Для чего нужны групповые политики windows server

Содержание

Концепции групповой политики
Политики работают по принципу » все или ничего»
Политики наследуются и накапливаются
Интервалы обновления групповой политики
Основы групповой политики
Репликация групповой политики является встроенной
Объекты GРО самостоятельно выполняют очистку при удалении
Для применения настроек GРО вход не требуется
Локальные политики и объекты групповой политики
Объект LGPO для администраторов и не администраторов
Объект LGPO, специфичный для пользователя
Создание объектов GPO
Модификация стандартного поведения групповой политики
Настройки для управления групповой политикой
Применение групповой политики
Каким образом применяется групповая политика
Фильтрация групповой политики с помощью с писков управления доступом
Принудительное применение и блокирование наследования
Возможности настроек групповой политики
Настройки конфигурации пользователя и компьютера
Использование групповой политики для установки политики паролей и блокировки учетных записей
Предпочтения групповой политики
Новая и усовершенствованная консоль GРМС
Стартовые объекты GРО
Резервное копирование и восстановление объектов GPO
Поиск и устранение неполадок в групповых политиках
Инструмент Resultant Set of Policy
Получение результатов групповой политики с использованием консоли GPMC
Моделирование групповой политики с использованием консоли GPMC
gpresult.exe
Использование программы Event Viewer
Основы поиска и устранения неполадок: с охраняйте простоту
Делегирование Active Directory
Делегирование прав администрирования групповой политикой
Делегирование управления с использованием организационных единиц
Создание новой организационной единицы
Перемещение учетных записей пользователей в организационную единицу
Создание группы MktPswAdm
Делегирование управления сбросом паролей в организационной единице Marketing группе MktPswAdm
Расширенное делегирование: ручная установка разрешений
Выяснение установленных делегирований, или отмена делегирования

Когда ведутся разговоры на разнообразные темы, связанные с Active Directory,
необходимо также говорить о групповой политике (Group Policy). Групповая
политика не является новой технологией для Active Directory, но с момента своего появления в Windows 2000 Server она разрасталась и совершенствовалась с каждой выпущенной версией ОС и пакетом обновлений. Технология Group Poicy и воз­можности, которые она предлагает в Windows Server 2012 R2, претерпели настолько радикальные улучшения по сравнению с первоначальной версией, что ее впору счи­тать полностью новой технологией. Изменениям и усовершенствованиям были под­вергнуты средства управления групповой политикой (консоль управления групповой политикой (Group Poicy Management Consoe) и редактор управления групповыми политиками (Group Policy Management Editor)), управление доступными настройка­ми (теперь их более 5000), управление целевыми объектами и устранение неполадок в инфраструктуре Group Policy. Если вы — опытный пользователь Group Poicy, то непременно сосредоточите внимание на разделах этой главы, посвященных пред­почтениям групповой политики, консоли управления групповой политикой (Group Poicy Management Consoe — GPMC) и устранению неполадок.
В этой главе вы изучите следующие темы:
• понятие локальных политик и объектов групповой политики (Group Policy
object — GPO);
• создание объектов GPO;
• устранение неполадок в групповых политиках;
• делегирование управления с использованием организационных единиц;
• применение расширенного делегирования мя установки отдельных разреше­
ний вручную;
• выяснение, какие делегирования были установлены.

Концепции групповой политики

Давайте начнем с рассмотрения важных концепций, терминов и правил, кото­
рые необходимо знать, чтобы овладеть групповой политикой. Во время объяснения
функциональности групповой политики мы будем упоминать отдельные настройки,
не показывая, как их в действительности включать в оснастке Group Policy. В на­стоящий момент просто сосредоточьтесь на концепциях. Позже в этом разделе мы предоставим полный экскурс в консоль управления групповой политикой (GPMC);
мы рассмотрим использование групповой политики (включая опции Enforce
(Применить) и Block lnheritance (Блокировать наследование политики)) и расширен­ные настройки.
Администраторы конфигурируют и развертывают групповую политику путем
построения обьектов групповоu политики (Group Policy object — GPO). Объекты
G РО — это контейнеры мя групп настроек (настроек политики), которые могут
быть применены к учетным записям пользователей и компьютеров через Active
Directory. Объекты групповой политики создаются с использованием редактора уп­равления групповыми политиками (Group Policy Management Editor — GPME), ко­торый запускается при редактировании объекта GPO из консоли GPMC. В одном
объекте G РО можно указать набор приложений, предназначенных мя установки на
рабочих столах всех пользователей, реализовать очень строгую политику дисковых квот и ограничений на просмотр, а также определить политики паролей и блоки­ровки учетных записей, действующие на уровне домена. Возможно создание одного всеохватывающего объекта GPO или нескольких объектов GPO, по одному на каж­дый тип функции.
Объект G РО состоит из двух частей, представленных в виде узлов.
• Computer Configuration (Конфигурация компьютера). Политики конфигурации
компьютера управляют настройками, специфичными мя машины, такими как
дисковые квоты, аудит безопасности и ведение журналов событий.
• User Configuration (Конфигурация пользователя). Политики конфигурации
пользователя управляют настройками, специфичными для пользователя, таки­
ми как конфигурация приложений, управление меню Start (Пуск) и переадре­
сация папок.
Однако между этими двумя частями есть немало общего, особенно теперь, когда
введен набор предпочтений групповой политики (Group Policy Preferences), о кото­ром пойдет речь далее в этой главе. Нередко одна и та же политика встречается и
в узле User Configuration, и в узле Computer Configuration. Будьте готовы к тому, что придется обдумывать, где активизировать необходимую политику — на уровне поль­зователя или на уровне компьютера. Имейте н виду, что вы можете создать полити­ку, которая использует оба типа настроек, или предусмотреть разные объекты GPO для управления настройками User Configuration и Computer Configuration.

Вопреки своему назАанию, объекты групповой политики сонершенно не ориен­
тированы на группы. Может быть, их так назвали из-за того, что разные настройки управления конфигураuией сгруппированы в одном месте. Не обращая внимания на это, объекты групповой политики не могут напрямую применяться к группам. Вы можете применять их локально, к сайтам, доменам и организаuионным единиuам (в Microsoft вместе это называют LSOOU (Local, Site, Oomain, OU — локально, к сайту, к домену, к организаuионной единиuе)) внутри имеющегося леса. Такое дейс­твие по назначению объектов GPO сайту, домену или организационной единице называется связыванием. Отношение между объектом GPO и LSOOU может иметь тип «многие к одному» (например, многие объекты GPO связаны с одной органи­заuионной единицей) или «один ко многим» (один объект GPO связан с несколь­кими разными организационными единицами). После связывания с LSOOU поли­тики пользователя оказывают воздействие на учетные записи пользователей внутри организационной единицы (и во вложенных в нее организационных единиuах), а политики компьютера — на учетные записи компьютеров внутри организационной единицы (и во вложенных в нее организационных единицах). Оба типа настроек по­литики применяются в соответствии с частотой периодического обновления, кото­рая составляет каждые приблизительно 90 минут.
Утверждение о том, что объекты GPO хранятся в АО, не сонсем точно. Объекты
GPO хранятся в виде двух частей — контейнер групповой политики (Group Policy
container — GPC) и шаблон групповой политики (Group Policy template — GPT),
который является структурой папок. Часть контейнера хранится в базе данных
Active Oirectory и содержит информацию о свойствах, сведения о версии, состояниеи список компонентов.
Путь к структуре папок выглядит как Windows SYSVOL
sysvol \Policies GUID, где GИID — это глобально уникальный
идентификатор для объекта GPO. Эта папка содержит настройки администрирова­
ния и безопасности, информацию о доступных приложениях, настройки реестра,
сценарии и многое друтое.

политики работают по принципу «все или ничего»

Любой объект GPO содержит множество возможных настроек для многих фун­
кций; обычно в каждом объекте GPO вы будете конфигурировать только неболь­
шое их количество. Остальные настройки можно оставить «неактивными» подоб­
но помещению комментария REM перед командой в сценарии либо использованию
точки с запятой в начале строки внутри файла INF. После конфигурирования на­
строек политики и сообшения АО о том, что этот объект G РО связан с доменом
Bigfirm . сош, например, отдельные настройки или типы настроек не могут быть
применены выборочно. Все настройки User Configuration будут применяться ко
всем учетным записям пользователей, входящих в системы Windows 7, Windows 8
и Windows Server 2012 R2 внутри связанного домена. Все настройки Computer
Configuration будут применяться ко всем машинам Windows 7, Windows 8 и Windows Server 2012 R2 в домене. Предположим, что вы создали объект G РО, который раз­нертывает набор стандартных настольных приложений, таких как Word, Ехсе и Outlook, и ввели несколько ограничений, предотвращающих изменение пользовате­лями своих конфигураций. Если вы не хотите, чтобы пользователи IТ-отдела подпа­дали под эти излишне строгие ограничения, то можете предпринять пару действий.

• Вы можете создать отдельный объект GPO для таких настроек политики и
связать этот объект G РО с организаuионной единиuей, которая содержит всех
рядовых пользователей. Но эта орrанизаuионная единиuа будет единственной,
которая получит приложения Office.
• Вы можете установить разрешения в объекте G РО так, чтобы предотвратить
применение политики к пользователям из IТ-отдела (это называется фильтро­
ванием). Однако если для решения данной проблемы вы используете фильтро­
вание, то ни одна из настроек в объекте GPO не будет применена к пользова­
телям из IТ-отдела.

Политики наследуются и накапливаются

Настройки групповой политики являются накопительными и наследуются от
родительских контейнеров Active Directory. Например, домен В i g f i rrn . сот имеет
несколько разных объектов GPO. Один из объектов GPO, связанных с доменом,
устанавливает ограничения паролей, блокировку учетных записей и стандартные
настройки безопасности.
Каждая организационная единица в домене также имеет связанный с ней объект GPO, который развертывает и поддерживает стандартные приложения, а также настройки переадресации папок и ограничения рабочего сто­ла. Учетные записи пользователей и компьютеров, находящиеся в организационной единице, получают настройки от объекта GPO, связанного с доменом, и от объек­та GPO, связанного с этой организационной единицей.
Таким образом, некоторые всеохватывающие настройки политики могут быть применены ко всему домену, тог­да как другие могут быть наuелены на учетные записи согласно организационным единиuам, с которыми они связаны.

интервалы обновления групповой политики

Политики применяются в фоновом режиме каждые 90 минут, с «рандомизаци­
ей» в пределах до 30 минут, что защищает контроллер домена от одновременного
обращения сотен или даже тысяч компьютеров. Контро1U1еры домена отличаются от обычных компьютеров и обновляют групповые политики каждые 5 минут. Однако,
как будет показано далее в главе, имеется политика для конфигурирования всего этого. В интервал обновления не входят переадресация папок, установка ПО, при­менение сuенариев, предпочтения групповой политики для принтеров и отобра­жений сетевых дисков.
Они применяются только при входе (для учетных записей пользователей) или загрузке системы (для учетных записей компьютеров); в против­ном случае может оказаться, что вы удалите какое-то приложение, тогда как кто-то пытается им воспользоваться. Или же пользователь может работать в папке, которая переадресуется на новый сетевой ресурс. По существу для обеспечения целостнос­ти данных эти настройки политики применяются только в «фоновом» обновлении группо1юй политики.

Основы групповой политики

Чтобы лучше понять, как технология Group Policy функционирует в среде Active
Directory, необходимо разобраться с тем, каким образом она работает «за кулисами».
Если вы только начали знакомство с групповой политикой, то довольно быстро
увидите, что многие премагаемые ею средства обладают преимуществами по срав­
нению со старыми технологиями, такими как системные политики.

Репликация групповой политики является встроенной

Объекты GPO реплицируют себя автоматически, не требуя какой-либо работы с
вашей стороны. Среда Active Directory реплицируется с использованием репликаuии АО Repication (управляемой средством проверки целостности знаний (Knowledge Consistency Checker) и генератором межсайтовой топологии (lntersite Topology Generator)) и управляется службой репликации файлов (File Replication Service) или службой распределенной репликации файлов (Distributed File Replication Service).

Объекты GPO самостоятельно выполняют очистку при удалении

Все настройки административных шаблонов G PO записывают свою информа­
цию в определенные части реестра и самостоятельно производят очистку, когда на­стройка политики или объект GPO удаляется.
Это исправляет давнюю проблему, присущую технологии управления политика­
ми при первом ее появлении. Например, предположим, что вы создали в унасле­
дованной системе системную политику, которая устанавливает для всех пользова­телей цвет фона в какой-то раздражающий оттенок и также настроили политику,препятствующую им изменять этот uвет. Такие настройки записываются в реестр.
Ранее после удаления политики записи в реестре не уничтожались, следовательно, раздражающий цвет фона оставался в системе. Часто это называли «татуировкой».
Вам пришлось бы настроить вторую политику, чтобы исправить настройки в реест­ре. В случае объектов GPO в этом нет необходимости. Удаление политики устраняет все ее влияние.

для применения настроек СРО вход не требуется

Реальную славу групповой политике приносит фоновое обновление. Поскольку
все компьютеры в домене проверяют наличие изменений каждые 90 минут или
около того, настройки политики применяются непрерывно. Это означает, что на­
стройка, которую вы сделали в понедельник в 6:00, предназначенная для управле­ния какой-то настройкой безопасности на каждом рабочем столе, не требует, чтобы все компьютеры находились в функционирующем состоянии. Взамен к компьютеру будет применено фоновое обновление, когда пользователь в 8:00 прибудет на свое рабочее место.
Машины Windows 2000 Server и более поздних версий с Active Directory получают свои настройки политики из домена, членами которого являются, после включения электропитания (вспомните, что машины также входят в домен), а пользователи по­лучают политики из своего домена, когда входят в него.

Локальные политики и объекты групповой политики

Когда вы открываете инструмент редактора групповой политики (gpedi t .rnsc),
он автоматически выбирает объект GPO локальной машины (рис. 9. 1).
Рис. 9.1 . Редактор управления групповыми политиками для локальной машины
Администраторы могут использовать этот инструмент мя конфигурирования на­
строек учетных записей (таких как минимальная мина пароля и количество неудав­шихся попыток входа, прежде чем учетная запись заблокируется), чтобы настроить аудит и указать другие смешанные настройки. Тем не менее, редактор политики до­мена, т.е. редактор управления групповыми политиками (Group Policy Management
Editor — GPME), включает набор настроек (в том числе установку ПО и переадре­сация папок), которые мя локальных политик являются недоступными.
СТРУКТУРА ПАПОК ГРУППОВОЙ ПОЛИТИКИ
Локальная структура папок групповой политики похожа такую структуру других объ­ектов GPO домена и находится в Windowssystem32GroupPolicy.
Если вы работаете на компьютере Windows Server 2012 R2 или Windows 8, то мо­
жете конфигурировать не только локальный объект GPO (local GPO — LGPO). На
таких компьютерах вы также можете иметь объекты GPO, которые могут быть на­
целены на группы локальных пользователей (объект LGPO мя администраторов и
не администраторов) и отдельных пользователей (объект LGPO, специфичный мя
пользователя).

Объект LGPO для администраторов и не администраторов

Настройки в объектах LGPO для администраторов и не администраторов будут
нацелены либо на пользователей в группе Administrators , либо на пользовате­
лей во всех других группах. Идея заключается в том, что когда пользователь имеет членство в локальной группе Administrators, то он должен обладать большими привилегиями, чем пользователь, не входящий в эту группу.
Обратите внимание на то, что объекты LGPO, управляющие такими настрой­ками, модифицируют только настройки, связанные с пользователями. В объектах
LG РО нет настроек, управляющих настройками уровня компьютера, которые находятся в узле Computer Coпfiguratioп (Конфигурация компьютера).

Из-за наличия двух «типов» групп, д11я управления ими предусмотрены два объ­
екта LGPO. Чтобы управлять обоими типами пользователей, понадобится скон­
фигурировать оба объекта LG РО. Для доступа к этим объектам LG РО должна
применяться консоль М МС. Шаги подобны рассмотренным ранее; имеется лишь
небольшое отличие в области действия объекта групповой политики, который за­
гружен в М МС. Вместо выбора Local Computer (Локальный компьютер) из списка
объектов групповой политики щелкните на кнопке Browse (Обзор), чтобы найти
на вкладке Users (Пользователи) группу Administrators (Администраторы) или
Non-Administrators (Не администраторы), как показано на рис. 9.2.

Рис. 9.2. С помощью консоли ММС можно просматривать объекты LGPO
для групп Administrators и Non-Administrators
Для доступа к этим локальным объектам GPO с целью редактирования выполни­
те перечисленные ниже шаги.
. Выберите в меню Start (Пуск) пункт Run (Выполнить).
2. В поле Open (Открыть) введите И«: и щелкните на кнопке ОК.
ТРЕБУЮТСЯ РАЗРЕШЕНИЯ
Это задача администрирования; следовательно, при включенной функции управления учетными записями пользователей вы должны согласиться с повышенными разреше­ниями, которые требует оснастка Group Policy Maпagemeпt Editor консоли ММС.
3. В окне консоли ММС откройте меню File (Файл).
4. Выберите пункт Add/Remove Snap-in (Добавить или удалить оснастку).
5. В списке оснасток выберите Group Policy Object Editor (Редактор объектов
групповой политики).
6. Оставьте вариант Local Computer (Локальный компьютер) в поле Group Policy
Object (Объект групповой политики).
7. Щелкните на кнопке Browse (Обзор).
8. Перейдите на вкладку Users (Пользователи) в диалоговом окне поиска объекта
групповой политики.
9. Выберите в списке группу Administrators (Администраторы) и щелкните на
кнопке ОК.
10. Щелкните на кнопке Finish (Готово) в диалоговом окне Select Group Policy
Object (Выбор объекта групповой политики).
1 1 . Щелкните на кнопке ОК в диалоговом окне Add ог Remove Snap-ins (Добав­
ление и удаление оснасток).
12. Разверните узел Local ComputerAdministrators Policy (Политика «Локальный компьютер Администраторы») в окне консоли.
Повторите шаги 4-12 для объекта LGPO, относящемуся к не администраторам,
но вместо Administrators указывайте Non-Administrators.

Объект LGPO, специфичный для пользователя

На любом компьютере Windows Serveг 2012 R2 и Windows 8 можно конфигуриро­
вать очень детализированный объект LG РО. Эта политика направлена на индивиду­альные учетные записи пользователей. В этом объекте LGPO есть только настройки политики, специфичные для пользователя, и они нацелены только на одиночного пользователя.
Чтобы можно было использовать этот объект LGPO, пользователь должен иметь
локальную учетную запись SAM (Secutity Account Manager — диспетчер учетных за­писей безопасности) на конфигурируемом компьютере.
Для просмотра и настройки данного объекта LG РО вы также будете применять
консоль ММС и следовать тем же самым шагам, что и при работе с объектами
LGPO администраторов и не администраторов. Однако во время добавления оснас­
тки Group Policy Object Editor к консоли М МС на вкладке Users диалогового окна поиска объекта групповой политики вы выберете учетную запись пользователя, для которого хотите создать объект LG РО. В случае выбора учетной записи администра­тора окно консоли М МС будет выглядеть примерно так, как показано на рис. 9.3.
Рис. 9.3. После выбора пользователя для управления его объектом LGPO
он отобразится в консоли ММС со всеми настройками User Configuration
Ниже перечислены шаги, необходимые для доступа к объектам LGPO, специ­
фичным для пользователей.
1 . Выберите в меню Start (Пуск) пункт Run (Выполнить).
2. В поле Open (Открыть) введите мс и щелкните на кнопке ОК.
ТРЕБУЮТСЯ РАЗРЕШЕНИЯ
Это задаqа администрирования; следовательно, при включенной функции управления учетными записями пользователей вы должны согласиться с повышенными разреше­ниями, которые требует оснастка Group Policy Management Editor консоли ММС.
3. В окне консоли ММС откройте меню File (Файл).
4. Выберите пункт Add/Remove Snap-in (Добавить или удалить оснастку).
5. В списке оснасток выберите Group Policy Object Editor (Редактор объектов
групповой политики).
6. Оставьте вариант Local Computer (Локальный компьютер) в поле Group
Policy Object (Объеi<т групповой политики). 7. Щелкните на кнопке Browse (Обзор). 8. Перейдите на вкладку Users (Пользователи) в диалоговом окне поиска объ­екта групповой политики. 9. Выберите в списке учетную запись нужного пользователя и щелкните на кнопке ОК. 10. Щелкните на кнопке Finish (Готово) в диалоговом окне Select Group Policy Object (Выбор объекта групповой политики). 1 1. Щелкните на кнопке ОК в диалоговом окне Add or Remove Snap-ins (Добав­ ление и удаление оснасток). 1 2. Разверните узел Local Computer Policy (Политика «Локальный компьютер «) в окне консоли.

Создание объектов GPO

Теперь, когда вы понимаете главные концепции групповой политики и знаете об отличиях между локальными и доменными объектами GPO, давайте посмотрим, ка­кие шаги необходимо выполнить для создания и редактирования объекта доменного GPO. В этом разделе мы продемонстрируем все настройки, которые обсуждались в предыдущем «теоретическом» разделе. ДОМЕННЫЕ ОБЪЕКТЫ СРО Начиная с этого момента, мы будем сконцентрированы только на доменных объектах GPO, поскольку они являются предпочтительным, логичным и безопасным способом развертывания настроек, которые существуют в объекте GPO. 516 ГЛАВА 9 Для управления всеми доменными объектами GPO вы будете пользоваться кон­ солью GPMC. В Windows Server 201 2 R2 консоль GPMC понадобится установить с применением диспетчера серверов, как бьшо показано в главе 2. После установки консоли GPMC она будет доступна через меню Startq Admiпistrative Tools (Пуск�=�Администрирование). После выбора инструмента GPMC из упомянутого меню он откроется и отобразит домен, в котором управляющий компьютер имеет членство (рис. 9.4).
Рис. 9.4. Консоль GPMC является предпочтительным инструментом
для управления объектами GPO
Для создания нового объекта GPO в домене нужно развернуть структуру GPMC,
чтобы можно было видеть все узлы, существующие в домене (рис. 9.5).
Рис. 9.5. Разворачивание структуры GPMC с целью отображения всех узлов внутри домена
Чтобы создать объект GPO в домене, выполните следующие шаги.
1. Щелкните правой кнопкой мыши на узле Group Policy Objects (Объекты груп­
повой политики) и выберите в контекстном меню пункт New (Создать).
2. В диалоговом окне New GPO (Новый объект GPO) введите имя объекта GPO
(в данном случае Desktop Security) и щелкните на кнопке ОК.
В результате создается пустой объект GPO по имени Desktop Security, кото­
рый пока еще не связан ни с одним контейнером в домене. В этот момент вы хотите сконфигурировать настройки объекта GPO и затем связать его с сайтом, доме­ном или организационной единицей. Чтобы связать GPO с каким-то узлом в Active Directory, выполните перечисленные ниже шаги.
1 . Щелкните правой кнопкой мыши на желаемом узле (в этом случае на органи­
зационной единице Desktops (Рабочие столы)).
2. Выберите в контекстном меню пункт Link ап Exi s ting GPO (Связать с существу­
ющим объектом G РО).
3. В диалоговом окне Select GPO (Выбор объекта GPO) выберите объект GPO по
имени Desktop Security и щелкните на кнопке ОК.
Обратите внимание, что организационная единица Desktops теперь имеет ассо­
циированный с ней объект G РО. Если вы хотите создать и связать объект G РО
с организационной единицей, это можно сделать за один шаг. Для этого понадо­
бится щелкнуть правой кнопкой мыши на организационной единицей (либо на
домене или сайте, если уж на то пошло) и выбрать в контекстном меню пункт
под названием Create а GPO in this domain, and link it here (Создать объект GPO в этом домене и связать его). Два шага выполнятся как одно действие.
4. Щелкните на объекте GPO (в данном случае Desktop Security ) .
Обратите внимание, что с объектом GPO ассоциированы некоторые вкладки
и свойства, отображаемые в правой панели GPMC. Как показано на рис. 9.6,
для каждого GPO предусмотрено четыре вкладки: Scope (Область действия),
Details (Детали), Settings (Настройки) и Delegation (Делегирование).
Вкладка Scope помогает отслеживать многие аспекты объекта GPO. Наиболее
важные сведения находятся в областях Links (Ссылки) и Security Filtering (Фильтрация
безопасности). В области Links перечислены сайты, домены и организационные еди­ницы, с которыми в текущий момент связан объект GPO. Область Security Filtering отражает, какие группы и пользователи имеют разрешение применять настройки в GPO. На такую фильтрацию мы ссылались ранее, когда она использовалась для уп­равления тем, какие пользователи в домене будут иметь настройки из примененно­го объекта GPO, путем их добавления или удаления из этой вкладки. В последней
области этой вкладки, WMI Filtering (Фильтрация WMI), указывается фильтр WMI, на который объект GPO имеет ссылку, если он предусмотрен. Фильтры WMI поз­воляют нацеливать объекты G РО на учетные записи компьютеров в зависимости от состояния, в котором пребывает компьютер во время выполнения запроса WM 1.
Как показано на рис. 9.7, вкладка Details помогает отслеживать информацию
об объекте GPO, связанную с его созданием и состоянием. Здесь можно просмот­
реть идентификатор GUID, дату создания, версию и другие сведения, относящиеся
518 ГЛАВА 9
к GPO. Можно также включать или отключать весь или часть (компьютера и/или
пользователя) объекта G РО.
Вкладка Settings содержит динамические данные, относящиеся к настройкам,
которые сконфигурированы в объекте G РО.
Рис. 9.9. Вкладка Delegation консоли GPMC отображает разрешения для уровней администрирования, выданные группам и пользователям 520 ГЛАВА 9 А теперь давайте просмотрим и модифицируем новый объект GPO. Вернитесь к узлу Group Policy Objects в консоли GPMC, щелкните правой кнопкой мыши на объ­ екте GPO и выберите в контекстном меню пункт Edit (Редактировать). Откроется ре­дактор GPME в отдельном окне, и вы увидите в корне пространства имен имя объекта политики, в данном случае Desktop Security [HOST1.BIGFIRM.COM] Policy. Это указывает на то, какая политика просматривается и редактируется. На рис. 9.10 представлена по­литика, развернутая в дереве консоли, чтобы были видны важные узлы объекта GPO. Вспомните, что HOSTl — это is контроллер домена дпя домена Bigfirm.сот.
Рис. 9.1 О. Редактирование групповой политики в GPME
Как упоминалось ранее, существуют два основных типа настроек. Настройки
Computer Coпfiguration применяются к учетным записям компьютеров при их запуске и через интервалы фонового обновления. Настройки User Configuration применяются к учетным записям при их входе и также через интервалы фонового обновления.
После конфигурирования настроек групповой политики просто закройте окно
GPME. Никаких опций вроде Save (Сохранить) или Save Changes (Сохранить из­
менения) не предусмотрено. Изменения записываются в объект G РО в результате
щелчка на кнопке ОК или Apply (Применить) дпя отдельной настройки, но поль­
зователь или компьютер в действительности не увидит этих изменений до тех пор, пока политика будет обновлена.

Модификация стандартного поведения групповой политики

Сама по себе групповая политика превосходна, но есть аспекты поведения, ко­
торые вы можете решить подкорректировать или изменить. Доступны настройки
GPO, позволяющие управлять поведением групповой политики рядом ее настроек.
Вы обнаружите, что многие из этих настроек в конфигурировании не нуждаются,
но в случаях, когда требуются какие-то небольшие корректировки, они становятся
полезными.

настройки для управления групповой политикой

Настройки G РО для управления групповой политикой находятся в узлах
Administrative Templates (Административные шаблоны) внутри узлов User Configuration и Computer Configuration (PoliciesAdministrative TemplatesSystemGroup
Policy). Узел Computer Configuration содержит большинство обсуждаемых политик.
На рис. 9.1 1 и 9.12 показаны опции конфигурирования Group Policy (Групповая по­литика) в узлах User Configuration и Computer Configuration.
Н иже приведен краткий обзор наиболее важных опций.
• Интервалы обновления групповой политики (Group Policy Refresh lntervals) для пользователей/компьютеров/контроллеров домена. Эти отдельные политики определяются, насколько часто объекты G PO обновляются в фоновом режиме,
пока пользователи и компьютеры работают. Эти параметры разрешают вно­сить изменения в стандартные интервалы фонового обновления и подстраи­вать время смещения.
• Turn Off Background Refresh of Group Policy (Отключить фоновое обновление
групповой политики). Если вы включите эту настройку, политики будут обнов­ляться только при запуске систем и входе пользователей. Это оказывается полезным в офисах филиалов по причинам, связанным с производительностью,
т. к. обновление политик, например, на 1500 комп ьютерах может привести к
перегрузке канала WAN.

Применение групповой политики

Подобно большинству технологий, с групповой политикой ассоциирована ло­
гика, которая обеспеч ивает ее применение в надежной манере. По большей части применение групповой политики будет прямолинейным. Эта логика становится более сложной, только когда появляются конфликтующие настройки во множестве объектов GPO, и вы начинаете изменять стандартное поведение. Невзирая на это,когда вы принимаетесь за проектирование и реализацию своих настроек политики, вы должны полностью понимать, какой конечный результат будет у всех компьюте­ров и пользователей.
В этом разделе мы раскроем стандартное применение групповой политики, кото­
рое будет разрешать все вопросы, касающиеся конфликтов между настройками G РО.
Примером таких вопросов может быть » Что, если есть связанный с доменом объект GРО, который уда.1яет из меню Start (Пуск) пункт Run (Выполнить), а другой объ­ект G PO, связанный с организационной единицей Des ktops, добавляет пункт Run в меню Start?» Мы также углубимся в области, которые помогут «нацеливать» настрой­ки G РО, когда настройки политики получает слишком много (или наоборот, недоста­точно) пользователей и компьютеров. Вам доступны на выбор фильтры WMI, прину­дительное применение, блокирование наследования и многие другие варианты.

каким образом применяется групповая политика

И мея в наличии один или два работающих объекта GPO, вы столкнетесь с наиболее хлопотливой частью группоюй политики: выяснением конечного результата для каждого компьютера и пользователя. Для примера представьте, что вам звонит поль­зователь и спрашивает «Почему у меня цвет фона фиолетовый?» Затем вы обнаружи­те, ‘ПО имеется много мест, откуда система получает политики, и они могут противо­речить друг другу в том, что касается цвета фона. Итак, какая же политика выиграет?
Политики выполняются снизу вверх в графическом пользовательском интерфейсе
Давайте начнем с рассмотрен ия простой ситуации: всего лишь политики в домене. Предположим, что вы просматриваете узел домена 13 консоли G PMC и видите, что он имеет много связанных объектов GPO (рис. 9. 1 3).

Рис. 9.13. Узел домена и связанные объекты GPO
В этой (надо сказать, воображаемой) ситуации домен имеет пять групповых
политик, четыре из которых пытаются установить цвет фона на рабочей станции
в серый, зеленый, красный или синий. (Еще одной политикой является стандартная политика домена (Default Domain Policy), которая ничего не предпринимает в этом отношении.) Чтобы ознакомиться с порядком применения объектов GPO, вы
можете щелкнуть на узле домена и перейти на вкладку Liпked Group Policy Objects
(Связанные объекты групповой политики) в правой панели. Итак, глядя на рис. 9.13,
какой цвет одержит победу: серый, красный, зеленый или синий?
Ответ кроется в двух базовых правилах разрешения конфликтов для объектов
GPO.
Правило 1. Воспринимайте ту политику, которую вы слушали последней.
Правило 2. Выполняйте политики снизу вверх согласно тому, как они отобра­
жаются в графическом пользовательском интерфейсе.
Просматривая диалоговое окно снизу вверх, вы заметите, что система сначала
видит политику, которая устанавливает цвет фона в серый, затем политику, устанав­ливающую его в зеленый, политику, которая устанавливает цвет фона в красный,и, наконец, политику, устанавливаюшую его в синий. Поскольку политика, которая устанавливает цвет фона в синий, оказалась последней примененной, она и выиг­рывает, а результаты действия предыдущих трех политик теряются.
Вы можете также перейти на вкладку Group Policy lпheritaпce (Наследование груп­повой политики), на которой отображается порядок применения объектов GPO, пос­тупающих из всех местоположений внутри Active Directory. На рис. 9. 14 можно видеть,что политика, устанавливающая синий цвет фона, выигрывает у остальных политик.
Но что, если вы хотите, чтобы выиграла политика, устанавливающая красный
цвет фона? Заметили стрелки вверх и вниз в левой части вкладки Liпked Group Policy Objects? Вы можете смешивать их как вашей душе угодно.
Рис. 9.14. Наследование объектов GPO для узла домена

Фильтрация групповой политики с помощью списков управления доступом

Но мы еще не подошли близко к завершению. Ситуация может выглядеть так, что
к вашей системе применяется множество политик, но на самом деле политик совсем мало. Причина в том, что объекты GPO имеют списки управления доступом (access control list — ACL). Щелкните на любом объекте GPO в консоли GPMC (на Desktop Security в рассматриваемом примере) и взгляните на вкладку Scope в правой панели.
В разделе Security Filtering вы увидите список ACL для этого объекта GPO (рис. 9. 15).

Рис. 9.15. Список ACL для объекта GPO в консоли GPMC

Как отмечалось ранее, администраторы домена ( Domain Admins ) и администра­
торы предприятия ( Enterprise Admins ) имеют разрешения Read (Чтение) и Modify
(Изменение), а аутентифиuированные пользователи ( Authenticated Users ) — раз­решения Read и Apply Group Policy (Применение групповой политики). Тем не менее,обратите внимание, что в списке присутствует только группа Authenticated Users.
Почему так? Дело в том, что это список только пользователей, компьютеров и
групп, которые имеют разрешение применять настройки GPO. Для просмотра полного списка ACL вы должны сначала выбрать вкладку Delegatioп и затем щелкнуть на кнопке Advaпced (Дополнительно). Отобразится хорошо знакомое диалоговое окно настроек безопасности, показанное на рис. 9.1 6.
Может случиться так, что вы создаете объект G РО для ограничения рабочих сто­лов и не хотите применять его к определенной группе пользователей. В состав груп­пы Authenti cated Users входят все учетные записи (пользователей и компьюте­ров) кроме гостей, так что по умолчанию данный объект GPO будет применяться ко всем, исключая гостей; это означает, что настройки политики получат даже чле­ны групп Domain Admins и Enterprise Admins. Чтобы предотвратить получение политики группами Domain Admins и Enterpri se Admins, вы должны отметить флажок Deny (Запретить) рядом с разрешением Apply Group Policy (Применить груп­повую политику), как показано на рис. 9.1 7. Членам обеих групп достаточно отме­ченного флажка Dепу для одной из двух групп, но если члены групп Domain Admins и Enterprise Admins являются разными людьми, то придется отметить флажок Deny для обеих групп. Чтобы освободить остальных от получения политики, помес­тите их в отдельную группу доступа и добавьте ее в список. Недостаточно просто снять отметку с флажка Allow (Разрешить) для разрешений Read и Apply Group Policy; пользователи в этой спеuиальной группе доступа являются также членами группы Authenticated Users, поэтому в действительности для данной группы необходи­мо отметить флажки Deny для упомянутых разрешений. Опuия Deny имеет более вы­сокий приоритет, чем Allow.

В качестве альтернативы установки всех списков ACL можно также удалить группу Authenticated Users из области Security Filteriпg вкладки Scope, поместить всех пользователей, которым нужны настройки, в новую группу доступа и затем добавить эту группу в область Security Filteriпg на вкладке Scope (рис. 9.18).

Рис. 9.18. Фильтрация безопасности для групповой политики
без группы Authenticated Users
Между прочим, ничего не препятствует добавлению отдельных пользователей
в список разрешений для объекта G РО. Однако это неудачный с точки зрения бе­зопасности и управления прием, т.к. невозможно отслеживать индивидуальных
пользователей, помещенных в списки ACL, по всему предприятию. Мы еще раз
подчеркиваем, что фильтрация безопасности для групповой политики является
исключительно мощным средством — его можно назвать инструментом, который
позволяет «угнетать» отдельных лиц или группы. Тем не менее, в реальности добав­ление списков ACL в политику может стать настоящим кошмаром при попытках выяснения пару лет спустя причину, по которой политика присоединена к домену, но не применяется к большинству пользователей в домене.

Принудительное применение и блокирование наследования

Точно так же, как фильтрация безопасности может использоваться для предотвра­щения применения политики, специальная настройка Block lпheritaпce (Блокировать наследование) в узле AD (домена или организационной единицы) позволяет пре­пятствовать продвижению вниз объектов GPO более высокого уровня. Когда на­стройка Block lпheritaпce включена, настройки находящихся выше политик не будут применяться к контейнерам, расположенным ниже.
Например, если вы создали объект GPO для определенной организационной
единицы, скажем, Brunswick, и сконфигурировали все необходимые настройки мя
Brunswick, а затем хотите предотвратить влияние объектов GPO домена Bigfirm
на организационную единицу Brunswick, то должны включить настройку Block
lnheritance мя организационной единицы Brunswick. После этого к Brunswick бу­дут применяться только те объекты G РО, которые связаны непосредственно с этой организационной единицей.
Существует также противоположность блокированию наследования. Когда мя
объекта GPO включена настройка Enforce (Принудительно применять), то настрой­ка Block lnheritance мя этого объекта нейтрализуется. Кроме того, настройки в пос­ледующих объектах GPO не будут изменять настройки из принудительно применя­емого объекта GPO.
Например, если администраторы домена имеют набор весьма спорных настро­
ек, включенных на уровне домена, а мятежные администраторы Brunswick скон­
фигурировали собственные настройки политики на уровне своей организацион­
ной единицы и включили настройку Block lnheritaпce, то организационная единица Brunswick благополучно минует эти спорные настройки, но только до тех пор,пока администраторы домена не поймут, в чем дело, и не включат настройку Enforce.
В результате администраторы домена выиграют, и пользователям организационной
единицы Brunswick придется мириться с теми же ограничениями, что все осталь­
ные пользователи. Настройка Enforce побеждает настройку Block lпheritance (подоб­но тому, как бумага побеждает камень, накрывая его).
Как и все секретное оружие, настройки Enforce и Block lnheritance лучше исполь­зовать умеренно. Иначе при устранении неполадок станет довольно сложно опреде­лить, какие объекты GPO применяются в том или ином случае. Это может нанести вред психическому здоровью (и потенциально безопасности работы) сетевого адми­нистратора.
Ниже представлена сводка по факторам, которые позволяют принять решение о
том, какой объект групповой политики получает приоритет.
• Просматривайте политики в следующем порядке: локальные объекты GPO,
объекты GPO сайта, объекты GPO домена, объекты G PO организационной
единицы, объекты GPO дочерней организационной единицы и т.д.
• Внутри любого узла АО — сайта, домена или организационной единицы —
просматривайте политики в том порядке, в каком они отображаются в графи­
ческом пользовательском интерфейсе, снизу вверх.
• Когда настройки политики конфликтуют друг с другом, уделите внимание
только настройке в последнем просмотренном объекте GPO при условии, что
вы уже не столкнулись с политикой, имеющей включенную настройку Enforce.
Это значит, что независимо от того, какая конфликтующая настройка посту­
пит впоследствии, она должна игнорироваться, поскольку в этом объекте G РО
включена настройка Enforce.
• Леред тем, как действительно применить объект G РО, проверьте его список
ACL. Если целевой пользователь или компьютер не имеет разрешений Read и
Apply Group Policy (обычно через членство в группах), то этот объект GPO не
будет применен.

Возможности настроек групповой политики

С помощью настроек групповой политики можно делать по существу все то, что
есть возможность делать посредством реестра локальной системы и большей части
конфигурирования. Ниже приводится несколько примеров.
• Развертывание проrраммноrо обеспечения. Вы можете собрать все файлы, необ­
ходимые для установки нужной порции ПО, в пакет, разместить его где-то на
сервере и затем воспользоваться групповыми политиками для указания поль­
зовательскому рабочему столу на этот пакет. Пользователь увидит, что прило­
жение досrупно, и вы достигаете своих целей по его установке из центрального
местоположения, не имея необходимости в визите к каждому рабочему столу
по отдельности. Когда пользователь попытается запустить это приложение в
первый раз, оно установится безо всякого вмешательства со стороны пользо­
вателя.
• Ограничение набора приложений, которые пользователи могут запускать. Вы мо­
жете управлять рабочим столом пользователя, разрешая ему запускать только
заданное множество приложений, например, Outlook, Woгd и lntemet Exploгer.
• Управление настройками системы. Объекты GPO обеспечивают простейший
способ управления дисковыми квотами. Многими системами Windows легче
всего управлять с помощью настроек политики, а n некоторых системах поли­
тики являются единственным методом их контроля.
• Установка сценариев входа, выхода, заrрузки и завершения. Объекты G РО поз­
воляют любому событию входа, выхода, загрузки и завершения либо им всем
запускать указанный сценарий.
• Упрощение и ограничение программ. Объекты GPO можно использовать для
удаления многих функциональных средств из lnternet E x plorer , проводника
Windows и друтих программ.
• Общее ограничение рабочего стола. Вы можете удалить большинство или все
элементы из меню Start (Пуск), запретить добавление принтеров или отклю­
чить возможность выхода из системы либо изменения конфигурации рабочего
стола. С помощью настроек политики в действительности можно даже по,1но­
стью блокировать рабочий стол пользователя. (Однако чрезмерная блокиров­
ка может привести к появлению одного неэффективного сотрудника, так что
будьте осторожны.)
Политики позволяют выполнять также множество других работ, но это введение
дает вам базовое представление об их функциях.

настройки конфигурации пользователя и компьютера

Операционные системы Windows Server 2012 R2 и Windows 8 поступают с совер­
шен но по-новому выглядящими настройками конфигурации пользователя и ком­
пьютера 11 редакторе GPME. Тем самым разработчики из Microsoft оказали нам ог­ромную услугу. Было введено свыше 3000 дополнительных настроек GPO. Чтобы
лучше справляться с таким объемом настроек, в Microsoft решили также изменить способ представления настроек в GPME.

На рис. 9.1 9 видно, что в интерфейсе GPME имеются два главных узла: User
Configuration (Конфигурация пользователя) и Computer Configuration (Конфигураuия компьютера). Оба узла содержат следующие подузлы: Policies (Политики) и Preferences (Предпочтения). Подузел Policies в дальнейшем разбит на следующие
подузлы: Software Settings (Настройки программного обеспечения), Windows Settings(Настройки Windows) и Administrative Templates (Административные шаблоны).
Подузел Preferences разделен на такие подузлы: Control Рапе! (Панель управления) и
Windows Settings (Настройки Windows).
Рис. 9.21 . Добавление сценария в групповую политику

Созданные и назначенные сценарии должны быть скопированы в следующую
папку: Windows SYSVOL SysVol имя_домена Pol icies { GfJID } Machine
Scripts Startup (or Shutdown). (Или же они могут быть скопированы в User
Script s Logon либо UserScriptsLogoff, в зависимости от того, где на­
значаются сценарии — в узле Computer Configuration или в узле User Configuration.)
Идентификатор GU I D для объекта групповой политики представляет собой длинную строку, выглядящую как 1 FAOBAF4 1-38AB-11D3-BD1FC9B6902FAOOB } . Если вы хотите просмотреть сценарии, сохраненные в объекте G PO и , возможно, от­крыть их с целью редактирования, щелкните на кнопке Show Files (Показать файлы)
в нижней части диалогового окна свойств. Это приведет к открытию соответствую­щей папки в проводнике Windows.
Как вам должно быть известно, указать сценарий входа можно также в диалого­
вом окне свойств учетной записи пользователя, открывающемся в результате запус­ка dsa . msc. В Microsoft называют это унаследованными сценариями входа и рекомен­дуют назначать сценарии для клиентов, осведомленных о Windows AD, с помощью групповой политики. Преимущество применения сценариев в групповой политике связано с тем, что они выполняются асинхронно в скрытом окне. Таким образом, если назначено множество сценариев или сценарии являются сложными, пользова­телю не придется ожидать их завершения. Унаследованные сценарии входа выпол­няются в окне на рабочем столе. С другой стороны, выполнять сценарии скрытым образом может быть нежелательно (а некоторые сценарии ожидают ввода пользо­вателем определенной информации). На этот случай предусмотрено несколько на­строек политики, которые помогают определять поведение сценариев для групповой
политики. Такие настройки находятся в узле SystemScriptsAdministrative Templates.
Здесь вы обнаружите настройки дnя указания того, каким образом выполнять сце­нарий — синхронно или асинхронно, и должен он быть видимым или невидимым.
Переадресация папок
Одна из наиболее полезных работ, которые можно проделывать с помощью на­
строек User Configuration в групповой политике, связана с упорядочением папок
AppData, Desktop, Start Menu, Documents, Favori tes и Links для пользовате­
ля, что сопровождать его от компьютера к компьютеру. Эти папки являются важ­
ными элементами рабочей среды пользователя. В папке Appoata хранится инфор­
мация, специфичная для приложений пользователя (она нужна, например, lntemet
Explorer), а папка Desktop может содержать важные папки и ярлыки для пользо­
вателя. В папке Start Menu хранятся группы программ и ярлыки к программам, а
папка Documents является стандартным местом для сохранения и извлечения фай­
лов, своего рода разновидностью локального домашнего каталога.
Для использования переадресации папок существует несколько веских причин.
Прежде всего, оно удобно для пользователей, которые входят в систему на разных компьютерах. Кроме того, если вы укажете сетевое местоположение для некото­рых или всех таких папок, они будут регулярно копироваться и защишаться сила­ми IТ-отдела. Если по-прежнему применяются блуждаюшие профили, то настройка переадресации папок ускоряет синхронизацию серверноrо профиля с локальным профилем при входе и выходе, поскольку переадресованные папки в обновлении не нуждаются. Переадресация папок Desktop и Start Menu в централизованное,совместно используемое местоположение упрощает стандартизацию рабочих сред пользователей и помогает устранять проблемы дистанционной поддержки, потому что персоналу технической поддержки будет известно, что все компьютеры скон­фигурированы единообразно. Лучше всего то, что эти подходы можно смешивать и сочетать. Вполне допустимо указать общее местоположение лля папок Desktop и Start Мепu, в то время как разрешить пользователям иметь собственные папки
Documents и AppData. Давайте взглянем на это.
Чтобы установить сетевое местоположение дЛЯ папки Documents в групповой
политике, выполните перечисленные ниже шаги.
1 . Перейдите к папке User ConfigurationPoliciesWindows SettingsFolder
RedirectionDocumeпts.
2. Щелкните правой кнопкой мыши на выделенной папке Documents и выбери­
те в контекстном меню пункт Properties (Свойства).
Откроется диалоговое окно свойств, в котором обнаруживается, что данная
настройка по умолчанию не сконфигурирована.
3. В раскрывающемся списке выберите вариант Basic (Базовая), чтобы указать
единственное местоположение дЛЯ папки Documents, совместно используемое
всеми пользователями, или вариант Advanced (Расширенная), чтобы устано­
вить местоположения на основе членства в группах доступа.
Если вы хотите иметь единственное местоположение для общей папки
Documents, просто введите в поле Root Path (Корневой путь) сетевой путь или
проследуйте к нему, щелкнув на кнопке Browse (Обзор).
4. Для обозначения разных местоположений сначала выберите группу доступа и
затем укажите сетевой путь.
На рис. 9.22 демонстрируется переадресация папки Documents дЛЯ всех чле­
нов группы Domain Engineering на общий ресурс CentralEng на сервере
Zooropa. Независимо от выбора варианта переадресации Basic или Advanced,
политика разрешает выбрать одну из четырех опций:
• Redirect the folder to the user’s home directory (Переадресовать папку на до­машний каталог пользователя)
• Create а folder for each user under the root path (Создать папку лля каждого
пользователя в корневом пути)
• Redirect to the following location (which you specify) (Переадресовать на сле­
дующее местоположение (которое вы укажете))
• Redirect to the local user profile location (Переадресовать на местоположение
локального профиля пользователя)
5. Для этого примера выберите вторую опцию; все члены группы Doma in
Engineering будут использовать один и тот же корневой путь, но иметь инди­
видуальные папки Documents.
Когда выбрана данная опция, система создает подпапку, носяшую имя пользо­
вателя, по указанному корневому пути.
6. Перейдите на вкладку Settings (Настройки), чтобы сконфигурировать настрой­ки переадресации. Ради полноты настройки переадресации папки Documents
показаны на рис. 9.23.
Рис. 9.23. Дополнительные настройки в групповой политике, касающиеся переад­ресации папки Documents пользователя Опции, которые вы видите на рис. 9.23, отражают стандартный выбор дЛЯ папки Documents. Обратите внимание, что по умолчанию пользователь будет иметь экс­клюзивные права доступа к этой папке. Также по умолчанию содержимое соответс­твующей папки будет перемещено в новое местоположение.
Даже после удаления политики папка останется переадресованной, если только вы явно не отключите ее переадресацию.
Настройки безопасности Настройки безопасности, наряду с административными шаблонами, формиру­ют значительную часть групповой политики. Стандартные настройки безопасности специально открыты дЛЯ минимизации головной боли при администрировании и дЛЯ гарантии того, что пользователи и приложения работают ожидаемым образом. По мере усиления защиты пользователи и приложения имеют больше ограничений, и время их поддержки увеличивается.
Другими словами, безопасность обратно про­порциональна удобству. Как только вы начинаете блокировать системы, обязательно что-то перестает работать.
Эй, рядовые пользователи по умолчанию не могут даже устанавливать приложения в системе Windows Vista.
Когда вы начнете принудитель­но применять пароли с дЛиной восемь и более символов, которые содержат буквы и цифры, не могут включать какую-либо часть имени пользователя и не могут пов­торно использоваться до тех пор, пока не будут применены 1 5 других паролей, все станет значительно сложнее.
Для организаций, желающих усилить защиту, имеются инструменты и руководства. Например, если вам приходилось когда-либо защищать сервер Windows согласно установленным руководствам в военном или другом ведомстве с высокими требова­ниями к безопасности, то вы знаете, что приходится устанавливать отдельные раз­решения на определенных папках, изменять стандартные разрешения дЛЯ доступа к некоторым ключам реестра, а также на изменение или создание других записей в реестре. В целом это отнимает несколько часов на одном сервере, даже у результативноrо ацминистратора.
А что если у вас есть 50 серверов и 500 рабочих станций? Для одних действий можно написать сценарии, но для других это не удастся.
Не существует каких-то инструментов от Microsoft или независимых разработчиков, ко­торые сделали бы все автоматически на всех компьютерах. И менно здесь на помощь приходит групповая политика.
Предполагая, что вы собираетесь заняться стандартизацией путем группирования серверов или рабочих станций либо даже части организации, вы должны изменить эти опасные разреше­ ния в отношении реестра и настройки только однажды с применением групповой политики.
Вам придется только оди н раз установить разрешения NTFS.
Эти раз­решения можно даже установить в одной политике и скопировать в другую. В лю­бом случае, хотите вы высокую защиту или просто чуть большую, чем стандартная, велики шансы того, что вы пожелаете внести какие-то изменения, направленные на стандартизанию, и узел Security Settings (Настройки безопасности) определен­но облегчит вам жизнь.
Масса настроек безопасности находится в узле Computer Configurat ionPolicies Windows Settings Security Settings, хотя поли­тики открытых ключей и политики ограничения программного обеспечения доступны по тому же пути, но в узле User Configuration. Н иже перечислены важные категории настроек о Security Settings.
• Account Policies (Политики учетных записей). Указывает ограничения паролей, политики блокировка и политику KerЬeros Local Policies (Локальные политики).
Конфигурирует аудит и назначение прав пользователям, а также смешанные настройки безопасности. • Event Log (Журнал событий). Uентрализует опнии конфигурании дня журнала событий.
• Restricted Groups (Оrраничеиные rруппы). Принудительно применяет и управ­ ляет членством в определенных группах, таких как Administrators. • System Services (Системные службы). Стандартизирует службы и конфигура­ ции, а также защищает от изменений. • Registry (Реестр). Создает шаблоны безопасности для разрешений на ключах реестра, чтобы упрамять тем, кто и какие ключи может изменять, и управлять доступом по чтению к частям реестра.
• File System (Файловая система). Создает шаблоны безопасности для разреше­ ний на файлах и папках, чтобы обеспечить наличие и сохранение файлами и папками желаемых разрешений.
• PuЫic Кеу Policies (ПОJIИТИКИ открытых ключей). Управляет настройками для организаций, использующих инфраструктуру открытых ключей.
• Software Restrictions Policies (ПОJIИТИКИ оrраничений проrраммноrо обеспечения). Помещает ограничения на то, какое программное обеспечение может функционировать в системе. Это новое средство направлено на предотвращение за­пуска в системе вирусов и ненацежноrо ПО. Использование шаблонов безопасности Чтобы достичь «массового» внедрения мер зашиты из предьшушего примера, вам понацобится какой-нибудь способ «ввести» настройки и затем их «развернуть».
Развертывание осуществляется довольно просто, т.к. имеется AD и групповая поли­ тика. Далее возникает вопрос о том, как «ввести» информацию безопасности, чтобы ее можно было отслеживать, многократно использовать и быстро модифицировать’? Ответ: применить шаблоны безопасности.
Мы полагаем, что если вы упустили их и1 виду, то просто-таки обязаны начать ими пользоваться. В этом разделе вы узнаете причины. Предположим, вы решили, что группы Power Users (Опытные пользователи) на рабочих станциях гарантированно должны быть пустыми.
Вы крайне утомлены про­цедурой избавления от последнего червя, приникшего в веб-сервер на всех компью­терах, на которых установлены службы lIS, так что вы собрались отключить службу веб-публикации на всех серверах, где она не нужна. Однако это требует объемной работы.
Таким образом, примите другой план: до­кумент требований к безопасности. В этом документе вы обрисовываете, что долж­но быть сделано на каждой рабочей станции или сервере, согласно корпоративным требованиям.
Вы распространяете готовый документ, но ни у кого нет времени, что­бы прочитать его.
Также не существует простого способа проверить, удовлетворяют ли системы описанным требованиям. Или это только кажется? Было бы замечательно щелкнуть на какой-то кнопке и внести нужные изменения в каждую систему. Это можно сделать с помощью нескольких инструментов: secedi t . е х е (оснастка консоли М МС под названием Security Coпfiguration and Analysis (Конфигурирование и анализ безопасности)) и шаблоны безопасности.
Возможности шаблонов безопасности В своей основе шаблон безопасности — это АSСll-файл, который вводится в про­грамму по имени secedi t . ехе.
Данный шаблон является набором инструкций (по существу сценарием), который сообщает инструменту secedit . ехе онеобходимос­ти внесения разнообразных изменений в систему. Шаблоны не позволяют изменять что-то, что вы не можете изменить другим спо­собом; они просто предлагают удобный, сценарный и воспроизводимый метод вне­сения модификаций и затем легкого проведения аудита систем с целью проверки, удовлетворяют ли они требованиям этих шаблонов.
Любое такое изменение можно было бы внести вручную через графический пользовательский интерфейс, но это отняло бы много времени.
С помощью шаблонов можно модифицировать перечис­ленные ниже данные.
• Разрешения NTFS. Если необходимо выдать каталогу С : STUFF разрешение Full Control (Полный доступ) для системы и группы Administrators и запретить доступ остальным, это можно сделать посредством шаблона. Поскольку шаб­ лоны могут применяться не только к одному компьютеру, а также к их мно­жеству (при условии, что вы пользуетесь групповыми политиками), вы приме­няете нужный набор разрешений NTFS ко всему домену.
• Членство в локальных rpyrmax. Возможно, у вас есть политика, настраивающая рабочие станции так, что членами локальной группы Administrators должны быть только учетная запись Administrator и доменная группа Domain Admins. Но кое-когда какой-то сотрудник службы поддержки «временно» повышает учетную запись пользователя до члена группы Administrators, простодушно намереваясь отменить это действие «как только в нем отпадет надобность».
И поскольку данный сотрудник службы поддержки постоянно занят, как и весь персонал этой службы, отмена никогда не будет сделана. За счет применения шаблона безопасности, который говорит «в локальной группе Administrators может быть только учетная запись Administrator и группа Domain Admins», любые другие учетные записи будут удалены из группы Administrators. ПРИНУДИТЕЛЬНОЕ ПРИМЕНЕНИЕ НАСТРОЕК БЕЗОПАСНОСТИ Шаблоны автоматизируют процесс установки определенной ин ф ормации, связанной с безопасностью, в точности как вы делаете это через графический пользовательский интерфейс. Не существует магического ангела-хранителя, который бы постоянно контролировал систему, обеспечивая постоянное применение желаемых настроек шаблона.
Единственный способ гарантии того, что настройки остаются в силе, пре­ дусматривает либо повторное применение шаблона на какой-то регулярной основе, либо создание объекта GPO для применения шаблона, т.к. настройки безопасности в объекте GPO обновляются каждые 16 часов независимо от изменений.
• Настройки локальной политики безопасности. Каждый компьютер имеет десят­ ки настроек локальной политики безопасности, такие как «Должно ли быть показано имя персоны, вошедшей в систему?», «Насколько часто должны ме­ няться пароли для локальных учетных записей?» и «Кому разрешено изменять время в данной системе?», а также многие другие. Ра б ота с ша блонами Продемонстрировать работу с шаблонами лучше всего на примере, поэтому да­ вайте создадим шаблон для выполнения перечисленных ниже действий.
• Мы обеспечим, чтобы в систему не могли войти члены локальной группы Power Users. + Мы установим такие разрешения NTFS, чтобы каталог с: SECRET был досту­пен только для локальной группы Administrators.
+ Наконец, мы завершим службы l ntemet Infomlation Services, этот надоедливый веб-сервер, который, похоже, устанавливает себя сам в каждой операционной системе производства Microsoft. Прежде всего, нам понадобятся некоторые инструменты.
Давайте построим еди­ный инструмент, используя консоль М МС. Кроме того, нам будут необходимы две оснастки: Security Templates (Шаблоны безопасности) и Security Coпfiguration and Analysis (Конфигурирование и анализ безопасности).
Выполните следующие шаги по настройке такого инструмента. l. Откройте меню Start (Пуск), введите mmc /а в поле поиска и нажмите клави­шу , чтобы запустить пустую консоль М МС. 2. В пустой консоли М МС выберите пункт Add/Remove Snap-in (Добавить или удалить оснастку) в меню File (Файл). 3. В диалоговом окне Add ог Remove Snap-ins (Добавление и удаление оснас­ ток) выберите оснастку Security Configuration and Analysis и щелкните на кноп­ ке Add (Добавить).
Затем выберите оснастку Security Templates и снова щелк­ ните на кнопке Add. Щелкните на кнопке ОК. 5. Сохраните новый специальный инструмент для будущего применения. Инструмент должен выглядеть так, как показано на рис. 9.24.
Рис. 9.24. Консоль ММС с оснастками Security Templates и

Разверните узел Security Templates и добавьте новый путь для поиска шаблонов —
С : Windows Secur i ty Templates. Вы увидите предварительно построенный
шаблон контроллера домена под названием securi ty. inf.
РАЗВЕРТЫВАНИЕ ШАБЛОНОВ БЕЗОПАСНОСТИ
Развернув шаблон безопасности контроллера домена security. inf, в панели спра­
ва вы увидите папки, соответствующие всему тому, чем можно управлять.
• Account Policies (П олитики учетных записей). Установка политик паролей, бло­
кировок учетных записей и Kerberos.
• Local Poticies (Л окальные п олитики). Управление настройками аудита, правами
доступа пользователей и параметрами безопасности.
• Event Log Settings (Настройки жур нала событий). Управление параметрами со­
хранения событий.
• Restricted Groups (Огранич енны е группы). Управление членством в разнообраз­
н ых локальных группах.
• System Services (Систем ные служб ы). Включение и отключение служб, а также
управление тем, кто имеет права на такие изменения.
• Registry Security (Безопасность реестра). Установка разрешений на изменение
или просмотр любого заданного ключа реестра (и для каких ключей будет вес­
тись аудит изменений).
• File System (Файлов ая система). Управление разрешениями NTFS для папок и
файлов.

Но мы заинтересованы в построении нового шаблона с нуля. Чтобы сделать это,
щелкните правой кнопкой мыши на пути к шаблону и выберите в контекстном
меню пункт New Template (Создать шаблон). Введите имя шаблона и желаемое опи­
сание. Новый шаблон появится в виде папки в панели слева, наряду с предвари­
тельно построенным шаблоном. Новому шаблону назначено имя S imple. Первым
делом очистим группу Power Users.
1 . Откройте шаблон Simple.
2. Внутри вы увидите папку под названием Restricted Groups (Ограниченные
группы). Щелкните на ней, чтобы она появилась в панели слева.
З. Щелкните правой кнопкой мыши на папке Restricted Groups и выберите в
контекстном меню пункт Add Group (Добавить группу).
4. В открывшемся диалоговом окне Add Group (Добавление группы) введите
Power Users или воспользуйтесь кнопкой Browse (Обзор), чтобы выбрать
группу Power Users.
Обратите внимание, что если вы работаете на контроллере домена, то группа
Powe.:- Users, естественно, отсутствует.
По умолчанию включение группы в шаблон безопасности указывает этому шаб­
лону на необходимость удаления из группы всех ее членов, так что дело сделано.
Если вы хотите применить шаблон безопасности для помещения кого-то в группу,
щелкните правой кнопкой мыши на имени группы и выберите в контекстном меню
пункт Properties (Свойства), что позволит указать членов группы.
А теперь давайте настроим шаблон безопасности так, чтобы любая система, в кото­
рой имеется каталог с : SECRET, бьша доступна только локальным администраторам.
1 . В левой панели щелкните правой кнопкой мыши на папке File System
(Файловая система) и выберите в контекстном меню пункт Add File (Добавить
файл).
2. В открывшемся диалоговом окне вы можете либо перейти с помощью кнопки
Browse (Обзор) к конкретному каталогу, либо просто ввести имя нужного ка­
талога.
Да, пункт контекстного меню назывался Add File, но допускается выбирать
также и каталоги.
З. Введите С : SECRET и щелкните на кнопке ОК.
Вы увидите стандартное диалоговое окно разрешений Windows NTFS.
4. Удалите разрешения для всех пользователей и групп кроме группы
Administrators. Выдайте группе Admin i strators разрешение Full Control
(Полный доступ).
Будет задан вопрос о том, хотите вы применить это разрешение только к дан­
ной папке или также ко всем вложенным папкам.
5. Выберите предпочитаемый вами вариант и щелкните на кнопке ОК.
Наконеu, давайте завершим IIS.
1 . Щелкните на папке System Services (Системные службы).

2. В панели справа щелкните правой кнопкой мыши на элементе World Wide Web
PuЫishing Services (Службы веб-публикации) и выберите в контекстном меню
пункт Properties (Свойства).
3. Отметьте флажок Define This Policy Setting i n the Template (Определить
эту настройку политики в шаблоне) и выберите переключатель DisaЫed
(Отключена).
4. Щелкните на кнопке ОК.
Теперь сохраните шаблон — щелкните правой кнопкой мыши на Simple (или как
вы там назвали шаблон) и выберите в контекстном меню пункт Save (Сохранить).
Если только вы не предусмотрели для своих шаблонов отдельную папку, как
было описано ранее, вы получите файл по имени simple . inf в папке Windows
SecurityTemplates.

Чтобы увидеть, как этот шаблон будет модифицировать систему, или чтобы при­
менить настройку шаблона, используя оснастку М МС, вы должны создать базу дан­
ных безопасности. Для этого вам понадобится по существу скомпилировать ее из
простой формы ASCII в двоичную форму, которая и называется базой данных. Это
делается из другой оснастки, Secшity Configuration and Analysis.
l . Щелкните правой кнопкой мыши на оснастке Security Configuration апd
Analysis и выберите в контекстном меню пункт Open Database (Открыть базу
данных), чтобы открыть диалоговое окно Open Database (Открытие базы дан­
ных), которое запрашивает базу данных для загрузки.
В диалоговом окне Open Database вы хотите создать новую базу данных, но
никаких опций для этого не предусмотрено; взамен просто введите имя нооой
базы данных.
2. Для целей рассматриваемого примера введите Simple и нажмите .
Ввод нового имени для базы данных приводит к тому, что оснастка определяет
необходимость в создании новой базы данных, поэтому выдается запрос шаб­
лона, из которого она должна быть построена. (Возможно, это звучит немного
запутанно.) По умолчанию диалоговое окно отображает файлы с расширением
. inf в папке WindowsSecurityTemplates.
3. Если вы следовали предыдущему примеру, выберите simple . inf.
Однако прежде чем щелкать на кнопке Open (Открыть), обратите внимание на
флажок Clear This Database Before lmporting (Перед импортом очистить эту базу
данных).
4. Отметьте этот флажок.
В противном случае, когда вы экспериментируете с шаблоном, оснастка бу­
дет накапливать производимые вами изменения (что может хорошо подходить
вам, но не всегда нам), а не переделываться сначала и начинать все с нуля.
5. Выберите шаблон и щелкните на кнопке Open.
Ничего заметного не произошло, но на самом деле оснастка «скомпилировала»
(это наш термин, а не Microsoft, и по нашему мнению он выглядит неплохим

сокращением для обозначения процесса преобразования шаблона ASCII в дво­
ичную базу данных безопасности) шаблон в базу данных безопасности по име­
ни simple . sdb в папке Му DocurnentsSecurityDatabase. В панели дета­
лей вы увидите опuии Configure (Конфиrурировать) и Analyze (Анализировать).
6. Щелкните правой кнопкой мыши на оснастке Security Configuration and
Analysis, и вы заметите в контекстном меню пункты Analyze Computer
Now (Проанализировать компьютер сейчас) и Configure Computer Now
(Сконфигурировать компьютер сейчас).
Анализ не приводит к внесению изменений в компьютер. Вместо этого проис­
ходит сравнение состояния компьютера с состоянием, которое вы хотите создать
с помощью шаблона. Затем анализ показывает (и сохраняет объяснения в фай­
ле журнала), каким образом ваша система изменится в результате применения
шаблона. Файл журнала записывается в папку DocurnentsSecurityLogs.
7. Чтобы просмотреть, насколько ваш компьютер соответствует настройкам в
базе данных, выберите пункт Analyze Computer Now, и вы увидите, насколько
текущие настройки сравнимы с тем, к чему вы стремитесь.
8. Если вы хотите безрассудно прыгнуть вперед и применить настройки, то
вместо Analyze Computer Now выберите пункт Configure Computer Now, чтобы
модифицировать настройки системы, чтобы идти в ногу с шаблоном.
Все это очень хорошо, но как применить это к десяткам компьютеров? Придется
подходить к каждому из них? Да, придется, если вы хотите использовать этот инс­
трумент. Другим вариантом может быть инструмент командной строки, который
называется secedi t . ехе. Он преобразует шаблоны в базы данных и применяет их.
Чтобы прочитать, применить и в процессе работы создать базу данных, воспользуй­
тесь следующим синтаксисом:
secedi � /con figure /cfg имя_файла_ша блона /db имя_файла_базы_данных
/overwrite /log имя_файла_журнала
Чтобы применить существующую базу данных без первоначального чтения шаб­
лона, оставьте только ключ /cfg и его аргумент. Для применения шаблона к своим
рабочим станциям вы могли бы поместить в сценарий входа (удостоверьтесь, что
указали имена с полными путями для файлов шаблона. базы данных и журнала),
чтобы это делалось при каждом входе. Также можно бьuю бы воспользоваться служ­
бой планировщика задач (Task Scheduler), чтобы запускать пакетный файл и повтор­
но применять шаблон через заданные интервалы. Или же можно было бы включить
сервер Telnet на компьютерах с сервером Windows и просто применять шаблон, ког­
да вам заблагорассудится.
Автоматизация и написание сценариев хороши, но что, если вы хотите использо­
вать в своих интересах «автоматические» фоновые обновления. которые предлагает
групповая политика, а также принудительное 16-часовое обновление настроек безо­
пасности? Нет никаких проблем. Вы узнаете, как это делать, в следующем разделе.
И споль з ование доменных групповых политик дл я применения ша б лонов
Инструмент secedi t удобен, но его приходится вызывать вручную либо из па­
кетного файла, а это означает беспорядочное редактирование сценариев входа или
возню с запланированными запачами во всех системах. В случае использования cue-

нариев входа шаблон безопасности применяется только во время входа в систему.
А как обеспечить более частое применение настроек безопасности’? С помощью
объекта GPO.
Доменные объекты GPO обладают рядом преимуществ.
• Легко управлять тем, к чему они применяются, что намного проще, чем иссле­
дование содержимого пакетных файлов.
• Они применяются повторно не только при входе в систему, но и на протяже­
нии дня — рабочая станuия обращается к ним с периодичностью от 60 до 120
минут.
• Настройки безопасности «применяются повторно» каждые 16 часов, на случай,
если какая-то настройка была изменена пользователем, приложением и т.д.
И мпорт ша б лонов б езопасности
В предыдущем разделе вы создали собственный шаблон безопасности
s imple . inf. Теперь вы хотите развернуть настройки безопасности из шаблона с
использованием объекта G РО.
Шаги по импортированию шаблона очень просты. Ниже перечислены шаги ш�я
импорта шаблона simple . inf в объект GPO.
1 . Запустите консоль GPMC.
2. Перейдите к орrанизаuионной единиuе, содержащей компьютеры, к которым
вы хотите применить настройки безопасности.
Например, шаблон simple . inf мог бы применяться ко всем рабочим столам
в организаuии.
3. Щелкните правой кнопкой мыши на организаuионной единиuе Desktops
(Рабочие столы) и выберите n контекстном меню пункт Сгеаtе а GPO in this
domain, and link it here (Создать объект GPO в этом домене и привязать его).
4. Введите имя нового объекта G РО, скажем, Desktop Enforcement Policy
(Политика применения к рабочим столам).
5. Щелкните правой кнопкой мыши на объекте Desktop Enforcement Policy и вы­
берите в контекстном меню пункт Edit (Редактировать).
6. Внутри редактора GPME доберитесь до узла Security Settings (Настройки бе­
зопасности), который находится в Computer ConfigurationPoliciesWindows
Settings (Конфигурация компьютера Политики Настройки Windows).
7. Щелкните правой кнопкой мыши на узле Security Settings и выберите n кон­
текстном меню пункт lmport Policy (Импортировать политику).
8. Щелкните на шаблоне безопасности s imple . inf (можете воспользоваться
кнопкой Browse (Обзор), если он хранится в сетевом общем ресурсе или на
внешнем устройстве USB) и затем на кнопке Open (Открыть).
9. Удостоверьтесь в том, что настройки были импортированы, пройдя к узлу
Restricted Groups (Ограниченные группы) под узлом Security Settings.
1 О. Щелкните на узле Restricted Groups и убедитесь, что в нем присутствует ваша политика в отношении группы Power Users.

Основной вопрос в том, что вы собираетесь делать сейчас? Хорошо, если есть
возможность подождать 90 минут, то ничего делать не придется. nросто позвольте
выполниться стандартному фоновому обновлению политики — и все ваши настрой­
ки будут применены ко всем компьютерам в организационной единице Desktops.
Новые административные шаблоны (ADMX/ ADMLJ
Административные шаблоны старого стиля были неплохи, но не лишены про­
блем. Так, эти шаблоны ADM страдали проблемами с размером, сложностью на­
писания сценариев и языковыми барьерами. Для решения всех этих проблем в
Microsoft разработали новый тип файла, который заменяет шаблон ADM, появив­
шийся в версии Windows Server 2008. Новые шаблоны основаны на XML и встреча­
ются парами. Новыми файловыми расширениями являются ADMX и ADML.
Файлы ADMX и ADM L теперь хранятся в С : Windows Pol icyDefinit ions.
Открыв эту папку, вы обнаружите в ней более 100 файлов ADMX, наряду со стан­
дартной лапкой для английского языка, которая называется en-US. nапка en-US
содержит всю специфичную для языка информацию, используемую при отображе­
нии настроек в редакторе GPM E.
Новые файлы ADMX/ADM L обладают несколькими преимуществами.
Эти файлы не хранятся внутри структуры папок объекта GPO.
• Эти файлы могут переноситься практически на любой язык при условии, что
для него подготовлен новый файл ADML и структура папок.
• Имеется возможность создания центрального хранилища, что позволяет про­
водить централизованное администрирование файлов ADMX/ADML.
Создание uентрального хранилища для хранения и администрирования этих
файлов так же просто, как создание копии структуры папок! Да, именно так — мя
централизаuии управления данными файлами понадобится всего лишь скопировать
структуру папок на контроллеры домена. Чтобы создать центральное хранилище,
выполните следующие шаги.
1 . Откройте на компьютере Windows 8 или Windows Server 2012 R2 проводник и
отобразите в нем папку С : WindowsPolicyDefinitions.
2. Щелкните правой кнопкой мыши на папке PolicyDefinitions и выберите в
контекстном меню пункт Сору (Копировать).
3. Откройте папку С : Windows Sysvol sysvol Policies на
любом контроллере домена.
4. Щелкните правой кнопкой мыши на папке Policies и выберите в контекс­
тном меню пункт Paste (Вставить).
В результате на контроллере домена появится дубликат структуры папок и фай­
лов ADMX/ADML, как показано на рис. 9.25. Поскольку папка находится на конт­
роллере домена, она будет автоматически реплицирована на все остальные контрол­леры домена в этом домене.
Чтобы удостовериться в том, что теперь используются файлы ADMX из цент­
рального хранилища, отредактируйте объект GPO и просмотрите текст после узла
Administrative Templates внутри редактора GPM E.

Рис. 9.26. Политика запуска только указанных приложений
ПРЕДОТВРАЩЕНИЕ РЕДАКТИРОВАНИЯ РЕЕСТРА
Вы можете создать политику для предотвращения доступа к инструментам редактиро­вания реестра. Включение этой политики запрещает пользователям запускать утили­
ты regedt32 . ехе и regedt . ехе, хотя рядовые пользователи в любом случае имеют
доступ только для чтения к подавляющему большинству содер жим ого реестра.
Аналогичный принцип применяется к меню Start и опции панели задач через по­
литику Run from the Start menu (Запустить из меню «Пуск»). Опытные пользователи не потеряют возможность запуска несанкционированных программ только потому,
что пункт Run (Выполнить) устранен из меню Start, поэтому вы должны выяснить
все другие пути запуска программ и отключить их также (пользователи могут также запускать программы из диспетчера задач, если только вы не отключите опции, до­ступные по нажатию ).
СОЗДАНИЕ СОГЛАСОВАННОГО РАБОЧЕГО СТОЛА и МЕНЮ Start
Если вы хотите обеспечить в организации юти в отделе упрощенный и согласованный рабочий стол и меню Start, то вам, скорее всего, придется комбинировать переадре­сацию папок с ограничениями, которые доступны в административных шаблонах.

Использование групповой политики для установки политики паролей и блокировки учетных записей

Одним из самых недопонимаемых и сложных аспектов Windows AD является то,
каким образом и где конфигурируются и управляются политики паролей. В этом
разделе вы получите общие сведения о том, как все работает, чтобы устранить лю­бые неопределенности в будущем. Ниже приведен список фактов и мифов о на­
стройках политики учетных записей (Account Policy), которые должны ответить на любые часто возникающие вопросы.

Факты
• Единственным методом модификации настроек политики Account Policy для
доменных учетных записей является объект GPO, связанный с доменом.
• Детализированные политики паролей могут быть настроены, чтобы пользова­
тели в одном домене имели отличающиеся настройки политики Account Policy.
Другими словами, сотрудники IТ-отдела могут иметь 20-символьные пароли, а
управленческий персонал — скажем, трехсимвольные.
• Объект G РО, связанный с организационной единицей, будет модифицировать
настройки политики локальных учетных записей SAM (SAM Account Policy)
для локальных пользователей в SAM всех учетных записей компьютеров вну­
три данной организационной единицы.
Мифы
• Объект GPO может быть связан с органи.зационной единиuей Doma in
Controllers (Контроллеры домена), чтобы изменять настройки политики
Account Policy для доменных учетных записей пользователей.
• Объект GPO может быть связан с организационной единицей, чтобы модифи­
цировать настройки политики Account Poicy для учетных записей пользовате­
лей, содержащихся внутри этой организационной единицы.
+ Список ACL для стандартной политики домена (Default Domain Poicy) может
быть изменен с uелью включения только определенных групп доступа, таким
образом, разрешая применение разных политик паролей в одном домене.
По умолчанию в домене Windows Server 2012 R2 стандартная политика доме­
на (Default Domain Policy) используется в целях установки настроек Account Policy
для всех учетных записей пользователей в домене. (Это относится как к доменным
учетным записям пользователей, так и ко всем локальным учетным записям SAM
пользователей для компьютеров, присоединенных к домену.) Настройки политики
паролей и блокировки учетных записей расположены в узле Computer Configuration/
Policies/Windows Settings/Security Settings (Конфигурация компьютера / Политики /
Настройки Windows / Настройки безопасности). Политики паролей включают пере­
численные ниже опции.
+ Enforce Password History ( Принудительно применять хронолоrию паролей).
Включайте эту опцию, чтобы указать требуемое количество следующих друг
за другом уникальных паролей, прежде чем заданный пароль может использо­
ваться снова.
• Maxlmum Password Age (Максимальный возраст пароля). Эта опция устанавли­
вает период времени, в течение которого можно применять пароль, после чего
система потребует у пользователя выбрать новый пароль. Организации обычно
устанавливают этот промежуток rде-то между 30 и 90 днями.
• Minimum Password Age ( Минимальный возраст пароля). Эта опция устанавли­
вает период времени, в течение которого пароль должен применяться, до того
как пользователю будет разрешено изменить его.
• Mlnimum Password Length (Минимальная длина пароля). Эта опция определяет
наименьшее количество символов, которые может содержать пароль пользователя. Хорошим значением минимальной длины для паролей может быть семь или
восемь символов. Установка этой политики также запрещает пустые пароли.
• Passwords Must Meet Complexity Requirements (Пароли д олжны удовлетворять
требованиям к сложн0С11t ). В случае если вы интересуетесь. что это за ·f1Jебования.
данная опция обычно называлась Passwords Must Meet Complexity Requirements of lлstalled Password Filter (Пароль должен удовлетворять требованиям к сложнос­ти, которые заданы установленным фильтром паролей). Библиотека DLL филь­тров паролей бьша встроена в Windows 2000 Server и последующие версии ОС.
Фильтры паролей определяют такие требования, как разрешенное количество
символов, необходимость использования букв и цифр, возможность примене­
ния в пароле любой части имени пользователя и тому подобное.
Если вы включите эту политику, то все новые и измененные пароли должны
удовлетворять следующим требованиям:
• они должны иметь длину, по крайней мере, шесть символов;
• они не могут содержать имя пользователя целиком или его часть;
• они должны использовать три из четырех типов символов: буквы верхнего
регистра (A-Z), буквы нижнего регистра (a-z), цифры (0-9) и специальные
символы (например, @, %, &, #).
• Store Passwords Using ReversiЫe Encryption (Хранить пароли с использо­
ванием обратимого шифрования). Да, эта политика определенно снижает уро­
вень защиты, сообщая контроллеру домена о возможности хранения паролей
с применением обратимого шифрования. Это не намного лучше сохранения в
виде простого текста; пароли обычно хранятся с использованием однонаправ­
ленного шифрования с помощью хеширования. Если это необходимо для от­
дельных учетных записей пользователей (вроде пользователей Мае), включите
дпя них данную политику. Тем не менее, обратимое шифрование является обя­
зательным в случае применения аутентификации СНАР (Challenge Handshake
Authentication Protoco — протокол аутентификации по методу «вызов-при­
ветствие») с удаленным доступом или службами Интернет-аутентификации
(lntemet Authentication Services).
Политика блокировки учетной записи (Account Lockout Policy) при включении
предотвращает вход в систему от имени данной учетной записи после определенно­
го количества неудавшихся попыток. Ниже описаны доступные опции.
• Account Lockout Duration (Продолжительность блокировки учетной запж:и). Эта настройка определяет промежуток времени, на протяжении которого учетная
запись будет заблокирована. По истечении этого промежутка блокировка с
учетной записи снимается, и пользователь может пробовать входить в систему
снова. Если вы включите эту опцию, но оставите поле Minutes (Минуты) неза­
полненным, то учетная запись будет оставаться заблокированной до тех пор,
пока ее не разблокирует администратор.
• Account Lockout Threshold (Пороrовое значение блокировки учетной записи).
Эта опция определяет, сколько раз пользователь может безуспешно пытаться
войти в систему, прежде чем его учетная запись будет заблокирована. При оп­
ределении этой настройки укажите количество разрешенных попыток, иначе
учетная запись никогда не будет разблокирована.

• Reset Account Lockout Counter After (Сбрасывать счетчик блокировки учеmой за­mtси через). Эта опция задает промежугок времени, по прошествии которого под­счет неудавшихся попыток входа будет начат заново. Например, предположим,
что вы сбрасываете данный счетчик через две минугы и разрешаете три попытки
входа. Тогда в случае если три раза не удается войти в систему, придется подож­дать две минугы, после чего снова предостав.. �яются три попытки входа.

Предпочтения групповой политики

Одним из наиболее впечатляющих аспектов Windows Server 2012 R2 (относящих­
ся не только к групповой политике, но полностью к новой операционной систе­
ме) являются предпочтения групповой политики (Group Policy preferences — GPP).
Предпочтения групповой политики — это расширения групповой политики, которые
по-другому можно назвать «новыми настройками в объекте GPO». Число таких но­
вых настроек превышает 3000, и некоторые из них просто удивительны! Например, теперь вы можете изменять пароль локальной учетной записи Administrator на любом рабочем столе внутри среды в рамках интервала около 90 минуг. Вы также можете управлять членством в локальной группе Administrators на всех рабочих столах и серверах, не удаляя учетные записи ключевых служб и другие доменные группы, которые являются уникальными для каждого компьютера.
настройки GPP
Настройки GPP немного отличаются от других настроек групповой политики,
главным образом потому, что они дублируются в областях, относящихся к компью­теру и пользователю, объекта GPO. Появляется высокая гибкость и мощь в опреде­лении того, что требуется обеспечить для рабочих столов и пользователей в среде.
Настройки GPP описаны в табл. 9. 1 .
Таблица 9.1. Настройки предпочтений групповой политики
Наст ро йка предпочтений групповой политики
Applicalions (Приложения)
Drive Maps (Отображения устройств)
Environment {Среда)
Files {Файлы)
Folders (Папки)
lni Files (Файлы INI)
Network Shares (Общие сетевые ресурсы)
Registry (Реестр)
Shortcuts (Ярлыки)
Dala Sources {Источники данных)
Devices (Устройства)
Folder Options (Опции папок)
lnternet Settings (Настройки Интернета)
Доступна ли в узле
Computer Configuration?
Нет
Нет
Да
Да
Да
Да
Да
Да
Да
Да
Да
Да
Нет
Дост у пна ли в у зле
User Configuration?
Да
Да
Да
Да
Да
Да
Нет
Да
Да
Да
Да
Да
Да
Настройка предпочтений групповой политики
Local Users and Groups
(Локальные пользователи и группы)
Network Options (Опции сети)
Power Options (Опции электропитания)
Printers (Принтеры)
Regional Options (Региональные опции)
Scheduled Tasks (Запланированные задачи)
Services (Службы)
Start Menu (Меню «Пуск»)
Доступна ли в узле
Computer Coпfiguratioп?
Да
Да
Да
Да
Нет
Да
Да
Нет
549
Окончание табл. 9. 1
Доступна ли в узле
User Coпfiguratioп?
Да
Да
Да
Да
Да
Да
Нет
Да
Большинство настроек в табл. 9. 1 не требуют особых пояснений. Тем не менее,
мы предоставим краткую информацию о том, как можно использовать некоторые
из настроек. Например, вопросы безопасности всегда приходят на ум первыми у
персонала IТ-отдела, когда речь заходит о защите рабочих столов, но никогда нет достаточного времени, ведь правда? Возьмем проблему переустановки пароля для локальной учетной записи Administrator на каждом рабочем столе внутри ком­пании. Да, мы знаем, что это болезненная тема! Но когда вы последний раз выпол­няли данную задачу на своих рабочих столах? Во время установки? Два года назад?
Какие только ответы не приходилось нам слышать, но теперь благодаря G РР вы мо­жете изменять пароли для Administrator как угодно часто. Чтобы это произошло,выполните следующие шаги.
1 . Модифицируйте объект GPO, который нацелен на все ваши рабочие столы
(лучше всего будет связать этот объект GPO с организационной единицей, со­
держащей все настольные компьютеры).
2. После открытия редактора GPME для объекта GPO перейдите к узлу Computer
ConfigurationPreferencesControl PanelLocal Users and Groups (Конфигурация
компьютера Предпочтения Панель управления Локальные пользователи
и группы).
3. Щелкните правой кнопкой мыши на этом узле и выберите в контекстном
меню пункт New�Local User (Создать�Локальный пользователь). Откроется
диалоговое окно New Local User Properties (Свойства нового локального поль­
зователя), представленное на рис. 9.27.
Понятие НОВОЙ политики ПОЛЬЗОВАТЕЛЯ
Когда вы выбираете в контекстном меню пункт New�Local User для GPP, то наса­мом деле не создаете нового пользователя. Думайте об этом, как о создании новой политики пользователя! Вы можете создать нового пользователя, но здесь имеется намного большее число опций, чем доступно при одном лишь создании пользовате­. Принятие точки зрения «новая политика XYZ» во время создания любой новой настройки GPP поможет понять то, что вы будете делать с этой настройкой.
Рис. 9.27. Диалоговое окно New Local User Properties для GPP
ГЛАВА 9
4. Введите имя пользователя, которым вы хотите управлять, в данном случае
Adm.inistrator.
5. Введите желаемый пароль и подтвердите его.
Вуаля! Это переустановит пароль локальной учетной записи Aclministrator на
каждом рабочем столе, который подпадает под область действия объекта GPO. По
прошествии примерно двух часов все рабочие столы, подключенные к домену и
сети, обновят указанную установку.
Все очень просто, не так ли? Остальные настройки столь же просты, и мощь G РР
поистине впечатляет. Чтобы дать вам представление о том, что еще можно делать с
помощью G РР, ниже приведен список идей по настройкам политик, с воплощения
которых вы можете начать.
• Applications (Приложения)
• Включите проверку правописания в Microsoft Word.
• Сконфиrурируйте средство автоматической архивации Outook.
• Сконфиrурируйте «утвержденную компанией и согласованную» подпись для
электронной почты Outlook.
• Drive maps (Отображения устройств)
• Замените все отображения устройств в сценарии входа с помощью настройки
предпочтений групповой политики.
• Отобразите устройства только для сеансов Teпninal Services.
• Environment (Среда)
• Создайте переменную среды ноутбуков, которая используется с другими на­
стройками предпочтений групповой политики.
• Предусмотрите переменные среды для имени, фамилии, адреса и тому подоб­
ного, которые затем могут применяться в подписи Outlook.
ГРУППОВАЯ ПОЛИТИКА: ИНСТРУМЕНТЫ И ДЕЛЕГИРОВАНИЕ ACTIVE DIRECTORY 551
• Files (Файлы)
• Передавайте базу определений вирусов из сервера на рабочий стол.
• Развертывайте файлы конфигураций приложений на рабочих столах.
Folders (Папки)
• Очищайте папку Ternporary Internet Files (Временные файлы Интернета).
• Создайте папку приложений для рабочих столов, на которых запускаются за-
щищенные приложения.
• Network shares (Общие сетевые ресурсы)
• Управляйте общими сетевыми ресурсами на сервере только в рабочее время.
• Включите для сервера перечисление, основанное на доступе.
• Registry (Реестр)
• Что бы вы ни назвали — все это можно делать с реестром.
• Data sources (Источники данных)
• Создайте централизованную конфигурацию источников данных ш1я специа­
листов по продажам.
• Создайте специальную конфигурацию источников данных для персонала
службы поддержки.
• Folder options (Параметры папок)
• Позвольте всем сотрудникам IТ-отдела видеть все скрытые и суперскрытые
файлы на каждом администрируемом ими рабочем столе.
• Позвольте всем сотрудникам П-отдела видеть файловые расширения в про­
воднике Windows на всех рабочих столах, которых они касаются.
• lnternet settings (Настройки Интернета)
• Сконфигурируйте настройку прокси Internet Explorer для всех пользователей
офиса филиала 1 .
• Сконфигурируйте специальные настройки lnternet Exploreг, которые стандар­
тные настройки глобальной политики обрабатывать не могут, такие как все
настройки на вкладке Advanced (Дополнительно) диалогового окна конфигу­
рации lnternet Explorer.
• Local users and groups (Локальные пользователи и группы)
• Переустанавливайте пароли локальных учетных записей Adrninistrator на
каждом рабочем столе.
• Управляйте членством в локальной группе Adrninistrators на каждом рабочем
столе и сервере (кстати, без предварительного удаления членов из группы!).
Power options (Параметры электропитания)
+ Создайте 24-часовую схему параметров электропитания, при которой пользо­
ватели никогда не видят эту схему в рабочее время, но когда сотрудники поки­
дают систему, компьютер переводится в режим сна после того, как в течение
пяти минут не наблюдается какой-либо активности. (Доказано, что такой поn­
ход позволяет экономить около $50 на П К в год.)
552 ГЛАВА 9
+ Printers (Принтеры)
• Устраните принтеры из сценариев входа.
+ Сконфигурируйте принтеры для пользователей ноутбуков, которые перемеща­
ются из одного удаленного офиса в другой, предоставив им только те принте­
ры, которые им нужны, на основе их местонахождения.
+ Scheduled tasks (Запланированные задачи)
• Пробудите компьютер в полночь, чтобы разрешить проведение обслуживания
(великолепная комбинация с параметрами электропитания!).
• Services (Службы)
• Сконфигурируйте другую учетную запись службы для усиления общей защиты.
• Сконфигурируйте пароль дЛЯ учетной записи службы.
• Сконфигурируйте поведение службы на случай отказа функционирования,
чтобы обеспечить ее гладкий перезапуск.
Нацеливание на уровне элементов
Еше одним замечательным аспектом GPP являются возможность нацеливания на
уровне элементов. Теперь любую настройку G РР можно нацеливать и применять ее,
только предварительно удостоверившись, что в среде компьютера присутствует тот
или иной аспект. Для примера предположим, что в отделе кадров функционирует
приложение, которое существует в среде Terminal Services. Когда сотрудники этого
отдела запускают свое приложение, они нуждаются в отображенном устройстве для
него. Решение, применяемое многими компаниями в наши дни, предусматривает
отображение устройства для учетной записи пользователя, получая в итоге «неоп­
равданное» отображенное устройство, которое существует, даже когда сотрудники
работают на своих рабочих столах. Нацеливание на уровне элементов GPP позволяет
предоставлять отображение устройства, толысо если они находятся в среде Terminal
Services. Получить контроль такого типа можно, воспользовавшись одной из мно­
жества разнообразных опций, нацеливаемых на уровне элементов. Ниже приведен
ПОЛНЫЙ ИХ СПИСОК:
• Battery Present (Наличие батареи)
• Computer Name (Имя компьютера)
+ CPU Speed (Скорость ЦП)
• Date Match (Соответствие даты)
• Dial-up Connection (Коммутируемое подключение)
• Disk Space (Дисковое пространство)
• Domain (Домен)
+ Environment VariaЫe (Переменная среды)
• File Match (Соответствие файла)
• IP Address Range (Диапазон 1 Р-адресон)
• Language (Язык)
+ ШАР Query (Запрос LDAP)
ГРУППОВАЯ ПОЛИТИКА: ИНСТРУМЕНТЫ И ДЕЛЕГИРОВАНИЕ ACТIVE DIRECTORY
553
• МАС Address Range (Диапазон МАС-адресов)
• MSI Query (Запрос MSI)
• Operating System (Операционная система)
• Organizational Unit (Организационная единица)
• PCMCIA Present (Наличие PCMCIA)
• РогtаЫе Computer (Переносимый компьютер)
• Processing Mode (Режим обработки)
• RAM (ОЗУ)
• Registry Match (Соответствие реестра)
• Security Group (Группа доступа)
• Site (Сайт)
• Terminal Session (Терминальный сеанс)
• Time Range (Диапазон времени)
• User (Пользователь)
• WMI Query (Запрос WMI)
УСТРАНЕНИЕ СЦЕНАРИЕВ ВХОДА С ПРИМЕНЕНИЕМ ПРЕДПОЧТЕНИЙ ГРУППОВОЙ ПОЛИТИКИ
Многие компании по-прежнему используют унаследованные сценарии входа для
применения к рабочим столам таких настроек, как отображение устройств и принте­ров. Использование сценариев входа является устаревшим приемом по сравнению с новыми и усовершенствованными возможностями GPP.
Многие другие компании переключились на применение GPP, где только возможно,
дЛя устранения некоторых, а то и всех настроек в своих сценариях входа. Вы можете использовать следУЮщие предпочтения вместо сценариев входа.
Drive Mappings (Отображения устройств ). Отображения устройств теперь может
быть нацелено на создание «своевременных» отображений, которые имеют больший
смысл для пользователей. Цели на уровне элементов могут применяться в сочета­нии с отображениями устройств дЛЯ предоставления доступа к данным только приусловии того, что у пользователя установлено корректное приложение, применены последние исправления, и это сеанс Termiпal Services.
Printers (Принтеры). Принтерами зачастую трудно управлять в средних и крупных ор­ганизациях, в которых имеются мобильные пользователи. Когда пользователь прибы­вает в офис филиала компании, ему может быть нелегко найти и сконфиrурировать подходящий принтер. С помощью предпочтений GPP дЛЯ принтеров можно отобразить все принтеры в компании. В случае использования с целью уровня элемента (та­кой как диапазон IР-адресов или сайт AD) пользователи получат доступ к нужномупринтеру в офисе филиала всего лишь потому, что находятся в этом офисе.
Registry (Реестр).
Благодаря этому предпочтению, любые записи реестра теперь мо­гут быть помещены в объект G PO без какого-либо специального шаблона ADM или файла АDМХ. Это касается также двоичных и многострочных значений, что было невозможно в шаблонах ADM.

Новая и усовершенствованная консоль GPMC

Консоль GPMC существует уже довольно долгое время. Первое поколение кон­
соли GPMC было на тот момент кардинально новым и намного упрощало администрирование объектами GPO. Текущее поколение GPMC продолжает поддерживать простое, эффективное и надежное администрирование объектов G РО. Ушли
те времена, когда необходимо было запускать оснастку Active Directory Users and Computers, чтобы просматривать, создавать, связывать и управлять объектами G РО.
Мягко выражаясь, это стало архаичным. Теперь новую консоль GPMC можно за­
пускать в среде Windows Server 2012 R2 и Windows 8.
Консоль GPMC потребуется установить, т.к. по умолчанию она не устанавливается. На компьютерах Windows Server 201 2 R2 ее можно установить из диспетчера серверов.
l . Откройте окно диспетчера серверов и выберите пункт меню Features
(Компоненты).
2. Здесь вам необходимо только выбрать переключатель Add Features (Добавить
компоненты), что приведет к отображению полного списка инструментов, ко­
торые можно установить (рис. 9.28).
Рис. 9.28. Установка консоли GPMC через диспетчер серверов
3. Выберите элемент Group Policy Management (Управление групповой полити­ кой), что инициирует процесс получения установленного инструмента.
4. После перезагрузки вы будете иметь установленную консоль GPMC.
На компьютерах Windows 7 или Windows 8 для консоли G РМС понадобится установить инструменты дистанционного администрирования серверов (Remote Server Administration Tools).
Для этого выполните следующие действия.
1 . Установите актуальные пакеты обновлений (некоторые загружаемые файлы могут уже их включать).
2. Установите инструменты Remote Server Administrative Tools.
3. Откройте панель управления из меню Start (Пуск).
4. Щелкните на аплете Programs and Features (Программы и компоненты).
5. Щелкните на ссылке Turn Windows features оп ог off (Включение или отключение компонентов Windows).

Стартовые объекты GPO

В Microsoft прилагают большие усилия, чтобы сделать управление объектами GPO более простым и эффективным. Первая попытка в этом направлении — стар­товые объекты GPO (Starter GPO).
Объект Starter GPO можно использовать для вос­создания набора настроек GPO, применяя только Starter GPO снова, снова и снова.
Предположим для примера, что вы отвечаете за обеспечение корректной конфигу­рации [nternet Explorer внутри организации. Вы можете создать объект Starter GPO, который включает все обязательные настройки Internet Explorer. Затем при создании любого нового объекта GPO будет использоваться этот объект Starter GPO, чтобы гарантировать включение настроек Internet Explorer. Для создания нового объекта Starter GPO выберите узел Starter GPO (Стартовый объект GPO) в консоли GPMC и выполните перечисленные ниже шаги. 1. Щелкните правой кнопкой мыши на узле Starter GPO и выберите в контекс­ тном меню пункт New (Создать).
2. Введите имя объекта Starter GPO, например, IE Starter GPO. 3. Чтобы сконфигурировать настройки I E, объект Starter GPO необходимо отредактировать, как это делалось бы с любым другим объектом GPO — щелк­ните на нем правой кнопкой мыши в консоли GPMC и выберите в контекс­тном меню пункт Edit (Редактировать).
Теперь, когда объект Starter GPO создан, любой, кто имеет полномочия создавать объект GPO в домене, может применять его в качестве «стартового набора настро­ек».
При создании любого нового объекта GPO с помощью консоли GPMC в диало­говом окне New GPO (Новый объект GPO) имеется раскрывающийся список Source Starter GPO (Исходный стартовый объект GPO), как показано на рис. 9.29. Однако имейте в виду, что значительное ограничение объектов Starter GРО состоит в том, что они могут включать только настройки административных шаблонов GPO. NewGPO х Neme 1 New Group Poicy 0Ьiect !
Рис. 9.29. При создании объектов GPO можно использовать раскрывающийся список Source Starter GPO

Резервное копирование и восстановление объектов GPO

Консоль GPMC является универсальным инструментом мя всех задач по управлению объектами G РО. Одним из наиболее важных аспектов защиты существую­щих ресурсов GPO является их резервное копирование.
(В мире компьютеров это относится к чему угодно; вы защищены настолько, насколько свежа резервная ко­ пия ваших данных!) Консоль GPMC предоставляет возможности резервного копирования и восста­новления, позволяющие архивировать каждую версию объекта GPO, которую вы создали и внедрили.
Очень удобно то, что эти возможности премагаются прямо в графическом пользовательском интерфейсе консоли GPMC, не требуя запуска дру­гого инструмента мя проведения такой работы.
Резервное копирование объекта G РО выполняется просто. . Щелкните правой кнопкой мыши на объекте GPO, помежащем резервному копированию.
2. Выберите в контекстном меню пункт Back up (Резервное копирование). Откроется диалоговое окно Back Up Group Policy Object (Резервное копирование объекта групповой политики).
3. Укажите местоположение, где хранятся резервные копии. Это может быть заранее определенное местоположение или же можно создать папку во время процесса резервного копирования.
4. Введите местоположение или щелкните на кнопке Browse (Обзор) в зависимости от того, что вам больше подходит.
5. Щелкните на кнопке Backup (Копировать). Отобразится индикатор хода работ по резервному копированию.
6. После успешного создания резервной копии закройте диалоговое окно Back Up Group Policy Object. РЕЗЕРВНОЕ КОПИРОВАНИЕ ДО И ПОСЛЕ ИЗМЕНЕНИЯ Подобно любым изменениям данных и других аспектов операционной системы, ре­зервные копии должны создаваться непосредственно до внесения изменения, а так­же сразу после него, чтобы сохранить оба состояния объекта GPO. Наступит время, когда вы захотите просмотреть список объектов GPO, резерв­ные копии которых были созданы. Для этого щелкните правой кнопкой мыши на узле Group Policy Objects (Объекты групповой политики) внутри консоли GPMC и выберите в контекстном меню пункт Manage Backups (Управлять резервными копи­ями).
Откроется диалоговое окно Manage Backups (Управление резервными копия­ ми), представленное на рис. 9.30. В этом диалоговом окне можно восстанавливать, удалять и просматривать на­стройки объекта GPO внутри резервной копии. • Restore (Восстановить).
Кнопка Restore позволяет восстановить «архивиро­ванный объект GPO» поверх «производственного объекта GPO». Вам должно быть понятно, насколько это может быть важно!
• Delete (Удалить). Кнопка Delete позволяет удалить архивированные объ­екты GPO, главным образом те, которые больше не используются или действительно устарели. Нет никаких причин захламлять свои серверы инфор­мацией, которая не понадобится в будущем. • View Settlngs (Просмотреть настройки).
Кнопка View Settings позволяет про­смотреть содержимое объекта GPO, а также другие ключевые сведения, такие как делегирование, безопасность, связи и т.д. На рис. 9.3 l показана НТМL­ страница, которая отображается в результате щелчка на кнопке View Settings.

поиск и устранение неполадок в групповых политиках

На тот случай, если это еще не прояснилось к настоящему моменту: групповые
политики мощны, но вместе с тем и сложны. К тому же они моrут быть непрозрач­ными — иногда вы создаете для контршmера домена множество настроек политики, которые направлены на управление определенным рабочим столом, и затем пере­запускаете рабочий стол, входите в систему, ждете результатов применения новой политики, но ничего не происходит.
Для поиска и устранения неполадок в групповых политиках предназначено не­
сколько инструментов. Оснастка и инструмент консоли RSOP (Resultaпt Set of
Policy — результирующая политика) предоставляет графический интерфейс, а утили­та gpresul t . ехе позволяет выполнять эквивалентные функции в командной строке.
Утилита gpotool . ехе входит в состав набора ресурсов Windows (Windows Resource Kit), и она ищет несоответствия между объектами GPO, которые хранятся на кон­троллерах домена. Эта небольшая утилита помогает идентифицировать проблемы с репликацией, которые вызывают проблему с применением групповой политики.

инструмент Resultant set of Pollcy

Поиск и устранение неполадок в групповых политиках были для администра­
торов крупным препятствием к обретению полного контроля над сетевой средой.
Проблема заключалась в невозможности просмотра совокупных настроек полити­
ки, которые в итоге воздействовали на пользователя или на компьютер. Небольшое средство отображения действительных настроек политики — инструмент ResultantSet of Policy (RSOP) — является встроенным в Windows Server. Используя RSOP, вы можете проверять версии «что, если» в целях диагностики проблем. Без RSOP при­дется просмотреть свойства каждого сайта, домена и организационной единицы, выясняя, каким образом связаны контейнеры и политики. Затем понадобится про­смотреть списки ACL и информацию WMI, чтобы увидеть, проводится ли какая-ни­будь фильтрация, и также проверить опции DisaЬled, Block lnheritance и Enforce. Не забывайте о нацеливании на уровне элементов, которое может быть очень детализи­рованным и потому приводить к путанице при попытке оценки вручную. Наконец,необходимо просмотреть настройки интересующей политики, прежде чем станет яс­ным корень пробле1ы. Вам придется делать множество заметок. По этим причинам мы отдаем предпочтение инструменту RSOP.
Инструмент RSOP запускается простым вводом rsop . msc в командной строке.
Сразу после запуска вы заметите, что он определяет результирующую политику, ко­торая была применена на основе компьютера, где инструмент выполняется, и учет­ной записи пользователя, под которой был совершен вход в систему. Результирующее окно похоже на то, что отображается в редакторе GPME (рис. 9.32).
Относительно инструмента rsop . msc следует сделать несколько замечаний.
• Этот инструмент предоставляет только примененные объекты GPO и настрой­
ки из таких G РО.
• Этот инструмент выдает представление, в котором указано, из какого объекта GРО поступает каждая настройка.
Рис. 9.32. Инструмент rsop . msc генерирует представление реального
времени настроек политики, которые были применены

получение результатов групповой политики с использованием консоли GPMC

Консоль GPMC является инструментом, который похож на локализованную
версию RSOP, но для получения RSOP позволяет запрашивать любой компьютер и
любого пользователя в сети. Представьте, что пользователь звонит вам и сообщает о том, что не может получить доступ к веб-сайту, который необходим ему для вы­полнения своей работы. Вы могли бы подойти к пользователю физически, но это всего лишь отняло бы время, т.к. вы уверены, что пользователи получают настройки прокси Internet Explorer из объекта GPO. Таким образом, вместо этого выполните следующие шаги.
1. Запустите мастер результатов групповой политики (Group Policy Results Wtzard) в консоли GPMC.
Мастер Group Policy Results Wtzard находится ближе к нижней части консоли
GPMC. После запуска мастера вы должны лишь указать компьютер и пользо­
вателя, для которого хотите получить результаты, а об остальном позаботится
сам мастер, как показано на рис. 9.33.
2. Выберите пользователя и рабочий стол, куда он вошел, после чего перейдите к настройке прокси IE.
Вы заметите, что к компьютеру применяется некорректный объект GPO, пос­
кольку кто-то настроил принудительное применение объекта G РО, связанного
с вышестоящей организационной единицей, что сводит на нет нашу установку
прокси. Проблема обнаружена.
3. Исправьте проблему с опцией Enforce в объекте GPO и дело сделано!
Результаты из мастера будут отображаться на трех вкладках в панели справа —
Details (Подробности), Summary (Сводка) и Policy Eveпts (События политики).

• Details. На вкладке Details (рис. 9.34) приведены все настройки, включая объ­екты GPO, которые были применены, те, что отказали, группы доступа, филь­
тры WMI и другие сведения.
• Summary. На вкладке Summary отображаются любые ошибки, которые возни­
кали во время создания объектов GPO.
• Policy Events. Вкладка Policy Events уникальна тем, что на ней отображаютсянастройки из программы просмотра событий (Event Viewer), которые относят­ся к групповой политике.

Рис. 9.34. Мастер Group Policy Results Wizard отображает информацию
на трех вкладках в консоли GPMC

Если вы замечаете проблему с какой-то примененной настройкой, то можете
воспользоваться содержимым всех трех вкладок дЛЯ ее отслеживания.

моделирование групповой политики с использованием консоли GPMC

Мастер Gгoup Policy Results Wizaгd в консоли GPMC является мощным инс­
трументом, который позволяет просматривать существующее состояние объектов
GPO и их настройки для любого компьютера и пользователя в сети. Однако что,
если возникла ситуация, когда нужно переместить компьютер в другую организа­
ционную единицу или перенести в другую организационную единицу пользователя,
поскольку он получил повышение по службе? Вы не должны просто переместить
учетную запись и ожидать, что настройки будут корректными в новом местополо­
жении внутри AD.

gpresult . exe

gpresul t . ехе — это инструмент, предназначенный для поиска и устранения
неполадок в групповой политике, а также для формирования отчетов, который до­
полняет оснастку RSOP, добавляя в арсенал RSOP возможности командной строки
и пакетных файлов. При запуске без аргументов или опций утилита gpresul t . ехе
сгенерирует следующую информацию RSOP для текущего пользователя на локаль­
ном компьютере:
• контроллер домена, из которого рабо’-!ая станция получила политики;
• когда политики были применены;
• какие политики бъuш применены;
• какие политики не были применены из-за фильтрации;
• членство в группах;
• сведения о правах доступа пользователей (если запускается в многословно1
режиме).
Чтобы сгенерировать информацию RSOP для удаленного пользователя на уда­
ленном компьютере, применяйте аргументы /S имя_системы и /USER имя_пользо-­
вателя. Например, чтобы получить информацию RSOP на удаленной рабочей стан­
ции WINDOWS8CLIENT1 для пользователя drnelber, введите команду
gpresult /S WINDOWS8CLIENT1 /USER dmelber
Ниже описаны опции, позволяющие получить более детальные сведения.
• /V указывает на необходимость в выда’-!е более многословной информации:
gpresul t /V.
• !Z указывает на необходимость в выдаче даже еще более многословной ин­
формации (Zupeг-verЬose): gpresult /Z.
• Для нацеливания только на политику компьютера добавьте опцию /SCOPE
MACHINE; если вы заинтересованы лишь в политиках пользователя, добавьте
ОПЦИЮ /SCOPE USER.

Таким образом, например, для получения максимальной информации о по­
литиках пользователя, примененных к данной системе, добавьте опцию
gpresult /Z /SCOPE USER. Вывод этой команды легко перенаправить в текс­
товый файл, чтобы сохранить отчет:
gpresult /S WINDOWS8CLIENTl /USER dmelber /Z > c : gpinfo . txt

использование программы Event Viewer

Прекратите посмеиваться прямо сейчас! Мы полностью серьезны! Временами
действительно нужно дружески похлопать Microsoft по спине, и это как раз тот слу­чай. Программа Event Yieweг (Просмотр событий) была полностью модернизирована, и сейчас, к изумлению многих, в ней появился целый узел, выделенный для групповой политики!
Журнал операций групповой политики (Opeгational) является заменой файла
Userenv . log, который генерировался групповой политикой в прошлом. Теперь
нет необходимости в специальной установке настроек многословной информации
или аудита; это просто происходит. Чтобы просмотреть файлы журналов групповой политики в новой программе Event Vieweг, достаточно ее запустить. В открывшем­ся окне Event Viewer разверните узел Applications and Services LogsMicrosoftWindows
GroupPolicy (Журналы приложений и служб Microsoft Windows Групповая по­литика). Здесь вы найдете журнал Opeгational для групповой политики, щелкнув на котором, вы сможете просмотреть список событий в панели справа.
Ниже приведено несколько замечаний по возможностям новой среды.
• Журнал Operational заменяет файл Userenv . log из предшествующих версий
групповой политики Windows.
• Вкладки General (Общие) и Details (Подробности) предоставляют полезную
информацию для поиска и устранения проблем.
• Двойной щелчок на событии приводит к открытию собственного окна для со­
бытия.
• Щелчок на знаке + во вкладке Details приводит к отображению дополнитель­
ной информации о событии.

основы поиска и устранения неполадок:сохраняйте простоту

Мы прогнозируем, что даже имея в своем распоряжении инструмент RSOP, ра­
бота с групповыми политиками в большинстве случаев не будет похожа на легкую
прогулку по парку. Ниже приведены соображения, которые помогают минимизиро­
вать время поиска и устранения неполадок.
+ Сохраняйте простоту своей стратегии в отношении политик. По возможности
храните пользователей и компьютеры в организационных единицах и приме­
няйте политики на как можно более высоком уровне.
• Избегайте наличия большого количества объектов GPO с конфликтующими
политиками, которые применяются к одним и тем же получателям.
• Минимизируйте использование опций Enforce и Block lnheritance.

+ Документируйте свою стратегию групповой политики. Структуру политик
можно изобразить визуально и вывесить рисунок на стенде подобно диаграм­
ме топологии сети. Когда возникнет проблема, вы сможете свериться с диа­
граммой, прежде чем приступать к ее поиску и разрешению.
+ Тестируйте настройки G РО до их развертывания! Абсолютно необходимо со­
хранять ресурсы службы поддержки и гарантировать работоспособность ос­
новных приложений и системных служб.

делегирование Active Directorv

Делегирование Active Directory является эффективным решением в часто встре­
чающейся ранее ситуации с унаследованными доменами Windows, когда для обеспе­чения раздельного управления пользователями, группами и компьютерами создава­лось множество доменов. За счет реализации делегирования внутри единственного домена Active Diгectory устраняется потребность в нескольких доменах, сохраняется бюджет, благодаря сокращению количества контроллеров доменов, упрощается уп­равление предприятием из-за наличия всего лишь одного домена и т.д.
Это настолько захватывающая возможность Active Directory, что многие компании и предприятия перешли на Active Directory, чтобы получить в свое распоря­жение все преимущества, предлагаемые делегированием Active Directory. Одно из наиболее интересных преимуществ применения делегирования связано с возмож­ностью выдачи одной или нескольким группам привилегии на сброс паролей дл яучетных записей пользователей.
Это значит, что вы можете разрешить какой-то группе пользователей сбрасывать пароли только для подмножества пользователей в домене.
Например, вы можете позволить руководителю отдела кадров сбрасывать пароли для учетных записей сотрудников этого отдела.

делегирование прав администрирования ГРУППОВОЙ ПОЛИТИКОЙ

Возможность делегирования операций создания и конфигурирования объектов
G РО и их настроек административному персоналу (или другим, если уж на то пош­ ло) исключительно полезна, особенно в крупной организации. В этом разделе мы
объясним, как разрешить сотрудникам, не являющимся членами группы Doma in
Admins или Enterpri s e Admins, создавать и управлять объектами GPO для опре­деленных сайтов, доменов или организационных единиц.
Консоль GPMC предоставляет простой, но распределенный массив опций для
гарантии того, что вы реализуете делегирование правильному множеству админис­траторов. Ниже перечислены пять главных делегирований, которые вы захотите с конфигурировать:
создание объектов GPO;
связывание объектов GPO;
управление объектами GPO;
+ редактирование объектов G РО;
• чтение объектов GPO.

Все это конфигурируется в консоли GPMC. Основная путаница при установке
делегирования для управления объектами GPO в консоли GPMC возникает с областями действия. Это означает необходимость знания мест, где устанавливается делегирование; вдобавок нужно знать, насколько далеко делегирование будет простираться.
Например, предположим, что вы являетесь администратором организационной едини­цы отдела кадров, т.е. вы управляете всеми аспектами, включая учетные записи поль­зователей, группы и даже объекты GPO, связанные с этой организационной единицей.
Как удостовериться в том, что вы — единственный администратор, который может
связать какой-то объект GPO с организационной единицей отдела кадров? Хорошо, это одна из задач делегирования, которыми можно управлять с помощью консоли РМС. Давайте рассмотрим каждый вид делегирования и его область действия.
По умолчанию объекты GPO могут создаваться членом группы Administrators
для домена или членами глобальной группы под названием Group Policy Creator
Owners (Владельцы создателей групповой политики). Однако хотя члены группы
Administrators имеют полный контроль над всеми объектами GPO, члены группы
Group Policy Creator Owners могут модифицировать только политики, которые
создали сами, если только им специально не было выдано разрешение на измене­
ние других политик. Таким образом, если вы поместите выбранного администрато­ра групповой политики в группу доступа Group Pol icy Creator Owners (которая почти так же неудобна, как и группа Acti ve Directory Users and Computers), то это лицо сможет создавать новые объекты политик и модифицировать их.
Чтобы делегировать возможность создания объекта G РО в домене, вы должны
добраться до узла Group Policy Objects (Объекты групповой политики) в консоли GPMC. После щелчка на этом узле перейдите на вкладку Delegation (Делегирование) в правой панели для просмотра списка пользователей и групп, которым была предо­ставлена возможность создания объектов GPO в домене (рис. 9.35).

Рис. 9.35. Делегирование возможности создания объектов GPO
с использованием консоли GPMC

Создание объекта G РО является лишь одним аспектом, а другим будет связыва­
ние этого GPO с сайтом, доменом или организационной единицей.
Администраторы из группы Administrators способны делать это по умолчанию, но Д11Я предостав­ления такой возможности другим администраторам можно сконфигурировать специальное делегирование по каждому узлу AD.
Здесь очень важно следовать области действия. В отличие от возможности создания объекта GPO, которая распространя­ется на весь домен, возможность связывания GPO с узлом AD касается только этого узла AD, что вполне имеет смысл. А как насчет конфигурирования такого делегиро­вания?
Чтобы сконфигурировать тех, кто может связывать объект GPO с каким-либо уз­
лом АО, вам необходимо выбрать целевой узел AD в консоли GPMC. Затем в пане­
ли справа перейдите на вкладку Delegatioп (Делегирование). Ее имеет каждый узел AD . Обратите внимание на то, что пользователи и группы в стандартном списке мо­гут связывать объект GPO с этим узлом, как показано на рис. 9.36. Имейте в виду один ключевой момент: такое делегирование связывания с узлом AD не наследуется вглубь структуры АО. Следовательно, если вы делегируете возможность связывания объекта GPO узлу домена, это не приводит к предоставлению такой возможности всем организационным единицам в данном домене.
Финальные три вида делегирования обладают одной и той же областью дейс­твия — на каждый объект GPO. Опять-таки, в этом есть своя логика, но некоторым людям не всегда удается воспроизвести эту логику на клавиатуре. Если это логично, вы должны быть в состоянии выбрать объект GPO в консоли GPMC, а затем в па­нели справа перейти на вкладку Delegatioп, чтобы увидеть задачи делегирования Д11 Я GPO. Это в точности то, что представлено на рис. 9.37 — три уровня делегирования Д11 я GPO. Здесь для просмотра полного списка задач делегирования понадобится
щелкнуть правой кнопкой мыши на объекте GPO.

Рис. 9.36. Делегирование возможности связывания объекта GPO домену

Рис. 9.37. Делегирование задачи управления, редактирования и чтения объекта GPO
В интерфейсе указано не «упраалять объектом G РО», а Edit settings, delete, modify security (Редактировать настройки, удалять, изменять параметры безопасности) д;IЯ объекта GPO.

делегирование управления с использованием организационных единиц

Безусловно, одной из сильных сторон AD яаляется возможность выдачи частич­
ных или полных прав администрирования группе пользователей, предполагая, что
это делается с целью разделения сети с одним доменом, скажем, на части Uptown
(спальный район) и Downtown (деловой район), Marketing (отдел маркетинга),
Engineering (конструкторский отдел) и Management (отдел управления), или еще
как-нибудь. Давайте рассмотрим простой пример, демонстрирующий, как это мож­
но сделать.
Предположим, что в отделе маркетинга работают пять сотрудников: Адам (Adam),
Бетти (Betty), Чип (Chip), Дебби (DebЬie) и Элен (Elaine). Они хотят, чтобы у одного сотрудника, Элен, была возможность сброса паролей. Причина в том, что проблема
«Я забыл свой пароль — можете ли вы мне сбросить его?» чаще других озвучивает­ся при звонках сотрудников отдела маркетинга в центральную службу поддержки.
В центральной службе поддержки были бы счастливы иметь кого-то внутри отдела
маркетинга, кто взял бы данную проблему в свои руки, освободив их для решения других насущных проблем.
Ниже описан процесс.
1. Создайте организационную единицу под названием Marketing.
Конечно, организационной единице можно назначить любое другое имя, но
Marketing впоследствии проще будет вспомнить.
2. Переместите существующие учетные записи Адама, Бетти, Чипа, Дебби и Э лен
в организаuионную единицу Marketing.
3. Создайте группу под названием MktPswAdm, где будут находиться учетные
записи тех пользователей, которые могут сбрасывать пароли для персонала в
организационной единиuе Marketing.
И снова вы можете выбрать для группы какое-то другое имя.
4. Сделайте учетную запись пользователя Elaine членом группы MktFswAdm.
5. Делегируйте управления сбросом паролей для организационной единиuы
Marketing группе MktPswAdm.
Если вы хотите воспроизвести этот пример, проведите подготовку, создав учет­ные записи Адама, Бетти, Ч ипа, Дебби и Элен, но не делая их администраторами.
Или сделайте это в командной строке; введите net user ння _ nоль.эоsа!l’еля /add и создайте в папке Users указанные учетные записи. Например, вот как создать учет­ную запись для Адама: net user Adam Pa$$word /add
Для выполнения такой работы вы должны находиться на контроллере домена.
Создавать пользователей домена в командной строке можно на любой другой систе­ме, но тогда потребуется добавить опцию /domain:
net user adam /add /domain

создание новой организационной единицы

Создавать новые организационные единицы несложно. Откройте оснастку Active
Directory Users and Computers (ADUC), щелкните правой кнопкой мыши на и мени
домена в панели слева и выберите в контекстном меню пункт New�Organizational Unit (Создатьс::>Организационная единица). Откроется диалоговое окно с запросом имени для новой организаuионной единицы. Введите Мarketing и щелкните на кнопке ОК. Дело сделано.

Перемещение учетных записей пользователей в организационную единицу

Далее, для перемещения учетных записей пользователей Adam, B e t ty, Chip,
Debb i e и E l a ine в организационную единицу Ma r ke t ing откройте оснастку ADUC, разверните узел домена (в данном случае это Bigfirm. com; ваш домен мо­жет называться и наче) и откройте папку Users. (Если вы создали пять учетных за­писей пользователей в другой папке, откройте ее.)
Чтобы переместить все пять учетных записей пользователей, шелкните на учет­
ной записи Adam и , удерживая нажатой клавишу , щелкните на оставших­
ся четырех учетных записях. Затем щелкните правой кнопкой мыши на одной из
выделенных пяти учетных зап исей и выберите в контекстном меню пункт Move
( Переместить); откроется диалоговое окно с запросом, куда переместить «объ­
ект». Изначально в нем будет видно и мя домена со знаком » плюс» рядом с ним.
Щелкните на этом знаке «плюс» и узел домена раскроется, отобразив имеющиеся
в нем организационные единиuы. Выберите организаuионную единицу Marketing
и щелкните на кнопке ОК; все пять учетных записей переместятся в Marketing.

Можете открыть организационную единицу Marketing в оснастке ADUC и удостовериться, что указанные учетные записи теперь находятся в ней.
В качестве альтернативы можно воспользоваться возможностью перетаскивания.
Внутри оснастки ADUC щелкните на папке Users внутри левой панели.
В правойпанели должно отобразиться содержимое папки Users. В левой панели вы будете иметь возможность видеть не только папку Users, но также и организационную единицу Marketing.
Выберите учетные записи пользователей и перетащите их из правой панели в организационную единицу Marketing. Мгновенное перемещение в организационную единицу! (Что-что вы говорите? Вы не впечатлены?
Хорошо, тогда поверьте нам, что когда вам доведется выполнять большой объем работ по уп­равлению пользователей, вы сочтете этот прием настоящим спасательным поясом. Просто доверьтесь нам.)

Создание группы МktPswAdm

Следующим действием будет создание группы для пользователей, которые мо­
гут сбрасывать пароли в организационной единице Marketing. Опять-таки, ра­
бота производится в оснастке ADUC. Щелкните на организационной едини­це Marketing, чтобы выделить ее, и выберите пункт меню Actioп’*New’*Group
(Действие Создать Группа).
(Можно также щелкнуть правой кнопкой мыши
на организационной единице Marketing и выбрать в контекстном меню пункт
New’*Group (Создать Группа).)
Вы увидите диалоговое окно New Object — Group
(Новый объект — Группа), подобное показанному на рис. 9.38.
Диалоговое окно New Object — Group предлагает опцию для создания группы
любого из трех типов, доступных в Active Directory. Нашим целям соответствует глобальная группа, хотя в этом конкретном случае — группа в заданном домене, получающая контроль в организационной единице в том же домене, — подойдет ло­кальная группа домена, глобальная или универсальная группа. Мы назначили груп­пе имя MktPswAdrn.
Щелкните на кнопке ОК.
Поместите учетную запись пользователя Elaine в группу MktPswAdrn. Щелкните
правой кнопкой мыши на имени группы MktPswAdm и выберите в контекстном
меню пункт Properties (Свойства).
В открывшемся диалоговом окне свойств перей­дите на вкладку Members (Члены), щелкните на кнопке Add (Добавить), выберите учетную запись Elaine, щелкните на кнопке Add и затем на кнопке ОК. Вы увиди­те, что пользователь Elaine теперь является членом группы MktPswAdm. Щелкните на кнопке ОК, чтобы закрыть диалоговое окно.

делегирование управления сбросом паролей в организационной единице Мarketing группе МktPswAdm

Теперь давайте соберем все вместе. В оснастке ADUC щелкните правой кнопкой
мыши на организационной единице Marketing и выберите в контекстном меню
пункт Delegate Control (Делегировать управление). Откроется начальный экран мас­тера делегирования управления (Delegation of Contro Wizard).
Этот мастер предлагает упрощенный способ установки делегирования и в рассматриваемом первом примере он работает хорошо. Щелкните на кнопке Next
(Далее) и отобразится следующий экран мастера (рис. 9.39).
Затем вы должны сообщить о том, что часть задач управления делегируете группе, и указать эту группу. Щелкните на кнопке Add (Добавить) и выберите груп­пу MkPswAdm. После щелчка на кнопке ОК для закрытия диалогового окна Add (Добавление) экран мастера выглядит так, как показано на рис. 9.40.
Щелкнув на кнопке Next, вы получите меню задач, которые можно делегировать
(рИс. 9.41).
Здесь вы найдете очень много функций, которые могут быть делегированы.
Вместо того чтобы заставить преодолевать длинный список функций, которые вас
никогда не будут интересовать, в Microsoft решили выбрать из них десяток или око­ло того функций, которые вероятнее всего захочется делегировать, и одной из них является возможность сброса паролей. На рис. 9.41 эта функция выбрана; щелкните на кнопке Next, в результате чего отобразится последний экран мастера (рис. 9.42).
Щелкните на кнопке Fiпish (Готово), чтобы завершить работу мастера.
Вспомните, что делегирование позволяет выбрать набор пользователей, которые
будут иметь контроль определенного вида над другим набором пользователей и/или компьютеров.
Это достигается путем помещения контролирующих пользователей в
отдельную группу, помещения контролируемых пользователей и/или компьютеров в
организационную единицу и делегирования группе необходимых задач управления
этой организационной единицей.
Рис. 9.39. Перед выбором группы Рис. 9.40. Выбор группы MkPswAdrn
«4 Дополнительные возможности). На экране отобразятся новые элементы (рис. 9.43).

Расширенное делегирование: ручная установка разрешений

Хотя предыдущий сценарий является удачным — и успешным — примером, он
только слегка приоткрывает мощь делегирования.
На самом деле для делегирования вы не обязаны использовать мастер; он всего лишь упрощает выполнение опреде­ленного диапазона распространенных задач.
РЕКОМЕНДУЕМЫЕ ПРИЕМЫ ДЕЛЕГИРОВАНИЯ
Делегиров ние — это удобный инструмент для администрирования сети. При аккуратном применении оно приносит немалую пользу. До этого момента упоминалось только несколько рекомендуемых приемов делегирования, а сейчас мы расширим их перечень дополнительными советами .
+ Создавайте группы и организационные единицы, к которым применяется де­
легирование. Этот облегчает их защиту, а также выполнение задач администрирования.
+ Избегайте назначения разрешений непосредственно пользователю. Создайте
группу (как обсуждалось ранее) и поместите в нее пользователя. Создание груп­пы, содержащей одного пользователя, не так уж обременительно, как может
показаться поначалу. В действительности это намного упрощает жизнь администратора, не заставляя выяснять, по какой причине тот или иной пользова­тель по-прежнему может выполнять действия, которые не должен выполнять.
+ Назначайте пользователям и группам наименьший объем разрешений. Это по­
может сделать сеть более защищенной. Пользователи могут думать, что име­
ют право на полный контроль абсолютно над всем, но им редко, если вообще
когда-либо, требуется такой контроль.
+ Используйте полный контроль продуманно. Полный контроль может нанес­ти встречный удар по вам, когда пользователи или группы начнут извлекать
выгоду от вашего щедрого дара.
Полный контроль дает пользователю возможность работать с разрешениями объекта. Это означает, что пользователи могут
предоставить себе более высокие разрешения, чем планировал администратор.
Вдобавок, если кто-то получает контроль над учетной записью, то он сможет
внести намного больше беспорядка, нежели в противном случае.
• Для дальнейшего усиления защиты и расширения удачных приемов админис­
трирования делегируйте задачу создания объектов и задачу управления объек­
тами разным группам. Такой подход известен как двухсубъектная целостность
(two-person integrity — TPI). Если вы разделите ответственность между двумя
персонами или группами, снизится вероятность некорректного управления со
стороны любого из них.
Думайте об этом как о разделении разрешений на создание резервных копий и восстановление из этих копий между двумя группа­ми.
Например, одной группе администраторов можно предоставить возмож­ность создания групп в организационной единице, тогда как другой группе
администраторов позволить управлять членством в группах.
• Создавайте представления панелей задач. Представления панелей задач удоб­
ны, когда вы хотите делегировать задачи персоналу службы поддержки или
другим группам, которым требуются определенные разрешения, но не желае­
те, чтобы они имели доступ к полной консоли. Такой прием помогает обучать
новых администраторов, прежде чем им будут предоставлены бразды правле­ния всем доменом.
• Вы можете выполнять делегирование на уровнях выше организационной единицы, но в качестве правила избегайте поступать подобным образом. Если вы
делегируете разрешения на уровне домена, то такой пользователь или груп­
па могут потенциально получить возможность намного большего влияния на
сеть, чем вы ожидали.
ОСТАВАЙТЕСЬ С НАМИ
Даже если вы не очень интересуетесь делегированием, все равно проработайте дан­ный пример. Он демонстрирует навигацию по трем уровням с нарастающей слож­ностью в диалоговых окнах безопасности Windows Server 201 2 R2.
Ниже показано, как можно напрямую манипулировать делегированием.
1 . Откройте оснастку ADUC и выберите пункт меню ViewqAdvanced Features
(Виде:> Дополнительные возможности). На экране отобразятся новые элементы
(рис. 9.43)
2. Щелкните правой кнопкой мыши на организационной единице Marketing и выберите в контекстном меню пункт Properties (Свойства). Откроется диалоговое окно свойств организационной единицы Marketing с вкладкой Security (Безопасность). (Между прочим, если дополнительные воз­можности не включены, вкладка Security не отображается.)
3. Перейдите на вкладку Security и вы увидите примерно то, что показано на рис. 9.44.
Рис. 9.43. Оснастка ADUC с включенными дололнительными возможностями

Список разрешений для группы MkPswAdm прокручен вниз, чтобы вы виде­ли, что для нее предлагается. Здесь отмечен только флажок Special permissions (Специальные разрешения), что не особенно информативно. Это верхний уровень диалогового окна безопасности Windows Server 201 2 R2. Считайте его обзорным уровнем для информации, связанной с безопасностью. Откровенно говоря, мы находим такое высокоуровневое представление довольно ограниченным. Все, на что оно действительно указывает — что в этом диалоговом окне сушествует много записей (все они на рисунке не уместились), и вы мо­жете вспомнить, что каждая из них называется записью управления доступом (access control entry — АСЕ). Список таких записей называется списком управ­ления доступом (access control Iist — ACL).
Теоретически вы должны иметь возможность щелкнуть на любой записи АСЕ
в верхней части диалогового окна и получить в нижней части сведения о том,
что конкретно эта запись АСЕ позволяет делать указанным объектам.
Напри­мер, на рис. 9.44 видно, что группа MkPswAdm имеет «специальные» разреше­ния. Это одна из причин, почему нам не нравится данное диалоговое окно,поскольку понятие «специальные» дает не особенно много информации.
Дру­гая причина связана с тем, что это диалоговое окно показывает только крайне
упрощенный список возможных разрешений, что иногда будет вводить в заблуждение. Вот почему хорошо, что есть возможность углубиться на следующий уровень, щелкнув на кнопке Advanced (Дополнительно).
4. Щелчок на кнопке Advanced приводит к отображению диалогового окна дополнительных настроек безопасности (рис. 9.45).
5. Прокрутите список Permission entries (Записи разрешений) до появления
группы MkPswAdrn, и вы увидите, что для нее есть две записи: в одной указано
«специальное» разрешение, а в другой разрешения вообще не указаны, что в
принципе не несет в себе сколько-нибудь полезной информации

Рис. 9.45. Дополнительные настройки безопасности
для организационной единицы Marketing

6. При выделенной первой из этих записей щелкните на кнопке Edit (Редакти­
ровать). Откроется диалоговое окно, показанное на рис. 9.46.
Прокрутив содержимое окна, вы увидите, что группе MkPswAdm была предо­
ставлена возможность чтения и записи свойств дочерних объектов пользовате­
лей (Descendant User objects), но только одного свойства pwdLastSet — имен­
но так на языке АО называется возможность отметки флажка User must change
password at next logon (Пользователь должен изменить пароль при следующем
входе), который доступен в диалоговом окне Reset Password (Сброс пароля).

Рис. 9.46. Специальные возможности группы MktPswAdm
7. Возвратитесь в диалоговое окно дополнительных настроек безопасности и
щелкните на кнопке Edit при выделенной второй записи для группы MkPswAdm.
Откроется диалоговое окно, представленное на рис. 9.47.
7. Возвратитесь в диалоговое окно дополнительных настроек безопасности и
щелкните на кнопке Edit при выделенной второй записи для группы MkPswAdm.
Откроется диалоговое окно, представленное на рис. 9.47.

Рис. 9.47. Выдача разрешения на сброс паролей
Как видно на рис. 9.47, доступно огромное количество разрешений, которые мо­гут быть выданы отдельной группе для управления организационной единицей.
Верите или нет, но вы можете устанавливать более чем 1 О ООО отдельных разреше­ний всего лишь для одной организационной единицы. Причем подсчитаны только разрешения Allow (Разрешить) — если учесть также и Dепу (Запретить), то указанное число удвоится.
Где вы можете использовать это? Итак, вы предоставили группе MkPswAdm возможность изменять пароли, но не устранили ее из групп, которые первоначальноимели ее — члены Doma in Admins, Enterprise Admins и тому подобных групп по-прежнему могут сбрасывать пароли.
Это не является плохой идеей, но если вы действительно столкнетесь со сценарием, так сказать, «феодальных поместий » . где сотрудники отдела маркетинга желают иметь уверенность в том, что только они мо­гут администрировать свои учетные записи, то должны будете сначала делегировать задачи управления организационной единицей Marketing определенной группе, а затем перейти на вкладку Security и отключить эту возможность для других адми­нистраторов.

Выяснение установленных делегирований,или отмена делегирования

Настало время для не очень хороших и совсем плохих новостей.
Предположим, что вы не являетесь администратором, который настраивал сре­ду Active Directory. Наоборот, вы — второй по счету адми нистратор, и нас наняли на работу, чтобы почистить «авгиевы конюшни», оставшиеся после первого адми­нистратора. Вы знаете такой сорт администраторов; они сродни «сумасшедшим ученым » — парни, щелкающие на чем попало внутри инструментов администрирования до тех пор, пока проблема не будет решена». как они думают. А как на­ счет документирования’? Ха, настоящие администраторы никогда не документируют;
у них никогда нет времен и на документирование. В конце концов, эту сеть было трудно проектировать, так ее должно быть трудно и понимать!
Итак, вам интересно, что же этот парень натворил. Как он изменил среду AD
компании по сравнению со стандартной средой АО, которая получается сразу после запуска утилиты DCPromo’? Н а этот вопрос сложно ответить. Разумеется, создан­ные им организационные единицы вполне очевидны — просто загляните в Active Directory Users and Computers и увидите там новые папки. Но какие делегирования он создал ‘?
А теперь не очень хорошая новость. К сожалению, не существует программы, ко­торую можно было бы запустить, и она бы сравнила стандартную структуру АО и делегирования с текущей структурой АО и делегированиями, выдав отчет в стиле «вот то, что было изменено». Учитывая это ограничение, мы совершенно искрен­не советуем: всегда документируйте делегирования.
Всегда.
Попытайтесь контро­лировать, кто может устанавливать делегирование, и проясните, что делегирование разрешено делать только умеренно. Почему же тогда мы называли эту новость о сравнении лишь не очень хорошей, а не плохой’? Причина в том, что есть небольшой инструмент, имеющий название dsacls . ехе. Этот инструмент, входящий в состав основных утилит командной строки Windows Server 201 2 R2, предоставляет детали­зированные листинги со списками ACL (порция a c l s названия) службы каталогов (порция ds названия).
Для запуска и нструмента dsa c l s . е х е вы должны перейти в окно командной строки.
1. Выберите в меню Start (Пуск) пункт Run (Выполнить).
2. В появившемся диалоговом окне введите cmd; откроется окно командной
строки.

3. В окне командной строки введите dsacls, чтобы получить полный спектр
помощи, предлагаемой этим инструментом.
Как указано в справке, инструмент требует ввода пути к организационной единице, которую вы хотите просмотреть, с применением официального синтаксиса LDAP. В данном примере путь будет выглядеть подобно ou=marketing,
dc=bigfirm, dc=com.
Вы можете просто ввести dsacls ou=marketing, dc=bigfirm, dc=com. Это
приведет к выводу информации в окне командной строки, что не очень удобно
для проведения анализа.
4. Таким образом, направьте вывод в файл, используя следующий синтаксис:
dsacls ou=marketing, dc=bigfirm, dc=com > c : marketing _ OU _ delegation . txt
Открыв файл marketing_ ou _ delegation . txt, вы увидите результат, похожий на показанный на рис. 9.48.
Рис. 9.48. Выдача разрешения на сброс паролей
Осталась по-настоящему плохая новость. Мастер Delegation of Control Wizard —
удобный небольшой инструмент, но он является мастером только делегирования, но не отмены делегирования. Если вы хотите отозвать у группы MkPswAdm возможность
изменения паролей учетных записей в отделе маркетинга, понадобится перейти на вкладку Security, найти ссылки на MkPswAdm и удалить их. Мы предупреждаем, что если вы хотите сохранить одни делегирования и удалить другие, вам придется вруч­ную определить, какие из них соответствуют делегируемой задаче, которую вы кон­фигурируете.