to connect to a network share, or to block/restrict access to certain folders. A set of such configurations is called a Group Policy Object (GPO).
As part of Microsoft’s IntelliMirror technologies, Group Policy aims to reduce the cost of supporting users. IntelliMirror technologies relate to the management of disconnected machines or roaming users and include roaming user profiles, folder redirection, and offline files.
Enforcement[edit]
To accomplish the goal of central management of a group of computers, machines should receive and enforce GPOs. A GPO that resides on a single machine only applies to that computer. To apply a GPO to a group of computers, Group Policy relies on Active Directory (or on third-party products like ZENworks Desktop Management) for distribution. Active Directory can distribute GPOs to computers which belong to a Windows domain.
By default, Microsoft Windows refreshes its policy settings every 90 minutes with a random 30 minutes offset. On domain controllers, Microsoft Windows does so every five minutes. During the refresh, it discovers, fetches and applies all GPOs that apply to the machine and to logged-on users. Some settings — such as those for automated software installation, drive mappings, startup scripts or logon scripts — only apply during startup or user logon. Since Windows XP, users can manually initiate a refresh of the group policy by using the gpupdate
command from a command prompt.[4]
Group Policy Objects are processed in the following order (from top to bottom):[5]
- Local — Any settings in the computer’s local policy. Prior to Windows Vista, there was only one local group policy stored per computer. Windows Vista and later Windows versions allow individual group policies per user accounts.[6]
- Site — Any Group Policies associated with the Active Directory site in which the computer resides. (An Active Directory site is a logical grouping of computers, intended to facilitate management of those computers based on their physical proximity.) If multiple policies are linked to a site, they are processed in the order set by the administrator.
- Domain — Any Group Policies associated with the Windows domain in which the computer resides. If multiple policies are linked to a domain, they are processed in the order set by the administrator.
- Organizational Unit — Group policies assigned to the Active Directory organizational unit (OU) in which the computer or user are placed. (OUs are logical units that help organizing and managing a group of users, computers or other Active Directory objects.) If multiple policies are linked to an OU, they are processed in the order set by the administrator.
The resulting Group Policy settings applied to a given computer or user are known as the Resultant Set of Policy (RSoP). RSoP information may be displayed for both computers and users using the gpresult
command.[7]
Inheritance[edit]
A policy setting inside a hierarchical structure is ordinarily passed from parent to children, and from children to grandchildren, and so forth. This is termed inheritance. It can be blocked or enforced to control what policies are applied at each level. If a higher level administrator (enterprise administrator) creates a policy that has inheritance blocked by a lower level administrator (domain administrator), this policy will still be processed.
Where a Group Policy Preference Settings is configured and there is also an equivalent Group Policy Setting configured, then the value of the Group Policy Setting will take precedence.
Filtering[edit]
WMI filtering is the process of customizing the scope of the GPO by choosing a (WMI) filter to apply. These filters allow administrators to apply the GPO only to, for example, computers of specific models, RAM, installed software, or anything available via WMI queries.
Local Group Policy[edit]
Local Group Policy (LGP, or LocalGPO) is a more basic version of Group Policy for standalone and non-domain computers, that has existed at least since Windows XP,[when?] and can be applied to domain computers.[citation needed] Prior to Windows Vista, LGP could enforce a Group Policy Object for a single local computer, but could not make policies for individual users or groups. From Windows Vista onward, LGP allow Local Group Policy management for individual users and groups as well,[1] and also allows backup, importing and exporting of policies between standalone machines via «GPO Packs» – group policy containers which include the files needed to import the policy to the destination machine.[2]
Group Policy preferences[edit]
Group Policy Preferences are a way for the administrator to set policies that are not mandatory, but optional for the user or computer.
There is a set of group policy setting extensions that were previously known as PolicyMaker. Microsoft bought PolicyMaker and then integrated them with Windows Server 2008. Microsoft has since released a migration tool that allows users to migrate PolicyMaker items to Group Policy Preferences.[8]
Group Policy Preferences adds a number of new configuration items. These items also have a number of additional targeting options that can be used to granularly control the application of these setting items.
Group Policy Preferences are compatible with x86 and x64 versions of Windows XP, Windows Server 2003, and Windows Vista with the addition of the Client Side Extensions (also known as CSE).[9][10][11][12][13][14]
Client Side Extensions are now included in Windows Server 2008, Windows 7, and Windows Server 2008 R2.
Group Policy Management Console[edit]
Originally, Group Policies were modified using the Group Policy Edit tool that was integrated with Active Directory Users and Computers Microsoft Management Console (MMC) snap-in, but it was later split into a separate MMC snap-in called the Group Policy Management Console (GPMC). The GPMC is now a user component in Windows Server 2008 and Windows Server 2008 R2 and is provided as a download as part of the Remote Server Administration Tools for Windows Vista and Windows 7.[15][16][17][18]
Advanced Group Policy Management[edit]
Microsoft has also released a tool to make changes to Group Policy called Advanced Group Policy Management[19] (a.k.a. AGPM). This tool is available for any organization that has licensed the Microsoft Desktop Optimization Pack (a.k.a. MDOP). This advanced tool allows administrators to have a check in/out process for modification Group Policy Objects, track changes to Group Policy Objects, and implement approval workflows for changes to Group Policy Objects.
AGPM consists of two parts — server and client.
The server is a Windows Service that stores its Group Policy Objects in an archive located on the same computer or a network share.
The client is a snap-in to the Group Policy Management Console, and connects to the AGPM server. Configuration of the client is performed via Group Policy.
Security[edit]
Group Policy settings are enforced voluntarily by the targeted applications. In many cases, this merely consists of disabling the user interface for a particular function.[20]
"Circumventing Group Policy as a Limited User</ref>
Windows 8 enhancements[edit]
Windows 8 has introduced a new feature called Group Policy Update. This feature allows an administrator to force a group policy update on all computers with accounts in a particular Organizational Unit. This creates a scheduled task on the computer which runs the gpupdate
command within 10 minutes, adjusted by a random offset to avoid overloading the domain controller.
Group Policy Infrastructure Status was introduced, which can report when any Group Policy Objects are not replicated correctly amongst domain controllers.[21]
Group Policy Results Report also has a new feature that times the execution of individual components when doing a Group Policy Update.[22]
See also[edit]
- Administrative Templates
- Group Policy improvements in Windows Vista
- Workgroup Manager
References[edit]
- ^ a b LLC), Tara Meyer (Aquent. «Step-by-Step Guide to Managing Multiple Local Group Policy Objects». go.microsoft.com.
- ^ a b Sigman, Jeff. «SCM v2 Beta: LocalGPO Rocks!». Microsoft. Retrieved 2018-11-24.
- ^ «[MS-GPOD]: Group Policy Protocols Overview». Microsoft. Section 1.1.5 Group Policy Data Storage. Retrieved 2020-02-22.
- ^
Gpupdate - ^ «Group Policy processing and precedence». Microsoft Corporation. 22 April 2012.
- ^ «Group Policy — Apply to a Specific User or Group — Windows 7 Help Forums». www.sevenforums.com.
- ^ Archiveddocs. «Gpresult». technet.microsoft.com.
- ^ «Group Policy Preference Migration Tool (GPPMIG)». Microsoft.
- ^ «Group Policy Preference Client Side Extensions for Windows XP (KB943729)». Microsoft Download Center.
- ^ «Group Policy Preference Client Side Extensions for Windows XP x64 Edition (KB943729)». Microsoft Download Center.
- ^ «Group Policy Preference Client Side Extensions for Windows Vista (KB943729)». Microsoft Download Center.
- ^ «Group Policy Preference Client Side Extensions for Windows Vista x64 Edition (KB943729)». Microsoft Download Center.
- ^ «Group Policy Preference Client Side Extensions for Windows Server 2003 (KB943729)». Microsoft Download Center.
- ^ «Group Policy Preference Client Side Extensions for Windows Server 2003 x64 Edition (KB943729)». Microsoft Download Center.
- ^
«How to Install GPMC on Server 2008, 2008 R2, and Windows 7 (via RSAT)». 2009-12-23. - ^
Microsoft Remote Server Administration Tools for Windows Vista - ^
Microsoft Remote Server Administration Tools for Windows Vista for x64-based Systems - ^
Remote Server Administration Tools for Windows 7 - ^ «Windows — Official Site for Microsoft Windows 10 Home & Pro OS, laptops, PCs, tablets & more». www.microsoft.com.
- ^ Raymond Chen, «Shell policy is not the same as security»
- ^ «Updated: What’s new with Group Policy in Windows 8». 17 October 2011.
- ^ «Windows 8 Group Policy Performance Troubleshooting Feature». 23 January 2012.
Further reading[edit]
- «Group Policy for Beginners». Windows 7 Technical Library. Microsoft. 27 April 2011. Retrieved 22 April 2012.
- «Group Policy Management Console». Dev Center — Desktop. Microsoft. 3 February 2012. Retrieved 22 April 2012.
- «Step-by-Step Guide to Managing Multiple Local Group Policy Objects». Windows Vista Technical Library. Microsoft. Retrieved 22 April 2012.
- «Group Policy processing and precedence». Windows Server 2003 Product Help. Microsoft. 21 January 2005. Retrieved 22 April 2012.
External links[edit]
- Official website
- Group Policy Team Blog
- Group Policy Settings Reference for Windows and Windows Server
- Force Gpupdate
From Wikipedia, the free encyclopedia
Parts of this article (those related to Windows 10 issues) need to be updated. Please help update this article to reflect recent events or newly available information. (September 2018) |
Group Policy is a feature of the Microsoft Windows NT family of operating systems (including Windows 7, Windows 8.1, Windows 10, Windows 11, and Windows Server 2003+) that controls the working environment of user accounts and computer accounts. Group Policy provides centralized management and configuration of operating systems, applications, and users’ settings in an Active Directory environment. A set of Group Policy configurations is called a Group Policy Object (GPO). A version of Group Policy called Local Group Policy (LGPO or LocalGPO) allows Group Policy Object management without Active Directory on standalone computers.[1][2]
Active Directory servers disseminate group policies by listing them in their LDAP directory under objects of class groupPolicyContainer
. These refer to fileserver paths (attribute gPCFileSysPath
) that store the actual group policy objects, typically in an SMB share \domain.comSYSVOL shared by the Active Directory server. If a group policy has registry settings, the associated file share will have a file registry.pol
with the registry settings that the client needs to apply.[3]
The Policy Editor (gpedit.msc) is not provided on Home versions of Windows XP/Vista/7/8/8.1/10/11.
Operation[edit]
Group Policies, in part, control what users can and cannot do on a computer system. For example, a Group Policy can be used to enforce a password complexity policy that prevents users from choosing an overly simple password. Other examples include: allowing or preventing unidentified users from remote computers to connect to a network share, or to block/restrict access to certain folders. A set of such configurations is called a Group Policy Object (GPO).
As part of Microsoft’s IntelliMirror technologies, Group Policy aims to reduce the cost of supporting users. IntelliMirror technologies relate to the management of disconnected machines or roaming users and include roaming user profiles, folder redirection, and offline files.
Enforcement[edit]
To accomplish the goal of central management of a group of computers, machines should receive and enforce GPOs. A GPO that resides on a single machine only applies to that computer. To apply a GPO to a group of computers, Group Policy relies on Active Directory (or on third-party products like ZENworks Desktop Management) for distribution. Active Directory can distribute GPOs to computers which belong to a Windows domain.
By default, Microsoft Windows refreshes its policy settings every 90 minutes with a random 30 minutes offset. On domain controllers, Microsoft Windows does so every five minutes. During the refresh, it discovers, fetches and applies all GPOs that apply to the machine and to logged-on users. Some settings — such as those for automated software installation, drive mappings, startup scripts or logon scripts — only apply during startup or user logon. Since Windows XP, users can manually initiate a refresh of the group policy by using the gpupdate
command from a command prompt.[4]
Group Policy Objects are processed in the following order (from top to bottom):[5]
- Local — Any settings in the computer’s local policy. Prior to Windows Vista, there was only one local group policy stored per computer. Windows Vista and later Windows versions allow individual group policies per user accounts.[6]
- Site — Any Group Policies associated with the Active Directory site in which the computer resides. (An Active Directory site is a logical grouping of computers, intended to facilitate management of those computers based on their physical proximity.) If multiple policies are linked to a site, they are processed in the order set by the administrator.
- Domain — Any Group Policies associated with the Windows domain in which the computer resides. If multiple policies are linked to a domain, they are processed in the order set by the administrator.
- Organizational Unit — Group policies assigned to the Active Directory organizational unit (OU) in which the computer or user are placed. (OUs are logical units that help organizing and managing a group of users, computers or other Active Directory objects.) If multiple policies are linked to an OU, they are processed in the order set by the administrator.
The resulting Group Policy settings applied to a given computer or user are known as the Resultant Set of Policy (RSoP). RSoP information may be displayed for both computers and users using the gpresult
command.[7]
Inheritance[edit]
A policy setting inside a hierarchical structure is ordinarily passed from parent to children, and from children to grandchildren, and so forth. This is termed inheritance. It can be blocked or enforced to control what policies are applied at each level. If a higher level administrator (enterprise administrator) creates a policy that has inheritance blocked by a lower level administrator (domain administrator), this policy will still be processed.
Where a Group Policy Preference Settings is configured and there is also an equivalent Group Policy Setting configured, then the value of the Group Policy Setting will take precedence.
Filtering[edit]
WMI filtering is the process of customizing the scope of the GPO by choosing a (WMI) filter to apply. These filters allow administrators to apply the GPO only to, for example, computers of specific models, RAM, installed software, or anything available via WMI queries.
Local Group Policy[edit]
Local Group Policy (LGP, or LocalGPO) is a more basic version of Group Policy for standalone and non-domain computers, that has existed at least since Windows XP,[when?] and can be applied to domain computers.[citation needed] Prior to Windows Vista, LGP could enforce a Group Policy Object for a single local computer, but could not make policies for individual users or groups. From Windows Vista onward, LGP allow Local Group Policy management for individual users and groups as well,[1] and also allows backup, importing and exporting of policies between standalone machines via «GPO Packs» – group policy containers which include the files needed to import the policy to the destination machine.[2]
Group Policy preferences[edit]
Group Policy Preferences are a way for the administrator to set policies that are not mandatory, but optional for the user or computer.
There is a set of group policy setting extensions that were previously known as PolicyMaker. Microsoft bought PolicyMaker and then integrated them with Windows Server 2008. Microsoft has since released a migration tool that allows users to migrate PolicyMaker items to Group Policy Preferences.[8]
Group Policy Preferences adds a number of new configuration items. These items also have a number of additional targeting options that can be used to granularly control the application of these setting items.
Group Policy Preferences are compatible with x86 and x64 versions of Windows XP, Windows Server 2003, and Windows Vista with the addition of the Client Side Extensions (also known as CSE).[9][10][11][12][13][14]
Client Side Extensions are now included in Windows Server 2008, Windows 7, and Windows Server 2008 R2.
Group Policy Management Console[edit]
Originally, Group Policies were modified using the Group Policy Edit tool that was integrated with Active Directory Users and Computers Microsoft Management Console (MMC) snap-in, but it was later split into a separate MMC snap-in called the Group Policy Management Console (GPMC). The GPMC is now a user component in Windows Server 2008 and Windows Server 2008 R2 and is provided as a download as part of the Remote Server Administration Tools for Windows Vista and Windows 7.[15][16][17][18]
Advanced Group Policy Management[edit]
Microsoft has also released a tool to make changes to Group Policy called Advanced Group Policy Management[19] (a.k.a. AGPM). This tool is available for any organization that has licensed the Microsoft Desktop Optimization Pack (a.k.a. MDOP). This advanced tool allows administrators to have a check in/out process for modification Group Policy Objects, track changes to Group Policy Objects, and implement approval workflows for changes to Group Policy Objects.
AGPM consists of two parts — server and client.
The server is a Windows Service that stores its Group Policy Objects in an archive located on the same computer or a network share.
The client is a snap-in to the Group Policy Management Console, and connects to the AGPM server. Configuration of the client is performed via Group Policy.
Security[edit]
Group Policy settings are enforced voluntarily by the targeted applications. In many cases, this merely consists of disabling the user interface for a particular function.[20]
"Circumventing Group Policy as a Limited User</ref>
Windows 8 enhancements[edit]
Windows 8 has introduced a new feature called Group Policy Update. This feature allows an administrator to force a group policy update on all computers with accounts in a particular Organizational Unit. This creates a scheduled task on the computer which runs the gpupdate
command within 10 minutes, adjusted by a random offset to avoid overloading the domain controller.
Group Policy Infrastructure Status was introduced, which can report when any Group Policy Objects are not replicated correctly amongst domain controllers.[21]
Group Policy Results Report also has a new feature that times the execution of individual components when doing a Group Policy Update.[22]
See also[edit]
- Administrative Templates
- Group Policy improvements in Windows Vista
- Workgroup Manager
References[edit]
- ^ a b LLC), Tara Meyer (Aquent. «Step-by-Step Guide to Managing Multiple Local Group Policy Objects». go.microsoft.com.
- ^ a b Sigman, Jeff. «SCM v2 Beta: LocalGPO Rocks!». Microsoft. Retrieved 2018-11-24.
- ^ «[MS-GPOD]: Group Policy Protocols Overview». Microsoft. Section 1.1.5 Group Policy Data Storage. Retrieved 2020-02-22.
- ^
Gpupdate - ^ «Group Policy processing and precedence». Microsoft Corporation. 22 April 2012.
- ^ «Group Policy — Apply to a Specific User or Group — Windows 7 Help Forums». www.sevenforums.com.
- ^ Archiveddocs. «Gpresult». technet.microsoft.com.
- ^ «Group Policy Preference Migration Tool (GPPMIG)». Microsoft.
- ^ «Group Policy Preference Client Side Extensions for Windows XP (KB943729)». Microsoft Download Center.
- ^ «Group Policy Preference Client Side Extensions for Windows XP x64 Edition (KB943729)». Microsoft Download Center.
- ^ «Group Policy Preference Client Side Extensions for Windows Vista (KB943729)». Microsoft Download Center.
- ^ «Group Policy Preference Client Side Extensions for Windows Vista x64 Edition (KB943729)». Microsoft Download Center.
- ^ «Group Policy Preference Client Side Extensions for Windows Server 2003 (KB943729)». Microsoft Download Center.
- ^ «Group Policy Preference Client Side Extensions for Windows Server 2003 x64 Edition (KB943729)». Microsoft Download Center.
- ^
«How to Install GPMC on Server 2008, 2008 R2, and Windows 7 (via RSAT)». 2009-12-23. - ^
Microsoft Remote Server Administration Tools for Windows Vista - ^
Microsoft Remote Server Administration Tools for Windows Vista for x64-based Systems - ^
Remote Server Administration Tools for Windows 7 - ^ «Windows — Official Site for Microsoft Windows 10 Home & Pro OS, laptops, PCs, tablets & more». www.microsoft.com.
- ^ Raymond Chen, «Shell policy is not the same as security»
- ^ «Updated: What’s new with Group Policy in Windows 8». 17 October 2011.
- ^ «Windows 8 Group Policy Performance Troubleshooting Feature». 23 January 2012.
Further reading[edit]
- «Group Policy for Beginners». Windows 7 Technical Library. Microsoft. 27 April 2011. Retrieved 22 April 2012.
- «Group Policy Management Console». Dev Center — Desktop. Microsoft. 3 February 2012. Retrieved 22 April 2012.
- «Step-by-Step Guide to Managing Multiple Local Group Policy Objects». Windows Vista Technical Library. Microsoft. Retrieved 22 April 2012.
- «Group Policy processing and precedence». Windows Server 2003 Product Help. Microsoft. 21 January 2005. Retrieved 22 April 2012.
External links[edit]
- Official website
- Group Policy Team Blog
- Group Policy Settings Reference for Windows and Windows Server
- Force Gpupdate
Содержание
Концепции групповой политики
Политики работают по принципу » все или ничего»
Политики наследуются и накапливаются
Интервалы обновления групповой политики
Основы групповой политики
Репликация групповой политики является встроенной
Объекты GРО самостоятельно выполняют очистку при удалении
Для применения настроек GРО вход не требуется
Локальные политики и объекты групповой политики
Объект LGPO для администраторов и не администраторов
Объект LGPO, специфичный для пользователя
Создание объектов GPO
Модификация стандартного поведения групповой политики
Настройки для управления групповой политикой
Применение групповой политики
Каким образом применяется групповая политика
Фильтрация групповой политики с помощью с писков управления доступом
Принудительное применение и блокирование наследования
Возможности настроек групповой политики
Настройки конфигурации пользователя и компьютера
Использование групповой политики для установки политики паролей и блокировки учетных записей
Предпочтения групповой политики
Новая и усовершенствованная консоль GРМС
Стартовые объекты GРО
Резервное копирование и восстановление объектов GPO
Поиск и устранение неполадок в групповых политиках
Инструмент Resultant Set of Policy
Получение результатов групповой политики с использованием консоли GPMC
Моделирование групповой политики с использованием консоли GPMC
gpresult.exe
Использование программы Event Viewer
Основы поиска и устранения неполадок: с охраняйте простоту
Делегирование Active Directory
Делегирование прав администрирования групповой политикой
Делегирование управления с использованием организационных единиц
Создание новой организационной единицы
Перемещение учетных записей пользователей в организационную единицу
Создание группы MktPswAdm
Делегирование управления сбросом паролей в организационной единице Marketing группе MktPswAdm
Расширенное делегирование: ручная установка разрешений
Выяснение установленных делегирований, или отмена делегирования
Когда ведутся разговоры на разнообразные темы, связанные с Active Directory,
необходимо также говорить о групповой политике (Group Policy). Групповая
политика не является новой технологией для Active Directory, но с момента своего появления в Windows 2000 Server она разрасталась и совершенствовалась с каждой выпущенной версией ОС и пакетом обновлений. Технология Group Poicy и возможности, которые она предлагает в Windows Server 2012 R2, претерпели настолько радикальные улучшения по сравнению с первоначальной версией, что ее впору считать полностью новой технологией. Изменениям и усовершенствованиям были подвергнуты средства управления групповой политикой (консоль управления групповой политикой (Group Poicy Management Consoe) и редактор управления групповыми политиками (Group Policy Management Editor)), управление доступными настройками (теперь их более 5000), управление целевыми объектами и устранение неполадок в инфраструктуре Group Policy. Если вы — опытный пользователь Group Poicy, то непременно сосредоточите внимание на разделах этой главы, посвященных предпочтениям групповой политики, консоли управления групповой политикой (Group Poicy Management Consoe — GPMC) и устранению неполадок.
В этой главе вы изучите следующие темы:
• понятие локальных политик и объектов групповой политики (Group Policy
object — GPO);
• создание объектов GPO;
• устранение неполадок в групповых политиках;
• делегирование управления с использованием организационных единиц;
• применение расширенного делегирования мя установки отдельных разреше
ний вручную;
• выяснение, какие делегирования были установлены.
Концепции групповой политики
Давайте начнем с рассмотрения важных концепций, терминов и правил, кото
рые необходимо знать, чтобы овладеть групповой политикой. Во время объяснения
функциональности групповой политики мы будем упоминать отдельные настройки,
не показывая, как их в действительности включать в оснастке Group Policy. В настоящий момент просто сосредоточьтесь на концепциях. Позже в этом разделе мы предоставим полный экскурс в консоль управления групповой политикой (GPMC);
мы рассмотрим использование групповой политики (включая опции Enforce
(Применить) и Block lnheritance (Блокировать наследование политики)) и расширенные настройки.
Администраторы конфигурируют и развертывают групповую политику путем
построения обьектов групповоu политики (Group Policy object — GPO). Объекты
G РО — это контейнеры мя групп настроек (настроек политики), которые могут
быть применены к учетным записям пользователей и компьютеров через Active
Directory. Объекты групповой политики создаются с использованием редактора управления групповыми политиками (Group Policy Management Editor — GPME), который запускается при редактировании объекта GPO из консоли GPMC. В одном
объекте G РО можно указать набор приложений, предназначенных мя установки на
рабочих столах всех пользователей, реализовать очень строгую политику дисковых квот и ограничений на просмотр, а также определить политики паролей и блокировки учетных записей, действующие на уровне домена. Возможно создание одного всеохватывающего объекта GPO или нескольких объектов GPO, по одному на каждый тип функции.
Объект G РО состоит из двух частей, представленных в виде узлов.
• Computer Configuration (Конфигурация компьютера). Политики конфигурации
компьютера управляют настройками, специфичными мя машины, такими как
дисковые квоты, аудит безопасности и ведение журналов событий.
• User Configuration (Конфигурация пользователя). Политики конфигурации
пользователя управляют настройками, специфичными для пользователя, таки
ми как конфигурация приложений, управление меню Start (Пуск) и переадре
сация папок.
Однако между этими двумя частями есть немало общего, особенно теперь, когда
введен набор предпочтений групповой политики (Group Policy Preferences), о котором пойдет речь далее в этой главе. Нередко одна и та же политика встречается и
в узле User Configuration, и в узле Computer Configuration. Будьте готовы к тому, что придется обдумывать, где активизировать необходимую политику — на уровне пользователя или на уровне компьютера. Имейте н виду, что вы можете создать политику, которая использует оба типа настроек, или предусмотреть разные объекты GPO для управления настройками User Configuration и Computer Configuration.
Вопреки своему назАанию, объекты групповой политики сонершенно не ориен
тированы на группы. Может быть, их так назвали из-за того, что разные настройки управления конфигураuией сгруппированы в одном месте. Не обращая внимания на это, объекты групповой политики не могут напрямую применяться к группам. Вы можете применять их локально, к сайтам, доменам и организаuионным единиuам (в Microsoft вместе это называют LSOOU (Local, Site, Oomain, OU — локально, к сайту, к домену, к организаuионной единиuе)) внутри имеющегося леса. Такое действие по назначению объектов GPO сайту, домену или организационной единице называется связыванием. Отношение между объектом GPO и LSOOU может иметь тип «многие к одному» (например, многие объекты GPO связаны с одной организаuионной единицей) или «один ко многим» (один объект GPO связан с несколькими разными организационными единицами). После связывания с LSOOU политики пользователя оказывают воздействие на учетные записи пользователей внутри организационной единицы (и во вложенных в нее организационных единиuах), а политики компьютера — на учетные записи компьютеров внутри организационной единицы (и во вложенных в нее организационных единицах). Оба типа настроек политики применяются в соответствии с частотой периодического обновления, которая составляет каждые приблизительно 90 минут.
Утверждение о том, что объекты GPO хранятся в АО, не сонсем точно. Объекты
GPO хранятся в виде двух частей — контейнер групповой политики (Group Policy
container — GPC) и шаблон групповой политики (Group Policy template — GPT),
который является структурой папок. Часть контейнера хранится в базе данных
Active Oirectory и содержит информацию о свойствах, сведения о версии, состояниеи список компонентов.
Путь к структуре папок выглядит как Windows SYSVOL
sysvol \Policies GUID, где GИID — это глобально уникальный
идентификатор для объекта GPO. Эта папка содержит настройки администрирова
ния и безопасности, информацию о доступных приложениях, настройки реестра,
сценарии и многое друтое.
политики работают по принципу «все или ничего»
Любой объект GPO содержит множество возможных настроек для многих фун
кций; обычно в каждом объекте GPO вы будете конфигурировать только неболь
шое их количество. Остальные настройки можно оставить «неактивными» подоб
но помещению комментария REM перед командой в сценарии либо использованию
точки с запятой в начале строки внутри файла INF. После конфигурирования на
строек политики и сообшения АО о том, что этот объект G РО связан с доменом
Bigfirm . сош, например, отдельные настройки или типы настроек не могут быть
применены выборочно. Все настройки User Configuration будут применяться ко
всем учетным записям пользователей, входящих в системы Windows 7, Windows 8
и Windows Server 2012 R2 внутри связанного домена. Все настройки Computer
Configuration будут применяться ко всем машинам Windows 7, Windows 8 и Windows Server 2012 R2 в домене. Предположим, что вы создали объект G РО, который разнертывает набор стандартных настольных приложений, таких как Word, Ехсе и Outlook, и ввели несколько ограничений, предотвращающих изменение пользователями своих конфигураций. Если вы не хотите, чтобы пользователи IТ-отдела подпадали под эти излишне строгие ограничения, то можете предпринять пару действий.
• Вы можете создать отдельный объект GPO для таких настроек политики и
связать этот объект G РО с организаuионной единиuей, которая содержит всех
рядовых пользователей. Но эта орrанизаuионная единиuа будет единственной,
которая получит приложения Office.
• Вы можете установить разрешения в объекте G РО так, чтобы предотвратить
применение политики к пользователям из IТ-отдела (это называется фильтро
ванием). Однако если для решения данной проблемы вы используете фильтро
вание, то ни одна из настроек в объекте GPO не будет применена к пользова
телям из IТ-отдела.
Политики наследуются и накапливаются
Настройки групповой политики являются накопительными и наследуются от
родительских контейнеров Active Directory. Например, домен В i g f i rrn . сот имеет
несколько разных объектов GPO. Один из объектов GPO, связанных с доменом,
устанавливает ограничения паролей, блокировку учетных записей и стандартные
настройки безопасности.
Каждая организационная единица в домене также имеет связанный с ней объект GPO, который развертывает и поддерживает стандартные приложения, а также настройки переадресации папок и ограничения рабочего стола. Учетные записи пользователей и компьютеров, находящиеся в организационной единице, получают настройки от объекта GPO, связанного с доменом, и от объекта GPO, связанного с этой организационной единицей.
Таким образом, некоторые всеохватывающие настройки политики могут быть применены ко всему домену, тогда как другие могут быть наuелены на учетные записи согласно организационным единиuам, с которыми они связаны.
интервалы обновления групповой политики
Политики применяются в фоновом режиме каждые 90 минут, с «рандомизаци
ей» в пределах до 30 минут, что защищает контроллер домена от одновременного
обращения сотен или даже тысяч компьютеров. Контро1U1еры домена отличаются от обычных компьютеров и обновляют групповые политики каждые 5 минут. Однако,
как будет показано далее в главе, имеется политика для конфигурирования всего этого. В интервал обновления не входят переадресация папок, установка ПО, применение сuенариев, предпочтения групповой политики для принтеров и отображений сетевых дисков.
Они применяются только при входе (для учетных записей пользователей) или загрузке системы (для учетных записей компьютеров); в противном случае может оказаться, что вы удалите какое-то приложение, тогда как кто-то пытается им воспользоваться. Или же пользователь может работать в папке, которая переадресуется на новый сетевой ресурс. По существу для обеспечения целостности данных эти настройки политики применяются только в «фоновом» обновлении группо1юй политики.
Основы групповой политики
Чтобы лучше понять, как технология Group Policy функционирует в среде Active
Directory, необходимо разобраться с тем, каким образом она работает «за кулисами».
Если вы только начали знакомство с групповой политикой, то довольно быстро
увидите, что многие премагаемые ею средства обладают преимуществами по срав
нению со старыми технологиями, такими как системные политики.
Репликация групповой политики является встроенной
Объекты GPO реплицируют себя автоматически, не требуя какой-либо работы с
вашей стороны. Среда Active Directory реплицируется с использованием репликаuии АО Repication (управляемой средством проверки целостности знаний (Knowledge Consistency Checker) и генератором межсайтовой топологии (lntersite Topology Generator)) и управляется службой репликации файлов (File Replication Service) или службой распределенной репликации файлов (Distributed File Replication Service).
Объекты GPO самостоятельно выполняют очистку при удалении
Все настройки административных шаблонов G PO записывают свою информа
цию в определенные части реестра и самостоятельно производят очистку, когда настройка политики или объект GPO удаляется.
Это исправляет давнюю проблему, присущую технологии управления политика
ми при первом ее появлении. Например, предположим, что вы создали в унасле
дованной системе системную политику, которая устанавливает для всех пользователей цвет фона в какой-то раздражающий оттенок и также настроили политику,препятствующую им изменять этот uвет. Такие настройки записываются в реестр.
Ранее после удаления политики записи в реестре не уничтожались, следовательно, раздражающий цвет фона оставался в системе. Часто это называли «татуировкой».
Вам пришлось бы настроить вторую политику, чтобы исправить настройки в реестре. В случае объектов GPO в этом нет необходимости. Удаление политики устраняет все ее влияние.
для применения настроек СРО вход не требуется
Реальную славу групповой политике приносит фоновое обновление. Поскольку
все компьютеры в домене проверяют наличие изменений каждые 90 минут или
около того, настройки политики применяются непрерывно. Это означает, что на
стройка, которую вы сделали в понедельник в 6:00, предназначенная для управления какой-то настройкой безопасности на каждом рабочем столе, не требует, чтобы все компьютеры находились в функционирующем состоянии. Взамен к компьютеру будет применено фоновое обновление, когда пользователь в 8:00 прибудет на свое рабочее место.
Машины Windows 2000 Server и более поздних версий с Active Directory получают свои настройки политики из домена, членами которого являются, после включения электропитания (вспомните, что машины также входят в домен), а пользователи получают политики из своего домена, когда входят в него.
Локальные политики и объекты групповой политики
Когда вы открываете инструмент редактора групповой политики (gpedi t .rnsc),
он автоматически выбирает объект GPO локальной машины (рис. 9. 1).
Рис. 9.1 . Редактор управления групповыми политиками для локальной машины
Администраторы могут использовать этот инструмент мя конфигурирования на
строек учетных записей (таких как минимальная мина пароля и количество неудавшихся попыток входа, прежде чем учетная запись заблокируется), чтобы настроить аудит и указать другие смешанные настройки. Тем не менее, редактор политики домена, т.е. редактор управления групповыми политиками (Group Policy Management
Editor — GPME), включает набор настроек (в том числе установку ПО и переадресация папок), которые мя локальных политик являются недоступными.
СТРУКТУРА ПАПОК ГРУППОВОЙ ПОЛИТИКИ
Локальная структура папок групповой политики похожа такую структуру других объектов GPO домена и находится в Windowssystem32GroupPolicy.
Если вы работаете на компьютере Windows Server 2012 R2 или Windows 8, то мо
жете конфигурировать не только локальный объект GPO (local GPO — LGPO). На
таких компьютерах вы также можете иметь объекты GPO, которые могут быть на
целены на группы локальных пользователей (объект LGPO мя администраторов и
не администраторов) и отдельных пользователей (объект LGPO, специфичный мя
пользователя).
Объект LGPO для администраторов и не администраторов
Настройки в объектах LGPO для администраторов и не администраторов будут
нацелены либо на пользователей в группе Administrators , либо на пользовате
лей во всех других группах. Идея заключается в том, что когда пользователь имеет членство в локальной группе Administrators, то он должен обладать большими привилегиями, чем пользователь, не входящий в эту группу.
Обратите внимание на то, что объекты LGPO, управляющие такими настройками, модифицируют только настройки, связанные с пользователями. В объектах
LG РО нет настроек, управляющих настройками уровня компьютера, которые находятся в узле Computer Coпfiguratioп (Конфигурация компьютера).
Из-за наличия двух «типов» групп, д11я управления ими предусмотрены два объ
екта LGPO. Чтобы управлять обоими типами пользователей, понадобится скон
фигурировать оба объекта LG РО. Для доступа к этим объектам LG РО должна
применяться консоль М МС. Шаги подобны рассмотренным ранее; имеется лишь
небольшое отличие в области действия объекта групповой политики, который за
гружен в М МС. Вместо выбора Local Computer (Локальный компьютер) из списка
объектов групповой политики щелкните на кнопке Browse (Обзор), чтобы найти
на вкладке Users (Пользователи) группу Administrators (Администраторы) или
Non-Administrators (Не администраторы), как показано на рис. 9.2.
Рис. 9.2. С помощью консоли ММС можно просматривать объекты LGPO
для групп Administrators и Non-Administrators
Для доступа к этим локальным объектам GPO с целью редактирования выполни
те перечисленные ниже шаги.
. Выберите в меню Start (Пуск) пункт Run (Выполнить).
2. В поле Open (Открыть) введите И«: и щелкните на кнопке ОК.
ТРЕБУЮТСЯ РАЗРЕШЕНИЯ
Это задача администрирования; следовательно, при включенной функции управления учетными записями пользователей вы должны согласиться с повышенными разрешениями, которые требует оснастка Group Policy Maпagemeпt Editor консоли ММС.
3. В окне консоли ММС откройте меню File (Файл).
4. Выберите пункт Add/Remove Snap-in (Добавить или удалить оснастку).
5. В списке оснасток выберите Group Policy Object Editor (Редактор объектов
групповой политики).
6. Оставьте вариант Local Computer (Локальный компьютер) в поле Group Policy
Object (Объект групповой политики).
7. Щелкните на кнопке Browse (Обзор).
8. Перейдите на вкладку Users (Пользователи) в диалоговом окне поиска объекта
групповой политики.
9. Выберите в списке группу Administrators (Администраторы) и щелкните на
кнопке ОК.
10. Щелкните на кнопке Finish (Готово) в диалоговом окне Select Group Policy
Object (Выбор объекта групповой политики).
1 1 . Щелкните на кнопке ОК в диалоговом окне Add ог Remove Snap-ins (Добав
ление и удаление оснасток).
12. Разверните узел Local ComputerAdministrators Policy (Политика «Локальный компьютер Администраторы») в окне консоли.
Повторите шаги 4-12 для объекта LGPO, относящемуся к не администраторам,
но вместо Administrators указывайте Non-Administrators.
Объект LGPO, специфичный для пользователя
На любом компьютере Windows Serveг 2012 R2 и Windows 8 можно конфигуриро
вать очень детализированный объект LG РО. Эта политика направлена на индивидуальные учетные записи пользователей. В этом объекте LGPO есть только настройки политики, специфичные для пользователя, и они нацелены только на одиночного пользователя.
Чтобы можно было использовать этот объект LGPO, пользователь должен иметь
локальную учетную запись SAM (Secutity Account Manager — диспетчер учетных записей безопасности) на конфигурируемом компьютере.
Для просмотра и настройки данного объекта LG РО вы также будете применять
консоль ММС и следовать тем же самым шагам, что и при работе с объектами
LGPO администраторов и не администраторов. Однако во время добавления оснас
тки Group Policy Object Editor к консоли М МС на вкладке Users диалогового окна поиска объекта групповой политики вы выберете учетную запись пользователя, для которого хотите создать объект LG РО. В случае выбора учетной записи администратора окно консоли М МС будет выглядеть примерно так, как показано на рис. 9.3.
Рис. 9.3. После выбора пользователя для управления его объектом LGPO
он отобразится в консоли ММС со всеми настройками User Configuration
Ниже перечислены шаги, необходимые для доступа к объектам LGPO, специ
фичным для пользователей.
1 . Выберите в меню Start (Пуск) пункт Run (Выполнить).
2. В поле Open (Открыть) введите мс и щелкните на кнопке ОК.
ТРЕБУЮТСЯ РАЗРЕШЕНИЯ
Это задаqа администрирования; следовательно, при включенной функции управления учетными записями пользователей вы должны согласиться с повышенными разрешениями, которые требует оснастка Group Policy Management Editor консоли ММС.
3. В окне консоли ММС откройте меню File (Файл).
4. Выберите пункт Add/Remove Snap-in (Добавить или удалить оснастку).
5. В списке оснасток выберите Group Policy Object Editor (Редактор объектов
групповой политики).
6. Оставьте вариант Local Computer (Локальный компьютер) в поле Group
Policy Object (Объеi<т групповой политики). 7. Щелкните на кнопке Browse (Обзор). 8. Перейдите на вкладку Users (Пользователи) в диалоговом окне поиска объекта групповой политики. 9. Выберите в списке учетную запись нужного пользователя и щелкните на кнопке ОК. 10. Щелкните на кнопке Finish (Готово) в диалоговом окне Select Group Policy Object (Выбор объекта групповой политики). 1 1. Щелкните на кнопке ОК в диалоговом окне Add or Remove Snap-ins (Добав ление и удаление оснасток). 1 2. Разверните узел Local Computer Policy (Политика «Локальный компьютер «) в окне консоли.
Создание объектов GPO
Теперь, когда вы понимаете главные концепции групповой политики и знаете об отличиях между локальными и доменными объектами GPO, давайте посмотрим, какие шаги необходимо выполнить для создания и редактирования объекта доменного GPO. В этом разделе мы продемонстрируем все настройки, которые обсуждались в предыдущем «теоретическом» разделе. ДОМЕННЫЕ ОБЪЕКТЫ СРО Начиная с этого момента, мы будем сконцентрированы только на доменных объектах GPO, поскольку они являются предпочтительным, логичным и безопасным способом развертывания настроек, которые существуют в объекте GPO. 516 ГЛАВА 9 Для управления всеми доменными объектами GPO вы будете пользоваться кон солью GPMC. В Windows Server 201 2 R2 консоль GPMC понадобится установить с применением диспетчера серверов, как бьшо показано в главе 2. После установки консоли GPMC она будет доступна через меню Startq Admiпistrative Tools (Пуск�=�Администрирование). После выбора инструмента GPMC из упомянутого меню он откроется и отобразит домен, в котором управляющий компьютер имеет членство (рис. 9.4).
Рис. 9.4. Консоль GPMC является предпочтительным инструментом
для управления объектами GPO
Для создания нового объекта GPO в домене нужно развернуть структуру GPMC,
чтобы можно было видеть все узлы, существующие в домене (рис. 9.5).
Рис. 9.5. Разворачивание структуры GPMC с целью отображения всех узлов внутри домена
Чтобы создать объект GPO в домене, выполните следующие шаги.
1. Щелкните правой кнопкой мыши на узле Group Policy Objects (Объекты груп
повой политики) и выберите в контекстном меню пункт New (Создать).
2. В диалоговом окне New GPO (Новый объект GPO) введите имя объекта GPO
(в данном случае Desktop Security) и щелкните на кнопке ОК.
В результате создается пустой объект GPO по имени Desktop Security, кото
рый пока еще не связан ни с одним контейнером в домене. В этот момент вы хотите сконфигурировать настройки объекта GPO и затем связать его с сайтом, доменом или организационной единицей. Чтобы связать GPO с каким-то узлом в Active Directory, выполните перечисленные ниже шаги.
1 . Щелкните правой кнопкой мыши на желаемом узле (в этом случае на органи
зационной единице Desktops (Рабочие столы)).
2. Выберите в контекстном меню пункт Link ап Exi s ting GPO (Связать с существу
ющим объектом G РО).
3. В диалоговом окне Select GPO (Выбор объекта GPO) выберите объект GPO по
имени Desktop Security и щелкните на кнопке ОК.
Обратите внимание, что организационная единица Desktops теперь имеет ассо
циированный с ней объект G РО. Если вы хотите создать и связать объект G РО
с организационной единицей, это можно сделать за один шаг. Для этого понадо
бится щелкнуть правой кнопкой мыши на организационной единицей (либо на
домене или сайте, если уж на то пошло) и выбрать в контекстном меню пункт
под названием Create а GPO in this domain, and link it here (Создать объект GPO в этом домене и связать его). Два шага выполнятся как одно действие.
4. Щелкните на объекте GPO (в данном случае Desktop Security ) .
Обратите внимание, что с объектом GPO ассоциированы некоторые вкладки
и свойства, отображаемые в правой панели GPMC. Как показано на рис. 9.6,
для каждого GPO предусмотрено четыре вкладки: Scope (Область действия),
Details (Детали), Settings (Настройки) и Delegation (Делегирование).
Вкладка Scope помогает отслеживать многие аспекты объекта GPO. Наиболее
важные сведения находятся в областях Links (Ссылки) и Security Filtering (Фильтрация
безопасности). В области Links перечислены сайты, домены и организационные единицы, с которыми в текущий момент связан объект GPO. Область Security Filtering отражает, какие группы и пользователи имеют разрешение применять настройки в GPO. На такую фильтрацию мы ссылались ранее, когда она использовалась для управления тем, какие пользователи в домене будут иметь настройки из примененного объекта GPO, путем их добавления или удаления из этой вкладки. В последней
области этой вкладки, WMI Filtering (Фильтрация WMI), указывается фильтр WMI, на который объект GPO имеет ссылку, если он предусмотрен. Фильтры WMI позволяют нацеливать объекты G РО на учетные записи компьютеров в зависимости от состояния, в котором пребывает компьютер во время выполнения запроса WM 1.
Как показано на рис. 9.7, вкладка Details помогает отслеживать информацию
об объекте GPO, связанную с его созданием и состоянием. Здесь можно просмот
реть идентификатор GUID, дату создания, версию и другие сведения, относящиеся
518 ГЛАВА 9
к GPO. Можно также включать или отключать весь или часть (компьютера и/или
пользователя) объекта G РО.
Вкладка Settings содержит динамические данные, относящиеся к настройкам,
которые сконфигурированы в объекте G РО.
Рис. 9.9. Вкладка Delegation консоли GPMC отображает разрешения для уровней администрирования, выданные группам и пользователям 520 ГЛАВА 9 А теперь давайте просмотрим и модифицируем новый объект GPO. Вернитесь к узлу Group Policy Objects в консоли GPMC, щелкните правой кнопкой мыши на объ екте GPO и выберите в контекстном меню пункт Edit (Редактировать). Откроется редактор GPME в отдельном окне, и вы увидите в корне пространства имен имя объекта политики, в данном случае Desktop Security [HOST1.BIGFIRM.COM] Policy. Это указывает на то, какая политика просматривается и редактируется. На рис. 9.10 представлена политика, развернутая в дереве консоли, чтобы были видны важные узлы объекта GPO. Вспомните, что HOSTl — это is контроллер домена дпя домена Bigfirm.сот.
Рис. 9.1 О. Редактирование групповой политики в GPME
Как упоминалось ранее, существуют два основных типа настроек. Настройки
Computer Coпfiguration применяются к учетным записям компьютеров при их запуске и через интервалы фонового обновления. Настройки User Configuration применяются к учетным записям при их входе и также через интервалы фонового обновления.
После конфигурирования настроек групповой политики просто закройте окно
GPME. Никаких опций вроде Save (Сохранить) или Save Changes (Сохранить из
менения) не предусмотрено. Изменения записываются в объект G РО в результате
щелчка на кнопке ОК или Apply (Применить) дпя отдельной настройки, но поль
зователь или компьютер в действительности не увидит этих изменений до тех пор, пока политика будет обновлена.
Модификация стандартного поведения групповой политики
Сама по себе групповая политика превосходна, но есть аспекты поведения, ко
торые вы можете решить подкорректировать или изменить. Доступны настройки
GPO, позволяющие управлять поведением групповой политики рядом ее настроек.
Вы обнаружите, что многие из этих настроек в конфигурировании не нуждаются,
но в случаях, когда требуются какие-то небольшие корректировки, они становятся
полезными.
настройки для управления групповой политикой
Настройки G РО для управления групповой политикой находятся в узлах
Administrative Templates (Административные шаблоны) внутри узлов User Configuration и Computer Configuration (PoliciesAdministrative TemplatesSystemGroup
Policy). Узел Computer Configuration содержит большинство обсуждаемых политик.
На рис. 9.1 1 и 9.12 показаны опции конфигурирования Group Policy (Групповая политика) в узлах User Configuration и Computer Configuration.
Н иже приведен краткий обзор наиболее важных опций.
• Интервалы обновления групповой политики (Group Policy Refresh lntervals) для пользователей/компьютеров/контроллеров домена. Эти отдельные политики определяются, насколько часто объекты G PO обновляются в фоновом режиме,
пока пользователи и компьютеры работают. Эти параметры разрешают вносить изменения в стандартные интервалы фонового обновления и подстраивать время смещения.
• Turn Off Background Refresh of Group Policy (Отключить фоновое обновление
групповой политики). Если вы включите эту настройку, политики будут обновляться только при запуске систем и входе пользователей. Это оказывается полезным в офисах филиалов по причинам, связанным с производительностью,
т. к. обновление политик, например, на 1500 комп ьютерах может привести к
перегрузке канала WAN.
Применение групповой политики
Подобно большинству технологий, с групповой политикой ассоциирована ло
гика, которая обеспеч ивает ее применение в надежной манере. По большей части применение групповой политики будет прямолинейным. Эта логика становится более сложной, только когда появляются конфликтующие настройки во множестве объектов GPO, и вы начинаете изменять стандартное поведение. Невзирая на это,когда вы принимаетесь за проектирование и реализацию своих настроек политики, вы должны полностью понимать, какой конечный результат будет у всех компьютеров и пользователей.
В этом разделе мы раскроем стандартное применение групповой политики, кото
рое будет разрешать все вопросы, касающиеся конфликтов между настройками G РО.
Примером таких вопросов может быть » Что, если есть связанный с доменом объект GРО, который уда.1яет из меню Start (Пуск) пункт Run (Выполнить), а другой объект G PO, связанный с организационной единицей Des ktops, добавляет пункт Run в меню Start?» Мы также углубимся в области, которые помогут «нацеливать» настройки G РО, когда настройки политики получает слишком много (или наоборот, недостаточно) пользователей и компьютеров. Вам доступны на выбор фильтры WMI, принудительное применение, блокирование наследования и многие другие варианты.
каким образом применяется групповая политика
И мея в наличии один или два работающих объекта GPO, вы столкнетесь с наиболее хлопотливой частью группоюй политики: выяснением конечного результата для каждого компьютера и пользователя. Для примера представьте, что вам звонит пользователь и спрашивает «Почему у меня цвет фона фиолетовый?» Затем вы обнаружите, ‘ПО имеется много мест, откуда система получает политики, и они могут противоречить друг другу в том, что касается цвета фона. Итак, какая же политика выиграет?
Политики выполняются снизу вверх в графическом пользовательском интерфейсе
Давайте начнем с рассмотрен ия простой ситуации: всего лишь политики в домене. Предположим, что вы просматриваете узел домена 13 консоли G PMC и видите, что он имеет много связанных объектов GPO (рис. 9. 1 3).
Рис. 9.13. Узел домена и связанные объекты GPO
В этой (надо сказать, воображаемой) ситуации домен имеет пять групповых
политик, четыре из которых пытаются установить цвет фона на рабочей станции
в серый, зеленый, красный или синий. (Еще одной политикой является стандартная политика домена (Default Domain Policy), которая ничего не предпринимает в этом отношении.) Чтобы ознакомиться с порядком применения объектов GPO, вы
можете щелкнуть на узле домена и перейти на вкладку Liпked Group Policy Objects
(Связанные объекты групповой политики) в правой панели. Итак, глядя на рис. 9.13,
какой цвет одержит победу: серый, красный, зеленый или синий?
Ответ кроется в двух базовых правилах разрешения конфликтов для объектов
GPO.
Правило 1. Воспринимайте ту политику, которую вы слушали последней.
Правило 2. Выполняйте политики снизу вверх согласно тому, как они отобра
жаются в графическом пользовательском интерфейсе.
Просматривая диалоговое окно снизу вверх, вы заметите, что система сначала
видит политику, которая устанавливает цвет фона в серый, затем политику, устанавливающую его в зеленый, политику, которая устанавливает цвет фона в красный,и, наконец, политику, устанавливаюшую его в синий. Поскольку политика, которая устанавливает цвет фона в синий, оказалась последней примененной, она и выигрывает, а результаты действия предыдущих трех политик теряются.
Вы можете также перейти на вкладку Group Policy lпheritaпce (Наследование групповой политики), на которой отображается порядок применения объектов GPO, поступающих из всех местоположений внутри Active Directory. На рис. 9. 14 можно видеть,что политика, устанавливающая синий цвет фона, выигрывает у остальных политик.
Но что, если вы хотите, чтобы выиграла политика, устанавливающая красный
цвет фона? Заметили стрелки вверх и вниз в левой части вкладки Liпked Group Policy Objects? Вы можете смешивать их как вашей душе угодно.
Рис. 9.14. Наследование объектов GPO для узла домена
Фильтрация групповой политики с помощью списков управления доступом
Но мы еще не подошли близко к завершению. Ситуация может выглядеть так, что
к вашей системе применяется множество политик, но на самом деле политик совсем мало. Причина в том, что объекты GPO имеют списки управления доступом (access control list — ACL). Щелкните на любом объекте GPO в консоли GPMC (на Desktop Security в рассматриваемом примере) и взгляните на вкладку Scope в правой панели.
В разделе Security Filtering вы увидите список ACL для этого объекта GPO (рис. 9. 15).
Рис. 9.15. Список ACL для объекта GPO в консоли GPMC
Как отмечалось ранее, администраторы домена ( Domain Admins ) и администра
торы предприятия ( Enterprise Admins ) имеют разрешения Read (Чтение) и Modify
(Изменение), а аутентифиuированные пользователи ( Authenticated Users ) — разрешения Read и Apply Group Policy (Применение групповой политики). Тем не менее,обратите внимание, что в списке присутствует только группа Authenticated Users.
Почему так? Дело в том, что это список только пользователей, компьютеров и
групп, которые имеют разрешение применять настройки GPO. Для просмотра полного списка ACL вы должны сначала выбрать вкладку Delegatioп и затем щелкнуть на кнопке Advaпced (Дополнительно). Отобразится хорошо знакомое диалоговое окно настроек безопасности, показанное на рис. 9.1 6.
Может случиться так, что вы создаете объект G РО для ограничения рабочих столов и не хотите применять его к определенной группе пользователей. В состав группы Authenti cated Users входят все учетные записи (пользователей и компьютеров) кроме гостей, так что по умолчанию данный объект GPO будет применяться ко всем, исключая гостей; это означает, что настройки политики получат даже члены групп Domain Admins и Enterprise Admins. Чтобы предотвратить получение политики группами Domain Admins и Enterpri se Admins, вы должны отметить флажок Deny (Запретить) рядом с разрешением Apply Group Policy (Применить групповую политику), как показано на рис. 9.1 7. Членам обеих групп достаточно отмеченного флажка Dепу для одной из двух групп, но если члены групп Domain Admins и Enterprise Admins являются разными людьми, то придется отметить флажок Deny для обеих групп. Чтобы освободить остальных от получения политики, поместите их в отдельную группу доступа и добавьте ее в список. Недостаточно просто снять отметку с флажка Allow (Разрешить) для разрешений Read и Apply Group Policy; пользователи в этой спеuиальной группе доступа являются также членами группы Authenticated Users, поэтому в действительности для данной группы необходимо отметить флажки Deny для упомянутых разрешений. Опuия Deny имеет более высокий приоритет, чем Allow.
В качестве альтернативы установки всех списков ACL можно также удалить группу Authenticated Users из области Security Filteriпg вкладки Scope, поместить всех пользователей, которым нужны настройки, в новую группу доступа и затем добавить эту группу в область Security Filteriпg на вкладке Scope (рис. 9.18).
Рис. 9.18. Фильтрация безопасности для групповой политики
без группы Authenticated Users
Между прочим, ничего не препятствует добавлению отдельных пользователей
в список разрешений для объекта G РО. Однако это неудачный с точки зрения безопасности и управления прием, т.к. невозможно отслеживать индивидуальных
пользователей, помещенных в списки ACL, по всему предприятию. Мы еще раз
подчеркиваем, что фильтрация безопасности для групповой политики является
исключительно мощным средством — его можно назвать инструментом, который
позволяет «угнетать» отдельных лиц или группы. Тем не менее, в реальности добавление списков ACL в политику может стать настоящим кошмаром при попытках выяснения пару лет спустя причину, по которой политика присоединена к домену, но не применяется к большинству пользователей в домене.
Принудительное применение и блокирование наследования
Точно так же, как фильтрация безопасности может использоваться для предотвращения применения политики, специальная настройка Block lпheritaпce (Блокировать наследование) в узле AD (домена или организационной единицы) позволяет препятствовать продвижению вниз объектов GPO более высокого уровня. Когда настройка Block lпheritaпce включена, настройки находящихся выше политик не будут применяться к контейнерам, расположенным ниже.
Например, если вы создали объект GPO для определенной организационной
единицы, скажем, Brunswick, и сконфигурировали все необходимые настройки мя
Brunswick, а затем хотите предотвратить влияние объектов GPO домена Bigfirm
на организационную единицу Brunswick, то должны включить настройку Block
lnheritance мя организационной единицы Brunswick. После этого к Brunswick будут применяться только те объекты G РО, которые связаны непосредственно с этой организационной единицей.
Существует также противоположность блокированию наследования. Когда мя
объекта GPO включена настройка Enforce (Принудительно применять), то настройка Block lnheritance мя этого объекта нейтрализуется. Кроме того, настройки в последующих объектах GPO не будут изменять настройки из принудительно применяемого объекта GPO.
Например, если администраторы домена имеют набор весьма спорных настро
ек, включенных на уровне домена, а мятежные администраторы Brunswick скон
фигурировали собственные настройки политики на уровне своей организацион
ной единицы и включили настройку Block lnheritaпce, то организационная единица Brunswick благополучно минует эти спорные настройки, но только до тех пор,пока администраторы домена не поймут, в чем дело, и не включат настройку Enforce.
В результате администраторы домена выиграют, и пользователям организационной
единицы Brunswick придется мириться с теми же ограничениями, что все осталь
ные пользователи. Настройка Enforce побеждает настройку Block lпheritance (подобно тому, как бумага побеждает камень, накрывая его).
Как и все секретное оружие, настройки Enforce и Block lnheritance лучше использовать умеренно. Иначе при устранении неполадок станет довольно сложно определить, какие объекты GPO применяются в том или ином случае. Это может нанести вред психическому здоровью (и потенциально безопасности работы) сетевого администратора.
Ниже представлена сводка по факторам, которые позволяют принять решение о
том, какой объект групповой политики получает приоритет.
• Просматривайте политики в следующем порядке: локальные объекты GPO,
объекты GPO сайта, объекты GPO домена, объекты G PO организационной
единицы, объекты GPO дочерней организационной единицы и т.д.
• Внутри любого узла АО — сайта, домена или организационной единицы —
просматривайте политики в том порядке, в каком они отображаются в графи
ческом пользовательском интерфейсе, снизу вверх.
• Когда настройки политики конфликтуют друг с другом, уделите внимание
только настройке в последнем просмотренном объекте GPO при условии, что
вы уже не столкнулись с политикой, имеющей включенную настройку Enforce.
Это значит, что независимо от того, какая конфликтующая настройка посту
пит впоследствии, она должна игнорироваться, поскольку в этом объекте G РО
включена настройка Enforce.
• Леред тем, как действительно применить объект G РО, проверьте его список
ACL. Если целевой пользователь или компьютер не имеет разрешений Read и
Apply Group Policy (обычно через членство в группах), то этот объект GPO не
будет применен.
Возможности настроек групповой политики
С помощью настроек групповой политики можно делать по существу все то, что
есть возможность делать посредством реестра локальной системы и большей части
конфигурирования. Ниже приводится несколько примеров.
• Развертывание проrраммноrо обеспечения. Вы можете собрать все файлы, необ
ходимые для установки нужной порции ПО, в пакет, разместить его где-то на
сервере и затем воспользоваться групповыми политиками для указания поль
зовательскому рабочему столу на этот пакет. Пользователь увидит, что прило
жение досrупно, и вы достигаете своих целей по его установке из центрального
местоположения, не имея необходимости в визите к каждому рабочему столу
по отдельности. Когда пользователь попытается запустить это приложение в
первый раз, оно установится безо всякого вмешательства со стороны пользо
вателя.
• Ограничение набора приложений, которые пользователи могут запускать. Вы мо
жете управлять рабочим столом пользователя, разрешая ему запускать только
заданное множество приложений, например, Outlook, Woгd и lntemet Exploгer.
• Управление настройками системы. Объекты GPO обеспечивают простейший
способ управления дисковыми квотами. Многими системами Windows легче
всего управлять с помощью настроек политики, а n некоторых системах поли
тики являются единственным методом их контроля.
• Установка сценариев входа, выхода, заrрузки и завершения. Объекты G РО поз
воляют любому событию входа, выхода, загрузки и завершения либо им всем
запускать указанный сценарий.
• Упрощение и ограничение программ. Объекты GPO можно использовать для
удаления многих функциональных средств из lnternet E x plorer , проводника
Windows и друтих программ.
• Общее ограничение рабочего стола. Вы можете удалить большинство или все
элементы из меню Start (Пуск), запретить добавление принтеров или отклю
чить возможность выхода из системы либо изменения конфигурации рабочего
стола. С помощью настроек политики в действительности можно даже по,1но
стью блокировать рабочий стол пользователя. (Однако чрезмерная блокиров
ка может привести к появлению одного неэффективного сотрудника, так что
будьте осторожны.)
Политики позволяют выполнять также множество других работ, но это введение
дает вам базовое представление об их функциях.
настройки конфигурации пользователя и компьютера
Операционные системы Windows Server 2012 R2 и Windows 8 поступают с совер
шен но по-новому выглядящими настройками конфигурации пользователя и ком
пьютера 11 редакторе GPME. Тем самым разработчики из Microsoft оказали нам огромную услугу. Было введено свыше 3000 дополнительных настроек GPO. Чтобы
лучше справляться с таким объемом настроек, в Microsoft решили также изменить способ представления настроек в GPME.
На рис. 9.1 9 видно, что в интерфейсе GPME имеются два главных узла: User
Configuration (Конфигурация пользователя) и Computer Configuration (Конфигураuия компьютера). Оба узла содержат следующие подузлы: Policies (Политики) и Preferences (Предпочтения). Подузел Policies в дальнейшем разбит на следующие
подузлы: Software Settings (Настройки программного обеспечения), Windows Settings(Настройки Windows) и Administrative Templates (Административные шаблоны).
Подузел Preferences разделен на такие подузлы: Control Рапе! (Панель управления) и
Windows Settings (Настройки Windows).
Рис. 9.21 . Добавление сценария в групповую политику
Созданные и назначенные сценарии должны быть скопированы в следующую
папку: Windows SYSVOL SysVol имя_домена Pol icies { GfJID } Machine
Scripts Startup (or Shutdown). (Или же они могут быть скопированы в User
Script s Logon либо UserScriptsLogoff, в зависимости от того, где на
значаются сценарии — в узле Computer Configuration или в узле User Configuration.)
Идентификатор GU I D для объекта групповой политики представляет собой длинную строку, выглядящую как 1 FAOBAF4 1-38AB-11D3-BD1FC9B6902FAOOB } . Если вы хотите просмотреть сценарии, сохраненные в объекте G PO и , возможно, открыть их с целью редактирования, щелкните на кнопке Show Files (Показать файлы)
в нижней части диалогового окна свойств. Это приведет к открытию соответствующей папки в проводнике Windows.
Как вам должно быть известно, указать сценарий входа можно также в диалого
вом окне свойств учетной записи пользователя, открывающемся в результате запуска dsa . msc. В Microsoft называют это унаследованными сценариями входа и рекомендуют назначать сценарии для клиентов, осведомленных о Windows AD, с помощью групповой политики. Преимущество применения сценариев в групповой политике связано с тем, что они выполняются асинхронно в скрытом окне. Таким образом, если назначено множество сценариев или сценарии являются сложными, пользователю не придется ожидать их завершения. Унаследованные сценарии входа выполняются в окне на рабочем столе. С другой стороны, выполнять сценарии скрытым образом может быть нежелательно (а некоторые сценарии ожидают ввода пользователем определенной информации). На этот случай предусмотрено несколько настроек политики, которые помогают определять поведение сценариев для групповой
политики. Такие настройки находятся в узле SystemScriptsAdministrative Templates.
Здесь вы обнаружите настройки дnя указания того, каким образом выполнять сценарий — синхронно или асинхронно, и должен он быть видимым или невидимым.
Переадресация папок
Одна из наиболее полезных работ, которые можно проделывать с помощью на
строек User Configuration в групповой политике, связана с упорядочением папок
AppData, Desktop, Start Menu, Documents, Favori tes и Links для пользовате
ля, что сопровождать его от компьютера к компьютеру. Эти папки являются важ
ными элементами рабочей среды пользователя. В папке Appoata хранится инфор
мация, специфичная для приложений пользователя (она нужна, например, lntemet
Explorer), а папка Desktop может содержать важные папки и ярлыки для пользо
вателя. В папке Start Menu хранятся группы программ и ярлыки к программам, а
папка Documents является стандартным местом для сохранения и извлечения фай
лов, своего рода разновидностью локального домашнего каталога.
Для использования переадресации папок существует несколько веских причин.
Прежде всего, оно удобно для пользователей, которые входят в систему на разных компьютерах. Кроме того, если вы укажете сетевое местоположение для некоторых или всех таких папок, они будут регулярно копироваться и защишаться силами IТ-отдела. Если по-прежнему применяются блуждаюшие профили, то настройка переадресации папок ускоряет синхронизацию серверноrо профиля с локальным профилем при входе и выходе, поскольку переадресованные папки в обновлении не нуждаются. Переадресация папок Desktop и Start Menu в централизованное,совместно используемое местоположение упрощает стандартизацию рабочих сред пользователей и помогает устранять проблемы дистанционной поддержки, потому что персоналу технической поддержки будет известно, что все компьютеры сконфигурированы единообразно. Лучше всего то, что эти подходы можно смешивать и сочетать. Вполне допустимо указать общее местоположение лля папок Desktop и Start Мепu, в то время как разрешить пользователям иметь собственные папки
Documents и AppData. Давайте взглянем на это.
Чтобы установить сетевое местоположение дЛЯ папки Documents в групповой
политике, выполните перечисленные ниже шаги.
1 . Перейдите к папке User ConfigurationPoliciesWindows SettingsFolder
RedirectionDocumeпts.
2. Щелкните правой кнопкой мыши на выделенной папке Documents и выбери
те в контекстном меню пункт Properties (Свойства).
Откроется диалоговое окно свойств, в котором обнаруживается, что данная
настройка по умолчанию не сконфигурирована.
3. В раскрывающемся списке выберите вариант Basic (Базовая), чтобы указать
единственное местоположение дЛЯ папки Documents, совместно используемое
всеми пользователями, или вариант Advanced (Расширенная), чтобы устано
вить местоположения на основе членства в группах доступа.
Если вы хотите иметь единственное местоположение для общей папки
Documents, просто введите в поле Root Path (Корневой путь) сетевой путь или
проследуйте к нему, щелкнув на кнопке Browse (Обзор).
4. Для обозначения разных местоположений сначала выберите группу доступа и
затем укажите сетевой путь.
На рис. 9.22 демонстрируется переадресация папки Documents дЛЯ всех чле
нов группы Domain Engineering на общий ресурс CentralEng на сервере
Zooropa. Независимо от выбора варианта переадресации Basic или Advanced,
политика разрешает выбрать одну из четырех опций:
• Redirect the folder to the user’s home directory (Переадресовать папку на домашний каталог пользователя)
• Create а folder for each user under the root path (Создать папку лля каждого
пользователя в корневом пути)
• Redirect to the following location (which you specify) (Переадресовать на сле
дующее местоположение (которое вы укажете))
• Redirect to the local user profile location (Переадресовать на местоположение
локального профиля пользователя)
5. Для этого примера выберите вторую опцию; все члены группы Doma in
Engineering будут использовать один и тот же корневой путь, но иметь инди
видуальные папки Documents.
Когда выбрана данная опция, система создает подпапку, носяшую имя пользо
вателя, по указанному корневому пути.
6. Перейдите на вкладку Settings (Настройки), чтобы сконфигурировать настройки переадресации. Ради полноты настройки переадресации папки Documents
показаны на рис. 9.23.
Рис. 9.23. Дополнительные настройки в групповой политике, касающиеся переадресации папки Documents пользователя Опции, которые вы видите на рис. 9.23, отражают стандартный выбор дЛЯ папки Documents. Обратите внимание, что по умолчанию пользователь будет иметь эксклюзивные права доступа к этой папке. Также по умолчанию содержимое соответствующей папки будет перемещено в новое местоположение.
Даже после удаления политики папка останется переадресованной, если только вы явно не отключите ее переадресацию.
Настройки безопасности Настройки безопасности, наряду с административными шаблонами, формируют значительную часть групповой политики. Стандартные настройки безопасности специально открыты дЛЯ минимизации головной боли при администрировании и дЛЯ гарантии того, что пользователи и приложения работают ожидаемым образом. По мере усиления защиты пользователи и приложения имеют больше ограничений, и время их поддержки увеличивается.
Другими словами, безопасность обратно пропорциональна удобству. Как только вы начинаете блокировать системы, обязательно что-то перестает работать.
Эй, рядовые пользователи по умолчанию не могут даже устанавливать приложения в системе Windows Vista.
Когда вы начнете принудительно применять пароли с дЛиной восемь и более символов, которые содержат буквы и цифры, не могут включать какую-либо часть имени пользователя и не могут повторно использоваться до тех пор, пока не будут применены 1 5 других паролей, все станет значительно сложнее.
Для организаций, желающих усилить защиту, имеются инструменты и руководства. Например, если вам приходилось когда-либо защищать сервер Windows согласно установленным руководствам в военном или другом ведомстве с высокими требованиями к безопасности, то вы знаете, что приходится устанавливать отдельные разрешения на определенных папках, изменять стандартные разрешения дЛЯ доступа к некоторым ключам реестра, а также на изменение или создание других записей в реестре. В целом это отнимает несколько часов на одном сервере, даже у результативноrо ацминистратора.
А что если у вас есть 50 серверов и 500 рабочих станций? Для одних действий можно написать сценарии, но для других это не удастся.
Не существует каких-то инструментов от Microsoft или независимых разработчиков, которые сделали бы все автоматически на всех компьютерах. И менно здесь на помощь приходит групповая политика.
Предполагая, что вы собираетесь заняться стандартизацией путем группирования серверов или рабочих станций либо даже части организации, вы должны изменить эти опасные разреше ния в отношении реестра и настройки только однажды с применением групповой политики.
Вам придется только оди н раз установить разрешения NTFS.
Эти разрешения можно даже установить в одной политике и скопировать в другую. В любом случае, хотите вы высокую защиту или просто чуть большую, чем стандартная, велики шансы того, что вы пожелаете внести какие-то изменения, направленные на стандартизанию, и узел Security Settings (Настройки безопасности) определенно облегчит вам жизнь.
Масса настроек безопасности находится в узле Computer Configurat ionPolicies Windows Settings Security Settings, хотя политики открытых ключей и политики ограничения программного обеспечения доступны по тому же пути, но в узле User Configuration. Н иже перечислены важные категории настроек о Security Settings.
• Account Policies (Политики учетных записей). Указывает ограничения паролей, политики блокировка и политику KerЬeros Local Policies (Локальные политики).
Конфигурирует аудит и назначение прав пользователям, а также смешанные настройки безопасности. • Event Log (Журнал событий). Uентрализует опнии конфигурании дня журнала событий.
• Restricted Groups (Оrраничеиные rруппы). Принудительно применяет и управ ляет членством в определенных группах, таких как Administrators. • System Services (Системные службы). Стандартизирует службы и конфигура ции, а также защищает от изменений. • Registry (Реестр). Создает шаблоны безопасности для разрешений на ключах реестра, чтобы упрамять тем, кто и какие ключи может изменять, и управлять доступом по чтению к частям реестра.
• File System (Файловая система). Создает шаблоны безопасности для разреше ний на файлах и папках, чтобы обеспечить наличие и сохранение файлами и папками желаемых разрешений.
• PuЫic Кеу Policies (ПОJIИТИКИ открытых ключей). Управляет настройками для организаций, использующих инфраструктуру открытых ключей.
• Software Restrictions Policies (ПОJIИТИКИ оrраничений проrраммноrо обеспечения). Помещает ограничения на то, какое программное обеспечение может функционировать в системе. Это новое средство направлено на предотвращение запуска в системе вирусов и ненацежноrо ПО. Использование шаблонов безопасности Чтобы достичь «массового» внедрения мер зашиты из предьшушего примера, вам понацобится какой-нибудь способ «ввести» настройки и затем их «развернуть».
Развертывание осуществляется довольно просто, т.к. имеется AD и групповая поли тика. Далее возникает вопрос о том, как «ввести» информацию безопасности, чтобы ее можно было отслеживать, многократно использовать и быстро модифицировать’? Ответ: применить шаблоны безопасности.
Мы полагаем, что если вы упустили их и1 виду, то просто-таки обязаны начать ими пользоваться. В этом разделе вы узнаете причины. Предположим, вы решили, что группы Power Users (Опытные пользователи) на рабочих станциях гарантированно должны быть пустыми.
Вы крайне утомлены процедурой избавления от последнего червя, приникшего в веб-сервер на всех компьютерах, на которых установлены службы lIS, так что вы собрались отключить службу веб-публикации на всех серверах, где она не нужна. Однако это требует объемной работы.
Таким образом, примите другой план: документ требований к безопасности. В этом документе вы обрисовываете, что должно быть сделано на каждой рабочей станции или сервере, согласно корпоративным требованиям.
Вы распространяете готовый документ, но ни у кого нет времени, чтобы прочитать его.
Также не существует простого способа проверить, удовлетворяют ли системы описанным требованиям. Или это только кажется? Было бы замечательно щелкнуть на какой-то кнопке и внести нужные изменения в каждую систему. Это можно сделать с помощью нескольких инструментов: secedi t . е х е (оснастка консоли М МС под названием Security Coпfiguration and Analysis (Конфигурирование и анализ безопасности)) и шаблоны безопасности.
Возможности шаблонов безопасности В своей основе шаблон безопасности — это АSСll-файл, который вводится в программу по имени secedi t . ехе.
Данный шаблон является набором инструкций (по существу сценарием), который сообщает инструменту secedit . ехе онеобходимости внесения разнообразных изменений в систему. Шаблоны не позволяют изменять что-то, что вы не можете изменить другим способом; они просто предлагают удобный, сценарный и воспроизводимый метод внесения модификаций и затем легкого проведения аудита систем с целью проверки, удовлетворяют ли они требованиям этих шаблонов.
Любое такое изменение можно было бы внести вручную через графический пользовательский интерфейс, но это отняло бы много времени.
С помощью шаблонов можно модифицировать перечисленные ниже данные.
• Разрешения NTFS. Если необходимо выдать каталогу С : STUFF разрешение Full Control (Полный доступ) для системы и группы Administrators и запретить доступ остальным, это можно сделать посредством шаблона. Поскольку шаб лоны могут применяться не только к одному компьютеру, а также к их множеству (при условии, что вы пользуетесь групповыми политиками), вы применяете нужный набор разрешений NTFS ко всему домену.
• Членство в локальных rpyrmax. Возможно, у вас есть политика, настраивающая рабочие станции так, что членами локальной группы Administrators должны быть только учетная запись Administrator и доменная группа Domain Admins. Но кое-когда какой-то сотрудник службы поддержки «временно» повышает учетную запись пользователя до члена группы Administrators, простодушно намереваясь отменить это действие «как только в нем отпадет надобность».
И поскольку данный сотрудник службы поддержки постоянно занят, как и весь персонал этой службы, отмена никогда не будет сделана. За счет применения шаблона безопасности, который говорит «в локальной группе Administrators может быть только учетная запись Administrator и группа Domain Admins», любые другие учетные записи будут удалены из группы Administrators. ПРИНУДИТЕЛЬНОЕ ПРИМЕНЕНИЕ НАСТРОЕК БЕЗОПАСНОСТИ Шаблоны автоматизируют процесс установки определенной ин ф ормации, связанной с безопасностью, в точности как вы делаете это через графический пользовательский интерфейс. Не существует магического ангела-хранителя, который бы постоянно контролировал систему, обеспечивая постоянное применение желаемых настроек шаблона.
Единственный способ гарантии того, что настройки остаются в силе, пре дусматривает либо повторное применение шаблона на какой-то регулярной основе, либо создание объекта GPO для применения шаблона, т.к. настройки безопасности в объекте GPO обновляются каждые 16 часов независимо от изменений.
• Настройки локальной политики безопасности. Каждый компьютер имеет десят ки настроек локальной политики безопасности, такие как «Должно ли быть показано имя персоны, вошедшей в систему?», «Насколько часто должны ме няться пароли для локальных учетных записей?» и «Кому разрешено изменять время в данной системе?», а также многие другие. Ра б ота с ша блонами Продемонстрировать работу с шаблонами лучше всего на примере, поэтому да вайте создадим шаблон для выполнения перечисленных ниже действий.
• Мы обеспечим, чтобы в систему не могли войти члены локальной группы Power Users. + Мы установим такие разрешения NTFS, чтобы каталог с: SECRET был доступен только для локальной группы Administrators.
+ Наконец, мы завершим службы l ntemet Infomlation Services, этот надоедливый веб-сервер, который, похоже, устанавливает себя сам в каждой операционной системе производства Microsoft. Прежде всего, нам понадобятся некоторые инструменты.
Давайте построим единый инструмент, используя консоль М МС. Кроме того, нам будут необходимы две оснастки: Security Templates (Шаблоны безопасности) и Security Coпfiguration and Analysis (Конфигурирование и анализ безопасности).
Выполните следующие шаги по настройке такого инструмента. l. Откройте меню Start (Пуск), введите mmc /а в поле поиска и нажмите клавишу , чтобы запустить пустую консоль М МС. 2. В пустой консоли М МС выберите пункт Add/Remove Snap-in (Добавить или удалить оснастку) в меню File (Файл). 3. В диалоговом окне Add ог Remove Snap-ins (Добавление и удаление оснас ток) выберите оснастку Security Configuration and Analysis и щелкните на кноп ке Add (Добавить).
Затем выберите оснастку Security Templates и снова щелк ните на кнопке Add. Щелкните на кнопке ОК. 5. Сохраните новый специальный инструмент для будущего применения. Инструмент должен выглядеть так, как показано на рис. 9.24.
Рис. 9.24. Консоль ММС с оснастками Security Templates и
Разверните узел Security Templates и добавьте новый путь для поиска шаблонов —
С : Windows Secur i ty Templates. Вы увидите предварительно построенный
шаблон контроллера домена под названием securi ty. inf.
РАЗВЕРТЫВАНИЕ ШАБЛОНОВ БЕЗОПАСНОСТИ
Развернув шаблон безопасности контроллера домена security. inf, в панели спра
ва вы увидите папки, соответствующие всему тому, чем можно управлять.
• Account Policies (П олитики учетных записей). Установка политик паролей, бло
кировок учетных записей и Kerberos.
• Local Poticies (Л окальные п олитики). Управление настройками аудита, правами
доступа пользователей и параметрами безопасности.
• Event Log Settings (Настройки жур нала событий). Управление параметрами со
хранения событий.
• Restricted Groups (Огранич енны е группы). Управление членством в разнообраз
н ых локальных группах.
• System Services (Систем ные служб ы). Включение и отключение служб, а также
управление тем, кто имеет права на такие изменения.
• Registry Security (Безопасность реестра). Установка разрешений на изменение
или просмотр любого заданного ключа реестра (и для каких ключей будет вес
тись аудит изменений).
• File System (Файлов ая система). Управление разрешениями NTFS для папок и
файлов.
Но мы заинтересованы в построении нового шаблона с нуля. Чтобы сделать это,
щелкните правой кнопкой мыши на пути к шаблону и выберите в контекстном
меню пункт New Template (Создать шаблон). Введите имя шаблона и желаемое опи
сание. Новый шаблон появится в виде папки в панели слева, наряду с предвари
тельно построенным шаблоном. Новому шаблону назначено имя S imple. Первым
делом очистим группу Power Users.
1 . Откройте шаблон Simple.
2. Внутри вы увидите папку под названием Restricted Groups (Ограниченные
группы). Щелкните на ней, чтобы она появилась в панели слева.
З. Щелкните правой кнопкой мыши на папке Restricted Groups и выберите в
контекстном меню пункт Add Group (Добавить группу).
4. В открывшемся диалоговом окне Add Group (Добавление группы) введите
Power Users или воспользуйтесь кнопкой Browse (Обзор), чтобы выбрать
группу Power Users.
Обратите внимание, что если вы работаете на контроллере домена, то группа
Powe.:- Users, естественно, отсутствует.
По умолчанию включение группы в шаблон безопасности указывает этому шаб
лону на необходимость удаления из группы всех ее членов, так что дело сделано.
Если вы хотите применить шаблон безопасности для помещения кого-то в группу,
щелкните правой кнопкой мыши на имени группы и выберите в контекстном меню
пункт Properties (Свойства), что позволит указать членов группы.
А теперь давайте настроим шаблон безопасности так, чтобы любая система, в кото
рой имеется каталог с : SECRET, бьша доступна только локальным администраторам.
1 . В левой панели щелкните правой кнопкой мыши на папке File System
(Файловая система) и выберите в контекстном меню пункт Add File (Добавить
файл).
2. В открывшемся диалоговом окне вы можете либо перейти с помощью кнопки
Browse (Обзор) к конкретному каталогу, либо просто ввести имя нужного ка
талога.
Да, пункт контекстного меню назывался Add File, но допускается выбирать
также и каталоги.
З. Введите С : SECRET и щелкните на кнопке ОК.
Вы увидите стандартное диалоговое окно разрешений Windows NTFS.
4. Удалите разрешения для всех пользователей и групп кроме группы
Administrators. Выдайте группе Admin i strators разрешение Full Control
(Полный доступ).
Будет задан вопрос о том, хотите вы применить это разрешение только к дан
ной папке или также ко всем вложенным папкам.
5. Выберите предпочитаемый вами вариант и щелкните на кнопке ОК.
Наконеu, давайте завершим IIS.
1 . Щелкните на папке System Services (Системные службы).
2. В панели справа щелкните правой кнопкой мыши на элементе World Wide Web
PuЫishing Services (Службы веб-публикации) и выберите в контекстном меню
пункт Properties (Свойства).
3. Отметьте флажок Define This Policy Setting i n the Template (Определить
эту настройку политики в шаблоне) и выберите переключатель DisaЫed
(Отключена).
4. Щелкните на кнопке ОК.
Теперь сохраните шаблон — щелкните правой кнопкой мыши на Simple (или как
вы там назвали шаблон) и выберите в контекстном меню пункт Save (Сохранить).
Если только вы не предусмотрели для своих шаблонов отдельную папку, как
было описано ранее, вы получите файл по имени simple . inf в папке Windows
SecurityTemplates.
Чтобы увидеть, как этот шаблон будет модифицировать систему, или чтобы при
менить настройку шаблона, используя оснастку М МС, вы должны создать базу дан
ных безопасности. Для этого вам понадобится по существу скомпилировать ее из
простой формы ASCII в двоичную форму, которая и называется базой данных. Это
делается из другой оснастки, Secшity Configuration and Analysis.
l . Щелкните правой кнопкой мыши на оснастке Security Configuration апd
Analysis и выберите в контекстном меню пункт Open Database (Открыть базу
данных), чтобы открыть диалоговое окно Open Database (Открытие базы дан
ных), которое запрашивает базу данных для загрузки.
В диалоговом окне Open Database вы хотите создать новую базу данных, но
никаких опций для этого не предусмотрено; взамен просто введите имя нооой
базы данных.
2. Для целей рассматриваемого примера введите Simple и нажмите .
Ввод нового имени для базы данных приводит к тому, что оснастка определяет
необходимость в создании новой базы данных, поэтому выдается запрос шаб
лона, из которого она должна быть построена. (Возможно, это звучит немного
запутанно.) По умолчанию диалоговое окно отображает файлы с расширением
. inf в папке WindowsSecurityTemplates.
3. Если вы следовали предыдущему примеру, выберите simple . inf.
Однако прежде чем щелкать на кнопке Open (Открыть), обратите внимание на
флажок Clear This Database Before lmporting (Перед импортом очистить эту базу
данных).
4. Отметьте этот флажок.
В противном случае, когда вы экспериментируете с шаблоном, оснастка бу
дет накапливать производимые вами изменения (что может хорошо подходить
вам, но не всегда нам), а не переделываться сначала и начинать все с нуля.
5. Выберите шаблон и щелкните на кнопке Open.
Ничего заметного не произошло, но на самом деле оснастка «скомпилировала»
(это наш термин, а не Microsoft, и по нашему мнению он выглядит неплохим
сокращением для обозначения процесса преобразования шаблона ASCII в дво
ичную базу данных безопасности) шаблон в базу данных безопасности по име
ни simple . sdb в папке Му DocurnentsSecurityDatabase. В панели дета
лей вы увидите опuии Configure (Конфиrурировать) и Analyze (Анализировать).
6. Щелкните правой кнопкой мыши на оснастке Security Configuration and
Analysis, и вы заметите в контекстном меню пункты Analyze Computer
Now (Проанализировать компьютер сейчас) и Configure Computer Now
(Сконфигурировать компьютер сейчас).
Анализ не приводит к внесению изменений в компьютер. Вместо этого проис
ходит сравнение состояния компьютера с состоянием, которое вы хотите создать
с помощью шаблона. Затем анализ показывает (и сохраняет объяснения в фай
ле журнала), каким образом ваша система изменится в результате применения
шаблона. Файл журнала записывается в папку DocurnentsSecurityLogs.
7. Чтобы просмотреть, насколько ваш компьютер соответствует настройкам в
базе данных, выберите пункт Analyze Computer Now, и вы увидите, насколько
текущие настройки сравнимы с тем, к чему вы стремитесь.
8. Если вы хотите безрассудно прыгнуть вперед и применить настройки, то
вместо Analyze Computer Now выберите пункт Configure Computer Now, чтобы
модифицировать настройки системы, чтобы идти в ногу с шаблоном.
Все это очень хорошо, но как применить это к десяткам компьютеров? Придется
подходить к каждому из них? Да, придется, если вы хотите использовать этот инс
трумент. Другим вариантом может быть инструмент командной строки, который
называется secedi t . ехе. Он преобразует шаблоны в базы данных и применяет их.
Чтобы прочитать, применить и в процессе работы создать базу данных, воспользуй
тесь следующим синтаксисом:
secedi � /con figure /cfg имя_файла_ша блона /db имя_файла_базы_данных
/overwrite /log имя_файла_журнала
Чтобы применить существующую базу данных без первоначального чтения шаб
лона, оставьте только ключ /cfg и его аргумент. Для применения шаблона к своим
рабочим станциям вы могли бы поместить в сценарий входа (удостоверьтесь, что
указали имена с полными путями для файлов шаблона. базы данных и журнала),
чтобы это делалось при каждом входе. Также можно бьuю бы воспользоваться служ
бой планировщика задач (Task Scheduler), чтобы запускать пакетный файл и повтор
но применять шаблон через заданные интервалы. Или же можно было бы включить
сервер Telnet на компьютерах с сервером Windows и просто применять шаблон, ког
да вам заблагорассудится.
Автоматизация и написание сценариев хороши, но что, если вы хотите использо
вать в своих интересах «автоматические» фоновые обновления. которые предлагает
групповая политика, а также принудительное 16-часовое обновление настроек безо
пасности? Нет никаких проблем. Вы узнаете, как это делать, в следующем разделе.
И споль з ование доменных групповых политик дл я применения ша б лонов
Инструмент secedi t удобен, но его приходится вызывать вручную либо из па
кетного файла, а это означает беспорядочное редактирование сценариев входа или
возню с запланированными запачами во всех системах. В случае использования cue-
нариев входа шаблон безопасности применяется только во время входа в систему.
А как обеспечить более частое применение настроек безопасности’? С помощью
объекта GPO.
Доменные объекты GPO обладают рядом преимуществ.
• Легко управлять тем, к чему они применяются, что намного проще, чем иссле
дование содержимого пакетных файлов.
• Они применяются повторно не только при входе в систему, но и на протяже
нии дня — рабочая станuия обращается к ним с периодичностью от 60 до 120
минут.
• Настройки безопасности «применяются повторно» каждые 16 часов, на случай,
если какая-то настройка была изменена пользователем, приложением и т.д.
И мпорт ша б лонов б езопасности
В предыдущем разделе вы создали собственный шаблон безопасности
s imple . inf. Теперь вы хотите развернуть настройки безопасности из шаблона с
использованием объекта G РО.
Шаги по импортированию шаблона очень просты. Ниже перечислены шаги ш�я
импорта шаблона simple . inf в объект GPO.
1 . Запустите консоль GPMC.
2. Перейдите к орrанизаuионной единиuе, содержащей компьютеры, к которым
вы хотите применить настройки безопасности.
Например, шаблон simple . inf мог бы применяться ко всем рабочим столам
в организаuии.
3. Щелкните правой кнопкой мыши на организаuионной единиuе Desktops
(Рабочие столы) и выберите n контекстном меню пункт Сгеаtе а GPO in this
domain, and link it here (Создать объект GPO в этом домене и привязать его).
4. Введите имя нового объекта G РО, скажем, Desktop Enforcement Policy
(Политика применения к рабочим столам).
5. Щелкните правой кнопкой мыши на объекте Desktop Enforcement Policy и вы
берите в контекстном меню пункт Edit (Редактировать).
6. Внутри редактора GPME доберитесь до узла Security Settings (Настройки бе
зопасности), который находится в Computer ConfigurationPoliciesWindows
Settings (Конфигурация компьютера Политики Настройки Windows).
7. Щелкните правой кнопкой мыши на узле Security Settings и выберите n кон
текстном меню пункт lmport Policy (Импортировать политику).
8. Щелкните на шаблоне безопасности s imple . inf (можете воспользоваться
кнопкой Browse (Обзор), если он хранится в сетевом общем ресурсе или на
внешнем устройстве USB) и затем на кнопке Open (Открыть).
9. Удостоверьтесь в том, что настройки были импортированы, пройдя к узлу
Restricted Groups (Ограниченные группы) под узлом Security Settings.
1 О. Щелкните на узле Restricted Groups и убедитесь, что в нем присутствует ваша политика в отношении группы Power Users.
Основной вопрос в том, что вы собираетесь делать сейчас? Хорошо, если есть
возможность подождать 90 минут, то ничего делать не придется. nросто позвольте
выполниться стандартному фоновому обновлению политики — и все ваши настрой
ки будут применены ко всем компьютерам в организационной единице Desktops.
Новые административные шаблоны (ADMX/ ADMLJ
Административные шаблоны старого стиля были неплохи, но не лишены про
блем. Так, эти шаблоны ADM страдали проблемами с размером, сложностью на
писания сценариев и языковыми барьерами. Для решения всех этих проблем в
Microsoft разработали новый тип файла, который заменяет шаблон ADM, появив
шийся в версии Windows Server 2008. Новые шаблоны основаны на XML и встреча
ются парами. Новыми файловыми расширениями являются ADMX и ADML.
Файлы ADMX и ADM L теперь хранятся в С : Windows Pol icyDefinit ions.
Открыв эту папку, вы обнаружите в ней более 100 файлов ADMX, наряду со стан
дартной лапкой для английского языка, которая называется en-US. nапка en-US
содержит всю специфичную для языка информацию, используемую при отображе
нии настроек в редакторе GPM E.
Новые файлы ADMX/ADM L обладают несколькими преимуществами.
Эти файлы не хранятся внутри структуры папок объекта GPO.
• Эти файлы могут переноситься практически на любой язык при условии, что
для него подготовлен новый файл ADML и структура папок.
• Имеется возможность создания центрального хранилища, что позволяет про
водить централизованное администрирование файлов ADMX/ADML.
Создание uентрального хранилища для хранения и администрирования этих
файлов так же просто, как создание копии структуры папок! Да, именно так — мя
централизаuии управления данными файлами понадобится всего лишь скопировать
структуру папок на контроллеры домена. Чтобы создать центральное хранилище,
выполните следующие шаги.
1 . Откройте на компьютере Windows 8 или Windows Server 2012 R2 проводник и
отобразите в нем папку С : WindowsPolicyDefinitions.
2. Щелкните правой кнопкой мыши на папке PolicyDefinitions и выберите в
контекстном меню пункт Сору (Копировать).
3. Откройте папку С : Windows Sysvol sysvol Policies на
любом контроллере домена.
4. Щелкните правой кнопкой мыши на папке Policies и выберите в контекс
тном меню пункт Paste (Вставить).
В результате на контроллере домена появится дубликат структуры папок и фай
лов ADMX/ADML, как показано на рис. 9.25. Поскольку папка находится на конт
роллере домена, она будет автоматически реплицирована на все остальные контроллеры домена в этом домене.
Чтобы удостовериться в том, что теперь используются файлы ADMX из цент
рального хранилища, отредактируйте объект GPO и просмотрите текст после узла
Administrative Templates внутри редактора GPM E.
Рис. 9.26. Политика запуска только указанных приложений
ПРЕДОТВРАЩЕНИЕ РЕДАКТИРОВАНИЯ РЕЕСТРА
Вы можете создать политику для предотвращения доступа к инструментам редактирования реестра. Включение этой политики запрещает пользователям запускать утили
ты regedt32 . ехе и regedt . ехе, хотя рядовые пользователи в любом случае имеют
доступ только для чтения к подавляющему большинству содер жим ого реестра.
Аналогичный принцип применяется к меню Start и опции панели задач через по
литику Run from the Start menu (Запустить из меню «Пуск»). Опытные пользователи не потеряют возможность запуска несанкционированных программ только потому,
что пункт Run (Выполнить) устранен из меню Start, поэтому вы должны выяснить
все другие пути запуска программ и отключить их также (пользователи могут также запускать программы из диспетчера задач, если только вы не отключите опции, доступные по нажатию ).
СОЗДАНИЕ СОГЛАСОВАННОГО РАБОЧЕГО СТОЛА и МЕНЮ Start
Если вы хотите обеспечить в организации юти в отделе упрощенный и согласованный рабочий стол и меню Start, то вам, скорее всего, придется комбинировать переадресацию папок с ограничениями, которые доступны в административных шаблонах.
Использование групповой политики для установки политики паролей и блокировки учетных записей
Одним из самых недопонимаемых и сложных аспектов Windows AD является то,
каким образом и где конфигурируются и управляются политики паролей. В этом
разделе вы получите общие сведения о том, как все работает, чтобы устранить любые неопределенности в будущем. Ниже приведен список фактов и мифов о на
стройках политики учетных записей (Account Policy), которые должны ответить на любые часто возникающие вопросы.
Факты
• Единственным методом модификации настроек политики Account Policy для
доменных учетных записей является объект GPO, связанный с доменом.
• Детализированные политики паролей могут быть настроены, чтобы пользова
тели в одном домене имели отличающиеся настройки политики Account Policy.
Другими словами, сотрудники IТ-отдела могут иметь 20-символьные пароли, а
управленческий персонал — скажем, трехсимвольные.
• Объект G РО, связанный с организационной единицей, будет модифицировать
настройки политики локальных учетных записей SAM (SAM Account Policy)
для локальных пользователей в SAM всех учетных записей компьютеров вну
три данной организационной единицы.
Мифы
• Объект GPO может быть связан с органи.зационной единиuей Doma in
Controllers (Контроллеры домена), чтобы изменять настройки политики
Account Policy для доменных учетных записей пользователей.
• Объект GPO может быть связан с организационной единицей, чтобы модифи
цировать настройки политики Account Poicy для учетных записей пользовате
лей, содержащихся внутри этой организационной единицы.
+ Список ACL для стандартной политики домена (Default Domain Poicy) может
быть изменен с uелью включения только определенных групп доступа, таким
образом, разрешая применение разных политик паролей в одном домене.
По умолчанию в домене Windows Server 2012 R2 стандартная политика доме
на (Default Domain Policy) используется в целях установки настроек Account Policy
для всех учетных записей пользователей в домене. (Это относится как к доменным
учетным записям пользователей, так и ко всем локальным учетным записям SAM
пользователей для компьютеров, присоединенных к домену.) Настройки политики
паролей и блокировки учетных записей расположены в узле Computer Configuration/
Policies/Windows Settings/Security Settings (Конфигурация компьютера / Политики /
Настройки Windows / Настройки безопасности). Политики паролей включают пере
численные ниже опции.
+ Enforce Password History ( Принудительно применять хронолоrию паролей).
Включайте эту опцию, чтобы указать требуемое количество следующих друг
за другом уникальных паролей, прежде чем заданный пароль может использо
ваться снова.
• Maxlmum Password Age (Максимальный возраст пароля). Эта опция устанавли
вает период времени, в течение которого можно применять пароль, после чего
система потребует у пользователя выбрать новый пароль. Организации обычно
устанавливают этот промежуток rде-то между 30 и 90 днями.
• Minimum Password Age ( Минимальный возраст пароля). Эта опция устанавли
вает период времени, в течение которого пароль должен применяться, до того
как пользователю будет разрешено изменить его.
• Mlnimum Password Length (Минимальная длина пароля). Эта опция определяет
наименьшее количество символов, которые может содержать пароль пользователя. Хорошим значением минимальной длины для паролей может быть семь или
восемь символов. Установка этой политики также запрещает пустые пароли.
• Passwords Must Meet Complexity Requirements (Пароли д олжны удовлетворять
требованиям к сложн0С11t ). В случае если вы интересуетесь. что это за ·f1Jебования.
данная опция обычно называлась Passwords Must Meet Complexity Requirements of lлstalled Password Filter (Пароль должен удовлетворять требованиям к сложности, которые заданы установленным фильтром паролей). Библиотека DLL фильтров паролей бьша встроена в Windows 2000 Server и последующие версии ОС.
Фильтры паролей определяют такие требования, как разрешенное количество
символов, необходимость использования букв и цифр, возможность примене
ния в пароле любой части имени пользователя и тому подобное.
Если вы включите эту политику, то все новые и измененные пароли должны
удовлетворять следующим требованиям:
• они должны иметь длину, по крайней мере, шесть символов;
• они не могут содержать имя пользователя целиком или его часть;
• они должны использовать три из четырех типов символов: буквы верхнего
регистра (A-Z), буквы нижнего регистра (a-z), цифры (0-9) и специальные
символы (например, @, %, &, #).
• Store Passwords Using ReversiЫe Encryption (Хранить пароли с использо
ванием обратимого шифрования). Да, эта политика определенно снижает уро
вень защиты, сообщая контроллеру домена о возможности хранения паролей
с применением обратимого шифрования. Это не намного лучше сохранения в
виде простого текста; пароли обычно хранятся с использованием однонаправ
ленного шифрования с помощью хеширования. Если это необходимо для от
дельных учетных записей пользователей (вроде пользователей Мае), включите
дпя них данную политику. Тем не менее, обратимое шифрование является обя
зательным в случае применения аутентификации СНАР (Challenge Handshake
Authentication Protoco — протокол аутентификации по методу «вызов-при
ветствие») с удаленным доступом или службами Интернет-аутентификации
(lntemet Authentication Services).
Политика блокировки учетной записи (Account Lockout Policy) при включении
предотвращает вход в систему от имени данной учетной записи после определенно
го количества неудавшихся попыток. Ниже описаны доступные опции.
• Account Lockout Duration (Продолжительность блокировки учетной запж:и). Эта настройка определяет промежуток времени, на протяжении которого учетная
запись будет заблокирована. По истечении этого промежутка блокировка с
учетной записи снимается, и пользователь может пробовать входить в систему
снова. Если вы включите эту опцию, но оставите поле Minutes (Минуты) неза
полненным, то учетная запись будет оставаться заблокированной до тех пор,
пока ее не разблокирует администратор.
• Account Lockout Threshold (Пороrовое значение блокировки учетной записи).
Эта опция определяет, сколько раз пользователь может безуспешно пытаться
войти в систему, прежде чем его учетная запись будет заблокирована. При оп
ределении этой настройки укажите количество разрешенных попыток, иначе
учетная запись никогда не будет разблокирована.
• Reset Account Lockout Counter After (Сбрасывать счетчик блокировки учеmой заmtси через). Эта опция задает промежугок времени, по прошествии которого подсчет неудавшихся попыток входа будет начат заново. Например, предположим,
что вы сбрасываете данный счетчик через две минугы и разрешаете три попытки
входа. Тогда в случае если три раза не удается войти в систему, придется подождать две минугы, после чего снова предостав.. �яются три попытки входа.
Предпочтения групповой политики
Одним из наиболее впечатляющих аспектов Windows Server 2012 R2 (относящих
ся не только к групповой политике, но полностью к новой операционной систе
ме) являются предпочтения групповой политики (Group Policy preferences — GPP).
Предпочтения групповой политики — это расширения групповой политики, которые
по-другому можно назвать «новыми настройками в объекте GPO». Число таких но
вых настроек превышает 3000, и некоторые из них просто удивительны! Например, теперь вы можете изменять пароль локальной учетной записи Administrator на любом рабочем столе внутри среды в рамках интервала около 90 минуг. Вы также можете управлять членством в локальной группе Administrators на всех рабочих столах и серверах, не удаляя учетные записи ключевых служб и другие доменные группы, которые являются уникальными для каждого компьютера.
настройки GPP
Настройки GPP немного отличаются от других настроек групповой политики,
главным образом потому, что они дублируются в областях, относящихся к компьютеру и пользователю, объекта GPO. Появляется высокая гибкость и мощь в определении того, что требуется обеспечить для рабочих столов и пользователей в среде.
Настройки GPP описаны в табл. 9. 1 .
Таблица 9.1. Настройки предпочтений групповой политики
Наст ро йка предпочтений групповой политики
Applicalions (Приложения)
Drive Maps (Отображения устройств)
Environment {Среда)
Files {Файлы)
Folders (Папки)
lni Files (Файлы INI)
Network Shares (Общие сетевые ресурсы)
Registry (Реестр)
Shortcuts (Ярлыки)
Dala Sources {Источники данных)
Devices (Устройства)
Folder Options (Опции папок)
lnternet Settings (Настройки Интернета)
Доступна ли в узле
Computer Configuration?
Нет
Нет
Да
Да
Да
Да
Да
Да
Да
Да
Да
Да
Нет
Дост у пна ли в у зле
User Configuration?
Да
Да
Да
Да
Да
Да
Нет
Да
Да
Да
Да
Да
Да
Настройка предпочтений групповой политики
Local Users and Groups
(Локальные пользователи и группы)
Network Options (Опции сети)
Power Options (Опции электропитания)
Printers (Принтеры)
Regional Options (Региональные опции)
Scheduled Tasks (Запланированные задачи)
Services (Службы)
Start Menu (Меню «Пуск»)
Доступна ли в узле
Computer Coпfiguratioп?
Да
Да
Да
Да
Нет
Да
Да
Нет
549
Окончание табл. 9. 1
Доступна ли в узле
User Coпfiguratioп?
Да
Да
Да
Да
Да
Да
Нет
Да
Большинство настроек в табл. 9. 1 не требуют особых пояснений. Тем не менее,
мы предоставим краткую информацию о том, как можно использовать некоторые
из настроек. Например, вопросы безопасности всегда приходят на ум первыми у
персонала IТ-отдела, когда речь заходит о защите рабочих столов, но никогда нет достаточного времени, ведь правда? Возьмем проблему переустановки пароля для локальной учетной записи Administrator на каждом рабочем столе внутри компании. Да, мы знаем, что это болезненная тема! Но когда вы последний раз выполняли данную задачу на своих рабочих столах? Во время установки? Два года назад?
Какие только ответы не приходилось нам слышать, но теперь благодаря G РР вы можете изменять пароли для Administrator как угодно часто. Чтобы это произошло,выполните следующие шаги.
1 . Модифицируйте объект GPO, который нацелен на все ваши рабочие столы
(лучше всего будет связать этот объект GPO с организационной единицей, со
держащей все настольные компьютеры).
2. После открытия редактора GPME для объекта GPO перейдите к узлу Computer
ConfigurationPreferencesControl PanelLocal Users and Groups (Конфигурация
компьютера Предпочтения Панель управления Локальные пользователи
и группы).
3. Щелкните правой кнопкой мыши на этом узле и выберите в контекстном
меню пункт New�Local User (Создать�Локальный пользователь). Откроется
диалоговое окно New Local User Properties (Свойства нового локального поль
зователя), представленное на рис. 9.27.
Понятие НОВОЙ политики ПОЛЬЗОВАТЕЛЯ
Когда вы выбираете в контекстном меню пункт New�Local User для GPP, то насамом деле не создаете нового пользователя. Думайте об этом, как о создании новой политики пользователя! Вы можете создать нового пользователя, но здесь имеется намного большее число опций, чем доступно при одном лишь создании пользовате. Принятие точки зрения «новая политика XYZ» во время создания любой новой настройки GPP поможет понять то, что вы будете делать с этой настройкой.
Рис. 9.27. Диалоговое окно New Local User Properties для GPP
ГЛАВА 9
4. Введите имя пользователя, которым вы хотите управлять, в данном случае
Adm.inistrator.
5. Введите желаемый пароль и подтвердите его.
Вуаля! Это переустановит пароль локальной учетной записи Aclministrator на
каждом рабочем столе, который подпадает под область действия объекта GPO. По
прошествии примерно двух часов все рабочие столы, подключенные к домену и
сети, обновят указанную установку.
Все очень просто, не так ли? Остальные настройки столь же просты, и мощь G РР
поистине впечатляет. Чтобы дать вам представление о том, что еще можно делать с
помощью G РР, ниже приведен список идей по настройкам политик, с воплощения
которых вы можете начать.
• Applications (Приложения)
• Включите проверку правописания в Microsoft Word.
• Сконфиrурируйте средство автоматической архивации Outook.
• Сконфиrурируйте «утвержденную компанией и согласованную» подпись для
электронной почты Outlook.
• Drive maps (Отображения устройств)
• Замените все отображения устройств в сценарии входа с помощью настройки
предпочтений групповой политики.
• Отобразите устройства только для сеансов Teпninal Services.
• Environment (Среда)
• Создайте переменную среды ноутбуков, которая используется с другими на
стройками предпочтений групповой политики.
• Предусмотрите переменные среды для имени, фамилии, адреса и тому подоб
ного, которые затем могут применяться в подписи Outlook.
ГРУППОВАЯ ПОЛИТИКА: ИНСТРУМЕНТЫ И ДЕЛЕГИРОВАНИЕ ACTIVE DIRECTORY 551
• Files (Файлы)
• Передавайте базу определений вирусов из сервера на рабочий стол.
• Развертывайте файлы конфигураций приложений на рабочих столах.
Folders (Папки)
• Очищайте папку Ternporary Internet Files (Временные файлы Интернета).
• Создайте папку приложений для рабочих столов, на которых запускаются за-
щищенные приложения.
• Network shares (Общие сетевые ресурсы)
• Управляйте общими сетевыми ресурсами на сервере только в рабочее время.
• Включите для сервера перечисление, основанное на доступе.
• Registry (Реестр)
• Что бы вы ни назвали — все это можно делать с реестром.
• Data sources (Источники данных)
• Создайте централизованную конфигурацию источников данных ш1я специа
листов по продажам.
• Создайте специальную конфигурацию источников данных для персонала
службы поддержки.
• Folder options (Параметры папок)
• Позвольте всем сотрудникам IТ-отдела видеть все скрытые и суперскрытые
файлы на каждом администрируемом ими рабочем столе.
• Позвольте всем сотрудникам П-отдела видеть файловые расширения в про
воднике Windows на всех рабочих столах, которых они касаются.
• lnternet settings (Настройки Интернета)
• Сконфигурируйте настройку прокси Internet Explorer для всех пользователей
офиса филиала 1 .
• Сконфигурируйте специальные настройки lnternet Exploreг, которые стандар
тные настройки глобальной политики обрабатывать не могут, такие как все
настройки на вкладке Advanced (Дополнительно) диалогового окна конфигу
рации lnternet Explorer.
• Local users and groups (Локальные пользователи и группы)
• Переустанавливайте пароли локальных учетных записей Adrninistrator на
каждом рабочем столе.
• Управляйте членством в локальной группе Adrninistrators на каждом рабочем
столе и сервере (кстати, без предварительного удаления членов из группы!).
Power options (Параметры электропитания)
+ Создайте 24-часовую схему параметров электропитания, при которой пользо
ватели никогда не видят эту схему в рабочее время, но когда сотрудники поки
дают систему, компьютер переводится в режим сна после того, как в течение
пяти минут не наблюдается какой-либо активности. (Доказано, что такой поn
ход позволяет экономить около $50 на П К в год.)
552 ГЛАВА 9
+ Printers (Принтеры)
• Устраните принтеры из сценариев входа.
+ Сконфигурируйте принтеры для пользователей ноутбуков, которые перемеща
ются из одного удаленного офиса в другой, предоставив им только те принте
ры, которые им нужны, на основе их местонахождения.
+ Scheduled tasks (Запланированные задачи)
• Пробудите компьютер в полночь, чтобы разрешить проведение обслуживания
(великолепная комбинация с параметрами электропитания!).
• Services (Службы)
• Сконфигурируйте другую учетную запись службы для усиления общей защиты.
• Сконфигурируйте пароль дЛЯ учетной записи службы.
• Сконфигурируйте поведение службы на случай отказа функционирования,
чтобы обеспечить ее гладкий перезапуск.
Нацеливание на уровне элементов
Еше одним замечательным аспектом GPP являются возможность нацеливания на
уровне элементов. Теперь любую настройку G РР можно нацеливать и применять ее,
только предварительно удостоверившись, что в среде компьютера присутствует тот
или иной аспект. Для примера предположим, что в отделе кадров функционирует
приложение, которое существует в среде Terminal Services. Когда сотрудники этого
отдела запускают свое приложение, они нуждаются в отображенном устройстве для
него. Решение, применяемое многими компаниями в наши дни, предусматривает
отображение устройства для учетной записи пользователя, получая в итоге «неоп
равданное» отображенное устройство, которое существует, даже когда сотрудники
работают на своих рабочих столах. Нацеливание на уровне элементов GPP позволяет
предоставлять отображение устройства, толысо если они находятся в среде Terminal
Services. Получить контроль такого типа можно, воспользовавшись одной из мно
жества разнообразных опций, нацеливаемых на уровне элементов. Ниже приведен
ПОЛНЫЙ ИХ СПИСОК:
• Battery Present (Наличие батареи)
• Computer Name (Имя компьютера)
+ CPU Speed (Скорость ЦП)
• Date Match (Соответствие даты)
• Dial-up Connection (Коммутируемое подключение)
• Disk Space (Дисковое пространство)
• Domain (Домен)
+ Environment VariaЫe (Переменная среды)
• File Match (Соответствие файла)
• IP Address Range (Диапазон 1 Р-адресон)
• Language (Язык)
+ ШАР Query (Запрос LDAP)
ГРУППОВАЯ ПОЛИТИКА: ИНСТРУМЕНТЫ И ДЕЛЕГИРОВАНИЕ ACТIVE DIRECTORY
553
• МАС Address Range (Диапазон МАС-адресов)
• MSI Query (Запрос MSI)
• Operating System (Операционная система)
• Organizational Unit (Организационная единица)
• PCMCIA Present (Наличие PCMCIA)
• РогtаЫе Computer (Переносимый компьютер)
• Processing Mode (Режим обработки)
• RAM (ОЗУ)
• Registry Match (Соответствие реестра)
• Security Group (Группа доступа)
• Site (Сайт)
• Terminal Session (Терминальный сеанс)
• Time Range (Диапазон времени)
• User (Пользователь)
• WMI Query (Запрос WMI)
УСТРАНЕНИЕ СЦЕНАРИЕВ ВХОДА С ПРИМЕНЕНИЕМ ПРЕДПОЧТЕНИЙ ГРУППОВОЙ ПОЛИТИКИ
Многие компании по-прежнему используют унаследованные сценарии входа для
применения к рабочим столам таких настроек, как отображение устройств и принтеров. Использование сценариев входа является устаревшим приемом по сравнению с новыми и усовершенствованными возможностями GPP.
Многие другие компании переключились на применение GPP, где только возможно,
дЛя устранения некоторых, а то и всех настроек в своих сценариях входа. Вы можете использовать следУЮщие предпочтения вместо сценариев входа.
Drive Mappings (Отображения устройств ). Отображения устройств теперь может
быть нацелено на создание «своевременных» отображений, которые имеют больший
смысл для пользователей. Цели на уровне элементов могут применяться в сочетании с отображениями устройств дЛЯ предоставления доступа к данным только приусловии того, что у пользователя установлено корректное приложение, применены последние исправления, и это сеанс Termiпal Services.
Printers (Принтеры). Принтерами зачастую трудно управлять в средних и крупных организациях, в которых имеются мобильные пользователи. Когда пользователь прибывает в офис филиала компании, ему может быть нелегко найти и сконфиrурировать подходящий принтер. С помощью предпочтений GPP дЛЯ принтеров можно отобразить все принтеры в компании. В случае использования с целью уровня элемента (такой как диапазон IР-адресов или сайт AD) пользователи получат доступ к нужномупринтеру в офисе филиала всего лишь потому, что находятся в этом офисе.
Registry (Реестр).
Благодаря этому предпочтению, любые записи реестра теперь могут быть помещены в объект G PO без какого-либо специального шаблона ADM или файла АDМХ. Это касается также двоичных и многострочных значений, что было невозможно в шаблонах ADM.
Новая и усовершенствованная консоль GPMC
Консоль GPMC существует уже довольно долгое время. Первое поколение кон
соли GPMC было на тот момент кардинально новым и намного упрощало администрирование объектами GPO. Текущее поколение GPMC продолжает поддерживать простое, эффективное и надежное администрирование объектов G РО. Ушли
те времена, когда необходимо было запускать оснастку Active Directory Users and Computers, чтобы просматривать, создавать, связывать и управлять объектами G РО.
Мягко выражаясь, это стало архаичным. Теперь новую консоль GPMC можно за
пускать в среде Windows Server 2012 R2 и Windows 8.
Консоль GPMC потребуется установить, т.к. по умолчанию она не устанавливается. На компьютерах Windows Server 201 2 R2 ее можно установить из диспетчера серверов.
l . Откройте окно диспетчера серверов и выберите пункт меню Features
(Компоненты).
2. Здесь вам необходимо только выбрать переключатель Add Features (Добавить
компоненты), что приведет к отображению полного списка инструментов, ко
торые можно установить (рис. 9.28).
Рис. 9.28. Установка консоли GPMC через диспетчер серверов
3. Выберите элемент Group Policy Management (Управление групповой полити кой), что инициирует процесс получения установленного инструмента.
4. После перезагрузки вы будете иметь установленную консоль GPMC.
На компьютерах Windows 7 или Windows 8 для консоли G РМС понадобится установить инструменты дистанционного администрирования серверов (Remote Server Administration Tools).
Для этого выполните следующие действия.
1 . Установите актуальные пакеты обновлений (некоторые загружаемые файлы могут уже их включать).
2. Установите инструменты Remote Server Administrative Tools.
3. Откройте панель управления из меню Start (Пуск).
4. Щелкните на аплете Programs and Features (Программы и компоненты).
5. Щелкните на ссылке Turn Windows features оп ог off (Включение или отключение компонентов Windows).
Стартовые объекты GPO
В Microsoft прилагают большие усилия, чтобы сделать управление объектами GPO более простым и эффективным. Первая попытка в этом направлении — стартовые объекты GPO (Starter GPO).
Объект Starter GPO можно использовать для воссоздания набора настроек GPO, применяя только Starter GPO снова, снова и снова.
Предположим для примера, что вы отвечаете за обеспечение корректной конфигурации [nternet Explorer внутри организации. Вы можете создать объект Starter GPO, который включает все обязательные настройки Internet Explorer. Затем при создании любого нового объекта GPO будет использоваться этот объект Starter GPO, чтобы гарантировать включение настроек Internet Explorer. Для создания нового объекта Starter GPO выберите узел Starter GPO (Стартовый объект GPO) в консоли GPMC и выполните перечисленные ниже шаги. 1. Щелкните правой кнопкой мыши на узле Starter GPO и выберите в контекс тном меню пункт New (Создать).
2. Введите имя объекта Starter GPO, например, IE Starter GPO. 3. Чтобы сконфигурировать настройки I E, объект Starter GPO необходимо отредактировать, как это делалось бы с любым другим объектом GPO — щелкните на нем правой кнопкой мыши в консоли GPMC и выберите в контекстном меню пункт Edit (Редактировать).
Теперь, когда объект Starter GPO создан, любой, кто имеет полномочия создавать объект GPO в домене, может применять его в качестве «стартового набора настроек».
При создании любого нового объекта GPO с помощью консоли GPMC в диалоговом окне New GPO (Новый объект GPO) имеется раскрывающийся список Source Starter GPO (Исходный стартовый объект GPO), как показано на рис. 9.29. Однако имейте в виду, что значительное ограничение объектов Starter GРО состоит в том, что они могут включать только настройки административных шаблонов GPO. NewGPO х Neme 1 New Group Poicy 0Ьiect !
Рис. 9.29. При создании объектов GPO можно использовать раскрывающийся список Source Starter GPO
Резервное копирование и восстановление объектов GPO
Консоль GPMC является универсальным инструментом мя всех задач по управлению объектами G РО. Одним из наиболее важных аспектов защиты существующих ресурсов GPO является их резервное копирование.
(В мире компьютеров это относится к чему угодно; вы защищены настолько, насколько свежа резервная ко пия ваших данных!) Консоль GPMC предоставляет возможности резервного копирования и восстановления, позволяющие архивировать каждую версию объекта GPO, которую вы создали и внедрили.
Очень удобно то, что эти возможности премагаются прямо в графическом пользовательском интерфейсе консоли GPMC, не требуя запуска другого инструмента мя проведения такой работы.
Резервное копирование объекта G РО выполняется просто. . Щелкните правой кнопкой мыши на объекте GPO, помежащем резервному копированию.
2. Выберите в контекстном меню пункт Back up (Резервное копирование). Откроется диалоговое окно Back Up Group Policy Object (Резервное копирование объекта групповой политики).
3. Укажите местоположение, где хранятся резервные копии. Это может быть заранее определенное местоположение или же можно создать папку во время процесса резервного копирования.
4. Введите местоположение или щелкните на кнопке Browse (Обзор) в зависимости от того, что вам больше подходит.
5. Щелкните на кнопке Backup (Копировать). Отобразится индикатор хода работ по резервному копированию.
6. После успешного создания резервной копии закройте диалоговое окно Back Up Group Policy Object. РЕЗЕРВНОЕ КОПИРОВАНИЕ ДО И ПОСЛЕ ИЗМЕНЕНИЯ Подобно любым изменениям данных и других аспектов операционной системы, резервные копии должны создаваться непосредственно до внесения изменения, а также сразу после него, чтобы сохранить оба состояния объекта GPO. Наступит время, когда вы захотите просмотреть список объектов GPO, резервные копии которых были созданы. Для этого щелкните правой кнопкой мыши на узле Group Policy Objects (Объекты групповой политики) внутри консоли GPMC и выберите в контекстном меню пункт Manage Backups (Управлять резервными копиями).
Откроется диалоговое окно Manage Backups (Управление резервными копия ми), представленное на рис. 9.30. В этом диалоговом окне можно восстанавливать, удалять и просматривать настройки объекта GPO внутри резервной копии. • Restore (Восстановить).
Кнопка Restore позволяет восстановить «архивированный объект GPO» поверх «производственного объекта GPO». Вам должно быть понятно, насколько это может быть важно!
• Delete (Удалить). Кнопка Delete позволяет удалить архивированные объекты GPO, главным образом те, которые больше не используются или действительно устарели. Нет никаких причин захламлять свои серверы информацией, которая не понадобится в будущем. • View Settlngs (Просмотреть настройки).
Кнопка View Settings позволяет просмотреть содержимое объекта GPO, а также другие ключевые сведения, такие как делегирование, безопасность, связи и т.д. На рис. 9.3 l показана НТМL страница, которая отображается в результате щелчка на кнопке View Settings.
поиск и устранение неполадок в групповых политиках
На тот случай, если это еще не прояснилось к настоящему моменту: групповые
политики мощны, но вместе с тем и сложны. К тому же они моrут быть непрозрачными — иногда вы создаете для контршmера домена множество настроек политики, которые направлены на управление определенным рабочим столом, и затем перезапускаете рабочий стол, входите в систему, ждете результатов применения новой политики, но ничего не происходит.
Для поиска и устранения неполадок в групповых политиках предназначено не
сколько инструментов. Оснастка и инструмент консоли RSOP (Resultaпt Set of
Policy — результирующая политика) предоставляет графический интерфейс, а утилита gpresul t . ехе позволяет выполнять эквивалентные функции в командной строке.
Утилита gpotool . ехе входит в состав набора ресурсов Windows (Windows Resource Kit), и она ищет несоответствия между объектами GPO, которые хранятся на контроллерах домена. Эта небольшая утилита помогает идентифицировать проблемы с репликацией, которые вызывают проблему с применением групповой политики.
инструмент Resultant set of Pollcy
Поиск и устранение неполадок в групповых политиках были для администра
торов крупным препятствием к обретению полного контроля над сетевой средой.
Проблема заключалась в невозможности просмотра совокупных настроек полити
ки, которые в итоге воздействовали на пользователя или на компьютер. Небольшое средство отображения действительных настроек политики — инструмент ResultantSet of Policy (RSOP) — является встроенным в Windows Server. Используя RSOP, вы можете проверять версии «что, если» в целях диагностики проблем. Без RSOP придется просмотреть свойства каждого сайта, домена и организационной единицы, выясняя, каким образом связаны контейнеры и политики. Затем понадобится просмотреть списки ACL и информацию WMI, чтобы увидеть, проводится ли какая-нибудь фильтрация, и также проверить опции DisaЬled, Block lnheritance и Enforce. Не забывайте о нацеливании на уровне элементов, которое может быть очень детализированным и потому приводить к путанице при попытке оценки вручную. Наконец,необходимо просмотреть настройки интересующей политики, прежде чем станет ясным корень пробле1ы. Вам придется делать множество заметок. По этим причинам мы отдаем предпочтение инструменту RSOP.
Инструмент RSOP запускается простым вводом rsop . msc в командной строке.
Сразу после запуска вы заметите, что он определяет результирующую политику, которая была применена на основе компьютера, где инструмент выполняется, и учетной записи пользователя, под которой был совершен вход в систему. Результирующее окно похоже на то, что отображается в редакторе GPME (рис. 9.32).
Относительно инструмента rsop . msc следует сделать несколько замечаний.
• Этот инструмент предоставляет только примененные объекты GPO и настрой
ки из таких G РО.
• Этот инструмент выдает представление, в котором указано, из какого объекта GРО поступает каждая настройка.
Рис. 9.32. Инструмент rsop . msc генерирует представление реального
времени настроек политики, которые были применены
получение результатов групповой политики с использованием консоли GPMC
Консоль GPMC является инструментом, который похож на локализованную
версию RSOP, но для получения RSOP позволяет запрашивать любой компьютер и
любого пользователя в сети. Представьте, что пользователь звонит вам и сообщает о том, что не может получить доступ к веб-сайту, который необходим ему для выполнения своей работы. Вы могли бы подойти к пользователю физически, но это всего лишь отняло бы время, т.к. вы уверены, что пользователи получают настройки прокси Internet Explorer из объекта GPO. Таким образом, вместо этого выполните следующие шаги.
1. Запустите мастер результатов групповой политики (Group Policy Results Wtzard) в консоли GPMC.
Мастер Group Policy Results Wtzard находится ближе к нижней части консоли
GPMC. После запуска мастера вы должны лишь указать компьютер и пользо
вателя, для которого хотите получить результаты, а об остальном позаботится
сам мастер, как показано на рис. 9.33.
2. Выберите пользователя и рабочий стол, куда он вошел, после чего перейдите к настройке прокси IE.
Вы заметите, что к компьютеру применяется некорректный объект GPO, пос
кольку кто-то настроил принудительное применение объекта G РО, связанного
с вышестоящей организационной единицей, что сводит на нет нашу установку
прокси. Проблема обнаружена.
3. Исправьте проблему с опцией Enforce в объекте GPO и дело сделано!
Результаты из мастера будут отображаться на трех вкладках в панели справа —
Details (Подробности), Summary (Сводка) и Policy Eveпts (События политики).
• Details. На вкладке Details (рис. 9.34) приведены все настройки, включая объекты GPO, которые были применены, те, что отказали, группы доступа, филь
тры WMI и другие сведения.
• Summary. На вкладке Summary отображаются любые ошибки, которые возни
кали во время создания объектов GPO.
• Policy Events. Вкладка Policy Events уникальна тем, что на ней отображаютсянастройки из программы просмотра событий (Event Viewer), которые относятся к групповой политике.
Рис. 9.34. Мастер Group Policy Results Wizard отображает информацию
на трех вкладках в консоли GPMC
Если вы замечаете проблему с какой-то примененной настройкой, то можете
воспользоваться содержимым всех трех вкладок дЛЯ ее отслеживания.
моделирование групповой политики с использованием консоли GPMC
Мастер Gгoup Policy Results Wizaгd в консоли GPMC является мощным инс
трументом, который позволяет просматривать существующее состояние объектов
GPO и их настройки для любого компьютера и пользователя в сети. Однако что,
если возникла ситуация, когда нужно переместить компьютер в другую организа
ционную единицу или перенести в другую организационную единицу пользователя,
поскольку он получил повышение по службе? Вы не должны просто переместить
учетную запись и ожидать, что настройки будут корректными в новом местополо
жении внутри AD.
gpresult . exe
gpresul t . ехе — это инструмент, предназначенный для поиска и устранения
неполадок в групповой политике, а также для формирования отчетов, который до
полняет оснастку RSOP, добавляя в арсенал RSOP возможности командной строки
и пакетных файлов. При запуске без аргументов или опций утилита gpresul t . ехе
сгенерирует следующую информацию RSOP для текущего пользователя на локаль
ном компьютере:
• контроллер домена, из которого рабо’-!ая станция получила политики;
• когда политики были применены;
• какие политики бъuш применены;
• какие политики не были применены из-за фильтрации;
• членство в группах;
• сведения о правах доступа пользователей (если запускается в многословно1
режиме).
Чтобы сгенерировать информацию RSOP для удаленного пользователя на уда
ленном компьютере, применяйте аргументы /S имя_системы и /USER имя_пользо-
вателя. Например, чтобы получить информацию RSOP на удаленной рабочей стан
ции WINDOWS8CLIENT1 для пользователя drnelber, введите команду
gpresult /S WINDOWS8CLIENT1 /USER dmelber
Ниже описаны опции, позволяющие получить более детальные сведения.
• /V указывает на необходимость в выда’-!е более многословной информации:
gpresul t /V.
• !Z указывает на необходимость в выдаче даже еще более многословной ин
формации (Zupeг-verЬose): gpresult /Z.
• Для нацеливания только на политику компьютера добавьте опцию /SCOPE
MACHINE; если вы заинтересованы лишь в политиках пользователя, добавьте
ОПЦИЮ /SCOPE USER.
Таким образом, например, для получения максимальной информации о по
литиках пользователя, примененных к данной системе, добавьте опцию
gpresult /Z /SCOPE USER. Вывод этой команды легко перенаправить в текс
товый файл, чтобы сохранить отчет:
gpresult /S WINDOWS8CLIENTl /USER dmelber /Z > c : gpinfo . txt
использование программы Event Viewer
Прекратите посмеиваться прямо сейчас! Мы полностью серьезны! Временами
действительно нужно дружески похлопать Microsoft по спине, и это как раз тот случай. Программа Event Yieweг (Просмотр событий) была полностью модернизирована, и сейчас, к изумлению многих, в ней появился целый узел, выделенный для групповой политики!
Журнал операций групповой политики (Opeгational) является заменой файла
Userenv . log, который генерировался групповой политикой в прошлом. Теперь
нет необходимости в специальной установке настроек многословной информации
или аудита; это просто происходит. Чтобы просмотреть файлы журналов групповой политики в новой программе Event Vieweг, достаточно ее запустить. В открывшемся окне Event Viewer разверните узел Applications and Services LogsMicrosoftWindows
GroupPolicy (Журналы приложений и служб Microsoft Windows Групповая политика). Здесь вы найдете журнал Opeгational для групповой политики, щелкнув на котором, вы сможете просмотреть список событий в панели справа.
Ниже приведено несколько замечаний по возможностям новой среды.
• Журнал Operational заменяет файл Userenv . log из предшествующих версий
групповой политики Windows.
• Вкладки General (Общие) и Details (Подробности) предоставляют полезную
информацию для поиска и устранения проблем.
• Двойной щелчок на событии приводит к открытию собственного окна для со
бытия.
• Щелчок на знаке + во вкладке Details приводит к отображению дополнитель
ной информации о событии.
основы поиска и устранения неполадок:сохраняйте простоту
Мы прогнозируем, что даже имея в своем распоряжении инструмент RSOP, ра
бота с групповыми политиками в большинстве случаев не будет похожа на легкую
прогулку по парку. Ниже приведены соображения, которые помогают минимизиро
вать время поиска и устранения неполадок.
+ Сохраняйте простоту своей стратегии в отношении политик. По возможности
храните пользователей и компьютеры в организационных единицах и приме
няйте политики на как можно более высоком уровне.
• Избегайте наличия большого количества объектов GPO с конфликтующими
политиками, которые применяются к одним и тем же получателям.
• Минимизируйте использование опций Enforce и Block lnheritance.
+ Документируйте свою стратегию групповой политики. Структуру политик
можно изобразить визуально и вывесить рисунок на стенде подобно диаграм
ме топологии сети. Когда возникнет проблема, вы сможете свериться с диа
граммой, прежде чем приступать к ее поиску и разрешению.
+ Тестируйте настройки G РО до их развертывания! Абсолютно необходимо со
хранять ресурсы службы поддержки и гарантировать работоспособность ос
новных приложений и системных служб.
делегирование Active Directorv
Делегирование Active Directory является эффективным решением в часто встре
чающейся ранее ситуации с унаследованными доменами Windows, когда для обеспечения раздельного управления пользователями, группами и компьютерами создавалось множество доменов. За счет реализации делегирования внутри единственного домена Active Diгectory устраняется потребность в нескольких доменах, сохраняется бюджет, благодаря сокращению количества контроллеров доменов, упрощается управление предприятием из-за наличия всего лишь одного домена и т.д.
Это настолько захватывающая возможность Active Directory, что многие компании и предприятия перешли на Active Directory, чтобы получить в свое распоряжение все преимущества, предлагаемые делегированием Active Directory. Одно из наиболее интересных преимуществ применения делегирования связано с возможностью выдачи одной или нескольким группам привилегии на сброс паролей дл яучетных записей пользователей.
Это значит, что вы можете разрешить какой-то группе пользователей сбрасывать пароли только для подмножества пользователей в домене.
Например, вы можете позволить руководителю отдела кадров сбрасывать пароли для учетных записей сотрудников этого отдела.
делегирование прав администрирования ГРУППОВОЙ ПОЛИТИКОЙ
Возможность делегирования операций создания и конфигурирования объектов
G РО и их настроек административному персоналу (или другим, если уж на то пош ло) исключительно полезна, особенно в крупной организации. В этом разделе мы
объясним, как разрешить сотрудникам, не являющимся членами группы Doma in
Admins или Enterpri s e Admins, создавать и управлять объектами GPO для определенных сайтов, доменов или организационных единиц.
Консоль GPMC предоставляет простой, но распределенный массив опций для
гарантии того, что вы реализуете делегирование правильному множеству администраторов. Ниже перечислены пять главных делегирований, которые вы захотите с конфигурировать:
создание объектов GPO;
связывание объектов GPO;
управление объектами GPO;
+ редактирование объектов G РО;
• чтение объектов GPO.
Все это конфигурируется в консоли GPMC. Основная путаница при установке
делегирования для управления объектами GPO в консоли GPMC возникает с областями действия. Это означает необходимость знания мест, где устанавливается делегирование; вдобавок нужно знать, насколько далеко делегирование будет простираться.
Например, предположим, что вы являетесь администратором организационной единицы отдела кадров, т.е. вы управляете всеми аспектами, включая учетные записи пользователей, группы и даже объекты GPO, связанные с этой организационной единицей.
Как удостовериться в том, что вы — единственный администратор, который может
связать какой-то объект GPO с организационной единицей отдела кадров? Хорошо, это одна из задач делегирования, которыми можно управлять с помощью консоли РМС. Давайте рассмотрим каждый вид делегирования и его область действия.
По умолчанию объекты GPO могут создаваться членом группы Administrators
для домена или членами глобальной группы под названием Group Policy Creator
Owners (Владельцы создателей групповой политики). Однако хотя члены группы
Administrators имеют полный контроль над всеми объектами GPO, члены группы
Group Policy Creator Owners могут модифицировать только политики, которые
создали сами, если только им специально не было выдано разрешение на измене
ние других политик. Таким образом, если вы поместите выбранного администратора групповой политики в группу доступа Group Pol icy Creator Owners (которая почти так же неудобна, как и группа Acti ve Directory Users and Computers), то это лицо сможет создавать новые объекты политик и модифицировать их.
Чтобы делегировать возможность создания объекта G РО в домене, вы должны
добраться до узла Group Policy Objects (Объекты групповой политики) в консоли GPMC. После щелчка на этом узле перейдите на вкладку Delegation (Делегирование) в правой панели для просмотра списка пользователей и групп, которым была предоставлена возможность создания объектов GPO в домене (рис. 9.35).
Рис. 9.35. Делегирование возможности создания объектов GPO
с использованием консоли GPMC
Создание объекта G РО является лишь одним аспектом, а другим будет связыва
ние этого GPO с сайтом, доменом или организационной единицей.
Администраторы из группы Administrators способны делать это по умолчанию, но Д11Я предоставления такой возможности другим администраторам можно сконфигурировать специальное делегирование по каждому узлу AD.
Здесь очень важно следовать области действия. В отличие от возможности создания объекта GPO, которая распространяется на весь домен, возможность связывания GPO с узлом AD касается только этого узла AD, что вполне имеет смысл. А как насчет конфигурирования такого делегирования?
Чтобы сконфигурировать тех, кто может связывать объект GPO с каким-либо уз
лом АО, вам необходимо выбрать целевой узел AD в консоли GPMC. Затем в пане
ли справа перейдите на вкладку Delegatioп (Делегирование). Ее имеет каждый узел AD . Обратите внимание на то, что пользователи и группы в стандартном списке могут связывать объект GPO с этим узлом, как показано на рис. 9.36. Имейте в виду один ключевой момент: такое делегирование связывания с узлом AD не наследуется вглубь структуры АО. Следовательно, если вы делегируете возможность связывания объекта GPO узлу домена, это не приводит к предоставлению такой возможности всем организационным единицам в данном домене.
Финальные три вида делегирования обладают одной и той же областью действия — на каждый объект GPO. Опять-таки, в этом есть своя логика, но некоторым людям не всегда удается воспроизвести эту логику на клавиатуре. Если это логично, вы должны быть в состоянии выбрать объект GPO в консоли GPMC, а затем в панели справа перейти на вкладку Delegatioп, чтобы увидеть задачи делегирования Д11 Я GPO. Это в точности то, что представлено на рис. 9.37 — три уровня делегирования Д11 я GPO. Здесь для просмотра полного списка задач делегирования понадобится
щелкнуть правой кнопкой мыши на объекте GPO.
Рис. 9.36. Делегирование возможности связывания объекта GPO домену
Рис. 9.37. Делегирование задачи управления, редактирования и чтения объекта GPO
В интерфейсе указано не «упраалять объектом G РО», а Edit settings, delete, modify security (Редактировать настройки, удалять, изменять параметры безопасности) д;IЯ объекта GPO.
делегирование управления с использованием организационных единиц
Безусловно, одной из сильных сторон AD яаляется возможность выдачи частич
ных или полных прав администрирования группе пользователей, предполагая, что
это делается с целью разделения сети с одним доменом, скажем, на части Uptown
(спальный район) и Downtown (деловой район), Marketing (отдел маркетинга),
Engineering (конструкторский отдел) и Management (отдел управления), или еще
как-нибудь. Давайте рассмотрим простой пример, демонстрирующий, как это мож
но сделать.
Предположим, что в отделе маркетинга работают пять сотрудников: Адам (Adam),
Бетти (Betty), Чип (Chip), Дебби (DebЬie) и Элен (Elaine). Они хотят, чтобы у одного сотрудника, Элен, была возможность сброса паролей. Причина в том, что проблема
«Я забыл свой пароль — можете ли вы мне сбросить его?» чаще других озвучивается при звонках сотрудников отдела маркетинга в центральную службу поддержки.
В центральной службе поддержки были бы счастливы иметь кого-то внутри отдела
маркетинга, кто взял бы данную проблему в свои руки, освободив их для решения других насущных проблем.
Ниже описан процесс.
1. Создайте организационную единицу под названием Marketing.
Конечно, организационной единице можно назначить любое другое имя, но
Marketing впоследствии проще будет вспомнить.
2. Переместите существующие учетные записи Адама, Бетти, Чипа, Дебби и Э лен
в организаuионную единицу Marketing.
3. Создайте группу под названием MktPswAdm, где будут находиться учетные
записи тех пользователей, которые могут сбрасывать пароли для персонала в
организационной единиuе Marketing.
И снова вы можете выбрать для группы какое-то другое имя.
4. Сделайте учетную запись пользователя Elaine членом группы MktFswAdm.
5. Делегируйте управления сбросом паролей для организационной единиuы
Marketing группе MktPswAdm.
Если вы хотите воспроизвести этот пример, проведите подготовку, создав учетные записи Адама, Бетти, Ч ипа, Дебби и Элен, но не делая их администраторами.
Или сделайте это в командной строке; введите net user ння _ nоль.эоsа!l’еля /add и создайте в папке Users указанные учетные записи. Например, вот как создать учетную запись для Адама: net user Adam Pa$$word /add
Для выполнения такой работы вы должны находиться на контроллере домена.
Создавать пользователей домена в командной строке можно на любой другой системе, но тогда потребуется добавить опцию /domain:
net user adam /add /domain
создание новой организационной единицы
Создавать новые организационные единицы несложно. Откройте оснастку Active
Directory Users and Computers (ADUC), щелкните правой кнопкой мыши на и мени
домена в панели слева и выберите в контекстном меню пункт New�Organizational Unit (Создатьс::>Организационная единица). Откроется диалоговое окно с запросом имени для новой организаuионной единицы. Введите Мarketing и щелкните на кнопке ОК. Дело сделано.
Перемещение учетных записей пользователей в организационную единицу
Далее, для перемещения учетных записей пользователей Adam, B e t ty, Chip,
Debb i e и E l a ine в организационную единицу Ma r ke t ing откройте оснастку ADUC, разверните узел домена (в данном случае это Bigfirm. com; ваш домен может называться и наче) и откройте папку Users. (Если вы создали пять учетных записей пользователей в другой папке, откройте ее.)
Чтобы переместить все пять учетных записей пользователей, шелкните на учет
ной записи Adam и , удерживая нажатой клавишу , щелкните на оставших
ся четырех учетных записях. Затем щелкните правой кнопкой мыши на одной из
выделенных пяти учетных зап исей и выберите в контекстном меню пункт Move
( Переместить); откроется диалоговое окно с запросом, куда переместить «объ
ект». Изначально в нем будет видно и мя домена со знаком » плюс» рядом с ним.
Щелкните на этом знаке «плюс» и узел домена раскроется, отобразив имеющиеся
в нем организационные единиuы. Выберите организаuионную единицу Marketing
и щелкните на кнопке ОК; все пять учетных записей переместятся в Marketing.
Можете открыть организационную единицу Marketing в оснастке ADUC и удостовериться, что указанные учетные записи теперь находятся в ней.
В качестве альтернативы можно воспользоваться возможностью перетаскивания.
Внутри оснастки ADUC щелкните на папке Users внутри левой панели.
В правойпанели должно отобразиться содержимое папки Users. В левой панели вы будете иметь возможность видеть не только папку Users, но также и организационную единицу Marketing.
Выберите учетные записи пользователей и перетащите их из правой панели в организационную единицу Marketing. Мгновенное перемещение в организационную единицу! (Что-что вы говорите? Вы не впечатлены?
Хорошо, тогда поверьте нам, что когда вам доведется выполнять большой объем работ по управлению пользователей, вы сочтете этот прием настоящим спасательным поясом. Просто доверьтесь нам.)
Создание группы МktPswAdm
Следующим действием будет создание группы для пользователей, которые мо
гут сбрасывать пароли в организационной единице Marketing. Опять-таки, ра
бота производится в оснастке ADUC. Щелкните на организационной единице Marketing, чтобы выделить ее, и выберите пункт меню Actioп’*New’*Group
(Действие Создать Группа).
(Можно также щелкнуть правой кнопкой мыши
на организационной единице Marketing и выбрать в контекстном меню пункт
New’*Group (Создать Группа).)
Вы увидите диалоговое окно New Object — Group
(Новый объект — Группа), подобное показанному на рис. 9.38.
Диалоговое окно New Object — Group предлагает опцию для создания группы
любого из трех типов, доступных в Active Directory. Нашим целям соответствует глобальная группа, хотя в этом конкретном случае — группа в заданном домене, получающая контроль в организационной единице в том же домене, — подойдет локальная группа домена, глобальная или универсальная группа. Мы назначили группе имя MktPswAdrn.
Щелкните на кнопке ОК.
Поместите учетную запись пользователя Elaine в группу MktPswAdrn. Щелкните
правой кнопкой мыши на имени группы MktPswAdm и выберите в контекстном
меню пункт Properties (Свойства).
В открывшемся диалоговом окне свойств перейдите на вкладку Members (Члены), щелкните на кнопке Add (Добавить), выберите учетную запись Elaine, щелкните на кнопке Add и затем на кнопке ОК. Вы увидите, что пользователь Elaine теперь является членом группы MktPswAdm. Щелкните на кнопке ОК, чтобы закрыть диалоговое окно.
делегирование управления сбросом паролей в организационной единице Мarketing группе МktPswAdm
Теперь давайте соберем все вместе. В оснастке ADUC щелкните правой кнопкой
мыши на организационной единице Marketing и выберите в контекстном меню
пункт Delegate Control (Делегировать управление). Откроется начальный экран мастера делегирования управления (Delegation of Contro Wizard).
Этот мастер предлагает упрощенный способ установки делегирования и в рассматриваемом первом примере он работает хорошо. Щелкните на кнопке Next
(Далее) и отобразится следующий экран мастера (рис. 9.39).
Затем вы должны сообщить о том, что часть задач управления делегируете группе, и указать эту группу. Щелкните на кнопке Add (Добавить) и выберите группу MkPswAdm. После щелчка на кнопке ОК для закрытия диалогового окна Add (Добавление) экран мастера выглядит так, как показано на рис. 9.40.
Щелкнув на кнопке Next, вы получите меню задач, которые можно делегировать
(рИс. 9.41).
Здесь вы найдете очень много функций, которые могут быть делегированы.
Вместо того чтобы заставить преодолевать длинный список функций, которые вас
никогда не будут интересовать, в Microsoft решили выбрать из них десяток или около того функций, которые вероятнее всего захочется делегировать, и одной из них является возможность сброса паролей. На рис. 9.41 эта функция выбрана; щелкните на кнопке Next, в результате чего отобразится последний экран мастера (рис. 9.42).
Щелкните на кнопке Fiпish (Готово), чтобы завершить работу мастера.
Вспомните, что делегирование позволяет выбрать набор пользователей, которые
будут иметь контроль определенного вида над другим набором пользователей и/или компьютеров.
Это достигается путем помещения контролирующих пользователей в
отдельную группу, помещения контролируемых пользователей и/или компьютеров в
организационную единицу и делегирования группе необходимых задач управления
этой организационной единицей.
Рис. 9.39. Перед выбором группы Рис. 9.40. Выбор группы MkPswAdrn
«4 Дополнительные возможности). На экране отобразятся новые элементы (рис. 9.43).
Расширенное делегирование: ручная установка разрешений
Хотя предыдущий сценарий является удачным — и успешным — примером, он
только слегка приоткрывает мощь делегирования.
На самом деле для делегирования вы не обязаны использовать мастер; он всего лишь упрощает выполнение определенного диапазона распространенных задач.
РЕКОМЕНДУЕМЫЕ ПРИЕМЫ ДЕЛЕГИРОВАНИЯ
Делегиров ние — это удобный инструмент для администрирования сети. При аккуратном применении оно приносит немалую пользу. До этого момента упоминалось только несколько рекомендуемых приемов делегирования, а сейчас мы расширим их перечень дополнительными советами .
+ Создавайте группы и организационные единицы, к которым применяется де
легирование. Этот облегчает их защиту, а также выполнение задач администрирования.
+ Избегайте назначения разрешений непосредственно пользователю. Создайте
группу (как обсуждалось ранее) и поместите в нее пользователя. Создание группы, содержащей одного пользователя, не так уж обременительно, как может
показаться поначалу. В действительности это намного упрощает жизнь администратора, не заставляя выяснять, по какой причине тот или иной пользователь по-прежнему может выполнять действия, которые не должен выполнять.
+ Назначайте пользователям и группам наименьший объем разрешений. Это по
может сделать сеть более защищенной. Пользователи могут думать, что име
ют право на полный контроль абсолютно над всем, но им редко, если вообще
когда-либо, требуется такой контроль.
+ Используйте полный контроль продуманно. Полный контроль может нанести встречный удар по вам, когда пользователи или группы начнут извлекать
выгоду от вашего щедрого дара.
Полный контроль дает пользователю возможность работать с разрешениями объекта. Это означает, что пользователи могут
предоставить себе более высокие разрешения, чем планировал администратор.
Вдобавок, если кто-то получает контроль над учетной записью, то он сможет
внести намного больше беспорядка, нежели в противном случае.
• Для дальнейшего усиления защиты и расширения удачных приемов админис
трирования делегируйте задачу создания объектов и задачу управления объек
тами разным группам. Такой подход известен как двухсубъектная целостность
(two-person integrity — TPI). Если вы разделите ответственность между двумя
персонами или группами, снизится вероятность некорректного управления со
стороны любого из них.
Думайте об этом как о разделении разрешений на создание резервных копий и восстановление из этих копий между двумя группами.
Например, одной группе администраторов можно предоставить возможность создания групп в организационной единице, тогда как другой группе
администраторов позволить управлять членством в группах.
• Создавайте представления панелей задач. Представления панелей задач удоб
ны, когда вы хотите делегировать задачи персоналу службы поддержки или
другим группам, которым требуются определенные разрешения, но не желае
те, чтобы они имели доступ к полной консоли. Такой прием помогает обучать
новых администраторов, прежде чем им будут предоставлены бразды правления всем доменом.
• Вы можете выполнять делегирование на уровнях выше организационной единицы, но в качестве правила избегайте поступать подобным образом. Если вы
делегируете разрешения на уровне домена, то такой пользователь или груп
па могут потенциально получить возможность намного большего влияния на
сеть, чем вы ожидали.
ОСТАВАЙТЕСЬ С НАМИ
Даже если вы не очень интересуетесь делегированием, все равно проработайте данный пример. Он демонстрирует навигацию по трем уровням с нарастающей сложностью в диалоговых окнах безопасности Windows Server 201 2 R2.
Ниже показано, как можно напрямую манипулировать делегированием.
1 . Откройте оснастку ADUC и выберите пункт меню ViewqAdvanced Features
(Виде:> Дополнительные возможности). На экране отобразятся новые элементы
(рис. 9.43)
2. Щелкните правой кнопкой мыши на организационной единице Marketing и выберите в контекстном меню пункт Properties (Свойства). Откроется диалоговое окно свойств организационной единицы Marketing с вкладкой Security (Безопасность). (Между прочим, если дополнительные возможности не включены, вкладка Security не отображается.)
3. Перейдите на вкладку Security и вы увидите примерно то, что показано на рис. 9.44.
Рис. 9.43. Оснастка ADUC с включенными дололнительными возможностями
Список разрешений для группы MkPswAdm прокручен вниз, чтобы вы видели, что для нее предлагается. Здесь отмечен только флажок Special permissions (Специальные разрешения), что не особенно информативно. Это верхний уровень диалогового окна безопасности Windows Server 201 2 R2. Считайте его обзорным уровнем для информации, связанной с безопасностью. Откровенно говоря, мы находим такое высокоуровневое представление довольно ограниченным. Все, на что оно действительно указывает — что в этом диалоговом окне сушествует много записей (все они на рисунке не уместились), и вы можете вспомнить, что каждая из них называется записью управления доступом (access control entry — АСЕ). Список таких записей называется списком управления доступом (access control Iist — ACL).
Теоретически вы должны иметь возможность щелкнуть на любой записи АСЕ
в верхней части диалогового окна и получить в нижней части сведения о том,
что конкретно эта запись АСЕ позволяет делать указанным объектам.
Например, на рис. 9.44 видно, что группа MkPswAdm имеет «специальные» разрешения. Это одна из причин, почему нам не нравится данное диалоговое окно,поскольку понятие «специальные» дает не особенно много информации.
Другая причина связана с тем, что это диалоговое окно показывает только крайне
упрощенный список возможных разрешений, что иногда будет вводить в заблуждение. Вот почему хорошо, что есть возможность углубиться на следующий уровень, щелкнув на кнопке Advanced (Дополнительно).
4. Щелчок на кнопке Advanced приводит к отображению диалогового окна дополнительных настроек безопасности (рис. 9.45).
5. Прокрутите список Permission entries (Записи разрешений) до появления
группы MkPswAdrn, и вы увидите, что для нее есть две записи: в одной указано
«специальное» разрешение, а в другой разрешения вообще не указаны, что в
принципе не несет в себе сколько-нибудь полезной информации
Рис. 9.45. Дополнительные настройки безопасности
для организационной единицы Marketing
6. При выделенной первой из этих записей щелкните на кнопке Edit (Редакти
ровать). Откроется диалоговое окно, показанное на рис. 9.46.
Прокрутив содержимое окна, вы увидите, что группе MkPswAdm была предо
ставлена возможность чтения и записи свойств дочерних объектов пользовате
лей (Descendant User objects), но только одного свойства pwdLastSet — имен
но так на языке АО называется возможность отметки флажка User must change
password at next logon (Пользователь должен изменить пароль при следующем
входе), который доступен в диалоговом окне Reset Password (Сброс пароля).
Рис. 9.46. Специальные возможности группы MktPswAdm
7. Возвратитесь в диалоговое окно дополнительных настроек безопасности и
щелкните на кнопке Edit при выделенной второй записи для группы MkPswAdm.
Откроется диалоговое окно, представленное на рис. 9.47.
7. Возвратитесь в диалоговое окно дополнительных настроек безопасности и
щелкните на кнопке Edit при выделенной второй записи для группы MkPswAdm.
Откроется диалоговое окно, представленное на рис. 9.47.
Рис. 9.47. Выдача разрешения на сброс паролей
Как видно на рис. 9.47, доступно огромное количество разрешений, которые могут быть выданы отдельной группе для управления организационной единицей.
Верите или нет, но вы можете устанавливать более чем 1 О ООО отдельных разрешений всего лишь для одной организационной единицы. Причем подсчитаны только разрешения Allow (Разрешить) — если учесть также и Dепу (Запретить), то указанное число удвоится.
Где вы можете использовать это? Итак, вы предоставили группе MkPswAdm возможность изменять пароли, но не устранили ее из групп, которые первоначальноимели ее — члены Doma in Admins, Enterprise Admins и тому подобных групп по-прежнему могут сбрасывать пароли.
Это не является плохой идеей, но если вы действительно столкнетесь со сценарием, так сказать, «феодальных поместий » . где сотрудники отдела маркетинга желают иметь уверенность в том, что только они могут администрировать свои учетные записи, то должны будете сначала делегировать задачи управления организационной единицей Marketing определенной группе, а затем перейти на вкладку Security и отключить эту возможность для других администраторов.
Выяснение установленных делегирований,или отмена делегирования
Настало время для не очень хороших и совсем плохих новостей.
Предположим, что вы не являетесь администратором, который настраивал среду Active Directory. Наоборот, вы — второй по счету адми нистратор, и нас наняли на работу, чтобы почистить «авгиевы конюшни», оставшиеся после первого администратора. Вы знаете такой сорт администраторов; они сродни «сумасшедшим ученым » — парни, щелкающие на чем попало внутри инструментов администрирования до тех пор, пока проблема не будет решена». как они думают. А как на счет документирования’? Ха, настоящие администраторы никогда не документируют;
у них никогда нет времен и на документирование. В конце концов, эту сеть было трудно проектировать, так ее должно быть трудно и понимать!
Итак, вам интересно, что же этот парень натворил. Как он изменил среду AD
компании по сравнению со стандартной средой АО, которая получается сразу после запуска утилиты DCPromo’? Н а этот вопрос сложно ответить. Разумеется, созданные им организационные единицы вполне очевидны — просто загляните в Active Directory Users and Computers и увидите там новые папки. Но какие делегирования он создал ‘?
А теперь не очень хорошая новость. К сожалению, не существует программы, которую можно было бы запустить, и она бы сравнила стандартную структуру АО и делегирования с текущей структурой АО и делегированиями, выдав отчет в стиле «вот то, что было изменено». Учитывая это ограничение, мы совершенно искренне советуем: всегда документируйте делегирования.
Всегда.
Попытайтесь контролировать, кто может устанавливать делегирование, и проясните, что делегирование разрешено делать только умеренно. Почему же тогда мы называли эту новость о сравнении лишь не очень хорошей, а не плохой’? Причина в том, что есть небольшой инструмент, имеющий название dsacls . ехе. Этот инструмент, входящий в состав основных утилит командной строки Windows Server 201 2 R2, предоставляет детализированные листинги со списками ACL (порция a c l s названия) службы каталогов (порция ds названия).
Для запуска и нструмента dsa c l s . е х е вы должны перейти в окно командной строки.
1. Выберите в меню Start (Пуск) пункт Run (Выполнить).
2. В появившемся диалоговом окне введите cmd; откроется окно командной
строки.
3. В окне командной строки введите dsacls, чтобы получить полный спектр
помощи, предлагаемой этим инструментом.
Как указано в справке, инструмент требует ввода пути к организационной единице, которую вы хотите просмотреть, с применением официального синтаксиса LDAP. В данном примере путь будет выглядеть подобно ou=marketing,
dc=bigfirm, dc=com.
Вы можете просто ввести dsacls ou=marketing, dc=bigfirm, dc=com. Это
приведет к выводу информации в окне командной строки, что не очень удобно
для проведения анализа.
4. Таким образом, направьте вывод в файл, используя следующий синтаксис:
dsacls ou=marketing, dc=bigfirm, dc=com > c : marketing _ OU _ delegation . txt
Открыв файл marketing_ ou _ delegation . txt, вы увидите результат, похожий на показанный на рис. 9.48.
Рис. 9.48. Выдача разрешения на сброс паролей
Осталась по-настоящему плохая новость. Мастер Delegation of Control Wizard —
удобный небольшой инструмент, но он является мастером только делегирования, но не отмены делегирования. Если вы хотите отозвать у группы MkPswAdm возможность
изменения паролей учетных записей в отделе маркетинга, понадобится перейти на вкладку Security, найти ссылки на MkPswAdm и удалить их. Мы предупреждаем, что если вы хотите сохранить одни делегирования и удалить другие, вам придется вручную определить, какие из них соответствуют делегируемой задаче, которую вы конфигурируете.
Обзор групповой политики
Групповая политика представляет собой самый простой способ настройки компьютера и параметров пользователей в сетях на основе доменных служб Active Directory. Если ваша компания не использует групповую политику, вы упускаете отличную возможность для снижения расходов, управления конфигурациями, поддержания производительности и удобства для пользователей, а также повышения уровня безопасности. Групповая политика дает возможность настроить многочисленные параметры одновременно.
В данном техническом документе приведены простые и понятные требования и инструкции по использованию групповой политики.
- Сеть должна работать на основе доменных служб Active Directory (то есть хотя бы на одном сервере должна быть установлена роль доменных служб Active Directory). Чтобы узнать больше о доменных службах Active Directory, см. Обзор доменных служб Active Directory на веб-сайте TechNet.
- Компьютеры, которыми требуется управлять, должны быть присоединены к домену, а пользователи, которыми нужно управлять, должны использовать на своих компьютерах для входа в систему учетные данные домена.
- Необходимо разрешение для изменения групповой политики в домене.
Хотя в центре внимания этого технического документа находится использование групповой политики в доменных службах Active Directory, параметры групповой политики можно также настроить локально на каждом компьютере. Эта возможность хорошо подходит для однократных сценариев или компьютеров рабочей группы, но локальную групповую политику не рекомендуется использовать в коммерческих сетях на основе доменных служб Active Directory. Причина проста. Групповая политика на основе домена централизует управление, что позволяет работать с множеством компьютеров из одного места. Локальная групповая политика требует работы с каждым компьютером по отдельности, что не является идеальным сценарием для больших сред. Чтобы получить дополнительные сведения о настройке локальной групповой политики, см. Редактор локальной групповой политики на веб-сайте TechNet.
Windows 7 применяет параметры политики, определенные с помощью групповой политики. В большинстве случаев для применения таких параметров отключается пользовательский интерфейс. Кроме того, поскольку Windows 7 сохраняет параметры групповой политики в безопасных расположениях реестра, стандартные учетные записи пользователей не позволяют изменить такие параметры. Таким образом, за один раз параметр можно настроить и применить на множестве компьютеров. Если параметр больше не применяется к компьютеру или пользователю, групповая политика удаляет этот параметр политики, восстанавливает исходный параметр и включает соответствующий пользовательский интерфейс. Эта функциональность является одновременно удивительной и чрезвычайно мощной.
Примечание |
---|
Стандартными учетными записями пользователей являются учетные записи пользователей, входящих в группу локальных пользователей, но не входящих в группу локальных администраторов. Их возможность настраивать параметры системы ограничена. Windows 7 поддерживает стандартные учетные записи пользователей лучше, чем предыдущие версии Windows, что позволяет таким учетным записям изменять часовой пояс, устанавливать принтеры, устранять проблемы с сетевыми подключениями и т. д. Развертывание стандартных учетных записей пользователей является лучшей методикой, и для этого всего лишь не нужно добавлять учетные записи пользователей в группу локальных администраторов. При присоединении компьютера к домену Windows 7 автоматически добавляет группу пользователей домена в группу локальных пользователей. |
Основные концепции групповой политики
Всеми аспектами групповой политики можно управлять с помощью консоли управления групповыми политиками. На рисунке 1 показана консоль управления групповыми политиками, и в данном техническом документе по мере изучения важных концепций групповой политики будет встречаться множество ссылок на этот рисунок.
Рис. 1. Консоль управления групповыми политиками
Консоль управления групповыми политиками запускается из меню «Пуск». Щелкните Пуск, Все программы, Администрирование, Управление групповыми политиками. Можно также щелкнуть Пуск, ввести Управление групповыми политиками и выбрать Управление групповыми политиками в разделе Программы меню «Пуск». Windows Server 2008 и Windows Server 2008 R2 включают консоль управления групповыми политиками при выполнении роли доменных служб Active Directory. В противном случае консоль управления групповыми политиками можно установить на Windows Server 2008, Windows Server 2008 R2 или Windows 7, как описано далее в разделе «Установка консоли управления групповыми политиками в Windows 7» данного технического документа.
Объекты групповой политики
Объекты групповой политики содержат параметры политики. Объекты групповой политики можно рассматривать как документы политики, применяющие параметры к находящимся под их контролем компьютерам и пользователям. Если объекты групповой политики подобны документам политики, то консоль управления групповыми политиками подобна проводнику. Консоль управления групповыми политиками используется для создания, перемещения и удаления объектов групповой политики точно так же, как проводник используется для создания, перемещения и удаления файлов.
В консоли управления групповыми политиками можно увидеть все объекты групповой политики домена в папке объектов групповой политики. На рисунке 1 выноской 1 отмечены три объекта групповой политики для домена corp.contoso.com. Это следующие объекты групповой политики.
- Accounting Security. Этот пользовательский объект групповой политики создан специально для компании Contoso, Ltd.
- Default Domain Controller Policy. Эта политика создается по умолчанию при установке роли сервера доменных служб Active Directory. Она содержит параметры политики, которые применяются именно к контроллерам домена.
- Default Domain Policy. Эта политика создается по умолчанию при установке роли сервера доменных служб Active Directory. Она содержит параметры политики, которые применяются ко всем компьютерам и пользователям в домене.
Связи групповой политики
На верхнем уровне доменных служб Active Directory находятся сайты и домены. В простых случаях имеется один сайт и один домен. В домене можно создать подразделения. Подразделения похожи на папки в проводнике. Однако вместо файлов и подпапок они могут содержать компьютеры, пользователей и другие объекты.
Например, на рисунке 1 можно увидеть подразделение под названием Departments. Ниже подразделения Departments находятся четыре подпапки: Accounting, Engineering, Management и Marketing. Это дочерние подразделения. На рисунке 1 нет подразделений, кроме подразделений контроллеров домена.
Для чего нужны связи групповой политики? Объекты групповой политики, находящиеся в папке объектов групповой политики, не оказывают никакого влияния, если они не связаны с сайтом, доменом или подразделением. Если объект групповой политики связан с контейнером, групповая политика применяет параметры этого объекта групповой политики к компьютерам и пользователям в этом контейнере. На рисунке 1 выноской 1 отмечены два объекта групповой политики, связанные с подразделениями.
- Первый объект групповой политики называется Default Domain Policy, и он связан с доменом corp.contoso.com. Этот объект групповой политики применяется к каждому компьютеру и пользователю в домене.
- Второй объект групповой политики называется Accounting Security, и он связан с подразделением Accounting. Этот объект групповой политики применяется к каждому компьютеру и пользователю подразделения Accounting.
В консоли управления групповыми политиками можно создавать объекты групповой политики в папке объектов групповой политики, а затем связывать их — за два шага. Объект групповой политики можно также создать и связать за один шаг. В большинстве случаев объекты групповой политики создаются и связываются за один шаг, как описано далее в разделе «Создание объекта групповой политики» этого технического документа.
Наследование групповой политики
Как было отмечено в предыдущем разделе, при связывании объекта групповой политики с доменом этот объект групповой политики применяется ко всем компьютерам и пользователям всех подразделений и дочерних подразделений домена. Подобным же образом при связывании объекта групповой политики с подразделением этот объект групповой политики применяется ко всем компьютерам и пользователям всех дочерних подразделений. Эта концепция называется наследованием.
Например, если создать объект групповой политики под названием Windows Firewall Settings и связать его с доменом corp.contoso.com на рисунке 1, параметры этого объекта групповой политики будут применены ко всем подразделениям на рисунке: Departments, Accounting, Engineering, Management, Marketing и Domain Controllers. Если вместо этого связать объект групповой политики с подразделением Departments, то параметры этого объекта групповой политики будут применены только к подразделениям Departments, Accounting, Engineering, Management и Marketing. Они не будут применены ко всему домену или подразделению Domain Controllers. Если переместиться ниже на один уровень и связать тот же объект групповой политики с подразделением Accounting на рисунке 1, параметры объекта групповой политики будут применены только к подразделению Accounting, так как у него нет дочерних подразделений. В консоли управления групповыми политиками можно увидеть, что контейнер объекта групповой политики наследуется, если щелкнуть вкладку Group Policy Inheritance (выноска 1 на рисунке 2).
Рис. 2. Наследование и приоритет групповых политик
Что произойдет, если один параметр будет содержаться в нескольких объектах групповой политики? В этом случае используется порядок приоритета. Вообще говоря, приоритет определяется порядком, в котором групповая политика применяет объекты групповой политики. Порядок следующий: сайт, домен, подразделение и дочерние подразделения. В результате объекты групповой политики в дочерних подразделениях имеют более высокий приоритет, чем объекты групповой политики, связанные с родительскими подразделениями. Последние имеют более высокий приоритет по сравнению с объектами групповой политики, связанными с доменом, приоритет которых, в свою очередь, выше, чем у объектов групповой политики, связанных с сайтом. Проще говоря, групповая политика применяет объекты групповой политики сверху вниз, постоянно перезаписывая параметры. Однако в более сложных сценариях порядок приоритета можно переопределить.
В пределах одного подразделения могут быть также несколько объектов групповой политики, содержащих один и тот же параметр. Как и в предыдущем случае, порядок приоритета определяется порядком, в котором групповая политика применяет объекты групповой политики. На рисунке 2 можно видеть два объекта групповой политики, связанных с доменом corp.contoso.com: Windows Firewall Settings и Default Domain Policy. Групповая политика применяет объекты групповой политики с более низким порядком связи после применения объектов групповой политики с более высоким порядком связи. В данном случае объект Windows Firewall Settings будет применен после объекта Default Domain Policy. Просто помните, что порядок связи 1 имеет первый приоритет, а порядок связи 2 имеет второй приоритет. Порядок связи для контейнера можно изменять, щелкая стрелку вверх и стрелку вниз, как показано выноской 2 на рисунке 2.
Примечание |
---|
Вероятно, уже стало ясно, что групповая политика представляет собой удивительно разносторонний инструмент. Однако групповая политика дает возможность сделать все слишком запутанным. В простых средах, таких как лаборатории и небольшие компании, нет ничего плохого в том, чтобы связать все объекты групповой политики с доменом. Не надо усложнять. Сложность должна быть оправданной. На рисунке 1, если нужно создать объект групповой политики и связать его только с подразделениями Engineering и Marketing, оправданием может служить то, что этот объект групповой политики содержит параметры, которые применяются только к этим двум отделам и не должны применяться к другим отделам. Если такого оправдания не существует, следует связать объект групповой политики с доменом, чтобы не создавать сложностей. |
Параметры групповой политики
Мы уже познакомились с объектами групповой политики. Изучили, что консоль управления групповыми политиками для объектов групповой политики и подразделений значит то же самое, что проводник для файлов и папок. Объекты групповой политики представляют собой документы политики. В какой-то момент потребуется изменить один из таких документов, и в этом случае в качестве редактора следует использовать редактор «Управление групповыми политиками», показанный на рисунке 3. Чтобы открыть объект групповой политики в редакторе «Управление групповыми политиками», следует щелкнуть его правой кнопкой мыши в консоли управления групповыми политиками и выбрать команду Править. По окончании правки нужно просто закрыть окно. Редактор «Управление групповыми политиками» автоматически сохраняет изменения, поэтому нет необходимости выполнять сохранение.
Рис. 3. Редактор «Управление групповыми политиками»
Выноски 1 и 2 на рисунке 3 указывают соответственно на папки Computer Configuration и User Configuration. Папка Computer Configuration содержит параметры, которые применяются к компьютерам независимо от того, какие пользователи входят в систему. Это главным образом параметры системы и безопасности, настраивающие и контролирующие компьютер. Папка User Configuration содержит параметры, которые применяются к пользователям независимо от того, какой компьютер они используют. Эти параметры главным образом влияют на работу пользователей.
В папках Computer Configuration и User Configuration можно увидеть две подпапки (выноски 3 и 4 на рисунке 3).
- Policies. Папка Policies содержит параметры политики, применяемые групповой политикой.
- Preferences. Папка Preferences содержит параметры предпочтений, которые можно использовать для изменения почти любого параметра реестра, файла, папки или другого элемента. С помощью параметров предпочтений можно настроить приложения и функции Windows, не зависящие от групповой политики. Например, можно создать параметр предпочтений, который настраивает значение реестра для стороннего приложения, удаляет папку «Образцы изображений» из профиля пользователя или конфигурирует INI-файл. Можно также выбрать, будет ли групповая политика применять каждый из параметров предпочтений. Однако стандартные учетные записи пользователей позволяют изменять большинство параметров предпочтений, определяемых в папке User Configuration между обновлениями групповой политики. Дополнительную информацию о параметрах предпочтений см. в документе Обзор предпочтений групповой политики.
При первом знакомстве с групповой политикой большая часть настраиваемых параметров будет находиться в папках «Административные шаблоны». Это параметры политики на основе реестра, применяемые групповой политикой. Они отличаются от других параметров политики по двум причинам. Во-первых, групповая политика сохраняет эти параметры в особых расположениях реестра под названием ветви политик, которые нельзя изменить с помощью стандартных учетных записей пользователей. Зависящие от групповой политики функции и приложения Windows ищут эти параметры в реестре. Если они их находят, то используют эти параметры политики вместо обычных параметров. В соответствии с этими параметрами они также часто отключают пользовательский интерфейс.
Во-вторых, шаблоны для этих параметров определяются файлами административных шаблонов, имеющими расширение .admx. Эти шаблоны не только определяют место параметров политики в реестре, но также описывают, как их вызывать в редакторе «Управление групповыми политиками». Например, в параметре групповой политики, показанном на рисунке 4, файл административного шаблона определяет текст справки, доступные параметры, поддерживаемые операционные системы и т. д.
Рис. 4. Параметр групповой политики
В процессе правки параметра политики можно столкнуться с вариантами, указанными выносками 1–3 на рисунке 4. Выбор этих вариантов приводит к следующим результатам.
- Enabled: запись параметра политики в реестр со значением, включающим его.
- Disabled: запись параметра политики в реестр со значением, выключающим его.
- Not Configured: параметр политики остается неопределенным. Групповая политика не записывает этот параметр политики в реестр, поэтому он не оказывает влияния на компьютеры или пользователей.
Невозможно обобщить, что означает включение и выключение для каждого параметра политики. Для точного определения значения этих вариантов можно прочитать текст справки, указанный выноской 5. Необходимо также внимательно читать имя параметра политики. Например, один параметр политики может указывать «Включить функцию X», а другой — «Выключить функцию Y». В каждом случае включение и выключение имеет разные значения. Пока не освоитесь, читайте текст справки для настраиваемых параметров политики.
Некоторые параметры политики имеют дополнительные настраиваемые параметры. Выноска 4 на рисунке 4 показывает параметры, доступные для параметра политики интервала обновления групповой политики. В большинстве случаев значения по умолчанию совпадают со значениями по умолчанию для Windows. В тексте справки обычно также содержатся подробные сведения о настраиваемых параметрах.
Обновление групповой политики
Как было сказано в предыдущем разделе, объекты групповой политики содержат параметры компьютеров и пользователей. Групповая политика применяет их следующим образом.
- Параметры компьютера при запуске Windows.
- Параметры пользователя после входа пользователя в систему.
Групповая политика также регулярно обновляет объекты групповой политики, чтобы обеспечить применение новых и измененных объектов групповой политики, не ожидая перезагрузки компьютера или выхода пользователя из системы. Промежуток времени между такими обновлениями называется интервалом обновления групповой политики. По умолчанию используется значение 90 минут с небольшим фактором случайности, позволяющим предотвратить одновременное обновление всех компьютеров. Если изменить объект групповой политики в середине рабочего дня, групповая политика применит эти изменения в течение примерно 90 минут. Не надо будет ждать конца рабочего дня, когда пользователи выйдут из системы или перезапустят компьютеры. В более сложных сценариях интервал обновления по умолчанию можно изменить.
Примечание |
---|
В любой момент можно обновить групповую политику вручную с помощью команды Gpupdate.exe. Например, после обновления объекта групповой политики может потребоваться обновить групповую политику на компьютере, чтобы тестировать изменения, не дожидаясь интервала обновления групповой политики. Пошаговые инструкции приведены далее в этом техническом документе в разделе «Обновление клиентов». |
Основные задачи групповой политики
Мы познакомились с основными концепциями групповой политики. Мы знаем, что объект групповой политики подобен документу, содержащему параметры политики. Объектами групповой политики можно управлять с помощью консоли управления групповыми политиками, и их можно править с помощью редактора «Управление групповыми политиками».
Известно также, что объекты групповой политики связываются с сайтами, доменами и подразделениями доменных служб Active Directory для применения параметров объектов групповой политики к этим контейнерам. Домены, подразделения и дочерние подразделения наследуют параметры родителей. Однако дублирующиеся параметры в объектах групповой политики, связанных с дочерними подразделениями, обладают приоритетом по сравнению с теми же параметрами в объектах групповой политики, связанных с родительскими подразделениями; последние обладают приоритетом по сравнению с объектами групповой политики, связанными с доменом, и т. д.
Нам также известно, что в пределах сайта, домена или подразделения порядок связи определяет порядок приоритета (чем меньше номер, тем выше приоритет). Наконец, мы получили базовые знания по методам правки объектов групповой политики и типам содержащихся в них параметров.
Теперь, после изучения основных концепций, мы готовы ознакомиться с основными задачами. В данном разделе описываются создание, правка и удаление объектов групповой политики. В нем также описывается множество других задач. Для каждой задачи приводятся объяснение цели и пошаговые инструкции со снимками экрана для каждого шага.
Примечание |
---|
Функция пакета Microsoft Desktop Optimization Pack, которая называется расширенным управлением групповыми политиками, дополняет групповую политику новыми возможностями, такими как автономная правка, управление версиями и ролевое делегирование. Любая организация может использовать для управления групповыми политиками преимущества расширенного управления групповыми политиками. Дополнительные сведения о расширенном управлении групповыми политиками см. в документе Расширение групповой политики с помощью управления изменениями. |
Создание объекта групповой политики
Объект групповой политики создается с помощью консоли управления групповыми политиками. Объект групповой политики можно создать двумя способами.
- Создать и связать объект групповой политики за один шаг.
- Создать объект групповой политики в папке объектов групповой политики, а затем связать его с доменом или подразделением.
Инструкции в данном разделе описывают создание и связывание объекта групповой политики за один шаг.
Можно начать с пустого объекта групповой политики, который описывается инструкциями, или использовать начальный объект групповой политики. Начальные объекты групповой политики являются дополнительной темой, с которой можно ознакомиться с помощью статьи Работа с начальными объектами групповой политики.
Создание и связывание объекта групповой политики в домене или подразделении
Правка объекта групповой политики
В консоли управления групповыми политиками можно открывать объекты групповой политики из любого контейнера в редакторе «Управление групповыми политиками» и править. Чтобы увидеть все объекты групповой политики, независимо от места их связи, для правки следует использовать папку объектов групповой политики.
Выполнение правки объекта групповой политики в домене, подразделении или папке объектов групповой политики
Связывание объекта групповой политики
Если объекты групповой политики создаются и связываются за один шаг, не требуется вручную связывать объекты групповой политики с доменом или подразделениями. Однако если объект групповой политики создается в папке объектов групповой политики или его связь была разорвана и ее требуется восстановить, такой объект групповой политики нужно будет связать вручную. Простой способ связать объект групповой политики состоит в его перетаскивании из папки объектов групповой политики на домен или подразделение, с которым его нужно связать.
Связывание объекта групповой политики с доменом или подразделением
Удаление связи объекта групповой политики
Связь объекта групповой политики удаляется, если больше не требуется применять его к домену или подразделению (или к соответствующим дочерним подразделениям). Позднее связь можно восстановить, как описано в разделе «Связывание объекта групповой политики».
При удалении связи объекта групповой политики из домена или подразделения сам объект групповой политики не удаляется. Удаляется только связь. После удаления связи объект групповой политики остается в папке объектов групповой политики консоли управления групповыми политиками.
Удаление связи объекта групповой политики из домена или подразделения
Удаление объекта групповой политики
Обновление клиентов
При тестировании, правке или устранении неполадок объектов групповой политики нет необходимости ждать интервала обновления групповой политики (по умолчанию 90 минут). Групповую политику на любом клиентском компьютере можно обновить вручную, выполнив команду Gpupdate.exe. Команда Gpupdate.exe поддерживает множество параметров командной строки, о которых можно узнать, введя gpupdate.exe /? в окне командной строки. Однако в большинстве случаев для обновления групповой политики достаточно следовать инструкциям, приведенным в данном разделе.
Обновление групповой политики вручную с помощью команды Gpupdate.exe
Резервное копирование объектов групповой политики
Резервное копирование важных файлов является полезным делом, и объекты групповой политики не составляют исключения. В случае ошибочного изменения или случайного удаления объект групповой политики можно быстро восстановить из резервной копии. С помощью консоли управления групповыми политиками можно создавать резервные копии объектов групповой политики в любом местоположении.
Выполнение резервного копирования объекта групповой политики в папку
1 | В консоли управления групповыми политиками щелкните папку Объекты групповой политики. | |
2 | Щелкните правой кнопкой мыши объект групповой политики, для которого нужно создать резервную копию, и выберите команду Резервное копирование. | |
3 | В поле Расположение диалогового окна Резервное копирование объекта групповой политики введите путь к папке, в которой нужно создать резервную копию объекта групповой политики. Можно также нажать кнопку Обзор и выбрать папку. Затем введите краткое описание объекта групповой политики в поле Описание и щелкните Резервное копирование. | |
4 | Проверьте результаты в диалоговом окне Резервное копирование и нажмите кнопку ОК. |
Восстановление объектов групповой политики
Установка консоли управления групповыми политиками в Windows 7
Windows Server 2008 и Windows Server 2008 R2 включают консоль управления групповыми политиками при выполнении роли доменных служб Active Directory. В противном случае можно установить консоль управления групповыми политиками на Windows Server 2008, Windows Server 2008 R2 или Windows 7. Чтобы установить консоль управления групповыми политиками, нужно загрузить Средства удаленного администрирования сервера для Windows 7 с пакетом обновления 1 (SP1) и установить на компьютере один из следующих файлов:
- Windows6.1-KB958830-x64-RefreshPkg.msu. Этот пакет устанавливается на компьютерах с архитектурой x64, включая работающие под управлением Windows Server 2008 R2.
- Windows6.1-KB958830-x86-RefreshPkg.msu. Этот пакет устанавливается на компьютерах с архитектурой x86.
Установка обновления просто добавляет эту функцию в Windows. Кроме того, средства управления групповыми политиками необходимо включить с помощью раздела «Программы и компоненты» панели управления. В инструкциях, приведенных в данном разделе, описывается установка обновления, а также включение средств управления групповыми политиками.
Установка средств удаленного администрирования сервера для Windows 7 с пакетом обновления 1 (SP1)
1 | Выполните один из следующих файлов, загруженных ранее:
Затем нажмите кнопку Да, чтобы установить обновление. |
|
2 | На странице Прочтите условия лицензионного соглашения (1 из 1) изучите условия и, если согласны, щелкните Принимаю. | |
3 | На странице Установка завершена нажмите кнопку Закрыть. |
Включение средств управления групповыми политиками
Заключение
Мы прошли долгий путь. Изучили важные концепции групповой политики, такие как объекты групповой политики, связи, наследование и т. д. Мы также изучили использование консоли управления групповыми политиками и редактора «Управление групповыми политиками» для выполнения основных задач, например создания, правки и удаления объектов групповой политики.
Чтобы узнать больше о групповой политике и развить навыки, можно использовать множество доступных ресурсов Майкрософт. Прежде всего страницу ресурсов групповой политики технического центра Windows Server, где можно найти любое необходимое техническое содержимое, связанное с групповой политикой. На этой странице представлено множество руководств по началу работы, а также видеозаписи. Чтобы получить рекомендации по групповой политике, относящиеся к Windows 7, посетите Зону обеспечения безопасности и управления клиентами Windows.
http://technet.microsoft.com/ru-ru/library/hh147307(v=ws.10).aspx