Единый интерфейс для разработки и управления объектами групповой политики
Концепция и средства работы с групповыми политиками Group Policy входят в список основных преимуществ Windows 2000. С появлением каждой новой версии Windows это становится все более очевидным. Возможность управлять параметрами огромного числа серверов и клиентов — жизненно важная задача в ситуации, когда один неверно настроенный компьютер в течение нескольких секунд может стать распространителем вирусов. К несчастью, в списке наиболее сложных инструментов Group Policy тоже стоит на одном из первых мест. Главный плюс Windows 2000 Group Policy — исключительно мощные возможности управления системой, основной же минус становится очевидным с того момента, когда администратор начинает работать с групповыми политиками в масштабах всей компании.
Вот почему консоль управления групповой политикой, Group Policy Management Console (GPMC), является неоценимым помощником администратора. GPMC — это новый бесплатный программный инструмент, реализованный в виде оснастки консоли Microsoft Management Console (MMC) для Windows Server 2003. Назначение GPMC — централизованное управление групповыми политиками.
Возможности GPMC
Список возможностей GPMC выглядит как перечень пожеланий администратора Group Policy. Для GPMC разработан новый графический интерфейс, который позволяет просматривать объекты Group Policy Object (GPO) во всем домене и даже в лесах интуитивно понятным образом. Теперь администратор может генерировать HTML-отчеты о произведенных установках GPO даже в том случае, когда право записи GPO отсутствует. К GPO теперь применимы операции резервирования и восстановления, GPO можно экспортировать, импортировать и даже выполнять при управлении несколькими доменами отображения на учетные записи других администраторов и указывать другие UNC-пути к ресурсам. В GPMC реализована функция предварительного просмотра результатов применения политик Resultant Set of Policies (RSoP). Для построения фильтров Windows Management Instrumentation (WMI) теперь можно использовать язык запросов Windows Management Instrumentation Query Language (WQL). Наконец, в GPMC заложены возможности поиска объектов групповых политик в рамках одного домена или во всех доменах леса.
Требования к установке
Говоря о GPMC, мы имеем в виду операционную систему Windows 2003. Хотя для работы GPMC не требуется самая последняя из выпущенных версий Windows, тем не менее в лицензионном соглашении сказано, что установить GPMC можно только в той сети, где работает по крайней мере одна копия Windows 2003. GPMC можно запустить в базовой конфигурации на Windows 2003 или на станции Windows XP Service Pack 1 (SP1) с установленным компонентом Windows .NET Framework. Когда GPMC разворачивается на XP, автоматически загружается обновление XP Quick Fix Engineering (QFE) Update Q326469, если оно еще не установлено. QFE обновляет библиотеку gpedit.dll для соответствия требованиям GPMC. GPMC не работает на 64-разрядных версиях Windows, поскольку пока еще не выпущена 64-разрядная версия Framework. GPMC и статьи, посвященные проблемам управления групповой политикой с использованием GPMC, доступны по адресу www.microsoft.com/windowsserver2003/gpmc.
Помимо обслуживания леса, Windows 2003 с помощью GPMC администратор может управлять лесами, состоящими из контроллеров доменов на базе Windows 2000. На Windows 2000 DC должен быть развернут как минимум SP2 (желательно — SP3). Дополнительные сведения об этом можно найти в статье Microsoft «Windows 2000 Domain Controllers Require SP3 or Later When Using Windows Server 2003 Administration Tools» по адресу http://support.microsoft.com//?kbid=325465. Чтобы воспользоваться функцией Group Policy Modeling, необходимо по крайней мере один из DC обновить до уровня Windows 2003. Нужно иметь в виду, что при редактировании GPO в лесу Windows 2000 на таких клиентах, как Windows 2003 или XP (так называемые uplevel-клиенты), важно помнить о некоторых тонкостях. Если редактирование Windows 2000 GPO ведется с uplevel-клиента, то более поздние настройки политики клиента автоматически и без предупреждения (это действие по умолчанию) заменят настройки GPO. Данная особенность GPMC описана в статье Microsoft «Upgrading Windows 2000 Group Policy for Windows XP» (http://support.microsoft.com//?kbid=307900). Для предотвращения нежелательного обновления GPO в рассматриваемом объекте требуется включить политику User Configuration/Administrative Templates/System/Group Policy/Turn off automatic update of ADM files.
Кроме того, можно непреднамеренно спровоцировать конфликт объектов политики, если сначала воспользоваться базовой версией XP для редактирования GPO, а затем выполнить обновление DC до Windows 2000 SP3. Происходит автоматическое обновление административных шаблонов на основе времени создания/модификации файла, и эти временные метки для только что установленного SP3 покажут, что данные файлы-шаблоны более свежие, чем на XP. В результате административные шаблоны Windows 2000 SP3 (более новые по временной метке) перезаписывают шаблоны XP Group Policy (более новые по коду), что может привести к разрушению административного шаблона. Превентивные меры и изменение ситуации, если она все-таки возникла, одинаковы: необходимо использовать клиентские станции Windows 2003, XP SP1 или Windows 2000 для редактирования объектов Windows 2000 GPO, поскольку временные метки названных операционных систем для административных шаблонов Group Policy — более поздние, чем временные метки шаблонов Windows 2000 SP3.
После установки GPMC соответствующий значок появляется в Administrative Tools — как Group Policy Management. Поскольку эта утилита является интегрированной оснасткой MMC, при желании можно настроить специализированную MMC-консоль GPMC путем добавления Group Policy Management с помощью меню Add/Remove Snap-in.
Интерфейс пользователя
На Экране 1 показана основная консоль GPMC. Как и для всех оснасток MMC, интерфейс пользователя состоит из двух областей: слева панель дерева консоли, справа — панель сведений. Дерево консоли показывает структуру Active Directory (AD) в виде, напоминающем оснастку MMC Active Directory Users and Computers. Если присмотреться внимательно, можно заметить несколько важных отличий. Первое состоит в том, что в структуру AD разрешается включать несколько лесов (на Экране 1 это corpvm.bigtex.net и deuby.net). Второе отличие — внутри каждого леса в GPMC представлены только те контейнеры, между которыми в лесу существуют связи GPO, это могут быть сайты, домены и организационные единицы (OU), в терминологии Microsoft это субъект управления — Scope Of Management (SOM). Третье отличие связано с тем, как в дереве консоли изображаются связи GPO и SOM. На Экране 1 соответствия между различными объектами групповых политик и контейнерами изображены в виде ярлыков или связей — обратите внимание на маленькую стрелку на значках. Объекты групповой политики не хранятся в тех контейнерах, для которых они создавались; они хранятся на уровне домена (находятся в контейнере Group Policy Objects) и связаны с соответствующим SOM.
Экран 1. Интерфейс GPMC |
Интерфейс GPMC поддерживает операции перетаскивания, как и традиционное контекстное меню для работы с GPO. Например, можно связать GPO с OU, выбрав нужный GPO в контейнере Group Policy Objects и перетащив его на OU контроллера домена. Большинство операций перетаскивания GPO сопровождается появлением окна с требованием подтвердить данное действие; такие виды операций могут иметь далеко идущие последствия при ошибочном связывании GPO не с тем контейнером из-за неточного позиционирования, что может нанести ущерб политике по умолчанию целого домена.
Описание DC GPO, заданное по умолчанию, выделено для домена amrvm.corpvm.bigtex.net в окне дерева консоли, так что в окне области сведений представлены подробные данные о выбранном объекте групповой политики. В панели сведений имеется четыре вкладки: область действия GPO, детальное описание параметров, настройки и делегирование GPO. На изучение того, с каким именно контейнером связан настроенный пользователем GPO в среде Windows 2000, могло бы уйти много времени. Вкладка Scope позволяет узнать это, один раз щелкнув мышкой.
Как показано на Экране 1, Default DC GPO не связан больше ни с каким другим сайтом, доменом или иным OU. Список Links представляет все связи GPO в одном месте интерфейса. Секция Security Filtering в окне сведений показывает, для каких пользователей или компьютеров данный GPO будет обрабатываться.
Вкладка Detail предоставляет информацию о GPO, которую раньше приходилось выуживать из самых разных мест. Сюда входят сведения о домене и владельце GPO, времени создания и модификации GPO, номерах версий пользователя и настройках компьютера в AD и SYSVOL, о глобальном уникальном идентификаторе (GUID) и о статусе GPO (включен/отключен).
Вкладка Settings позволяет просмотреть все настройки GPO в формате HTML — для этого больше не нужно лазить по всем закоулкам MMC Group Policy Editor (GPE). На вкладке показаны только действующие настройки для подключенных параметрических секций. Можно развернуть или свернуть каждую секцию, выбрав show или hide. Контекстное меню в любом месте отчета позволяет редактировать GPO (с помощью стандартной интегрированной оснастки MMC Group Policy Object Editor), вывести отчет на печать или сохранить его в HTML-файле.
На вкладке Delegation показано, у кого есть права на данный GPO. И опять же, здесь все гораздо проще и понятнее по сравнению с редактором ACL для объектов AD. Для любого представленного принципала безопасности существует всего пять комбинаций настроек: Read, Edit settings, Edit settings/delete/modify security, Read (from Security Filtering) и (если выбрать Advanced на вкладке Delegation и воспользоваться редактором разрешений непосредственно) Custom. Для субъекта безопасности, который обладает правом Read (from Security Filtering), накладываются фильтры безопасности, и для получения подробной информации о правах необходимо обратиться к вкладке Scope в секции Security Filtering.
Есть одна общая задача, в решении которой GPMC не сможет помочь администратору. Это запуск процедуры обновления политики. Данная процедура инициируется с помощью утилиты Gpupdate (для Windows 2003 и XP) или же Secedit (для Windows 2000). Чтобы запустить обновление Group Policy, следует открыть окно командной строки на станции клиента и запустить одну из названных выше утилит.
Работа с GPO
Один из разочаровывающих аспектов работы с объектами групповой политики в Windows 2000 состоит в том, что этими объектами невозможно манипулировать так же, как файлами. В отличие от объектов файловой системы или AD объекты групповой политики представляют собой гибридную конструкцию, уникальную для Windows 2000; каждому GPO соответствует некоторый компонент AD и компонент файловой системы. AD-компонент распределяется между репликами AD, а компонент файловой системы циркулирует по томам SYSVOL контроллеров домена через механизм File Replication Service (FRS). Это одна из причин, почему объектами GPO так непросто управлять. Можно создавать GPO, удалять их, редактировать параметры объекта Group Policy и настройки безопасности — и более ничего. Невозможно создать резервную копию GPO для надежного хранения, восстановить GPO при утере или порче информации, скопировать GPO для проверки выполненных настроек в тестовый лес. Однако теперь, при помощи GPMC, все перечисленные выше операции выполнить гораздо проще.
Операция Backup
Чтобы создать резервную копию GPO, нужно просто открыть контекстное меню объекта в окне дерева консоли и выбрать Backup. Прежде чем приступить к резервированию GPO, система предложит указать место хранения резервной копии и задать ее описание. Можно зарезервировать все GPO домена с помощью все того же контекстного меню, выбрав команду Back Up All. GPMC выводит на экран индикатор выполнения задания (см. Экран 2). Точно такое же контекстное меню предлагает утилита Manage Backups, в которой для указанного каталога перечисляются все хранящиеся в нем резервные копии GPO.
Экран 2. Резервное копирование всех GPO домена |
Операция Restore
При восстановлении сохраненного GPO настройки текущего GPO удаляются, и данное GPO переходит в состояние, соответствовавшее моменту создания резервной копии. Причины использования операции Restore очевидны — возврат GPO в работоспособное состояние или восстановление случайно удаленного GPO. При этом GPMC не восстанавливает связи данного GPO, если их уже успели удалить, но, поскольку GPO GUID остался прежним, работа через ранее существовавшие связи для восстановленного GPO будет протекать точно так же, как и для оригинального GPO.
Чтобы восстановить GPO, следует открыть в контейнере контекстное меню объекта групповой политики и выбрать Restore From Backup. Если GPO отсутствует (случайно удален), нужно открыть контекстное меню контейнера, выбрать Manage Backups и указать GPO, который необходимо восстановить. После этого можно будет просмотреть настройки интересующего GPO (в виде такого же отчета, который представлен на вкладке Settings) и убедиться, что GPO для восстановления выбран правильно.
Операции Copy и Import
С помощью операций Copy и Import настройки существующего GPO передаются в новый GPO. Целевой GPO при этом может находиться в том же домене, в другом домене или даже в соседнем лесу.
Между операциями Copy и Import имеются различия. Import требует, чтобы целевой GPO уже существовал до начала операции импортирования настроек, тогда как Copy сама создает целевой GPO. Операция Copy требует наличия трастовых отношений между исходным и целевым доменом, с тем чтобы операция копирования была выполнена за один прием, для Import в этом нет необходимости, поскольку работа проводится с резервной копией GPO. Если между доменами не заданы трастовые отношения, воспользоваться операцией Copy будет невозможно, придется создать резервную копию GPO где-либо в файловой системе, а затем импортировать резервную копию GPO в целевой домен.
Чтобы импортировать настройки GPO, следует открыть контекстное меню целевого GP и выбрать Import Settings. Это действие запускает программу-мастер, которая предлагает сохранить существующую конфигурацию GPO, указать место хранения резервной копии GPO и восстановить настройки. Если исходный GPO ссылается на принципалы безопасности и определенные пути в формате UNC, мастер автоматически поможет воспользоваться таблицей миграции и задать отображение используемых принципалов безопасности и UNC на целевой GPO с учетом данных таблицы. Операция Copy предоставляет возможность разработать целый процесс управления изменением GPO, для чего желательно создать и протестировать GPO в отдельном домене или лесу доменов, а уже потом скопировать отлаженные GPO в производственный домен.
Миграционные таблицы
Копирование GPO внутри домена — это вполне очевидная операция, так как пользователи, компьютеры, группы и пути UNC, на которые ссылается GPO, доступны как исходному, так и целевому SOM. Копирование GPO между доменами в рамках одного леса — и тем более между доменами в разных лесах — операция более сложная, поскольку UNC-пути для каталогов переназначения или установки программ и принципалов безопасности (например, локальных групп домена), на которые имеются ссылки в настройках исходного GPO, могут оказаться недоступными в целевом GPO. Поскольку принципалы безопасности фигурируют в GPO под своими идентификаторами защиты (SID), простое копирование объекта групповой политики в целевой домен, в котором рассматриваемый SID не имеет никаких прав, приведет к появлению неразрешимого SID (Unresolved SID). В этом случае не только произойдет нарушение нормального функционирования GPO, но периодически в целевом домене в журнале Application Event Log начнут появляться сообщения об ошибках в компонентах SceCli и Userenv.
Положение можно исправить следующим образом. Нужно создать индивидуальное отображение между принципалами безопасности и UNC-путями исходного и целевого доменов. Например, если в домене TEST существует локальная группа под названием Test GPO Admins, то при копировании GPO в производственный домен PROD необходимо определиться, какую группу вместо Test GPO Admins следует иметь в виду в целевом домене. Группы Test GPO Admins, скорее всего, в домене PROD не существует, а создание новой локальной группы в производственном домене с таким же именем ни к чему не приведет, так как все равно идентификатор SID созданной группы будет отличаться от SID исходной группы Test GPO Admins. Но если создать таблицу, в которой установлено отображение TESTTest GPO Admins в PRODGPO Admins, GPMC автоматически заменит SID TESTTest GPO Admins на SID PRODGPO Admins и тогда GPO сможет нормально функционировать в целевом домене.
Специалисты Microsoft назвали эту таблицу миграционной. Приложение, с помощью которого создается миграционная таблица, называется Migration Table Editor (MTE) — mtedit.exe. MTE входит в состав операции Copy и Import, поэтому, когда система обнаруживает принципалы безопасности или пути UNC, в мастере появляется вариант запуска MTE. Редактор миграционной таблицы может быть запущен из панели дерева консоли контекстного меню контейнера GPO с помощью команды Open Migration Table Editor.
Пример операции копирования GPO
Давайте посмотрим, как выполнить копирование GPO из дочернего домена amrvm.bigtex.net в домен того же уровня gervm.bigtex.net. В исходном объекте групповой политики, CoolNewGPO, предоставлено право Capacity Planning для проведения анализа системной производительности, право Security для управления аудитом и работы с журналом Security log и Server Operations — для завершения работы системы в удаленном режиме. Для того чтобы скопировать данный GPO, требуется открыть контекстное меню CoolNewGPO в контейнере Group Policy Objects в домене AMRVM и выбрать Copy. Затем нужно открыть контекстное меню в контейнере Group Policy Objects в домене GERVM и выбрать Paste. Это приводит к запуску мастера Cross-Domain Copying Wizard, который помогает завершить операцию копирования. Необходимо быть внимательным и выполнять команду Paste только для целевого контейнера Group Policy Objects. Если случайно будет выбран другой контейнер, может оборваться связь исходного GPO с другими доменами. К счастью, в этом случае появляется окно с требованием подтвердить выполнение операций междоменной связи.
Если необходимо скопировать GPO между различными доменами, сначала требуется решить, нужно ли переносить разрешения исходного GPO или же воспользоваться для целевого GPO разрешениями по умолчанию. Например, мы принимаем, что в целевом GPO будут использоваться разрешения по умолчанию. Мастер Cross-Domain Copying Wizard анализирует, может ли для принципалов безопасности GPO-источника или UNC-путей понадобиться таблица миграции. Поскольку наш GPO содержит принципал безопасности, мастер предоставляет нам на выбор две возможности: скопировать принципалы безопасности из источника или построить таблицу миграции для перемещения исходных настроек в целевой домен. Так как мы заинтересованы в создании миграционной таблицы, нажимаем кнопку New для построения новой таблицы.
GPMC выдает для заполнения пустую миграционную таблицу. В меню File следует выбрать Tools, Populate from GPO. Это действие позволяет выбрать GPO-источник (хотя в самом начале операции Copy уже указано, какой именно GPO копируется) и заполнить таблицу миграции принципалами безопасности и UNC-информацией исходного GPO. Затем настает очередь выбора целевого домена, как показано на Экране 3.
Экран 3. Сопоставление GPO разных доменов |
Исходный домен, AMRVM, имеет три глобальные группы интересов: AMRVM Security Spooks, AMRVM Capacity Planning и Server Operations. Требуется задать отображение этих групп в группы целевого домена — GERVM Security Spooks, GERVM Capacity Planning и Server Operations. Следует открыть контекстное меню поля Destination Name в MTE и выбрать Browse. Запускается AD Object Picker. Затем нужно щелкнуть кнопку Locations, ввести целиком или частично имена целевых групп, щелкнуть Check Names и нажать Enter. Когда пользователь указывает объект и нажимает ОК, мастер заполняет поле Destination Name наименованиями групп в формате User Principal Name (UPN).
Поскольку группа Server Operations (не путать со встроенной группой Server Operators) и в исходном домене, и в целевом называется одинаково, необходимо открыть контекстное меню поля Destination Name и выбрать Set Destination, Map By Relative Name (см. Экран 3). Когда используется этот режим отображения, GPMC осуществляет поиск принципала безопасности в целевом домене, у которого точно такое же относительное имя, и заменяет в политике исходный принципал безопасности на его целевой аналог с таким же именем.
Теперь миграционная таблица заполнена, осталось выбрать File, Exit и подтвердить сохранение выполненных изменений. Мастер выводит отчет о внесенных в конфигурацию GPO изменениях и после нажатия кнопки Finish будет запущена операция Copy. Чтобы показать скопированные настройки GPO, следует выбрать в дереве консоли GPMC вновь созданный объект GPO и в области сведений перейти на вкладку Settings. Обратите внимание на изменения, которые произошли в установках GPO при переносе объекта групповой политики из домена AMRVM в домен GERVM.
Составление сценария
GPMC основывается на COM-интерфейсах (доступных для VBScript, Jscript и Visual Basic — VB), через которые в основном и осуществляется работа консоли. Для пользователей, недостаточно хорошо владеющих механизмом составления сценариев, группа разработчиков GPMC включила в состав этого приложения набор сценариев, расположенных в каталоге %programfiles%gpmcscripts. Эти сценарии в той же степени полезны в работе, что и графический интерфейс, поскольку с их помощью администраторы программным путем могут управлять объектами групповых политик (за исключением настроек GPO). Сценарии можно запускать в режиме планировщика заданий без вмешательства оператора.
С помощью сценариев администратор может создавать резервные копии отдельных или всех GPO домена, восстанавливать их в случае необходимости, копировать GPO, удалять их, создавать GPO в конфигурации по умолчанию, менять разрешения, импортировать один или несколько GPO в домен, а также генерировать отчеты о состоянии любого числа GPO домена. Еще 12 сценариев позволяют получить информацию об особенностях настроек Group Policy. Например, можно получить список всех GPO домена и подробное описание соответствующих конфигураций объектов групповых политик или же список всех GPO, у которых отсутствуют связи с сайтом, доменом или OU.
Два сценария демонстрируют возможности использования сценариев и XML: CreateXMLFromEnvironment.wsf собирает сведения об OU, GPO, связях GPO и настройках безопасности GPO в домене и сохраняет эту информацию в .xml-файле; CreateEnvironmentFromXML.wsf читает .xml-файл, созданный CreateXMLFromEnvironment.wsf, и строит объектную среду, основанную на сохраненной информации. С помощью этих сценариев можно быстро построить среду разработки или тестирования, которая точно воспроизводит производственную среду.
Результирующая политика (RSoP)
RSoP — одна из наиболее примечательных возможностей Windows 2003. Политики, которые воздействуют на конечных пользователей, зависят от большого числа переменных, в связи с чем работать с ними становится очень сложно. Теперь можно вычислить воздействие, которое произведет на пользователей набор различных GPO, связанных с несколькими сайтами и OU в домене. RSoP позволяет оценить эффект политики — на любой компьютер в иерархии AD или на любого пользователя — в результате воздействия всех GPO, которые влияют на данный компьютер или пользователя. В RSoP различают режим регистрации (logging mode) и режим планирования (planning mode). Регистрация RSoP позволяет установить, какие GPO предназначены для пользователя или компьютера и от каких GPO накладываются конкретные установки. Планирование RSoP дает возможность выполнить анализ типа что — если для оценки влияния отдельного GPO (или целой группы GPO) на пользователя или компьютер, который перемещается в другой OU или группу безопасности. Обратиться к RSoP можно и без применения GPMC. Регистрируясь на станции Windows 2003 или XP, всегда можно быстро определить эффективную политику для учетной записи пользователя, набрав в окне командной строки:
RSoP.msc
Отображение эффективных настроек — сущность режима регистрации. Чтобы запустить RSoP в режиме планирования, минуя GPMC, следует открыть MMC на сервере Windows 2003 и добавить оснастку RSoP. После этого можно реализовать сценарий что — если для своей политики.
Поскольку GPMC разрабатывалась как центральное приложение администрирования Group Policy, RSoP может быть запущена непосредственно из GPMC. В GPMC для режимов RSoP специалисты Microsoft используют другие термины — RSoP Logging Mode переименован в Group Policy Results, а RSoP Planning Mode теперь называется Group Policy Modeling.
Group Policy Results. Получить отчет Group Policy Results можно со станции клиента в домене Windows 2000, однако на клиенте в этом случае должна работать система Windows 2003 или XP, а у пользователя должны быть права локального администратора на той станции, информацию о которой он собирает. Чтобы запустить программу Group Policy Results Wizard, следует открыть контекстное меню для значка Group Policy Results в левой части оснастки GPMC и выбрать Group Policy Results Wizard. Мастер последовательно проведет вас через все необходимые шаги для вычисления эффективных настроек выбранного компьютера или пользователя. GPMC выведет в область сведений исчерпывающую информацию (см. Экран 4). Обратите внимание на три вкладки. Вкладка Summary показывает сводную информацию о конфигурации компьютера пользователя, вкладка Settings — эффективные установки, а Policy Events — сообщения в журнале событий, относящиеся к Group Policy.
Экран 4. Мастер Group Policy Results |
Group Policy Modeling. Group Policy Modeling позволяет моделировать воздействие нескольких GPO на пользователей или компьютеры без особых усилий, что обычно сопутствует решению задач, связанных с Group Policy. Используется вместе с функциями Copy и Import и применяется для разработки, тестирования и быстрого развертывания GPO в среде Windows 2000.
Как и в случае с Group Policy Results, необходимо запустить мастер из контекстного меню Group Policy Modeling в левой части GPMC. Чтобы значок стал доступен для работы, в лесу должен быть установлен по крайней мере один компьютер Windows 2003 DC. Дополнительную информацию о Group Policy Modeling и Group Policy Planning можно найти в статье http://www.microsoft.com/technet/prodtechnol/ windowsserver2003/proddocs/entserver/rspintro.asp (в ссылке под названием Resultant Set of Policy).
Незаменимый помощник администратора
GPMC предоставляет программный инструмент исключительных функциональных возможностей для разработки и управления GPO, консолидируя множество различных функций в едином интерфейсе. Однако GPMC не охватывает всех аспектов управления Group Policy (например, не занимается внесением изменений), поэтому без приложений независимых разработчиков все-таки не обойтись. Совмещение таких функций, как Copy, Import и Group Policy Modeling, позволяет разрабатывать и развертывать GPO намного быстрее и с большей степенью безопасности, чем в Windows 2000. GPMC играет настолько важную роль для Windows 2003 и Windows 2000, что Microsoft следовало бы включить эту утилиту в состав операционной системы, а не выпускать в виде отдельного дополнения.
Шон Дьюби— редактор журнала Windows & .NET Magazine, старший системный инженер компании Intel, специализирующийся на проектировании корпоративных сетей на базе Windows 2000. С ним можно связаться по электронной почте по адресу: spdeuby@winnetmag.com.
Who is This Group Policy Page For?
- Administrators who want an overview of Windows 2003 Group Policy
- Experienced network managers who want lockdown desktops
- Network Architects who need to turn a desktop vision into reality
Topics for Group Policy
- The Big Picture
- Getting Started
- GPMC (Group Policy Management Console)
- RSoP (Resultant Set of Policy)
- Gpupdate
- Modifying Inheritance
- Fine Tuning Permissions
- Assigning Software
- Tools
‡
The Big Picture
The concept behind Group Policies is that administrators configure settings once, and then the settings apply continuously to the users. Furthermore, Group Policy can be applied to computers, so you can control the settings no matter who logs on. The way that Group Policies works is to alter settings in the registry.
The old saying «Prevention is better than cure», certainly applies to Group Policies. A good Group Policy will give greater productivity for the users, and save you time on routine administration. Think of all the damage and time wasting caused by users experimenting with control panel settings. I once saw a user set the screen refresh rate faster than the monitor hardware could cope with, his screen literally went up in smoke! If only the administrator had set a group policy, they could have disabled the Display Tab and thus prevented an expensive mistake.
One neglected aspect of group policy is that you can and pro-active and configure settings to be kind to the users, in this case you could create a policy that sets the refresh rate at 80, rather than the flickery default value of 60.
Getting Started
Just wading through the 100’s of Policies is a Herculean task. My suggestion is to commission two opposite approaches. Get a ‘Techie’ who understands Windows 2003 to go through the policy and select those settings that he thinks appropriate. Then ask a manager to produce a vision or wish list of what the desktop should look like. Finally, bring the two disparate mind sets together weld them into your Group Policy.
Navigate to the Active Directory Users and Computers. right-click the Domain object, Properties, Group Policy (Tab) now ‘click’ the Edit (button) and you will see the policy settings. A less risky method of easing your way into Group Policies would be to create a test OU, and then make a brand new policy.
Group Policy Management Console (GPMC)
Firstly, the GPMC is designed for Windows Server 2003 and later rather than Windows 2000. Either execute GPMC.msi from the program filesfolder or download the GPMC add-on from Microsoft’s site. It is well worth the effort in installing to gain the the extra setting to manage your Group Policies.
The Group Policy Management Console (GPMC) unifies Group Policy management across your Active Directory forest. Before GPMC, administrators needed many tools in order to manage Group Policy; the Microsoft Active Directory Users and Computers, the Delegation Wizard, and the ACL Editor. Not only does the GPMC integrate the existing Group Policy tools, but it also brings these exciting new capabilities:
- A user interface that makes it easier to use and manage Group Policy.
- New WMI filtering means that you can apply policies to particular machine, or only if there is enough disk space.
- Backup, restore, import, and copy Group Policy Objects (GPOs).
- Simplified management of Group Policy-related security.
- Reporting for GPO settings and Resultant Set of Policy (RSoP) data.
- Programmatic access to the above GPO operations. Note that it is not possible to programmatically set individual policy settings within a GPO.
- Windows 8 Group Policy Preferences.
Guy Recommends 3 Free Active Directory Tools
SolarWinds have produced three Active Directory add-ons. These free utilities have been approved by Microsoft, and will help to manage your domain by:
- Seeking and zapping unwanted user accounts.
- Finding inactive computers.
- Bulk-importing new users. Give this AD utility a try, it’s free!
Download your FREE Active Directory administration tools.
RSoP Snap-in (Resultant Set of Policy)
Microsoft provides a snap-in called RSoP for showing a given combination of policy settings. I find that if you install the GPMC, then you do not really need this RSoP. However if you do need it the RSoP is intuitive to use and comes in two modes:
- Logging mode. In logging mode, the RSoP snap-in tracks the policies that you apply. In this mode, the tool shows the actual policies for a given user or computer.
- Planning mode. In planning mode, the snap-in indicates the set of policies that would be applied if you deployed the policy. You can perform what-if analyses on the user and computer; the domain, and organizational unit.
Gpupdate
I am so pleased that Windows 2000’s Secedit is now obsolete, the syntax was horrendous. Gpupdate completely replaces Secedit on Server 2003 and XP. Mostly I just use Gpupdate as a simple command on its own, occasionally I tweak it with the following switches:
/target:computer or /target:user applies only the user or computer section of your policy. Normally I would use plain Gpupdate without the optional target switch.
/logoff Useful for settings that do not apply until the user logs on again.
/boot Handy for configuration which need the computer to restart.
/force reapplies all settings.
»
Modifying Policy Inheritance
Block Inheritance
I think of Block Inheritance as the ‘anarchists setting’. This is because OU’s further down the chain can prevent settings at the domain from taking effect. The knack of using Block Inheritance is to select the OU container and not the individual policy.
Enforce Policy (No-override)
I think of Enforce Policy as ‘Big brother fights back’ this setting prevents any ‘anarchists’ from changing a setting further down the OU chain. The trick to enforcing is to right-click the individual policy, not the OU.
Fine tuning Policy Permissions – Filtering
Changing the Security permissions on policies is one of the best kept secrets of Group Policies. Microsoft call it ‘filtering’ the policy so it only applies to certain users. The default setting is ‘Authenticated Users’ Apply Group Policy. A question: is the Administrator an ‘Authenticated User’? Of course he is. This is how enthusiastic policy setters lock themselves by applying severe policies at the Domain level and forgetting that they are an authenticated User’. The secret is to remove ‘Authenticated User’ and add the groups you actually want the policy to affect.
What’s new with delegation of permissions is there is a new built-in global group called Group Policy Creator Owners. My own view is that I would confine configuring Group policies to a small select group of experts and not allow delegation of Group Policies to people in OUs. My point is that usually I am all for delegation, creating users – yes, reset passwords – excellent use of delegation, but delegate Group Policies – no.
Monitor Your Network with the Real-time Traffic Analyzer
The main reason to monitor your network is to check that your all your servers are available. If there is a network problem you want an interface to show the scope of the problem at a glance.
Even when all servers and routers are available, sooner or later you will be curious to know who, or what, is hogging your precious network’s bandwidth. A GUI showing the top 10 users makes interesting reading.
Another reason to monitor network traffic is to learn more about your server’s response times and the use of resources. To take the pain out of capturing frames and analysing the raw data, Guy recommends that you download a copy of the SolarWindsfree Real-time NetFlow Analyzer.
Assigning Software
If there is a business case for an application then create a Policy and deliver the package to the Start Menu. Techies likes this approach because they can then apply service packs and upgrades from one central place. These policies operate from the Software Settings folder. If you want everyone who logs on to use an application, then Assign it to a computer; however if the user needs special software wherever they logon, Assign it at the User Configuration folder.
If you want more information, my Active Directory eBook has much more information on Group Policies, including screen shots of how and where to configure policies.
Window 8 Group Policy Drive Maps
The modern group policy method of drive mapping does not require any scripting. In Windows Server 2008 you can launch the Group Policy Management Console and configure Drive Maps by clicking with a mouse. See more on Windows 8 Group Policy Drive Maps.
If you like this page then please share it with your friends
More Windows Server 2003 topics:
• Windows Server 2003 Roles • IIS v 6.0 Explained • Upgrade from NT 4.0 • Install Server 2003
• Active Directory – Intro • Active Directory – DNS • Group Policy in Windows 2003 • FSMO Roles
• Windows Secondary Logon Service • Windows Server 2003 OU • .NET Explained • Computer Jokes
Windows 2003 Group Policies allow the administrators to efficiently manage a group of people accessing a resource. Group policies can be used to control both the users and the computers.
They give better productivity to administrators and save their time by allowing them to manage all the users and computers centrally in just one go.
Group policies are of two types, Local Group Policy and Domain-based Group Policy. As the name suggests, Local Group Policies allow the local administrator to manage all the users of a computer to access the resources and features available on the computer. For example an administrator can remove the use of the Run command from the start menu. This will ensure that the users will not find Run command on that computer.
Domain-based Group Policies allow the domain / enterprise administrators to manage all the users and the computers of a domain / forest centrally. They can define the settings and the allowed actions for users and computers across sites, domains and OUs through group policies.
There are more than 2000 pre-created group policy settings available in Windows Server 2003 / Windows XP. A default group policy already exists. You only need to modify the values of different policy settings according to your specific requirements. You can create new group policies to meet your specific business requirements. Group policies allow you to implement:
Registry based settings: Allows you to create a policy to administer operating system components and applications.
Security settings: Allows you to set security options for users and computers to restrict them to run files based on path, hash, publisher criteria or URL zone.
Software restrictions: Allows you to create a policy that would restrict users running unwanted applications and protect computers against virus and hacking attacks.
Software distribution and installation: Allows you to either assign or publish software application to domain users centrally with the help of a group policy.
Roaming user profiles: Allows mobile users to see a familiar and consistent desktop environment on all the computers of the domain by storing their profile centrally on a server.
Internet Explorer maintenance: Allows administrators to manage the IE settings of the users’ computers in a domain by setting the security zones, privacy settings and other parameters centrally with the help of group policy.
Using Local Group Policy
Local Group Policies affect only the users who log in to the local machine but domain-based policies affect all the users of the domain. If you are creating domain-based policies then you can create policy at three levels: sites, domains and OUs. Besides, you have to make sure that each computer must belong to only one domain and only one site.
A Group Policy Object (GPO) is stored on a per domain basis. However, it can be associated with multiple domains, sites and OUs and a single domain, site or OU can have multiple GPOs. Besides this, any domain, site or OU can be associated with any GPO across domains.
When a GPO is defined it is inherited by all the objects under it and is applied in a cumulative fashion successively starting from local computer to site, domain and each nested OU. For example if a GPO is created at domain level then it will affect all the domain members and all the OUs beneath it.
After applying all the policies in hierarchy, the end result of the policy that takes effect on a user or a computer is called the Resultant Set of Policy (RSoP).
To use GPOs with greater precision, you can apply Windows Management Instrumentation (WMI) filters and Discretionary Access Control List (DACL) permissions. The WMI filters allow you to apply GPOs only to specific computers that meet a specific condition. For example, you can apply a GPO to all the computers that have more than 500 MB of free disk space. The DACL permissions allow you to apply GPOs based on the user’s membership in security groups.
Windows Server 2003 provides a GPMC (Group Policy Management Console) that allows you to manage group policy implementations centrally. It provides a unified view of local computer, sites, domains and OUs (organizational units). You can have the following tools in a single console:
- Active Directory Users and Computers
- Active Directory Sites and Services
- Resultant Set of Policy MMC snap-in
- ACL Editor
- Delegation Wizard
The screenshot below shows four tools in a single console.
A group policy can be configured for computers or users or both, as shown here:
The Group Policy editor can be run using the gpedit.msc command.
Both the policies are applied at the periodic refresh of Group Policies and can be used to specify the desktop settings, operating system behavior, user logon and logoff scripts, application settings, security settings, assigned and published applications options and folder redirection options.
Computer-related policies are applied when the computer is rebooted and User-related policies are applied when users log on to the computer.
Configuring a Local Group Policy
To configure a local group policy, you need to access the group policy editor. You can use Group Policy Editor by logging in as a local administrator from any member server of a domain or a workgroup server but not from a domain controller.
Sometimes this tool, or other Active directory tools that you need to manage group policy, does not appear in Administrative Tools. In that case you need to follow steps 1-10 given below to add Group Policy Editor tool in the console.
1. Click Start->Run and type mmc. The Console window appears, as shown below:
2. Select Add/remove Snap-in from the File menu.
The Add/Remove Snap-in window appears, as shown below:
3. Click Add.
4. The Add Standalone Snap-in window appears.
5. Select Group Policy Object Editor snap-in from the list.
6. Click Add and then click OK in Add/remove Snap-in window.
The Select Group Policy Object window appears, as shown below:
7. Keep the default value “Local Computer”
8. Click Finish.
The Local Computer Policy MMC appears, as shown below.
You can now set the Computer Configuration or User Configuration policies as desired. This example takes User Configuration setting.
9. Expand User Configuration node:
10. Expand Administrative Templates and then select the Start Menu and Taskbar node, as shown in Figure 7.
11. Double-click the settings for the policy that you want to modify from the right panel. In this example double-click Remove Run Menu from Start Menu.
The properties window of the setting appears as shown in the below screenshot:
12. Click Enabled to enable this setting.
Once you click on ‘OK‘, the local policy that you have applied will take effect and all the users who would log on to this computer will not be able to see the Run menu item of the Start menu.
This completes our Local Group Policy configuration section. Next section covers Domain Group Policies, that will help you configure and control user access throughout the Active Directory Domain.
Article Summary
Group Policies are an Administrator’s best friend. Group Policies can control every aspect of a user’s desktop, providing enhanced security measures and restricting access to specified resouces. Group policies can be applied to a local server, as shown on this article, or to a whole domain.
If you have found the article useful, we would really appreciate you sharing it with others by using the provided services on the top left corner of this article. Sharing our articles takes only a minute of your time and helps Firewall.cx reach more people through such services.
Back to Windows 2003 Server Section
Прочитано:
4 836
Довольно большой опыт работы с доменом на базе Windows Server 2008 R2 приучил, что управлять групповыми политиками удобно через оснастку Group Policy Management, ее не надо устанавливать отдельно. Но по роду обязанностей столкнувшись с доменом на Server 2003 R2 положение, что данной оснастки нет ввело меня честно говоря в ступор, открывать каждый организационный юнит чтобы посмотреть есть ли на него политика и перебирать все настройки если дабы оценить что делает та или иная политика не совсем то с чем бы я хотел столкнуться. Поэтому в ходе чтения мануалов сайта Майкрософт натолкнулся на ссылку (http://www.microsoft.com/en-us/download/details.aspx?id=21895) по которой можно скачать данную оснастку и успешно ее использовать. Ниже я разберу все особенности с которыми мне пришлось столкнуться, чтобы данная оснастка заработала.
Запускаю: — gpmc.msi и в ответ получаю, что для запуска мне необходимо, чтобы в системе был пакет именуемый как .NET Framework
ниже привожу текст сообщения:
«Please install the Microsoft .NET Framework before installing Microsoft Group Policy Management Console with SP1”
Это нужно установить пакет: Microsoft .NET Framework 1.1 – устанавливается успешно, а после снова запускаем — gpmc.msi – далее следует указаниям установщика:
Next – I Agree – Next – Finish
после запускаем оснастку — Group Policy Management
Start – Control Panel – Administrative Tools – Group Policy Management
Вот теперь совсем другое дело, с помощью данной оснастки можно видеть какие групповые политики есть, каково их назначение, моделировать работу созданных, делать бекап и восстановление также как и на системе Windows Server 2008 R2 описанных на моем блоге. Результат достигнут, все работает, а пока все с уважением автор блога ekzorchik.
Единый интерфейс для разработки и управления объектами групповой политики
Концепция и средства работы с групповыми политиками Group Policy входят в список основных преимуществ Windows 2000. С появлением каждой новой версии Windows это становится все более очевидным. Возможность управлять параметрами огромного числа серверов и клиентов — жизненно важная задача в ситуации.
Консоль управления групповой политикой, Group Policy Management Console (GPMC), является неоценимым помощником администратора. GPMC — это бесплатный программный инструмент, реализованный в виде оснастки консоли Microsoft Management Console (MMC) для Windows Server 2003. Назначение GPMC — централизованное управление групповыми политиками.
Возможности GPMC
Для GPMC разработан новый графический интерфейс, который позволяет просматривать объекты Group Policy Object (GPO) во всем домене и даже в лесах интуитивно понятным образом. Администратор может генерировать HTML-отчеты о произведенных установках GPO даже в том случае, когда право записи GPO отсутствует. К GPO теперь применимы операции резервирования и восстановления, GPO можно экспортировать, импортировать и даже выполнять при управлении несколькими доменами отображения на учетные записи других администраторов и указывать другие UNC-пути к ресурсам. В GPMC реализована функция предварительного просмотра результатов применения политик Resultant Set of Policies (RSoP). Для построения фильтров Windows Management Instrumentation (WMI) теперь можно использовать язык запросов Windows Management Instrumentation Query Language (WQL). Наконец, в GPMC заложены возможности поиска объектов групповых политик в рамках одного домена или во всех доменах леса.
После установки GPMC соответствующий значок появляется в Administrative Tools — как Group Policy Management. Поскольку эта утилита является интегрированной оснасткой MMC, при желании можно настроить специализированную MMC-консоль GPMC путем добавления Group Policy Management с помощью меню Add/Remove Snap-in.
Интерфейс пользователя
На Экране 1 показана основная консоль GPMC. Как и для всех оснасток MMC, интерфейс пользователя состоит из двух областей: слева панель дерева консоли, справа — панель сведений. Дерево консоли показывает структуру Active Directory (AD) в виде, напоминающем оснастку MMC Active Directory Users and Computers. Если присмотреться внимательно, можно заметить несколько важных отличий. Первое состоит в том, что в структуру AD разрешается включать несколько лесов (на Экране 1 это corpvm.bigtex.net и deuby.net). Второе отличие — внутри каждого леса в GPMC представлены только те контейнеры, между которыми в лесу существуют связи GPO, это могут быть сайты, домены и организационные единицы (OU), в терминологии Microsoft это субъект управления — Scope Of Management (SOM). Третье отличие связано с тем, как в дереве консоли изображаются связи GPO и SOM. На Экране 1 соответствия между различными объектами групповых политик и контейнерами изображены в виде ярлыков или связей — обратите внимание на маленькую стрелку на значках. Объекты групповой политики не хранятся в тех контейнерах, для которых они создавались; они хранятся на уровне домена (находятся в контейнере Group Policy Objects) и связаны с соответствующим SOM.
Экран 1. Интерфейс GPMC |
Интерфейс GPMC поддерживает операции перетаскивания, как и традиционное контекстное меню для работы с GPO. Например, можно связать GPO с OU, выбрав нужный GPO в контейнере Group Policy Objects и перетащив его на OU контроллера домена.
Описание DC GPO, заданное по умолчанию, выделено для домена amrvm.corpvm.bigtex.net в окне дерева консоли, так что в окне области сведений представлены подробные данные о выбранном объекте групповой политики. В панели сведений имеется четыре вкладки: область действия GPO, детальное описание параметров, настройки и делегирование GPO. На изучение того, с каким именно контейнером связан настроенный пользователем GPO в среде Windows 2000, могло бы уйти много времени. Вкладка Scope позволяет узнать это, один раз щелкнув мышкой.
Как показано на Экране 1, Default DC GPO не связан больше ни с каким другим сайтом, доменом или иным OU. Список Links представляет все связи GPO в одном месте интерфейса. Секция Security Filtering в окне сведений показывает, для каких пользователей или компьютеров данный GPO будет обрабатываться.
Вкладка Detail предоставляет информацию о GPO, которую раньше приходилось выуживать из самых разных мест. Сюда входят сведения о домене и владельце GPO, времени создания и модификации GPO, номерах версий пользователя и настройках компьютера в AD и SYSVOL, о глобальном уникальном идентификаторе (GUID) и о статусе GPO (включен/отключен).
Вкладка Settings позволяет просмотреть все настройки GPO в формате HTML — для этого больше не нужно лазить по всем закоулкам MMC Group Policy Editor (GPE). На вкладке показаны только действующие настройки для подключенных параметрических секций. Можно развернуть или свернуть каждую секцию, выбрав show или hide. Контекстное меню в любом месте отчета позволяет редактировать GPO (с помощью стандартной интегрированной оснастки MMC Group Policy Object Editor), вывести отчет на печать или сохранить его в HTML-файле.
На вкладке Delegation показано, у кого есть права на данный GPO. И опять же, здесь все гораздо проще и понятнее по сравнению с редактором ACL для объектов AD. Для любого представленного принципала безопасности существует всего пять комбинаций настроек: Read, Edit settings, Edit settings/delete/modify security, Read (from Security Filtering) и (если выбрать Advanced на вкладке Delegation и воспользоваться редактором разрешений непосредственно) Custom. Для субъекта безопасности, который обладает правом Read (from Security Filtering), накладываются фильтры безопасности, и для получения подробной информации о правах необходимо обратиться к вкладке Scope в секции Security Filtering.
Есть одна общая задача, в решении которой GPMC не сможет помочь администратору. Это запуск процедуры обновления политики. Данная процедура инициируется с помощью утилиты Gpupdate (для Windows 2003 и XP) или же Secedit (для Windows 2000). Чтобы запустить обновление Group Policy, следует открыть окно командной строки на станции клиента и запустить одну из названных выше утилит.
Работа с GPO
Один из разочаровывающих аспектов работы с объектами групповой политики в Windows 2000 состоит в том, что этими объектами невозможно манипулировать так же, как файлами. В отличие от объектов файловой системы или AD объекты групповой политики представляют собой гибридную конструкцию, уникальную для Windows 2000; каждому GPO соответствует некоторый компонент AD и компонент файловой системы. AD-компонент распределяется между репликами AD, а компонент файловой системы циркулирует по томам SYSVOL контроллеров домена через механизм File Replication Service (FRS). Это одна из причин, почему объектами GPO так непросто управлять. Можно создавать GPO, удалять их, редактировать параметры объекта Group Policy и настройки безопасности — и более ничего. Невозможно создать резервную копию GPO для надежного хранения, восстановить GPO при утере или порче информации, скопировать GPO для проверки выполненных настроек в тестовый лес. Однако теперь, при помощи GPMC, все перечисленные выше операции выполнить гораздо проще.
Операция Backup
Чтобы создать резервную копию GPO, нужно просто открыть контекстное меню объекта в окне дерева консоли и выбрать Backup. Прежде чем приступить к резервированию GPO, система предложит указать место хранения резервной копии и задать ее описание. Можно зарезервировать все GPO домена с помощью все того же контекстного меню, выбрав команду Back Up All. GPMC выводит на экран индикатор выполнения задания (см. Экран 2). Точно такое же контекстное меню предлагает утилита Manage Backups, в которой для указанного каталога перечисляются все хранящиеся в нем резервные копии GPO.
Экран 2. Резервное копирование всех GPO домена |
Операция Restore
При восстановлении сохраненного GPO настройки текущего GPO удаляются, и данное GPO переходит в состояние, соответствовавшее моменту создания резервной копии. Причины использования операции Restore очевидны — возврат GPO в работоспособное состояние или восстановление случайно удаленного GPO. При этом GPMC не восстанавливает связи данного GPO, если их уже успели удалить, но, поскольку GPO GUID остался прежним, работа через ранее существовавшие связи для восстановленного GPO будет протекать точно так же, как и для оригинального GPO.
Чтобы восстановить GPO, следует открыть в контейнере контекстное меню объекта групповой политики и выбрать Restore From Backup. Если GPO отсутствует (случайно удален), нужно открыть контекстное меню контейнера, выбрать Manage Backups и указать GPO, который необходимо восстановить. После этого можно будет просмотреть настройки интересующего GPO (в виде такого же отчета, который представлен на вкладке Settings) и убедиться, что GPO для восстановления выбран правильно.
Операции Copy и Import
С помощью операций Copy и Import настройки существующего GPO передаются в новый GPO. Целевой GPO при этом может находиться в том же домене, в другом домене или даже в соседнем лесу.
Между операциями Copy и Import имеются различия. Import требует, чтобы целевой GPO уже существовал до начала операции импортирования настроек, тогда как Copy сама создает целевой GPO. Операция Copy требует наличия трастовых отношений между исходным и целевым доменом, с тем чтобы операция копирования была выполнена за один прием, для Import в этом нет необходимости, поскольку работа проводится с резервной копией GPO. Если между доменами не заданы трастовые отношения, воспользоваться операцией Copy будет невозможно, придется создать резервную копию GPO где-либо в файловой системе, а затем импортировать резервную копию GPO в целевой домен.
Чтобы импортировать настройки GPO, следует открыть контекстное меню целевого GP и выбрать Import Settings. Это действие запускает программу-мастер, которая предлагает сохранить существующую конфигурацию GPO, указать место хранения резервной копии GPO и восстановить настройки. Если исходный GPO ссылается на принципалы безопасности и определенные пути в формате UNC, мастер автоматически поможет воспользоваться таблицей миграции и задать отображение используемых принципалов безопасности и UNC на целевой GPO с учетом данных таблицы. Операция Copy предоставляет возможность разработать целый процесс управления изменением GPO, для чего желательно создать и протестировать GPO в отдельном домене или лесу доменов, а уже потом скопировать отлаженные GPO в производственный домен.
Миграционные таблицы
Копирование GPO внутри домена — это вполне очевидная операция, так как пользователи, компьютеры, группы и пути UNC, на которые ссылается GPO, доступны как исходному, так и целевому SOM. Копирование GPO между доменами в рамках одного леса — и тем более между доменами в разных лесах — операция более сложная, поскольку UNC-пути для каталогов переназначения или установки программ и принципалов безопасности (например, локальных групп домена), на которые имеются ссылки в настройках исходного GPO, могут оказаться недоступными в целевом GPO. Поскольку принципалы безопасности фигурируют в GPO под своими идентификаторами защиты (SID), простое копирование объекта групповой политики в целевой домен, в котором рассматриваемый SID не имеет никаких прав, приведет к появлению неразрешимого SID (Unresolved SID). В этом случае не только произойдет нарушение нормального функционирования GPO, но периодически в целевом домене в журнале Application Event Log начнут появляться сообщения об ошибках в компонентах SceCli и Userenv.
Положение можно исправить следующим образом. Нужно создать индивидуальное отображение между принципалами безопасности и UNC-путями исходного и целевого доменов. Например, если в домене TEST существует локальная группа под названием Test GPO Admins, то при копировании GPO в производственный домен PROD необходимо определиться, какую группу вместо Test GPO Admins следует иметь в виду в целевом домене. Группы Test GPO Admins, скорее всего, в домене PROD не существует, а создание новой локальной группы в производственном домене с таким же именем ни к чему не приведет, так как все равно идентификатор SID созданной группы будет отличаться от SID исходной группы Test GPO Admins. Но если создать таблицу, в которой установлено отображение TESTTest GPO Admins в PRODGPO Admins, GPMC автоматически заменит SID TESTTest GPO Admins на SID PRODGPO Admins и тогда GPO сможет нормально функционировать в целевом домене.
Специалисты Microsoft назвали эту таблицу миграционной. Приложение, с помощью которого создается миграционная таблица, называется Migration Table Editor (MTE) — mtedit.exe. MTE входит в состав операции Copy и Import, поэтому, когда система обнаруживает принципалы безопасности или пути UNC, в мастере появляется вариант запуска MTE. Редактор миграционной таблицы может быть запущен из панели дерева консоли контекстного меню контейнера GPO с помощью команды Open Migration Table Editor.
Пример операции копирования GPO
Давайте посмотрим, как выполнить копирование GPO из дочернего домена amrvm.bigtex.net в домен того же уровня gervm.bigtex.net. В исходном объекте групповой политики, CoolNewGPO, предоставлено право Capacity Planning для проведения анализа системной производительности, право Security для управления аудитом и работы с журналом Security log и Server Operations — для завершения работы системы в удаленном режиме. Для того чтобы скопировать данный GPO, требуется открыть контекстное меню CoolNewGPO в контейнере Group Policy Objects в домене AMRVM и выбрать Copy. Затем нужно открыть контекстное меню в контейнере Group Policy Objects в домене GERVM и выбрать Paste. Это приводит к запуску мастера Cross-Domain Copying Wizard, который помогает завершить операцию копирования. Необходимо быть внимательным и выполнять команду Paste только для целевого контейнера Group Policy Objects. Если случайно будет выбран другой контейнер, может оборваться связь исходного GPO с другими доменами. К счастью, в этом случае появляется окно с требованием подтвердить выполнение операций междоменной связи.
Если необходимо скопировать GPO между различными доменами, сначала требуется решить, нужно ли переносить разрешения исходного GPO или же воспользоваться для целевого GPO разрешениями по умолчанию. Например, мы принимаем, что в целевом GPO будут использоваться разрешения по умолчанию. Мастер Cross-Domain Copying Wizard анализирует, может ли для принципалов безопасности GPO-источника или UNC-путей понадобиться таблица миграции. Поскольку наш GPO содержит принципал безопасности, мастер предоставляет нам на выбор две возможности: скопировать принципалы безопасности из источника или построить таблицу миграции для перемещения исходных настроек в целевой домен. Так как мы заинтересованы в создании миграционной таблицы, нажимаем кнопку New для построения новой таблицы.
GPMC выдает для заполнения пустую миграционную таблицу. В меню File следует выбрать Tools, Populate from GPO. Это действие позволяет выбрать GPO-источник (хотя в самом начале операции Copy уже указано, какой именно GPO копируется) и заполнить таблицу миграции принципалами безопасности и UNC-информацией исходного GPO. Затем настает очередь выбора целевого домена, как показано на Экране 3.
Экран 3. Сопоставление GPO разных доменов |
Исходный домен, AMRVM, имеет три глобальные группы интересов: AMRVM Security Spooks, AMRVM Capacity Planning и Server Operations. Требуется задать отображение этих групп в группы целевого домена — GERVM Security Spooks, GERVM Capacity Planning и Server Operations. Следует открыть контекстное меню поля Destination Name в MTE и выбрать Browse. Запускается AD Object Picker. Затем нужно щелкнуть кнопку Locations, ввести целиком или частично имена целевых групп, щелкнуть Check Names и нажать Enter. Когда пользователь указывает объект и нажимает ОК, мастер заполняет поле Destination Name наименованиями групп в формате User Principal Name (UPN).
Поскольку группа Server Operations (не путать со встроенной группой Server Operators) и в исходном домене, и в целевом называется одинаково, необходимо открыть контекстное меню поля Destination Name и выбрать Set Destination, Map By Relative Name (см. Экран 3). Когда используется этот режим отображения, GPMC осуществляет поиск принципала безопасности в целевом домене, у которого точно такое же относительное имя, и заменяет в политике исходный принципал безопасности на его целевой аналог с таким же именем.
Теперь миграционная таблица заполнена, осталось выбрать File, Exit и подтвердить сохранение выполненных изменений. Мастер выводит отчет о внесенных в конфигурацию GPO изменениях и после нажатия кнопки Finish будет запущена операция Copy. Чтобы показать скопированные настройки GPO, следует выбрать в дереве консоли GPMC вновь созданный объект GPO и в области сведений перейти на вкладку Settings. Обратите внимание на изменения, которые произошли в установках GPO при переносе объекта групповой политики из домена AMRVM в домен GERVM.
Составление сценария
GPMC основывается на COM-интерфейсах (доступных для VBScript, Jscript и Visual Basic — VB), через которые в основном и осуществляется работа консоли. Для пользователей, недостаточно хорошо владеющих механизмом составления сценариев, группа разработчиков GPMC включила в состав этого приложения набор сценариев, расположенных в каталоге %programfiles%gpmcscripts. Эти сценарии в той же степени полезны в работе, что и графический интерфейс, поскольку с их помощью администраторы программным путем могут управлять объектами групповых политик (за исключением настроек GPO). Сценарии можно запускать в режиме планировщика заданий без вмешательства оператора.
С помощью сценариев администратор может создавать резервные копии отдельных или всех GPO домена, восстанавливать их в случае необходимости, копировать GPO, удалять их, создавать GPO в конфигурации по умолчанию, менять разрешения, импортировать один или несколько GPO в домен, а также генерировать отчеты о состоянии любого числа GPO домена. Еще 12 сценариев позволяют получить информацию об особенностях настроек Group Policy. Например, можно получить список всех GPO домена и подробное описание соответствующих конфигураций объектов групповых политик или же список всех GPO, у которых отсутствуют связи с сайтом, доменом или OU.
Два сценария демонстрируют возможности использования сценариев и XML: CreateXMLFromEnvironment.wsf собирает сведения об OU, GPO, связях GPO и настройках безопасности GPO в домене и сохраняет эту информацию в .xml-файле; CreateEnvironmentFromXML.wsf читает .xml-файл, созданный CreateXMLFromEnvironment.wsf, и строит объектную среду, основанную на сохраненной информации. С помощью этих сценариев можно быстро построить среду разработки или тестирования, которая точно воспроизводит производственную среду.
Результирующая политика (RSoP)
RSoP — одна из наиболее примечательных возможностей Windows 2003. Политики, которые воздействуют на конечных пользователей, зависят от большого числа переменных, в связи с чем работать с ними становится очень сложно. Теперь можно вычислить воздействие, которое произведет на пользователей набор различных GPO, связанных с несколькими сайтами и OU в домене. RSoP позволяет оценить эффект политики — на любой компьютер в иерархии AD или на любого пользователя — в результате воздействия всех GPO, которые влияют на данный компьютер или пользователя. В RSoP различают режим регистрации (logging mode) и режим планирования (planning mode). Регистрация RSoP позволяет установить, какие GPO предназначены для пользователя или компьютера и от каких GPO накладываются конкретные установки. Планирование RSoP дает возможность выполнить анализ типа что — если для оценки влияния отдельного GPO (или целой группы GPO) на пользователя или компьютер, который перемещается в другой OU или группу безопасности. Обратиться к RSoP можно и без применения GPMC. Регистрируясь на станции Windows 2003 или XP, всегда можно быстро определить эффективную политику для учетной записи пользователя, набрав в окне командной строки:
RSoP.msc
Отображение эффективных настроек — сущность режима регистрации. Чтобы запустить RSoP в режиме планирования, минуя GPMC, следует открыть MMC на сервере Windows 2003 и добавить оснастку RSoP. После этого можно реализовать сценарий что — если для своей политики.
Поскольку GPMC разрабатывалась как центральное приложение администрирования Group Policy, RSoP может быть запущена непосредственно из GPMC. В GPMC для режимов RSoP специалисты Microsoft используют другие термины — RSoP Logging Mode переименован в Group Policy Results, а RSoP Planning Mode теперь называется Group Policy Modeling.
Group Policy Results. Чтобы запустить Group Policy Results Wizard, следует открыть контекстное меню для значка Group Policy Results в левой части оснастки GPMC и выбрать Group Policy Results Wizard. Мастер последовательно проведет вас через все необходимые шаги для вычисления эффективных настроек выбранного компьютера или пользователя. GPMC выведет в область сведений исчерпывающую информацию (см. Экран 4). Обратите внимание на три вкладки. Вкладка Summary показывает сводную информацию о конфигурации компьютера пользователя, вкладка Settings — эффективные установки, а Policy Events — сообщения в журнале событий, относящиеся к Group Policy.
Экран 4. Мастер Group Policy Results |
Group Policy Modeling. Group Policy Modeling позволяет моделировать воздействие нескольких GPO на пользователей или компьютеры без особых усилий, что обычно сопутствует решению задач, связанных с Group Policy.
Как и в случае с Group Policy Results, необходимо запустить мастер из контекстного меню Group Policy Modeling в левой части GPMC.
Незаменимый помощник администратора
GPMC предоставляет программный инструмент исключительных функциональных возможностей для разработки и управления GPO, консолидируя множество различных функций в едином интерфейсе. Однако GPMC не охватывает всех аспектов управления Group Policy (например, не занимается внесением изменений), поэтому без приложений независимых разработчиков все-таки не обойтись. Совмещение таких функций, как Copy, Import и Group Policy Modeling, позволяет разрабатывать и развертывать GPO намного быстрее и с большей степенью безопасности, чем в Windows 2000. GPMC играет настолько важную роль для Windows 2003 и Windows 2000, что Microsoft следовало бы включить эту утилиту в состав операционной системы, а не выпускать в виде отдельного дополнения.
Шон Дьюби— редактор журнала Windows & .NET Magazine, старший системный инженер компании Intel, специализирующийся на проектировании корпоративных сетей на базе Windows 2000.
Копипаст: http://www.osp.ru/win2000/2003/06/176341/_p1.html
Понравилось? =) Поделись с друзьями:
В главе
12 описан один из спосебов использования
групповой политики в службе каталога
Active
Directory
системы Microsoft
Windows
Server
2003 для управления вашей сетью —
использование групповой политики для
управления программным обеспечением,
которое устанавливается на рабочих
станциях вашей сети. Использование
централизованного инструмента для
управления программным обеспечением
клиентов дает существенную выгоду для
организации. Однако с управлением
компьютерами клиентов связано много
хлопот, включающих защиту настольных
компьютеров, управление профилями
пользователей и данными, блокировку
пользовательских рабочих столов для
уменьшения количества изменений, которые
могут делать пользователи на своих
компьютерах. В этой главе объясняется,
как использовать групповые политики
для управления компонентами рабочих
столов компьютеров клиентов.
В
больших организациях администрирование
компьютеров клиентов — это одна из самых
серьезных задач в управлении. Установка
и развертывание компьютеров требуют
больших усилий, но и управление рабочими
станциями после развертывания является
не менее трудоемкой задачей. В крупных
компаниях имеется целый сервисный
отдел, посвященный решению проблем, с
которыми сталкиваются пользователи.
Часто этот отдел подкрепляется группой
поддержки рабочих станций, которая
может посещать компьютеры клиентов,
если проблему нельзя решить по телефону.
Звонок в сервисный
отдел обычно связан с тем, что пользователь
сделал что-то такое, что вызвало проблемы.
Пользователь может изменить установки
системы так, что больше не сможет
соединяться с сетью. Другие звонки
связаны с конфигурированием рабочих
станций, например, параметры настройки
были неправильно заданы при установке
рабочей станции или приложения и после
инсталляции должны быть изменены.
Групповые политики могут использоваться
для уменьшения количества таких звонков,
позволяя централизовано управлять
компьютерами вашей компании. Вы можете
использовать групповые политики, чтобы
запретить пользователям изменения на
своих рабочих станциях, наруша-
ющие правильное
функционирование. Можно также использовать
групповые политики для централизованного
конфигурирования многих параметров
настройки рабочих станций вашей компании.
Практический
опыт. Индивидуальные
предпочтения против централизованного
управления компьютерными
рабочими столами
В
большинстве случаев управление рабочими
столами пользователей требует равновесия
между централизованным управлением
компьютерами и удовлетворением
потребностей пользователей, которые
хотят иметь полный контроль над своими
рабочими столами. Если реализовать все
опции управления, обсуждаемые в этой
главе, можно полностью блокировать
пользовательские рабочие столы, чтобы
пользователи гарантировано не смогли
сделать никаких неправомочных изменений.
Многие администраторы думают, что
предоставление пользователям возможности
изменять параметры настройки означает
только то, что они сконфигурируют
что-либо неправильно, и это приведет к
увеличению объема работы для администратора.
Многие пользователи, с другой стороны,
во всех попытках управления их рабочими
столами видят вторжение в их личное
пространство. С точки зрения пользователя
рабочая станция является частью
индивидуальной рабочей среды, и любые
попытки управления этой рабочей средой
вызывают решительное сопротивление.
Решение
о правильном балансе между централизованным
управлением рабочими столами и контролем
их со стороны конечного пользователя
в разных компаниях различно. Некоторые
компании уже имеют опыт использования
системной политики в Microsoft
Windows NT 4 или
групповых политик в Active
Directory Microsoft
Windows 2000, и их конечные
пользователи уже приучены к некоторому
уровню блокирования рабочего стола. В
таких компаниях можно вводить новые
ограничения без особого беспокойства.
Однако во многих компаниях раньше не
существовало никаких ограничений,
поэтому первая же попытка реализовать
ограничение вызовет активное сопротивление.
Для
большинства компаний наилучшим подходом
к управлению рабочими столами является
медленный старт и создание благоприятного
первого впечатления. Это означает, что
вы используете групповые политики для
решения проблем, раздражающих конечных
пользователей. Если вы покажете конечным
пользователям, что управление рабочими
столами фактически сделает их работу
более легкой, они более охотно согласятся
на дополнительное управление. С другой
стороны, если первые результаты вызовут
сотни звонков в сервисный отдел, то вы
лишитесь поддержки для реализации
любого управления рабочими столами.
Другим важным компонентом для успешной
реализации групповых политик является
помощь со стороны управленческого
аппарата. В боль-
шинстве
компаний дирекция идет навстречу всему,
что уменьшает стоимость управления
рабочими станциями. Если вы сумеете
доказать, что уменьшение стоимости
работ является конечным результатом
вашей реализации управления рабочими
столами, то вы наверняка получите
поддержку дирекции в улаживании жалоб,
поступающих от конечных пользователей,
не желающих, чтобы их рабочими столами
управляли.
Управление
рабочими столами с использованием
групповых политик
Служба
Active
Directory
Windows
Server
2003 имеет множество опций групповых
политик, которые мржно использовать
для конфигурирования компьютеров.
Параметры настройки расположены в
нескольких местах в структуре Group
Policy.
Поэтому перед началом детального
описания некоторых из параметров
настройки в этом разделе дается краткий
обзор доступных параметров настройки.
На рисунке 13-1 показано расширенное
представление опций управления рабочими
столами в пределах отдельного объекта
групповой политики GPO.
В таблице 13-1 дано краткое пояснение для
контейнеров высшего уровня.
Рис.
13-1. Контейнеры высшего уровня в Default
Domain Policy
(Заданная по умолчанию политика домена)
Табл.
13-1. Контейнеры
высшего уровня в заданной по умолчанию
политике домена
Контейнер |
Дочерние |
Содержимое |
Computer |
Software |
Содержит параметры |
Computer |
Windows |
Содержит сценарии |
Computer |
Windows |
Содержит параметры |
User |
Windows |
Содержит |
User |
Windows |
Содержит |
User |
Windows |
Содержит |
Computer |
Administrative |
Содержит большое |
Последующий
материал содержит детальное описание
многих контейнеров высшего уровня.
Управление
данными пользователей и параметры
настройки профиля
Одна из проблем,
с которыми сталкиваются сетевые
администраторы, состоит в управлении
пользовательскими данными и
пользовательскими профилями. Данные,
с которыми работают пользователи, часто
являются критическими с точки зрения
бизнеса, они должны соответствующим
образом защищаться и управляться. В
большинстве случаев они должны храниться
централизовано с поддержкой регулярного
резервного копирования. Имеется много
способов обращения с этими данными.
Обычно данные всех пользователей
хранятся на сетевом ресурсе. Однако
многие пользователи хранят некоторые
данные, которые нужны в случае отсутствия
сети, на своих компьютерах, особенно на
портативных
Другой аспект
управления рабочими столами компьютеров
состоит в управлении пользовательскими
профилями, которые часто больше беспокоят
конечных пользователей, чем администраторов.
Некоторые пользователи проводят
значительное время, конфигурируя свои
приложения и рабочие столы для
удовлетворения собственных предпочтений.
Для этих пользователей конфигурация
рабочего стола очень важна, и они хотят,
чтобы данный рабочий стол появлялся
независимо от того, с какого компьютера
они войдут в систему.
До
появления Active
Directory
основным методом управления
пользовательскими данными и параметрами
настройки была реализация пользовательских
профилей. Некоторые компании реализовывали
роу-минговые профили пользователя,
которые сохранялись на сетевом ре-
сурсе и были
доступны пользователям с любой рабочей
станции в организации. Некоторые компании
налагают ограничения на профили своих
пользователей, реализуя принудительные
профили. Используя принудительные
профили, администратор может создать
стандартный профиль для пользователя
или группы пользователей, а затем
сконфигурировать профиль так, чтобы
пользователи не могли его изменять.
Роуминговые
и принудительные пользовательские
профили могут быть реализованы, используя
Active
Directory,
а некоторые из параметров настройки,
предназначенные для управления ими,
могут быть сконфигурированы через
групповые политики. В дополнение к
пользовательским профилям Active
Directory
обеспечивает также переназначение
папки для управления пользовательскими
данными и параметрами настройки, что
создает существенные выгоды для
пользовательских профилей.
Управление
пользовательскими профилями
Пользовательский
профиль содержит всю конфигурационную
информацию для рабочего стола пользователя.
Эта информация включает содержание
поддерева HKEY_CURRENT_USER
в системном реестре (хранящееся как
файл Ntuser.dat),
который включает параметры настройки
конфигурации для приложений и рабочего
стола. Кроме того, профиль содержит
папки My
Documents
(Мои документы), Start
Menu
(Меню Пуск), Desktop
(Рабочий стол) и Application
Data
(Данные приложений). На рисунке 13-2
показано содержимое пользовательского
профиля на компьютере с системой Windows
Server
2003.
Рис.
13-2. Пользовательский профиль содержит
все пользовательские параметры настройки
рабочего стола и папки для пользовательских
данных
Пользовательский
профиль создается на каждом компьютере,
когда пользователь первый раз входит
в систему. Начальный профиль основан
на заданном по умолчанию пользовательском
профиле, который хранится в папке
%systemdrive%Documents
And
Settings.
Когда пользователь выходит из системы,
профиль пользователя, включая любые
сделанные им изменения к заданному по
умолчанию, сохраняется в папке с именем,
под которым пользователь входил в
систему, в папке Documents
And
Settings
(Документы и параметры настройки). Когда
пользователь снова войдет на тот же
самый компьютер, его профиль будет
найден, и пользователю будет представлен
тот же самый рабочий стол, который был
перед выходом из системы. Некоторые
компании реализовали роу-минговые
профили пользователя. Роуминговые
пользовательские профили хранятся на
сетевом ресурсе, чтобы быть доступными
пользователю, когда он перемещается
между компьютерами. Когда пользователь,
для которого сконфигурирован роуминговый
профиль, впервые входит на компьютер,
этот профиль загружается с сетевого
ресурса и применяется к компьютеру.
Когда пользователь выходит из системы,
сделанные им изменения к пользовательскому
профилю копируются назад на сетевой
ресурс. Копия профиля также кэшируется
на местной рабочей станции. Если
пользователь уже входил на рабочую
станцию прежде, то временная метка
профиля, хранящегося на местной рабочей
станции, сравнится с временной меткой
профиля, хранящегося на сетевом ресурсе.
В системах Windows
2000 и Windows
XP
Professional
временная метка на индивидуальных
файлах используется для определения
того, какой из файлов профиля является
более новым. Если профиль, хранящийся
на сервере, новее, чем местный профиль,
то весь профиль будет скопирован с
сервера на местную рабочую станцию.
Включить роуминговый профиль пользователя
можно, конфигурируя путь профиля на
вкладке Profile
(Профиль) окна Properties
(Свойства) учетной записи пользователя
в инструменте Active
Directory
Users
And
Computers
(Пользователи и компьютеры Active
Directory).
Некоторые
компании реализуют принудительные
профили. В большинстве случаев
принудительные профили используются
в комбинации с роуминговыми профилями
для создания стандартной настольной
конфигурации для группы пользователей.
Например, вы имеется группа пользователей,
исполняющих одни и те же функции и
нуждающихся в очень ограниченной
конфигурации рабочего стола. Если вы
являетесь членом групп Account
Operators
(Операторы учетных записей), Domain
Admins
(Администраторы домена) или Enterprise
Admins
(Администраторы предприятия), вы можете
создать один стандартный рабочий стол
для этой группы пользователей и
использовать принудительные профили,
чтобы помешать изменению конфигурации.
Чтобы включить опцию принудительных
профилей, сначала создайте желательную
стандартную конфигурацию рабочего
стола. Затем сохраните все содержимое
пользовательского профиля на сетевом
ресурсе и переименуйте файл
Ntuser.dat
в Ntuser.man.
Далее сконфигурируйте всех необходимых
пользователей, чтобы этот профиль был
их роуминговым профилем. Когда пользователи
войдут в сеть, им будет представлен
стандартный профиль, и поскольку этот
профиль является принудительным, они
не смогут сохранить никакие изменения,
сделанные к нему.
Роуминговые
пользовательские профили существуют
и в Windows
Server
2003. Если в вашей компании реализованы
роуминговые или принудительные
пользовательские профили, можно
продолжать их использование. Для
управления пользовательскими профилями
используются групповые политики.
Большинство пользовательских параметров
настройки профиля расположено в папке
Computer
Configuration
Administrative
Templates
SystemUser
Profiles.
Дополнительные параметры настройки
расположены в подпапке того же названия
в разделе параметров User
Configuration.
В таблице 13-2 объясняются опции
конфигурации.
Табл.
13-2. Конфигурирование пользовательских
профилей с помощью редактора объектов
групповой политики
Опция конфигурации |
Пояснение |
Do |
Используется |
Delete |
Используется |
Do |
Используется |
Slow |
Используется |
Wait профиль) |
Используется |
Prompt |
Используется |
Timeout |
Используется |
Log |
Используется |
Maximum |
Используется |
Add |
Используется |
Prevent |
Используется |
Only |
Используется |
Connect |
Используется |
Limit |
Используется |
Exclude |
Используется |
Как
показано в таблице 13-2, Active
Directory
Windows
Server
2003 имеет мощные возможности для управления
роуминговыми профилями пользователя.
Они используются для проектирования
специфичных конфигураций пользователей
в вашей компании. Например, для большинства
пользователей вашей компании, которые
входят в домен через быстрые сетевые
подключения, можно изменить некоторые
параметры настройки роуминговых
профилей, таких как ограничение размера
профиля, но принять остальные значения
заданными по умолчанию. Для тех
пользователей, которым требуются
специальные конфигурации рабочего
стола, могут понадобиться особенные
параметры настройки, например, запрет
на загрузку роуминговых профилей
пользователя или обязательная загрузка
профиля. Для тех пользователей, которые
входят в сеть через медленные сетевые
подключения, нужно сконфигурировать
параметры медленных сетевых подключений.
Создавая структуру организационных
единиц (OU),
которая соответствует требованиям
пользовательских профилей, можно
реализовать особые конфигурации
роуминговых профилей пользователя.
Роуминговые
пользовательские профили полезны для
компаний, в которых пользователи не
пользуются все время одним и тем же
компьютером. Когда функция роуминговых
профилей включена, рабочая среда
пользователя остается одной и той же,
независимо от того, в каком месте
пользователь входит в систему. Однако
роуминговые профили пользователя имеют
некоторые ограничения. Самая большая
проблема состоит в том, что пользовательский
профиль может стать очень большим.
Например, пользователь хранит большинство
своих документов в папке My
Documents
(Мои документы) или на рабочем столе.
Временные интернет-файлы могут вырастать
до размеров, составляющих десятки
мегабайт. Все эти файлы сохраняются в
пользовательском профиле. Проблема
заключается в том, что весь профиль
должен быть скопирован на локальную
рабочую станцию всякий раз, когда
пользователь входит в систему, и компьютер
обнаруживает, что профиль, находящийся
на сервере, новее, чем профиль, находящийся
на локальной рабочей станции. Если
пользователь делает изменения профиля,
то при выходе профиль копируется назад
на сервер. Этот процесс создает
существенный объем сетевого трафика.
Переназначение
папки
Active
Directory
Windows
Server
2003 обеспечивает переназначение папки
как способ получения выгоды от
использования роуминговых профилей
при уменьшении пропускной способности
сети. Если включена функция переназначения
папки, то папки, которые обычно являются
частью местного пользовательского
профиля, перемещаются из местного
профиля и сохраняются на сетевом ресурсе.
Например, одна из типичных папок, которая
конфигурируется для переназначения
папки, — это папка
My
Documents.
Во многих компаниях эта папка является
логической папкой, использующейся для
переадресования, так как она представляет
собой заданное по умолчанию место для
хранения пользовательских файлов. Когда
эта папка конфигурируется для
переназначения, вы сохраняете ее на
сетевом ресурсе, где централизованно
поддерживается ее резервное копирование
и одновременно обслуживается среда
конечного пользователя. Переназначение
папки полностью прозрачно для конечного
пользователя, единственный способ
узнать, что папка была переадресована,
— посмотреть свойства папки My
Documents.
Другая причина переназначения
папки состоит в том, что вы можете
использовать эту опцию для развертывания
стандартной среды рабочего стола вместо
использования принудительных
пользовательских профилей. Например,
можно переадресовать папки Start
Menu
или Desktop
на сетевой ресурс, затем сконфигурировать
группу пользователей, использующих
одну и ту же папку. Давая всем пользователям
разрешения Read
(Чтение) к этим папкам, но не давая
разрешения Write
(Писать), вы можете сконфигурировать
стандартный рабочий стол для группы
пользователей.
Можно переназначить четыре
различные папки в Active
Directory
Windows
Server
2003: Application
Data,
Desktop,
My
Documents
и Start
Menu
Переназначение папки конфигурируется
в редакторе объектов групповых политик
выбором User
Configuration
(Конфигурация пользователя), далее —
Windows
Settings
(Параметры настройки Windows),
затем — Folder
Redirection
(Перенаправление папаки). Папки перечислены
таким образом, что можно сконфигурировать
каждую папку отдельно.
Чтобы сконфигурировать
папку My
Documents
для переназначения, найдите объект My
Documents
в папке Folder
Redirection
(Переназначение папки), щелкните на нем
правой кнопкой мыши, а затем выберите
Properties
(Свойства). Первая вкладка листа Properties
объекта — это вкладка Target
(Цель) (см. рис. 13-3).
На этой вкладке имеется три
конфигурационные опции. По умолчанию
опция Setting
(Параметры установки) установлена как
Not
Configured
(He
конфигурирована), т.е. папка не
переадресована на сетевой ресурс. Две
другие опции, предназначенные для
конфигурирования, следующие.
-
Basic
— Redirect
Everyone‘s
Folder
To
The
Same
Location
(Основная -переадресовать
все папки в одно и то же место). Используется
в том случае, если вы хотите создать
одно место, куда будут переадресованы
все папки. Например, папки всех
пользователей, на которых действует
эта политика, будут расположены на
сетевом ресурсе servernam
е sharenam
е. -
Advanced
— Specify
Locations
For
Various
User
Groups
(Расширенная -указать
местоположение для различных групп
пользователей). Используется для
конфигурирования альтернативных
местоположений
для
переадресованной папки в зависимости
от того, какой группе Active
Directory
принадлежит пользователь. Если опция
выбрана, можно назначать альтернативное
целевое место расположения папки для
каждой группы.
Рис.
13-3. Конфигурирование целевого места
расположения папки при ее переназначении
Совет.
Нельзя использовать опцию Advanced
для назначения альтернативных мест
расположения папки для индивидуальных
учетных записей пользователя. Помните,
что эта групповая политика применяется
только к учетным записям пользователя,
которые находятся в контейнере, в котором
вы конфигурируете групповую политику.
Если вы конфигурируете опцию Advanced,
чтобы переадресовать групповую папку
в определенное место, установка применится
только к тем учетным записям пользователей
данной группы, которые расположены в
данном контейнере. Если группа содержит
пользователей из других контейнеров,
переназначение папки к ним применяться
не будет.
Как только выбраны
параметры настройки для переадресования
папок, можно сконфигурировать целевое
место расположения папки. Имеется
несколько опций, предназначенных для
выбора места хранения папки.
-
Redirect
To
The
User‘s
Home
Directory
(Переадресовать
в основной каталог пользователя).
Используется для переадресации папки
My
Documents
в основной (домашний) каталог пользователя,
который определен в свойствах учетной
записи пользователя. Используйте эту
опцию,
только если вы уже создали основной
каталог. Если основной каталог не
создан, конфигурирование этой опции
его не создаст. Опция доступна только
для папки My
Documents. -
Create
a
Folder
For
Each
User
Under
The
Root
Path
(Создать
папку для каждого пользователя в
корневом каталоге). Используется для
указания корневого каталога, в котором
будут храниться папки. Когда вы выбираете
эту опцию, папка будет создана в корневом
каталоге каждого пользователя. Имя
папки будет основано на переменной
входа в систему %username
%. -
Redirect
To
The
Following
Location
(Переадресовать
по следующему адресу). Используется
для указания корневого каталога и места
расположения папки для каждого
пользователя. Вы можете использовать
UNC-путь
или путь к локальному диску. Используйте
переменную %username
% для создания индивидуальных папок.
Эта опция используется также для
переадресации нескольких пользователей
к одной и той же папке. Например, если
нужно сконфигурировать стандартное
Start
Menu
для группы пользователей, можно указать
для всех один и тот же файл. -
Redirect
To
The
Local
Userprofile
Location
(Переадресовать
в место расположения локального профиля
пользователя). Эта установке является
заданной по умолчанию конфигурацией,
если никакие политики не включены.
После установки опции папки не будут
переадресовываться на сетевой ресурс.
Вы
можете также сконфигурировать другие
параметры настройки для переадресованных
папок. Чтобы сделать это, щелкните на
вкладке Settings
в окне Properties
объекта (см. рис. 13-4).
Рис.
13-4. Конфигурирование параметров настройки
переназначения папки
Вкладка
Settings
(Параметры настройки) имеет несколько
опций конфигурации.
-
Grant
The
User
Exclusive
Rights
To
foldername
(Предоставить
пользователю исключительные права на
имя
папки). Предоставляет
пользователю и системной учетной записи
полный контроль над папкой. Учетная
запись Administrator
(Администратор) не будет иметь никакого
доступа к этой папке. Если вы очистите
флажок, то разрешения на доступ к папке
будут сконфигурированы на основе
унаследованных разрешений. -
Move
The Contents Of foldername
To
The New Location (Переместить
содержимое
папки
имя
папки
в
новое
место).
Перемещает
текущее содержимое переадресованной
папки в целевое место расположения.
Если опция не выбрана, содержимое
текущей папки не будет скопировано в
целевое место расположения. -
Policy
Removal
(Удаление
политики). Используется для выбора
действий в случае удаления политики.
Если вы примете заданную по умолчанию
опцию Leave
The
Folder
In
The
New
Location
When
Policy
Is
Removed
(Оставить папку в новом месте, когда
политика удалена), то содержимое
переадресованной папки не будет
перемещено в локальный пользовательский
профиль, если политика удалена. Выбор
опции Redirect
The
Folder
Back
To
The
Local
Userprof
ile
Location
When
Policy
Is
Removed
(Переадресовать папку назад к месту
расположения локального профиля
пользователя, когда политика удалена)
переместит содержимое папки, когда
политика будет удалена. -
My
Pictures Preferences (Предпочтения,
касающиеся
папаки
My Pictures). Эта
установка используется для конфигурирования
того, будет ли папка My
Pictures
включена в переназначение папки My
Documents.
Когда
вы используете переназначение, чтобы
переадресовать папку My
Documents,
содержимое папки не копируется на сервер
и обратно, как это делается в случае с
роуминговыми пользовательскими
профилями. Содержимое папки расположено
на сервере, как и любые другие данные
сетевого ресурса. Следовательно, часть
содержимого папки пересекает сеть
только тогда, когда пользователь
открывает файл в папке. Это справедливо
и для папки Desktop
(Рабочий стол). Если на рабочем столе
имеется большой файл, то этот файл
хранится на сетевом ресурсе и копируется
на компьютер клиента, когда пользователь
открывает файл. Тот факт, что данные
пересекают сеть только по требованию,
может значительно улучшать выполнение
входа в систему, особенно если у вас
имеется большое количество пользователей,
одновременно загружающих свои роуминговые
профили.
Одно
из преимуществ использования
пользовательских профилей для сохранения
папок типа папки My
Documents
состоит в том, что после начального
входа в систему на рабочей станции копия
пользовательского профиля всегда
сохраняется в местном масштабе, т.е.
если сервер профиля недоступен или
рабочая станция отключена от сети, то
профиль, укомплектованный папкой My
Documents,
будет доступен на рабочей станции. Когда
рабочая станция повторно связывается
с сетью, изменения, сделанные к
пользовательскому профилю, копируются
на сервер.
Вы
можете достичь этого, комбинируя
переназначение папки с автономными
файлами. Автономные файлы доступны на
рабочих станциях с системами Windows
2000, или более поздними, и могут
использоваться для поддержки
синхронизированной копии общей папки
между локальной рабочей станцией и
сетевым ресурсом. По умолчанию
переадресованные папки сконфигурированы
для автономного использования с
клиентами, имеющими систему Windows
XP
Professional.
Если имеются клиенты с системой Windows
2000, можно щелкнуть правой кнопкой мыши
на папке My
Documents,
расположенной на рабочем столе, и выбрать
Make
Available
Offline
(Сделать доступным в автономном режиме).
Включение автономных файлов означает,
что переадресованная папка будет
скопирована клиентам, делая папку
доступной даже в том случае, если сетевое
место, в которое была переадресована
папка, недоступно.
Конфигурирование
параметров настройки защиты с помощью
групповых политик
Один из критических
моментов в управлении пользовательским
рабочим столом состоит в конфигурировании
на них защиты. Поддержание согласованной
конфигурации защиты для тысяч рабочих
столов почти невозможно без центрального
управления. Для обеспечения централизованного
управления могут использоваться
групповые политики. Некоторые параметры
настройки защиты, сконфигурированные
с помощью групповых политик, могут быть
реализованы только на уровне домена,
некоторые — на любом контейнерном уровне.
Конфигурирование
политики безопасности на уровне домена
Account
Policies
(Политики учетных записей), расположенные
в контейнере Computer
Conf
iguration
Windows
SettingsSecurity
Settings,
содержат параметры настройки защиты,
которые могут быть сконфигурированы
только на уровне домена. Account
Policies
включает три группы политик: Password
Policy
(Политика паролей), Account
Lockout
Policy
(Политика блокировки учетных записей)
и Kerberos
Policy
(Политика Kerberos)
(см. рис. 13-5). Эти политики, за исключением
Kerberos
Policy,
применяются ко всем пользователям в
домене, независимо от того, с какой
рабочей станции пользователи вошли в
сеть. Политика Kerberos
Policy
применяется только на тех компьютерах
домена, на которых вы-
полняются
системы
Windows 2000, Windows XP Professional или
Windows Server 2003.
Рис.
13-5. Отображение политик безопасности
уровня домена Политика паролей
Опции конфигурации
политики паролей содержат параметры
настройки для истории пароля, его длины
и сложности. В таблице 13-3 описывается
каждая установка.
Табл.
13-3. Политики паролей
Параметры установки конфигурации |
Описание |
Значение по |
Enforce |
Определяет |
24 пароля |
Maximum |
Определяет |
42 дня. |
Minimum |
Определяет |
1 |
Minimum |
Определяет |
7 символов для |
Passwords |
Увеличение |
Включено для |
Store |
Использование |
Заблокировано. |
Политика
блокировки учетных записей
Опции конфигурации
политики блокировки учетных записей
содержат параметры настройки для порога
и продолжительности блокировки пароля,
а также для повторной устаовки пароля.
В таблице 13-4 описаны все установки.
Табл.
13-4. Политики блокировки учетных записей
Параметры |
Объяснение |
Значение по |
Account |
Определяет |
Никакого значения. |
Account |
Определяет |
0 недопустимых |
Reset |
Определяет |
Никакого значения. |
Политики
Kerberos
Опции
конфигурации политик Kerberos
содержат параметры настройки билета
Kerberos
Ticket-Granting
Ticket
(TGT),
сроков службы билета сеанса и параметров
настройки временной метки. В таблице
13-5 описаны все установки.
Табл.
13-5. Политики Kerberos
Параметры |
Объяснение |
Значение |
Enforce |
Требует, |
Включено. |
Maximum |
Определяет |
600 минут (10 часов). |
Maximum |
Определяет |
10 часов. |
Maximum |
Определяет |
7 дней. |
Maximum |
Определяет |
5 минут. |
Политики
учетных записей должны быть установлены
на уровне Domain
Security
Policy
(Политики безопасности домена) на
контроллере домена. Эти параметры
настройки затрагивают всех пользователей
и все компьютеры в домене. Хотя эти
политики могут быть сконфигурированы
на уровне OU,
они не будут влиять на тех, кто входит
в систему домена. Если вы устанавливаете
политику для OU,
она затронет только местную базу данных
безопасности для компьютеров, входящих
в эту OU.
Когда эти политики сконфигурированы
на уровне OU,
они применяются только тогда, когда
пользователи входят в систему в местном
масштабе. Когда пользователи входят в
домен, политики домена всегда подменяют
локальную политику.
Конфигурирование
других параметров безопасности
В
дополнение
к политике безопасности уровня домена
групповые политики обеспечивают большое
количество связанных с безопасностью
параметров настройки. Как и в случае с
политиками Account
Policies,
многие из этих параметров настройки
конфигурируются при выборе контейнера
Computer
Conf
igurationWindows
SettingsSecurity
Settings.
Некоторые дополнительные параметры
настройки конфигурируются при выборе
контейнера User
ConfigurationWindows
SettingsSecurity
Settings.
На рисунке 13-6 показаны опции, находящиеся
в каждой из папок Security
Settings
(Параметров настройки безопасности), в
таблице 13-6 они суммированы для каждого
заголовка.
Рис.
13-6. Дополнительные политики, имеющиеся
в папке Security Settings
Использование
групповых политик для настройки
безопасности компьютеров вашей сети
значительно облегчает создание и
поддержание безопасной сетевой среды.
Намного легче конфигурировать
безопасность, используя групповые
политики, чем иметь дело с каждой рабочей
станцией индивидуально. Все, что вы
должны сделать, — это создать централизованные
политики безопасности, сконфигурировать
их в объекте GPO
и связать его с контейнерным объектом
Active
Directory.
В следующий раз, когда будет применяться
объект GPO,
защита будет сконфигурирована на всех
компьютерах в контейнере. Использование
групповых политик облегчит постоянное
управление параметрами настройки защиты
для ваших компьютеров. Параметры
настройки защиты, которые устанавливаются
политиками, непрерывно обновляются.
Даже если пользователь изменит
конфигурацию защиты на рабочей станции,
политика будет повторно применена в
следующем цикле обновления. Изменить
параметры настройки защиты просто,
потому что вы можете изменить групповую
политику и применить параметры настройки
ко всем компьютерам, на которые
воздействует данная политика.
Табл.
13-6. Параметры настройки защиты в групповых
политиках
Опция конфигурации |
Пояснение |
Local |
Используется |
Local |
Используется |
Local |
Используется |
Event |
Используется |
Restricted |
Используется |
System |
Используется |
Registry |
Используется |
File |
Используется |
Wireless |
Используется |
Public |
Используется |
IP |
Используется |
Примечание.
Политики Software Restriction
(Ограничения программного обеспечения)
включены в раздел Security
Settings как для параметров
настройки User Configuration,
так и для Computer Configuration.
Они будут подробно рассмотрены в
следующем разделе.
Политики
ограничения программного обеспечения
В
Active
Directory
Windows
Server
2003 имеется один специальный тип
конфигурации защиты, которого не было
в Active
Directory
Windows
2000 -это политики ограничения программного
обеспечения. Одно из самых больших
беспокойств связано с пользователями,
запускающими неизвестное или%е
пользующееся доверием программное
обеспечение. Во многих случаях пользователи
запускают потенциально опасное
программное обеспечение непреднамеренно.
Например, миллионы пользователей
запускали вирусы или устанавливали
приложения типа «троянский конь», не
имея ни малейших намерений выполнять
опасное программное обеспечение.
Политика ограничения программного
обеспечения предназначена для
предотвращения таких случаев.
Политика ограничения
программного обеспечения защищает
ваших пользователей от выполнения
опасных программ, определяя, какие
приложения можно выполнять, а какие
-нет. Эта политика позволяет выполняться
любому программному обеспечению, за
исключением того, которое вы специально
заблокируете. Или можно определить
политику, не позволяющую выполнять
никакое программное обеспечение за
исключением того, которое вы явно
позволите выполнять. Хотя вторая опция
более безопасна, усилия, необходимые
для перечисления всех приложений,
которым позволяется выполняться в среде
Сложного предприятия, слишком серьезны.
Большинство компаний выберут первую
опцию, разрешающую выполнение всего
программного обеспечения и блокирующую
только избранное программное обеспечение.
Однако если вы развертываете среду с
высоким уровнем безопасности, примените
более безопасную опцию.
При создании
политики ограничения программного
обеспечения можно сконфигурировать
пять типов правил, характеризующих
приложения, на которые воздействует
данная политика.
-
Hash
rules
(хэш-правила).
Хэш-правило — это криптографический
идентификатор, который уникально
идентифицирует определенный файл
приложения независимо от имени файла
или его местоположения. Если в папке
Security
Levels
(Уровни безопасности) был выбран объект
Unrestricted
(He
ограничен), и нужно ограничить выполнение
определенного приложения, создайте
хэш-правило, используя политику
ограничения программного обеспечения.
Когда пользователь попытается выполнить
это приложение, рабочая станция проверит
его
хэш-значение и предотвратит выполнение.
Если политика блокирует выполнение
всех приложений, используйте хэш-правило
для допуска определенных приложений. -
Certificate
rules
(Правила
сертификата). Можно создавать правила
сертификата так, что критерием выбора
приложений будет сертификат издателя
программного обеспечения. Например,
если у вас есть собственное приложение,
которое вы сами разработали, назначьте
сертификат этому приложению, а затем
сконфигурируйте правило ограничения
программного обеспечения, состоящее
в доверии соответствующему сертификату. -
Path
rules
(Правило
путей). Можно создавать правила,
основанные на пути, характеризующем
место, где расположено выполняемое
приложение. Если вы выберете папку, то
это правило будет распространяться на
приложения, расположенные в этой папке.
Можно использовать переменные среды
(типа %systemroot
%), чтобы определить путь и подстановочные
знаки (типа *.vbs). -
Registry
path
rules
(Правило
пути системного реестра). Можно создавать
правила, основанные на месте расположения
системного реестра, которые использует
данное приложение. Каждое приложение
имеет заданное по умолчанию место
расположения в пределах системного
реестра, где оно хранит специфическую
для приложения информацию, позволяющую
создавать правила, блокирующие или
разрешающие выполнение приложений,
основанные на этих ключах системного
реестра. В меню не имеется никакой
опции, специфичной для системного
реестра, предназначенной для создания
правил пути системного реестра, но
опция New
Path
Rule
(Новое правило пути) позволяет создавать
этот уникальный набор правил. При
создании новой политики ограничения
программного обеспечения формируются
четыре заданных по умолчанию правила
пути системного реестра. Эти правила
конфигурируют неограниченную программную
групповую политику для приложений,
расположенных в системной корневой
папке и в заданной по умолчанию папке
программных файлов. -
Internet
zone
rules
(Правило
зон интернета). Заключительный тип
правил основан на интерне-зоне, из
которой было загружено программное
обеспечение. Например, нужно
сконфигурировать правило, позволяющее
выполнение всех приложений, загруженных
из зоны Trusted
Sites
(Доверенные сайты), или правило,
предотвращающее выполнение любого
программного обеспечения, загруженного
из зоны Restricted
Sites
(Ограниченные сайты).
Если вы сконфигурируете
свое ограничение так, что все приложения
должны выполняться, за исключением
указанных приложений, то эти правила
определят те приложения, которые не
будут выполняться. Если вы создаете
более ограничительное правило, блокирующее
все приложения, то оно определяет те
приложения, которым позволено выполняться.
Политики
ограничения программного обеспечения
могут быть определены для компьютеров
в разделе Computer
ConfigurationWindows
SettingsSecurity
Settings,
для пользователей — в разделе User
ConfigurationWindows
SettingsSecurity
Settings.
По умолчанию в Active
Directory
не ус танавливается политики ограничения
программного обеспечения. Чтобы создать
политику, щелкните правой кнопкой мыши
на папке Software
Restrictions
Policies
(Политики ограничений программного
обеспечения) и выберите New
Software
Restrictions
Policy
(Новая политика). В результате будет
создана заданная по умолчанию политика
(см. рис. 13-7).
Рис.
13-7. Создание новой политики ограничения
программного обеспечения
Папка
Security
Levels
(Уровни безопасности) используется для
определения заданного по умолчанию
уровня защиты. Внутри папки имеются два
объекта: Disallowed
(Запрещенный)
и Unrestricted
(Неограниченный).
Если нужно сконфигурировать защиту
так, чтобы выполнялись все приложения
за исключением специально указанных,
щелкните правой кнопкой мыши на объекте
Unrestricted
и выберите Set
As
Default
(Установить по умолчанию). Если вы хотите
задать более ограничительную установку,
щелкните правой кнопкой мыши на Disallowed
и установите его заданным по умолчанию.
Папка
Additional
Rules
(Дополнительные правила) используется
для конфигурирования правил ограничений
программного обеспечения. Чтобы
сконфигурировать правило, щелкните
правой кнопкой мыши на папке Additional
Rules
и выберите тип правила, которое вы хотите
создать. Например, для нового хэш-правила
выберите New
Hash
Rule.
Чтобы создать новое хэш-правило, щелкните
на кнопке Browse
(Обзор) и найдите файл, который вы хотите
идентифицировать хэш-значением. При
выборе файла хэш-значение файла будет
создано автоматически. За-
тем можно
сконфигурировать, будет ли это приложение
разрешено для выполнения или заблокировано
(см. рис. 13-8).
Рис.
13-8. Конфигурирование хэш-правила
Объект
Enforcement
(Принуждение)
используется для определенного указания
приложения, на которое оказывается
воздействие. Можно сконфигурировать
правила, которые будут применяться или
ко всем приложениям, или ко всем
приложениям, кроме DLL.
Правила могут применяться или ко всем
пользователям, или ко всем пользователям,
кроме местных администраторов.
Объект
Designated
File
Types
(Отмеченные
типы файлов) определяет все расширения
файлов, которые рассматриваются как
расширения исполняемых файлов и поэтому
подчиняются этой политике. Вы можете
добавлять или удалять файловые расширения
из этого списка.
Объект
Trusted
Publishers
(Доверенные
издатели) используется для определения
того, кто может выбирать, является ли
издатель доверенным или нет. Вы можете
указать всех пользователей, только
локальных администраторов или только
администраторов предприятия. Вы можете
также сконфигурировать, должна ли
рабочая станция проверять факт возможной
отмены действия сертификата перед
выполнением приложения.
Шаблоны
защиты
Как показано в
предыдущих разделах, существуют сотни
опций, предназначенных для конфигурирования
безопасности с использованием
групповых
политик в сети Windows
Server
2003. На первый взгляд можете показаться,
что количество опций непомерно велико.
Трудно даже определить, с него начать
конфигурирование опций безопасности.
К счастью, компания Microsoft
разработала шаблоны защиты, которые
позволяют справиться с этой задачей.
Шаблоны защиты
предопределяют наборы конфигураций
защиты, которые вы можете применять к
компьютерам вашей сети. Вместо того
чтобы просматривать каждый параметр
защиты, можно выбрать шаблон защиты,
соответствующий тому, чего вы хотите
добиться, а затем применить этот шаблон,
используя групповые политики. Например,
если вы развертываете рабочие станции
в среде, где требуются строгие параметры
настройки защиты, выберите один из
шаблонов сильной защиты. Если вы
развертываете рабочие станции, которые
нуждаются в меньшей защите, то для этих
рабочих станций выберите другой шаблон.
Шаблоны защиты можно модифицировать.
Если вы не найдете шаблон защиты, который
точно отвечает вашим потребностям,
можно выбрать один из предопределенных
шаблонов, а затем изменить несколько
параметров настройки.
Почти
все параметры настройки защиты,
сконфигурированные с помощью групповых
политик, могут быть сконфигурированы
с использованием шаблон защиты.
(Исключения составляют политики IPSec
и политики открытых ключей.) Вы можете
создать ваш собственный шаблон защиты
или использовать один из предопределенных
шаблонов. Если вы изменяете шаблон,
сохраните его так, чтобы он был доступен
другим объектам GPO.
При сохранении шаблона он записывается
в виде текстового .inf
файла.
Предопределенные
шаблоны защиты
Чтобы
облегчить применение защиты, компания
Microsoft
создала разнообразные предопределенные
шаблоны защиты. Эти шаблоны сконфигурированы
в соответствии с категориями защиты,
такими как default
(заданная по умолчанию), secure
(безопасная) и high
security
(сильная защита). Шаблоны хранятся в
папке %systemroot
%securitytemplates.
Когда вы устанавливаете на компьютере
системы Windows
Server
2003 или Windows
XP
Professional,
к компьютеру применяется шаблон Setup
Security.inf.
Этот шаблон различен для рабочих станций
и серверов, он также зависит от того,
была ли ваша операционная система
установлена как обновление или как
чистая инсталляция. Вы можете повторно
применять шаблон защиты в любое время
после начальной инсталляции. Например,
если изменяются параметры настройки
защиты на компьютере и нужно вернуть
заданные по умолчанию параметры, можно
повторно применить этот шаблон. Он
создается в процессе установки для
каждого компьютера и должен применяться
только локально. Он содержит много
параметров настройки, которые не
конфигурируются в составе какого-либо
другого шаблона. Следовательно, не нужно
ис-
пользовать групповые
политики для развертывания заданного
по умолчанию шаблона. Их можно использовать
для развертывания дополнительных
шаблонов защиты, которые могут изменять
некоторые параметры настройки,
сконфигурированные в заданном по
умолчанию шаблоне.
Если
вы устанавливаете на компьютере системы
Windows
Server
2003 или Windows
XP
Professional
как обновление предыдущей операционной
системы, заданные по умолчанию шаблоны
на компьютере не применяются. Это
гарантирует, что после обновления будут
поддерживаться любые предыдущие
конфигурации защиты.
Если
заданные по умолчанию параметры настройки
защиты не отвечают вашим потребностям,
примените другие конфигурации защиты,
используя шаблоны. Они предназначены
для использования на тех компьютерах,
где уже выполняются заданные по умолчанию
шаблоны защиты. Компания Microsoft
включила следующие шаблоны в систему
Windows
Server
2003.
-
Compatwsinf.
Этот
шаблон может применяться к рабочим
станциям или серверам. Windows
Server
2003 сконфигурирован так, чтобы быть
более безопасным, чем предыдущие версии
Windows.
Это означает, что некоторые приложения,
работающие в предыдущих операционных
системах, не будут выполняться в системах
Windows
Server
2003 или Windows
XP
Professional.
Особенно справедливо это для
несер-тифицированных приложений,
которым требуется доступ пользователя
к системному реестру. Один из способов
выполнить такие приложения состоит в
том, чтобы сделать пользователя членом
группы Power
Users
(Полномочные пользователи), которая
имеет более высокий уровень разрешений,
чем обычный пользователь. Другой вариант
состоит в том, чтобы ослабить параметры
настройки защиты на выбранных файлах
и ключах системного реестра так, чтобы
группа Users
(Пользователи) имела больше разрешений.
Шаблон Compatws.inf
может использоваться для применения
второго варианта. Применение этого
шаблона изменяет заданный по умолчанию
файл и разрешения системного реестра
так, чтобы члены группы Users
могли выполнять большинство приложений. -
Securewsinf
и Securedcinf.
Эти
шаблоны обеспечивают усиленную защиту
для политики учетных записей, аудита
и разрешения на доступ к системному
реестру. Они ограничивают использование
NTLM-аутентификации,
включая подписи на серверах пакетов
блока серверных сообщений (Server
Message
Block
— SMB).
Шаблон Securews.inf
применим для любой рабочей станции или
сервера, а шаблон Securedcinf
— только для контроллеров домена. -
Hisecwsinf
и Hisecdc.inf.
Эти
шаблоны последовательно увеличивают
защиту, которая создается другими
шаблонами. Защита усиливается в областях,
затрагивающих сетевые протоколы связи.
Они должны использоваться только в
сетях, включающих компьютеры с системами
Windows
Server
2003, Windows
2000 или Windows
XP,
и должны быть протестированы и применены
на всех компьютерах, чтобы убедиться,
что все они работают на одном и том же
уровне защиты. Шаблон Hisecws.inf
применяется для любой рабочей станции
или сервере, а шаблон Hisecdc.inf
— только для контроллеров домена. -
DC
security.inf.
Этот
шаблон применяется автоматически
всякий раз, когда сервер-член домена с
системой Windows
Server
2003 назначается контроллером домена.
Он дает возможность администратору
повторно применить начальную защиту
контроллера домена, если возникает
такая потребность. -
Notssid.inf.
Этот
шаблон удаляет идентификатор безопасности
SID
группы безопасности Terminal
Users
(Пользователи терминала) из всех «тисков
управления разграничительным доступом
DACL
на сервере. Используется для повышения
безопасности терминальных серверов,
потому что все пользователи терминального
сервера будут иметь разрешения,
полученные через членство индивидуальных
пользователей и групп, а не через общую
группу безопасности Terminal
Users.
Этот шаблон включен только в Windows
Server
2003, который сконфигурирован как
терминальный сервер в режиме приложений. -
Rootsec.inf.
Этот
шаблон переустанавливает заданные по
умолчанию разрешения системной корневой
папки и распространяет унаследованные
разрешения на все подпапки и файлы,
расположенные в корневой папке.
Применение этого шаблона не изменяет
явные разрешения, назначенные на файлы.
После
того как вы решили, какой шаблон защиты
использовать, ими можно управлять через
редактор объектов групповых политик.
Если нужно установить один из настроенных
шаблонов, щелкните правой кнопкой мыши
на папке Security
Settings
и выберите Import
Policy
(Импорт политики). По умолчанию диалоговое
окно откроет папку %systemroot
%SecurityTemplates,
где расположены предопределенные
шаблоны защиты. Когда вы выберете один
из шаблонов, он загрузится в редактор
объектов групповых политик. Затем можно
применить эту групповую политику к
выбранному контейнерному объекту. Вы
можете изменить импортированный шаблон
защиты так, чтобы он точно удовлетворял
вашим требованиям. После этого
экспортируйте шаблон, чтобы он был
доступен для импортирования в другую
групповую политику.
Дополнительная
конфигурация защиты и инструментальные
средства анализа
Система
Windows
Server
2003 обеспечивает инструментальные
средства, которые могут использоваться
для управления шаблонами защиты. Одно
из
этих
средств
— оснастка
Security Configuration And Analysis (Конфи-
гурация
защиты и анализ), которая используется
для создания или изменения существующих
шаблонов защиты. Затем шаблон загружается
в оснастку Security
Configuration
And
Analysis
и используется для анализа определенных
компьютеров. Например, можно загрузить
шаблон сильной защиты, а затем
проанализировать, имеются ли различия
между шаблоном и текущей компьютерной
конфигурацией. На рисунке 13-9 показан
пример результатов такого анализа.
Вы
можете использовать этот инструмент и
для применения шаблона защиты к
компьютеру. Щелкните правой кнопкой
мыши на Security
Configuration
And
Analysis
и выберите Configure
Computer
Now
(Сконфигурировать компьютер сейчас).
Все параметры настройки защиты на
компьютере будут изменены в соответствии
с шаблоном защиты.
Рис.
13-9. Анализ конфигурации защиты компьютера
с помощью оснастки Security
Configuration And
Analysis
Оснастка
Security
Configuration
And
Analysis
не предназначена для использования с
групповыми политиками. Этот инструмент
использует те же самые предопределенные
шаблоны защиты, что и редактор объектов
групповых политик, но он предлагает
альтернативные средства для развертывания
шаблонов. Он предназначен прежде всего
для использования с автономными
компьютерами.
Инструмент
командной строки Secedit
обеспечивает похожие функциональные
возможности. С помощью него можно
анализировать параметры настройки
компьютера, основанные на шаблоне, а
затем применять эти параметры. Одна из
полезных функций инструмента командной
строки Secedit
состоит в том, что вы можете использовать
его для гене-
рации отката
конфигурации перед применением шаблона
защиты. Эта опция обеспечивает простой
план возврата, если применяемый вами
шаблон защиты окажется неподходящим.
Административные
шаблоны
Одна
из наиболее мощных опций, предназначенных
для управления рабочими столами
пользователей с помощью групповых
политик, состоит в использовании
административных шаблонов. Административные
шаблоны применяются для конфигурирования
параметров настройки системного реестра
на компьютерах с системами Windows
2000 Server,
Windows
2000 Professional,
Windows
XP
Professional
или Windows
Server
2003. Административные шаблоны могут
использоваться для конфигурирования
большого количества разнообразных
параметров настройки, которых существует
более 700. Их так много, что этот раздел,
возможно, не сможет охватить их все. В
таблице 13-7 приводится краткий обзор
только нескольких административных
шаблонов, чтобы вы почувствовали силу
групповых политик. Административные
шаблоны имеются также и в Active
Directory
Windows
2000, но в Windows
Server
2003 добавлено около 150 новых параметров
настройки. В таблице 13-7 перечисляются
также некоторые новые функции, которые
доступны в Active
Directory
Windows
Server
2003 клиентам с Windows
XP
Professional.
Табл.
13-7. Образец административных шаблонов
Место расположения |
Пояснение |
Computer Conf iguration |
Обеспечивает |
Computer Configuration |
Обеспечивает |
Computer Conf iguration |
Обеспечивает |
User Conf iguration |
Обеспечивает |
User Conf iguration Admin User |
Обеспечивает Обеспечивает |
Дополнительная
информация. Полный список всех
параметров настройки групповых политик
смотрите по адресу http://
www.microsoft.com/windowsxp/prdytechinfo/administration/
policy /winxpgpset.xls.
Одно
из усовершенствований Active
Directory
Windows
Server
2003 — это улучшенная справка по
административным шаблонам. Теперь
Active
Directory
поставляется с полным набором справочных
файлов, детализирующих каждую подборку
административных шаблонов. Чтобы
получить доступ к расширенной справке
по административным шаблонам, щелкните
правой кнопкой мыши на папке Administrative
Templates
в редакторе объектов групповой политики
и выберите Help
(Справка). Затем выберите подходящую
категорию административного шаблона.
На рисунке 13-10 показаны детали, касающиеся
категории System
(Система).
Системные
политики в Windows
NT
обеспечивают функциональные возможности,
подобные функциональности административных
шаблонов в Active
Directory
Windows
Server
2003. Оба инструмента позволяют делать
изменения системного реестра в
системе
клиентов для модификации конфигурации
рабочей станции. Однако административные
шаблоны обеспечивают существенные
преимущества по сравнению с системными
политиками. Одно из самых больших
преимуществ состоит в том, что они не
оставляют неудаляемых следов в системном
реестре, как это делают системные
политики. Когда вы делаете изменение,
используя системную политику, оно
записывается в системный реестр, и для
того чтобы изменить эту установку снова,
надо делать это вручную или использовать
системную политику. Если вы удалите
системную политику, изменения, сделанные
к системному реестру, не будут удалены.
В
Active
Directory
изменения системного реестра, сделанные
административными шаблонами, записываются
в специальные подключи в системном
реестре. Любые изменения, сделанные в
разделе User
Configuration,
записываются в ключе HKEY_CURRENT_USER
и сохраняются в папке SoftwarePolicies
или SoftwareMicrosoftWindowsCurrentVersionPolicies.
Изменения, сделанные в разделе Computer
Configuration,
сохраняются под теми же самыми подключами
в ключе НКЕY_LOCAL_MACHINE.
При начальной загрузке компьютера или
при входе пользователей в систему
загружаются обычные параметры настройки
системного реестра, а затем эти ключи
исследуются на наличие дополнительных
параметров настройки. Если эти параметры
будут найдены, то они загрузятся в
системный реестр, записываясь поверх
существующих записей, если такие записи
имеются. Если административный шаблон
удален, или компьютер (пользователь)
будет перемещен в другой контейнер, где
данный шаблон не применяется, информация
в ключах Policies
удаляется. Это означает, что административные
шаблоны больше не применяются, но обычные
параметры настройки системного реестра
будут применяться.
Рис.
13-10. В Центре справки и поддержки имеется
детальное описание каждой опции
административного шаблона
Административные
шаблоны хранятся в нескольких текстовых
файлах .adm.
По умолчанию эти файлы расположены в
папке %systemroot
%Inf
. В таблице 13-8 перечислены файлы
административных шаблонов, которые по
умолчанию устанавливаются с системой
Windows
Server
2003.
Табл.
13-8. Заданные по умолчанию шаблоны,
загружаемые в систему Windows
Server
2003
Административный |
Параметры |
System.adm |
Системные |
Inetres.adm |
Параметры |
Wmplayer.adm |
Параметры |
Conf.adm |
Параметры |
Wuau.adm |
Параметры |
Файлы
административных шаблонов состоят из
записей, определяющих опции, которые
доступны через данный шаблон. Каждая
запись в файле .adm
выглядит так как показано на рисунке
13-11. В таблице 13-9 поясняются записи,
относящиеся к шаблону.
Рис.
13-11. Одна из записей в файле System.adm
Административные
шаблоны для каждой групповой политики
хранятся в папке Sysvol,
расположенной на контроллере домена,
и реплицируются на все другие контроллеры
домена в домене. Шаблоны хранятся в
файле Registry.pol,
расположенном в папке %systemroot%
SYSVOL
sysvol
domainname
Policies
GroupPolicyGUID
Machine
для компьютерной конфигурации и в папке
%systemroot%
SYSVOL
sysvol
domainname
Policies
GroupPolicyGUID
User
для пользовательской конфигурации.
Табл.
13-9. Компоненты опции шаблона
Компонент |
Объяснение |
|
Policy |
Идентифицирует Идентифицирует |
|
Компонент |
Объяснение |
|
Supported |
Идентифицирует |
|
Explain |
Идентифицирует |
|
Part |
Идентифицирует |
|
Valuename |
Идентифицирует |
Административные
шаблоны имеют большое количество
административных опций. Только анализ
всех политик и выделение тех, которые
необходимы для вашей организации, может
стать совершенно обескураживающей
задачей. В большинстве случаев лучшим
подходом к использованию административных
шаблонов является медленное и осторожное
начало. Возможно, вы захотите
сконфигурировать некоторые основные
параметры настройки, например, запретить
пользователям использование инструментов
редактирования системного реестра и
изменение системы через большую часть
панелей управления. Другой способ
определить, какие параметры настройки
являются наиболее критическими для
вашей организации, состоит в том, чтобы
проследить звонки, поступающие в
сервисный отдел. Просматривая их, можно
идентифицировать многие проблемы. Затем
можно определить, имеется ли такой
административный шаблон, который можно
использовать для изменения этой установки
или предотвращения возможного ее
изменения пользователями после того,
как вы сами ее сконфигурировали. Таким
образом, вы сможете медленно внедрить
политику административного шаблона,
которая сможет справиться с наиболее
критическими проблемами, возникающими
в вашей сети.
Использование
сценариев для управления средой
пользователя
Другой инструмент,
который используется для управления
пользовательскими рабочими столами —
это сценарии. Наиболее типичное
использование сценариев состоит в
создании простой рабочей среды
пользователя. Обычно сценарии входа в
систему используются для отображения
сетевых
дисков или принтеров. Они помогают
упростить среду конечного пользователя.
Пользовательские сценарии входа в
систему были доступны в системе Windows
NT.
Однако использование сценариев в Active
Directory
Windows
Server
2003 обеспечивает множество существенных
преимуществ по сравнению с Windows
NT
4, включая следующие.
-
Возможность
назначать сценарии для запуска и
завершения работы системы. В
Active
Directory
можное назначать выполнение сценариев
на момент запуска и выключения
компьютеров. В системе Windows
NT
сделать это было очень трудно. Эти
сценарии выполняются в контексте
безопасности учетной записи LocalSystem. -
Возможность
назначать сценарии для пользовательского
входа в систему и выхода из системы.
Система
Windows
NT
обеспечивала только сценарии входа в
систему. В Active
Directory
можно также выполнять сценарии выхода
из системы. -
Возможность
назначать сценарии на контейнеры вместо
отдельных индивидуумов. Это
одно из самых больших преимуществ
использования Active
Directory
для назначения сценариев. В Windows
NT
единственным вариантом выполнения
сценариев являлось назначение
индивидуальных сценариев входа в
систему на учетные записи пользователя.
Когда вы назначаете сценарий на контейнер
в Active
Directory,
сценарий применяется ко всем пользователям
или компьютерам, находящимся внутри
контейнера. -
Наличие
«родной» поддержки для сценариев
Windows
Script
Host.
В
системе Windows
NT
большинство клиентов выполняли только
пакетные файлы MS-DOS
для реализации сценариев входа в
систему. В системах Windows
Server
2003, Windows
XP
и Windows
2000 клиенты обеспечивают родную поддержку
для сценариев Windows
Script
Host
(WSH).
При конфигурировании пользовательских
рабочих столов сценарии WSH
оказываются гораздо более гибкими и
мощными. С помощью WSH
сценарии могут использоваться в более
широких целях, чем простое отображение
сетевых дисков. Служба Active
Directory
Windows
Server
2003 поддерживает личные сценарии входа
в систему, назначенные на индивидуальные
учетные записи пользователя. Если в
вашей сети имеются клиенты с системой
Windows
NT
Workstation,
используйте их для входа в систему.
Клиенты с системами Windows
2000 и Windows
XP
Professional
также могут обработать индивидуальные
сценарии входа в систему. Если вы имеете
индивидуальные сценарии входа в систему,
назначенные учетным записям пользователя,
они будут выполняться после выполнения
сценариев запуска компьютера и
пользовательских сценариев входа в
систему, назначенных групповыми
политиками.
Чтобы
сконфигурировать сценарий для Active
Directory,
нужно его создать, а затем скопировать
на контроллер домена. Сценарии можно
хранить в любом месте на сервере,
доступном для клиентов. Типичное место
хранения сценариев — папка %systemroot
%SYSVOLsysvol
domainnamescripts.
Она открыта для общего доступа под
сетевым именем NETLOGON,
и является заданным по умолчанию местом,
в котором клиенты низкого уровня ищут
сценарии входа в систему. Вы можете
хранить сценарии входа в систему в папке
%systemroot
%SYSVOL
sysvoldomainnameGlobalPolicy
GUIDMachineScripts
или в папке %systemroot
%SYSVOLsysvoldomainnameGlobalPolicy
GUIDUser
Scripts.
После копирования файлов сценария на
сервер откройте объект GPO
и найдите папку Scripts
(Startup/Shutdown)
(Сценарии (Запуск/ Завершение), расположенную
в папке Computer
Conf
iguration
Windows
Settings,
или папку Scripts
(Logon/Logoff)
(Сценарии (Вход в систему/ выход из
системы)), расположенную в папке User
Conf
igurationWindows
Settings.
Например, чтобы создать запись для
сценария запуска, разверните цапку
Scripts
(Startup/Shutdown)
и дважды щелкните на Startup.
Затем можно добавлять любые сценарии
запуска к объекту GPO.
Active
Directory
Windows
Server
2003 обеспечивает множество административных
шаблонов, которые использоваться для
конфигурирования сценариев на рабочих
станциях клиентов. Большинство
параметров
настройки
расположено
в
папке
Computer Configuration Administrative TemplatesSystemScripts, а
некоторые
— в
nanKeUser Conf iguration Administrative TemplatesSystemScripts.
Опции
конфигурации включают опцию, позволяющую
выполнять сценарии запуска асинхронно,
т.е. несколько сценариев запуска смогут
выполняться одновременно. Можно выполнять
сценарии входа в систему синхронно,
т.е. все сценарии запуска завершаются,
прежде чем появится рабочий стол
пользователя. Вы можете также
сконфигурировать максимальное время
ожидания окончания выполнения всех
сценариев. И, наконец, можно сконфигурировать,
будут ли сценарии выполняться в фоновом
режиме, чтобы быть незаметными, или они
будут видимыми при выполнении.
Резюме
В
Active
Directory
Windows
Server
2003 имеется множество инструментальных
средств и опций, предназначенных для
управления рабочими столами пользователей.
Групповые политики могут использоваться
для управления данными и профилями
пользователей, чтобы обеспечить им
знакомую рабочую среду, оставляя
централизованным управление некоторыми
данными. Они применяются также для
конфигурирования параметров настройки
защиты, чтобы все компьютеры, на которые
воздействует данная групповая политика,
имели стандартную и постоянную
конфигурацию защиты. Групповые политики
используются для определения
административных шаблонов, которые
могут конфигурировать параметры
настройки системного реестра для
управления рабочими столами пользователей.
В этой главе дан краткий обзор того, как
можно реализовать эти варианты управления
рабочими столами пользователей.
Аннотация: В этой лекции дается обзор того, как использовать Group Policy Windows Server 2003, чтобы упростить управление и защиту клиентских машин и серверов, а также описывается, как использовать GPMC для централизованного управления развертыванием, операциями и устранением проблем Group Policy
Если вы знакомы с Group Policy Windows 2000, то обнаружите лишь несколько существенных изменений в Group Policy Windows Server 2003. Кроме того, вас должно обрадовать то, что вскоре после выпуска Windows Server 2003 компания Microsoft выпустила новое средство, которое реально упрощает использование Group Policy, — Group Policy Management Console (GPMC) в виде оснастки MMC и утилиты командной строки. Если вы переходите к Windows Server 2003 из Windows NT 4.0, то увидите, что Group Policy очень отличается от системной политики — в лучшую сторону.
В этой лекции дается обзор того, как использовать Group Policy Windows Server 2003, чтобы помочь вам в управлении и защите ваших клиентских машин и серверов, а также описывается, как использовать GPMC для централизованного управления развертыванием, операциями и устранением проблем Group Policy. Мы предполагаем, что вы переходите из Windows NT 4.0 или пока не знакомы с использованием GPMC, и представляем большинство операций Group Policy с помощью GPMC.
Если вы решили использовать Group Policy, то приобретите одно из полных руководств по развертыванию и администрированию Group Policy Windows Server 2003, где подробно описываются все средства и операции, представленные в этой лекции, а также даются основы написания скриптов для операций GPMC. Кроме того, обязательно прочитайте справочную online-информацию по Group Policy Windows Server 2003 для получения полных сведений по настройкам управления и безопасности, доступным с помощью Group Policy.
Основы Group Policy
Group Policy — это поддерживающее Active Directory средство для централизованного управления пользователями и конфигурирования компьютеров, работающих под управлением Microsoft Windows Server 2003, Microsoft Windows 2000 или Microsoft Windows XP Professional. Данное средство встроено в эти операционные системы, чтобы его можно было сразу использовать во всей организации (если вы установили Active Directory). Вы используете Group Policy, чтобы определять автоматизированные конфигурации для групп пользователей и компьютеров, включая многие настройки, связанные с реестром, опции установки программного обеспечения, скрипты входа и завершения работы, перенаправление папок, службу RIS (Remote Installation Services), Internet Explorer Maintenance и широкий охват настроек безопасности. Используйте Group Policy, чтобы облегчить управление серверными и клиентскими компьютерами с применением многих настроек, заданных специально для серверов.
В табл. 13.1 показано, как использовать различные возможности Group Policy, приведенные в порядке их представления в оснастке MMC GPOE (Group Policy Object Editor). Ниже в этой лекции будет дан обзор каждого из расширений Group Policy.
Group Policy действует путем применения настроек конфигурации, сохраненных в объекте Group Policy (GPO), который связывается с выбранным вами объектом Active Directory. GPO — это сохраненный набор настроек Group Policy, которые не только задают конфигурацию клиентских и серверных компьютеров, но также указывают для пользователей программное обеспечение, перенаправленные папки, файлы и папки для автономного использования, профили пользователей (когда они перемещаются) — в общей сложности несколько сотен опций. Объекты GPO позволяют вам централизованно управлять компьютерами и пользователями в соответствии с их местоположением в структуре Active Directory, например, в домене или организационной единице (OU), а также с местом привязки объектов GPO в этой структуре.
Средство Group Policy | Описание |
---|---|
Software Installation (Установка ПО) | Централизованная установка, обновление и удаление программного обеспечения. |
Remote Installation Services (Служба удаленной установки) | Управление Remote Installation Services (RIS). |
Scripts (Startup/Shutdown) | Применение скриптов во время входа и завершения сеанса пользователя, а также загрузки и завершения работы компьютера. |
Security Settings (Настройки безопасности) | Управление средствами безопасности. |
Folder Redirection (Перенаправление папок) | Создание перенаправленных папок на сервере для управления файлами и папками пользователей. |
Internet Explorer Maintenance | Управление Internet Explorer. |
Offline Files and Folders (Автономные файлы и папки) | Позволяет пользователям работать с сетевыми файлами, даже когда они не подсоединены к сети. |
Roaming User Profiles (Профили перемещающихся пользователей) | Управление профилями пользователей. |
Administrative Templates (Шаблоны администрирования) | Управление компьютерами и пользователями с помощью настроек из реестра. |
Чтобы приступить к созданию объектов GPO, вы должны хорошо знать свою структуру Active Directory, включая местоположение в этой структуре пользователей и компьютеров, которыми вы хотите управлять.
Group Policy действует следующим образом: при каждой перезагрузке, входе пользователя или ручном принудительном обновлении с помощью Group Policy к соответствующему пользователю или компьютеру применяются настройки всех объектов GPO. Каждая настройка в объекте GPO оценивается целевыми компьютерами с учетом иерархической структуры Active Directory, как это описано ниже в разделе «Обработка и наследование при использовании Group Policy«.
Таким образом, вы задаете конфигурацию пользователя или компьютера только один раз, и затем система Windows XP, Windows 2000 или Windows Server 2003 реализует вашу конфигурацию на всех клиентских компьютерах, пока вы не измените ее. С этого момента настройки Group Policy продолжают реализоваться автоматически, они имеют приоритет по сравнению настройками из реестра или из пользовательского интерфейса и изменяются без вашего вмешательства. При возникновении какого-либо конфликта, например, вы задали определенную конфигурацию Internet Explorer, а локальный пользователь задает другие настройки, Group Policy переопределяет эти локальные настройки при входе, загрузке, во время нормально запланированных обновлений или когда вы запускаете принудительное обновление с помощью Group Policy.
Все настройки Group Policy в расширении Administrative Templates Group Policy реально записываются в специальные разделы реестра для Group Policy. Для настроек, которые конфигурируются где-либо еще с помощью оснастки GPOE (например, Software Installation, Security Settings или Scripts), используются различные методы их применения. Используя GPOE, вы можете задавать реестр машины, указывать путь в сети к разделяемым ресурсам на сервере или к автоматической загрузке ПО, и т.д. — все это из одного интерфейса управления, который автоматически применяет эти настройки в соответствии с регулярным расписанием. Используя бесплатную консоль управления Group Policy Management Console (GPMC), вы можете централизованно управлять всеми аспектами Group Policy, включая создание объектов GPO, привязку объектов GPO, делегирование управления Group Policy и добавление включаемых с помощью Group Policy скриптов, за исключением конкретного конфигурирования объектов GPO. Но вы можете даже запускать GPOE из GPMC,
выделив какой-либо объект GPO и выбрав затем команду Edit.
Несколько объектов GPO можно присоединять к одному сайту, домену или OU, и один объект GPO можно присоединять к любому числу сайтов, доменов или OU. Присоединяя объекты GPO к сайтам, доменам или OU Active Directory, вы можете задавать настройки Group Policy для любой нужной части организации. Иными словами, вы можете создать один объект GPO, который управляет каждым компьютером и каждым пользователем вашей компании, или создать по одному GPO для каждой OU, чтобы задать различные конфигурации для каждой из этих OU. Кроме того, вы можете сделать и то, и другое, а применение будет происходить в зависимости от иерархии Active Directory. Использование этих возможностей Group Policy для переопределения настроек см. ниже в разделе «Обработка и наследование при использовании Group Policy«.
Детали каждой настройки Group Policy можно видеть в оснастке GPOE в режиме расширенного представления (Extended view), который используется по умолчанию; если он не включен, щелкните на вкладке Extended. Этот текст можно также увидеть в панели Properties вкладки Explain (Описание) для соответствующей настройки Group Policy. Если вы хотите видеть все описания в одном месте, то можете непосредственно открыть соответствующий файл оперативной справки Windows из командной строки, набрав hh и имя этого help-файла. В табл. 13.2 приводится список связанных с Group Policy help-файлов, имеющихся в Windows Server 2003.
На компьютере с Windows XP Professional вы увидите настройки только для Windows 2000 и Windows XP Professional. На компьютере с Windows Server 2003 вы увидите настройки для Windows 2000, Windows XP Professional и Windows Server 2003. Эти help-файлы часто содержат ссылки на другие help-файлы, содержащиеся в этом списке, поэтому вам не обязательно возвращаться в командную строку после того, как вы запустили один из них.
Поскольку многие настройки (и некоторые help-файлы [ .chm -файлы]) недоступны по умолчанию в Windows XP, установите Windows Help с установочного CD Windows Server 2003 на любых административных компьютерах, работающих под управлением Windows XP Professional.
Настройки, описанные в help-файле | Имя или имена help-файлов |
---|---|
Большинство административных шаблонов | system.chm |
Настройки безопасности | secsetconcepts.chm, spolsconcepts.chm, secsettings.chm |
Шаблоны безопасности | sceconcepts.chm |
Консоль управления Group Policy (GPMC) | spconcepts.chm, gpmc.chm |
Политики ограничения ПО | safer.chm, saferconcepts.chm |
Настройки NetMeeting | conf1.chm |
Настройки для Internet Explorer | inetres.chm |
Политики беспроводной сети (IEEE 802.11) | infrared.chm |
Автономные файлы и папки | offlinefolders.chm |
Автоматические обновления | wuau.chm |
Настройки Windows Media Player | wmplayer.chm |
Требования к использованию Group Policy
Когда использовалась система Windows NT, управление Windows-компьютерами осуществлялось с помощью системной политики или путем постоянных изменений в реестре ваших клиентов. Системная политика основывается на настройках реестра, задаваемых с помощью System Policy Editor, Poledit.exe. С появлением Group Policy в Windows 2000 управление стало намного более гибким, и, кроме того, стало намного проще выполнять «очистку» путем отсоединения объектов GPO от контейнеров Active Directory, удаления старых GPO и создания новых, применение которых происходит позже на этапе обработки (путем переопределения более ранних настроек).
Во-первых, если вы собираетесь использовать Group Policy, то запомните, что соответствующие клиентские компьютеры и серверы должны работать под управлением Windows 2000 (Professional или Server), Windows XP Professional или Windows Server 2003. Если в вашей сети есть более ранние системы, то на них не влияет Group Policy.
Поскольку Group Policy работает с полностью уточненными доменными именами (FQDN), то для соответствующей обработки Group Policy в вашем лесу должна действовать DNS, а не только NetBIOS. Кроме того, поскольку клиентские или целевые компьютеры должны отправлять сигнал ping контроллерам домена в вашей
сети, не отключайте протокол ICMP. Если целевые компьютеры не могут делать это, то обработка Group Policy не выполняется.
Для применения Group Policy вам нужно использовать Active Directory. Вы можете использовать Group Policy для управления серверами и клиентскими компьютерами; на самом деле Group Policy содержит много настроек, относящихся к компьютерам-серверам. Если у вас не создана структура Active Directory, то вы не можете использовать большинство средств, связанных с Group Policy (хотя вы можете конфигурировать локальные объекты Group Policy по отдельности для каждой машины), и совсем не можете использовать Group Policy для централизованного управления компьютерами и пользователями.
Ваше развертывание Group Policy обязательно должно основываться на структуре вашего каталога Active Directory, особенно на географическом местоположении сайтов и физическом размещении контроллеров домена. В частности, следует учитывать скорость репликации, поскольку сложные объекты GPO могут иметь очень большие размеры. Иначе говоря, не пытайтесь использовать один GPO для географически разбросанных сетей. Планируйте Group Policy соответствующим образом, то есть создавайте новые GPO для каждой организационной единицы (OU) в домене, который охватывает несколько сайтов, или копируйте эти GPO в удаленные сайты, домены и OU с помощью консоли управления Group Policy (GPMC).
Только администраторы домена или предприятия могут создавать и присоединять объекты GPO, хотя вы можете делегировать эту задачу другим пользователям. Более подробную информацию по делегированию задач Group Policy см. ниже в разделе «Делегирование управления Group Policy».
Новые пользовательские и компьютерные учетные записи создаются по умолчанию в контейнерах CN=Users и CN=Computers. К этим контейнерам нельзя непосредственно применить Group Policy. Однако в Windows Server 2003 включены два новых средства, выполняющие эту задачу: Redirusr.exe (для пользовательских учетных записей) и Redircomp.exe (для компьютерных учетных записей). Они применяют Group Policy к новым пользовательским и компьютерным учетным записям. Вы можете увидеть их в <windir>system32. Запускайте Redirusr.exe и Redircomp.exe по одному разу для каждого домена, указывая, в каких OU нужно создать новые пользовательские и компьютерные учетные записи. Вы можете затем управлять этими учетными записями с помощью Group Policy. Microsoft рекомендует присоединять объекты GPO с высоким уровнем безопасности к организационным единицам, которые вы используете для новых учетных записей. В статье Q324949 Microsoft Knowledge
Base, «Redirecting the Users and Computers Containers in Windows Server 2003
Domains» дается более подробная информация по использованию этих средств и перенаправлению новых учетных записей.
Возможно, вы считаете (или слышали), что управлять Group Policy трудно, что странно для средства, которое является инструментом управления! Хотя Group Policy может сэкономить вам массу времени и усилий, позволяя одновременно конфигурировать много компьютеров, особенно по мере накопления практики, сам по себе этот инструмент не настолько прост, чтобы его можно было использовать с первой секунды. Компания Microsoft прислушалась к нашим сетованиям и создала консоль управления GPMC (в виде оснастки MMC и средства командной строки), которая намного упрощает использование Group Policy. Прежде чем приступить к дальнейшей работе, обязательно загрузите GPMC с веб-сайта Microsoft:
http://www.microsoft.com/windowsserver2003/gpmc/default.mspx.
Взаимодействие с более ранними операционными системами
Вам не стоит отказываться от самых новых настроек Group Policy, которые поставляются вместе с административными шаблонами Windows Server 2003 ( .adm -файла-ми), поскольку они не только поддерживают новые операционные системы, но также содержат поддержку для операционных систем Windows 2000. Если вы применяете объект GPO Windows Server 2003, например, к машине Windows 2000, где определенная настройка не поддерживается, то буквально ничего не происходит. Машина Windows 2000 просто игнорирует эту настройку. Чтобы увидеть, какие настройки поддерживаются в каких системах, нужно выбрать настройку в GPOE и затем посмотреть, что говорится в секции Requirements (Требования).
Если в вашей организации используются все виды систем Windows, то вам нужно учесть несколько вопросов, прежде чем использовать Group Policy.
Во-первых, машины, работающие под управлением Windows NT, Windows 95, Windows 98 или Windows XP Home Edition, не могут обрабатывать объекты GPO. Если какой-либо из этих компьютеров содержится в одном из контейнеров Active Directory, то на него не влияют обычные настройки административных шаблонов Group Policy Administrative Templates, а также большинство настроек, связанных с Group Policy. Для управления этими компьютерами используйте системную политику — даже в современных доменах Active Directory и даже в тех случаях, когда присоединили объекты GPO к этим доменам.
Все машины, работающие под управлением Windows 2000, Windows XP Professional или Windows Server 2003, поддерживают Group Policy. Для управления этими машинами вы можете использовать объекты GPO Windows 2000 или Windows Server 2003, но использование последних дает больше возможностей. Просто следите, какие настройки поддерживаются в каких системах, чтобы для вас не было неожиданностью, если конфигурация, действующая в Windows XP Professional, не срабатывает в Windows 2000.
Чтобы использовать в полной мере возможности Group Policy, и компьютерные, и пользовательские учетные записи должны быть включены в домены Windows 2000 или Windows Server 2003 (предпочтительно, если вы хотите использовать самые новые средства Group Policy из Windows Server 2003). Если компьютерная учетная запись находится в домене Windows NT, а пользовательская учетная запись — в домене Windows 2000 или Windows Server 2003, то при входе соответствующего пользователя обрабатывается только компьютерная системная политика. После входа пользователя применяется только пользовательская часть конфигурации Group Policy. Если пользовательская учетная запись находится в домене Windows NT, то системная политика является единственным набором политик, обрабатываемым для этой учетной записи.
И наоборот, если компьютерная учетная запись находится в домене Windows 2000 или Windows Server 2003, а пользовательская учетная запись — в домене Windows NT, то во время загрузки обрабатывается только компьютерная часть Group Policy. При входе пользователя применяется пользовательская системная политика.
И, наконец, когда и компьютерная, и пользовательская учетные записи являются частью домена Windows NT, применяется только системная политика, даже если соответствующие машины работают под управлением Windows 2000, Windows XP или Windows Server 2003.