Содержание
Концепции групповой политики
Политики работают по принципу » все или ничего»
Политики наследуются и накапливаются
Интервалы обновления групповой политики
Основы групповой политики
Репликация групповой политики является встроенной
Объекты GРО самостоятельно выполняют очистку при удалении
Для применения настроек GРО вход не требуется
Локальные политики и объекты групповой политики
Объект LGPO для администраторов и не администраторов
Объект LGPO, специфичный для пользователя
Создание объектов GPO
Модификация стандартного поведения групповой политики
Настройки для управления групповой политикой
Применение групповой политики
Каким образом применяется групповая политика
Фильтрация групповой политики с помощью с писков управления доступом
Принудительное применение и блокирование наследования
Возможности настроек групповой политики
Настройки конфигурации пользователя и компьютера
Использование групповой политики для установки политики паролей и блокировки учетных записей
Предпочтения групповой политики
Новая и усовершенствованная консоль GРМС
Стартовые объекты GРО
Резервное копирование и восстановление объектов GPO
Поиск и устранение неполадок в групповых политиках
Инструмент Resultant Set of Policy
Получение результатов групповой политики с использованием консоли GPMC
Моделирование групповой политики с использованием консоли GPMC
gpresult.exe
Использование программы Event Viewer
Основы поиска и устранения неполадок: с охраняйте простоту
Делегирование Active Directory
Делегирование прав администрирования групповой политикой
Делегирование управления с использованием организационных единиц
Создание новой организационной единицы
Перемещение учетных записей пользователей в организационную единицу
Создание группы MktPswAdm
Делегирование управления сбросом паролей в организационной единице Marketing группе MktPswAdm
Расширенное делегирование: ручная установка разрешений
Выяснение установленных делегирований, или отмена делегирования
Когда ведутся разговоры на разнообразные темы, связанные с Active Directory,
необходимо также говорить о групповой политике (Group Policy). Групповая
политика не является новой технологией для Active Directory, но с момента своего появления в Windows 2000 Server она разрасталась и совершенствовалась с каждой выпущенной версией ОС и пакетом обновлений. Технология Group Poicy и возможности, которые она предлагает в Windows Server 2012 R2, претерпели настолько радикальные улучшения по сравнению с первоначальной версией, что ее впору считать полностью новой технологией. Изменениям и усовершенствованиям были подвергнуты средства управления групповой политикой (консоль управления групповой политикой (Group Poicy Management Consoe) и редактор управления групповыми политиками (Group Policy Management Editor)), управление доступными настройками (теперь их более 5000), управление целевыми объектами и устранение неполадок в инфраструктуре Group Policy. Если вы — опытный пользователь Group Poicy, то непременно сосредоточите внимание на разделах этой главы, посвященных предпочтениям групповой политики, консоли управления групповой политикой (Group Poicy Management Consoe — GPMC) и устранению неполадок.
В этой главе вы изучите следующие темы:
• понятие локальных политик и объектов групповой политики (Group Policy
object — GPO);
• создание объектов GPO;
• устранение неполадок в групповых политиках;
• делегирование управления с использованием организационных единиц;
• применение расширенного делегирования мя установки отдельных разреше
ний вручную;
• выяснение, какие делегирования были установлены.
Концепции групповой политики
Давайте начнем с рассмотрения важных концепций, терминов и правил, кото
рые необходимо знать, чтобы овладеть групповой политикой. Во время объяснения
функциональности групповой политики мы будем упоминать отдельные настройки,
не показывая, как их в действительности включать в оснастке Group Policy. В настоящий момент просто сосредоточьтесь на концепциях. Позже в этом разделе мы предоставим полный экскурс в консоль управления групповой политикой (GPMC);
мы рассмотрим использование групповой политики (включая опции Enforce
(Применить) и Block lnheritance (Блокировать наследование политики)) и расширенные настройки.
Администраторы конфигурируют и развертывают групповую политику путем
построения обьектов групповоu политики (Group Policy object — GPO). Объекты
G РО — это контейнеры мя групп настроек (настроек политики), которые могут
быть применены к учетным записям пользователей и компьютеров через Active
Directory. Объекты групповой политики создаются с использованием редактора управления групповыми политиками (Group Policy Management Editor — GPME), который запускается при редактировании объекта GPO из консоли GPMC. В одном
объекте G РО можно указать набор приложений, предназначенных мя установки на
рабочих столах всех пользователей, реализовать очень строгую политику дисковых квот и ограничений на просмотр, а также определить политики паролей и блокировки учетных записей, действующие на уровне домена. Возможно создание одного всеохватывающего объекта GPO или нескольких объектов GPO, по одному на каждый тип функции.
Объект G РО состоит из двух частей, представленных в виде узлов.
• Computer Configuration (Конфигурация компьютера). Политики конфигурации
компьютера управляют настройками, специфичными мя машины, такими как
дисковые квоты, аудит безопасности и ведение журналов событий.
• User Configuration (Конфигурация пользователя). Политики конфигурации
пользователя управляют настройками, специфичными для пользователя, таки
ми как конфигурация приложений, управление меню Start (Пуск) и переадре
сация папок.
Однако между этими двумя частями есть немало общего, особенно теперь, когда
введен набор предпочтений групповой политики (Group Policy Preferences), о котором пойдет речь далее в этой главе. Нередко одна и та же политика встречается и
в узле User Configuration, и в узле Computer Configuration. Будьте готовы к тому, что придется обдумывать, где активизировать необходимую политику — на уровне пользователя или на уровне компьютера. Имейте н виду, что вы можете создать политику, которая использует оба типа настроек, или предусмотреть разные объекты GPO для управления настройками User Configuration и Computer Configuration.
Вопреки своему назАанию, объекты групповой политики сонершенно не ориен
тированы на группы. Может быть, их так назвали из-за того, что разные настройки управления конфигураuией сгруппированы в одном месте. Не обращая внимания на это, объекты групповой политики не могут напрямую применяться к группам. Вы можете применять их локально, к сайтам, доменам и организаuионным единиuам (в Microsoft вместе это называют LSOOU (Local, Site, Oomain, OU — локально, к сайту, к домену, к организаuионной единиuе)) внутри имеющегося леса. Такое действие по назначению объектов GPO сайту, домену или организационной единице называется связыванием. Отношение между объектом GPO и LSOOU может иметь тип «многие к одному» (например, многие объекты GPO связаны с одной организаuионной единицей) или «один ко многим» (один объект GPO связан с несколькими разными организационными единицами). После связывания с LSOOU политики пользователя оказывают воздействие на учетные записи пользователей внутри организационной единицы (и во вложенных в нее организационных единиuах), а политики компьютера — на учетные записи компьютеров внутри организационной единицы (и во вложенных в нее организационных единицах). Оба типа настроек политики применяются в соответствии с частотой периодического обновления, которая составляет каждые приблизительно 90 минут.
Утверждение о том, что объекты GPO хранятся в АО, не сонсем точно. Объекты
GPO хранятся в виде двух частей — контейнер групповой политики (Group Policy
container — GPC) и шаблон групповой политики (Group Policy template — GPT),
который является структурой папок. Часть контейнера хранится в базе данных
Active Oirectory и содержит информацию о свойствах, сведения о версии, состояниеи список компонентов.
Путь к структуре папок выглядит как Windows SYSVOL
sysvol \Policies GUID, где GИID — это глобально уникальный
идентификатор для объекта GPO. Эта папка содержит настройки администрирова
ния и безопасности, информацию о доступных приложениях, настройки реестра,
сценарии и многое друтое.
политики работают по принципу «все или ничего»
Любой объект GPO содержит множество возможных настроек для многих фун
кций; обычно в каждом объекте GPO вы будете конфигурировать только неболь
шое их количество. Остальные настройки можно оставить «неактивными» подоб
но помещению комментария REM перед командой в сценарии либо использованию
точки с запятой в начале строки внутри файла INF. После конфигурирования на
строек политики и сообшения АО о том, что этот объект G РО связан с доменом
Bigfirm . сош, например, отдельные настройки или типы настроек не могут быть
применены выборочно. Все настройки User Configuration будут применяться ко
всем учетным записям пользователей, входящих в системы Windows 7, Windows 8
и Windows Server 2012 R2 внутри связанного домена. Все настройки Computer
Configuration будут применяться ко всем машинам Windows 7, Windows 8 и Windows Server 2012 R2 в домене. Предположим, что вы создали объект G РО, который разнертывает набор стандартных настольных приложений, таких как Word, Ехсе и Outlook, и ввели несколько ограничений, предотвращающих изменение пользователями своих конфигураций. Если вы не хотите, чтобы пользователи IТ-отдела подпадали под эти излишне строгие ограничения, то можете предпринять пару действий.
• Вы можете создать отдельный объект GPO для таких настроек политики и
связать этот объект G РО с организаuионной единиuей, которая содержит всех
рядовых пользователей. Но эта орrанизаuионная единиuа будет единственной,
которая получит приложения Office.
• Вы можете установить разрешения в объекте G РО так, чтобы предотвратить
применение политики к пользователям из IТ-отдела (это называется фильтро
ванием). Однако если для решения данной проблемы вы используете фильтро
вание, то ни одна из настроек в объекте GPO не будет применена к пользова
телям из IТ-отдела.
Политики наследуются и накапливаются
Настройки групповой политики являются накопительными и наследуются от
родительских контейнеров Active Directory. Например, домен В i g f i rrn . сот имеет
несколько разных объектов GPO. Один из объектов GPO, связанных с доменом,
устанавливает ограничения паролей, блокировку учетных записей и стандартные
настройки безопасности.
Каждая организационная единица в домене также имеет связанный с ней объект GPO, который развертывает и поддерживает стандартные приложения, а также настройки переадресации папок и ограничения рабочего стола. Учетные записи пользователей и компьютеров, находящиеся в организационной единице, получают настройки от объекта GPO, связанного с доменом, и от объекта GPO, связанного с этой организационной единицей.
Таким образом, некоторые всеохватывающие настройки политики могут быть применены ко всему домену, тогда как другие могут быть наuелены на учетные записи согласно организационным единиuам, с которыми они связаны.
интервалы обновления групповой политики
Политики применяются в фоновом режиме каждые 90 минут, с «рандомизаци
ей» в пределах до 30 минут, что защищает контроллер домена от одновременного
обращения сотен или даже тысяч компьютеров. Контро1U1еры домена отличаются от обычных компьютеров и обновляют групповые политики каждые 5 минут. Однако,
как будет показано далее в главе, имеется политика для конфигурирования всего этого. В интервал обновления не входят переадресация папок, установка ПО, применение сuенариев, предпочтения групповой политики для принтеров и отображений сетевых дисков.
Они применяются только при входе (для учетных записей пользователей) или загрузке системы (для учетных записей компьютеров); в противном случае может оказаться, что вы удалите какое-то приложение, тогда как кто-то пытается им воспользоваться. Или же пользователь может работать в папке, которая переадресуется на новый сетевой ресурс. По существу для обеспечения целостности данных эти настройки политики применяются только в «фоновом» обновлении группо1юй политики.
Основы групповой политики
Чтобы лучше понять, как технология Group Policy функционирует в среде Active
Directory, необходимо разобраться с тем, каким образом она работает «за кулисами».
Если вы только начали знакомство с групповой политикой, то довольно быстро
увидите, что многие премагаемые ею средства обладают преимуществами по срав
нению со старыми технологиями, такими как системные политики.
Репликация групповой политики является встроенной
Объекты GPO реплицируют себя автоматически, не требуя какой-либо работы с
вашей стороны. Среда Active Directory реплицируется с использованием репликаuии АО Repication (управляемой средством проверки целостности знаний (Knowledge Consistency Checker) и генератором межсайтовой топологии (lntersite Topology Generator)) и управляется службой репликации файлов (File Replication Service) или службой распределенной репликации файлов (Distributed File Replication Service).
Объекты GPO самостоятельно выполняют очистку при удалении
Все настройки административных шаблонов G PO записывают свою информа
цию в определенные части реестра и самостоятельно производят очистку, когда настройка политики или объект GPO удаляется.
Это исправляет давнюю проблему, присущую технологии управления политика
ми при первом ее появлении. Например, предположим, что вы создали в унасле
дованной системе системную политику, которая устанавливает для всех пользователей цвет фона в какой-то раздражающий оттенок и также настроили политику,препятствующую им изменять этот uвет. Такие настройки записываются в реестр.
Ранее после удаления политики записи в реестре не уничтожались, следовательно, раздражающий цвет фона оставался в системе. Часто это называли «татуировкой».
Вам пришлось бы настроить вторую политику, чтобы исправить настройки в реестре. В случае объектов GPO в этом нет необходимости. Удаление политики устраняет все ее влияние.
для применения настроек СРО вход не требуется
Реальную славу групповой политике приносит фоновое обновление. Поскольку
все компьютеры в домене проверяют наличие изменений каждые 90 минут или
около того, настройки политики применяются непрерывно. Это означает, что на
стройка, которую вы сделали в понедельник в 6:00, предназначенная для управления какой-то настройкой безопасности на каждом рабочем столе, не требует, чтобы все компьютеры находились в функционирующем состоянии. Взамен к компьютеру будет применено фоновое обновление, когда пользователь в 8:00 прибудет на свое рабочее место.
Машины Windows 2000 Server и более поздних версий с Active Directory получают свои настройки политики из домена, членами которого являются, после включения электропитания (вспомните, что машины также входят в домен), а пользователи получают политики из своего домена, когда входят в него.
Локальные политики и объекты групповой политики
Когда вы открываете инструмент редактора групповой политики (gpedi t .rnsc),
он автоматически выбирает объект GPO локальной машины (рис. 9. 1).
Рис. 9.1 . Редактор управления групповыми политиками для локальной машины
Администраторы могут использовать этот инструмент мя конфигурирования на
строек учетных записей (таких как минимальная мина пароля и количество неудавшихся попыток входа, прежде чем учетная запись заблокируется), чтобы настроить аудит и указать другие смешанные настройки. Тем не менее, редактор политики домена, т.е. редактор управления групповыми политиками (Group Policy Management
Editor — GPME), включает набор настроек (в том числе установку ПО и переадресация папок), которые мя локальных политик являются недоступными.
СТРУКТУРА ПАПОК ГРУППОВОЙ ПОЛИТИКИ
Локальная структура папок групповой политики похожа такую структуру других объектов GPO домена и находится в Windowssystem32GroupPolicy.
Если вы работаете на компьютере Windows Server 2012 R2 или Windows 8, то мо
жете конфигурировать не только локальный объект GPO (local GPO — LGPO). На
таких компьютерах вы также можете иметь объекты GPO, которые могут быть на
целены на группы локальных пользователей (объект LGPO мя администраторов и
не администраторов) и отдельных пользователей (объект LGPO, специфичный мя
пользователя).
Объект LGPO для администраторов и не администраторов
Настройки в объектах LGPO для администраторов и не администраторов будут
нацелены либо на пользователей в группе Administrators , либо на пользовате
лей во всех других группах. Идея заключается в том, что когда пользователь имеет членство в локальной группе Administrators, то он должен обладать большими привилегиями, чем пользователь, не входящий в эту группу.
Обратите внимание на то, что объекты LGPO, управляющие такими настройками, модифицируют только настройки, связанные с пользователями. В объектах
LG РО нет настроек, управляющих настройками уровня компьютера, которые находятся в узле Computer Coпfiguratioп (Конфигурация компьютера).
Из-за наличия двух «типов» групп, д11я управления ими предусмотрены два объ
екта LGPO. Чтобы управлять обоими типами пользователей, понадобится скон
фигурировать оба объекта LG РО. Для доступа к этим объектам LG РО должна
применяться консоль М МС. Шаги подобны рассмотренным ранее; имеется лишь
небольшое отличие в области действия объекта групповой политики, который за
гружен в М МС. Вместо выбора Local Computer (Локальный компьютер) из списка
объектов групповой политики щелкните на кнопке Browse (Обзор), чтобы найти
на вкладке Users (Пользователи) группу Administrators (Администраторы) или
Non-Administrators (Не администраторы), как показано на рис. 9.2.
Рис. 9.2. С помощью консоли ММС можно просматривать объекты LGPO
для групп Administrators и Non-Administrators
Для доступа к этим локальным объектам GPO с целью редактирования выполни
те перечисленные ниже шаги.
. Выберите в меню Start (Пуск) пункт Run (Выполнить).
2. В поле Open (Открыть) введите И«: и щелкните на кнопке ОК.
ТРЕБУЮТСЯ РАЗРЕШЕНИЯ
Это задача администрирования; следовательно, при включенной функции управления учетными записями пользователей вы должны согласиться с повышенными разрешениями, которые требует оснастка Group Policy Maпagemeпt Editor консоли ММС.
3. В окне консоли ММС откройте меню File (Файл).
4. Выберите пункт Add/Remove Snap-in (Добавить или удалить оснастку).
5. В списке оснасток выберите Group Policy Object Editor (Редактор объектов
групповой политики).
6. Оставьте вариант Local Computer (Локальный компьютер) в поле Group Policy
Object (Объект групповой политики).
7. Щелкните на кнопке Browse (Обзор).
8. Перейдите на вкладку Users (Пользователи) в диалоговом окне поиска объекта
групповой политики.
9. Выберите в списке группу Administrators (Администраторы) и щелкните на
кнопке ОК.
10. Щелкните на кнопке Finish (Готово) в диалоговом окне Select Group Policy
Object (Выбор объекта групповой политики).
1 1 . Щелкните на кнопке ОК в диалоговом окне Add ог Remove Snap-ins (Добав
ление и удаление оснасток).
12. Разверните узел Local ComputerAdministrators Policy (Политика «Локальный компьютер Администраторы») в окне консоли.
Повторите шаги 4-12 для объекта LGPO, относящемуся к не администраторам,
но вместо Administrators указывайте Non-Administrators.
Объект LGPO, специфичный для пользователя
На любом компьютере Windows Serveг 2012 R2 и Windows 8 можно конфигуриро
вать очень детализированный объект LG РО. Эта политика направлена на индивидуальные учетные записи пользователей. В этом объекте LGPO есть только настройки политики, специфичные для пользователя, и они нацелены только на одиночного пользователя.
Чтобы можно было использовать этот объект LGPO, пользователь должен иметь
локальную учетную запись SAM (Secutity Account Manager — диспетчер учетных записей безопасности) на конфигурируемом компьютере.
Для просмотра и настройки данного объекта LG РО вы также будете применять
консоль ММС и следовать тем же самым шагам, что и при работе с объектами
LGPO администраторов и не администраторов. Однако во время добавления оснас
тки Group Policy Object Editor к консоли М МС на вкладке Users диалогового окна поиска объекта групповой политики вы выберете учетную запись пользователя, для которого хотите создать объект LG РО. В случае выбора учетной записи администратора окно консоли М МС будет выглядеть примерно так, как показано на рис. 9.3.
Рис. 9.3. После выбора пользователя для управления его объектом LGPO
он отобразится в консоли ММС со всеми настройками User Configuration
Ниже перечислены шаги, необходимые для доступа к объектам LGPO, специ
фичным для пользователей.
1 . Выберите в меню Start (Пуск) пункт Run (Выполнить).
2. В поле Open (Открыть) введите мс и щелкните на кнопке ОК.
ТРЕБУЮТСЯ РАЗРЕШЕНИЯ
Это задаqа администрирования; следовательно, при включенной функции управления учетными записями пользователей вы должны согласиться с повышенными разрешениями, которые требует оснастка Group Policy Management Editor консоли ММС.
3. В окне консоли ММС откройте меню File (Файл).
4. Выберите пункт Add/Remove Snap-in (Добавить или удалить оснастку).
5. В списке оснасток выберите Group Policy Object Editor (Редактор объектов
групповой политики).
6. Оставьте вариант Local Computer (Локальный компьютер) в поле Group
Policy Object (Объеi<т групповой политики). 7. Щелкните на кнопке Browse (Обзор). 8. Перейдите на вкладку Users (Пользователи) в диалоговом окне поиска объекта групповой политики. 9. Выберите в списке учетную запись нужного пользователя и щелкните на кнопке ОК. 10. Щелкните на кнопке Finish (Готово) в диалоговом окне Select Group Policy Object (Выбор объекта групповой политики). 1 1. Щелкните на кнопке ОК в диалоговом окне Add or Remove Snap-ins (Добав ление и удаление оснасток). 1 2. Разверните узел Local Computer Policy (Политика «Локальный компьютер «) в окне консоли.
Создание объектов GPO
Теперь, когда вы понимаете главные концепции групповой политики и знаете об отличиях между локальными и доменными объектами GPO, давайте посмотрим, какие шаги необходимо выполнить для создания и редактирования объекта доменного GPO. В этом разделе мы продемонстрируем все настройки, которые обсуждались в предыдущем «теоретическом» разделе. ДОМЕННЫЕ ОБЪЕКТЫ СРО Начиная с этого момента, мы будем сконцентрированы только на доменных объектах GPO, поскольку они являются предпочтительным, логичным и безопасным способом развертывания настроек, которые существуют в объекте GPO. 516 ГЛАВА 9 Для управления всеми доменными объектами GPO вы будете пользоваться кон солью GPMC. В Windows Server 201 2 R2 консоль GPMC понадобится установить с применением диспетчера серверов, как бьшо показано в главе 2. После установки консоли GPMC она будет доступна через меню Startq Admiпistrative Tools (Пуск�=�Администрирование). После выбора инструмента GPMC из упомянутого меню он откроется и отобразит домен, в котором управляющий компьютер имеет членство (рис. 9.4).
Рис. 9.4. Консоль GPMC является предпочтительным инструментом
для управления объектами GPO
Для создания нового объекта GPO в домене нужно развернуть структуру GPMC,
чтобы можно было видеть все узлы, существующие в домене (рис. 9.5).
Рис. 9.5. Разворачивание структуры GPMC с целью отображения всех узлов внутри домена
Чтобы создать объект GPO в домене, выполните следующие шаги.
1. Щелкните правой кнопкой мыши на узле Group Policy Objects (Объекты груп
повой политики) и выберите в контекстном меню пункт New (Создать).
2. В диалоговом окне New GPO (Новый объект GPO) введите имя объекта GPO
(в данном случае Desktop Security) и щелкните на кнопке ОК.
В результате создается пустой объект GPO по имени Desktop Security, кото
рый пока еще не связан ни с одним контейнером в домене. В этот момент вы хотите сконфигурировать настройки объекта GPO и затем связать его с сайтом, доменом или организационной единицей. Чтобы связать GPO с каким-то узлом в Active Directory, выполните перечисленные ниже шаги.
1 . Щелкните правой кнопкой мыши на желаемом узле (в этом случае на органи
зационной единице Desktops (Рабочие столы)).
2. Выберите в контекстном меню пункт Link ап Exi s ting GPO (Связать с существу
ющим объектом G РО).
3. В диалоговом окне Select GPO (Выбор объекта GPO) выберите объект GPO по
имени Desktop Security и щелкните на кнопке ОК.
Обратите внимание, что организационная единица Desktops теперь имеет ассо
циированный с ней объект G РО. Если вы хотите создать и связать объект G РО
с организационной единицей, это можно сделать за один шаг. Для этого понадо
бится щелкнуть правой кнопкой мыши на организационной единицей (либо на
домене или сайте, если уж на то пошло) и выбрать в контекстном меню пункт
под названием Create а GPO in this domain, and link it here (Создать объект GPO в этом домене и связать его). Два шага выполнятся как одно действие.
4. Щелкните на объекте GPO (в данном случае Desktop Security ) .
Обратите внимание, что с объектом GPO ассоциированы некоторые вкладки
и свойства, отображаемые в правой панели GPMC. Как показано на рис. 9.6,
для каждого GPO предусмотрено четыре вкладки: Scope (Область действия),
Details (Детали), Settings (Настройки) и Delegation (Делегирование).
Вкладка Scope помогает отслеживать многие аспекты объекта GPO. Наиболее
важные сведения находятся в областях Links (Ссылки) и Security Filtering (Фильтрация
безопасности). В области Links перечислены сайты, домены и организационные единицы, с которыми в текущий момент связан объект GPO. Область Security Filtering отражает, какие группы и пользователи имеют разрешение применять настройки в GPO. На такую фильтрацию мы ссылались ранее, когда она использовалась для управления тем, какие пользователи в домене будут иметь настройки из примененного объекта GPO, путем их добавления или удаления из этой вкладки. В последней
области этой вкладки, WMI Filtering (Фильтрация WMI), указывается фильтр WMI, на который объект GPO имеет ссылку, если он предусмотрен. Фильтры WMI позволяют нацеливать объекты G РО на учетные записи компьютеров в зависимости от состояния, в котором пребывает компьютер во время выполнения запроса WM 1.
Как показано на рис. 9.7, вкладка Details помогает отслеживать информацию
об объекте GPO, связанную с его созданием и состоянием. Здесь можно просмот
реть идентификатор GUID, дату создания, версию и другие сведения, относящиеся
518 ГЛАВА 9
к GPO. Можно также включать или отключать весь или часть (компьютера и/или
пользователя) объекта G РО.
Вкладка Settings содержит динамические данные, относящиеся к настройкам,
которые сконфигурированы в объекте G РО.
Рис. 9.9. Вкладка Delegation консоли GPMC отображает разрешения для уровней администрирования, выданные группам и пользователям 520 ГЛАВА 9 А теперь давайте просмотрим и модифицируем новый объект GPO. Вернитесь к узлу Group Policy Objects в консоли GPMC, щелкните правой кнопкой мыши на объ екте GPO и выберите в контекстном меню пункт Edit (Редактировать). Откроется редактор GPME в отдельном окне, и вы увидите в корне пространства имен имя объекта политики, в данном случае Desktop Security [HOST1.BIGFIRM.COM] Policy. Это указывает на то, какая политика просматривается и редактируется. На рис. 9.10 представлена политика, развернутая в дереве консоли, чтобы были видны важные узлы объекта GPO. Вспомните, что HOSTl — это is контроллер домена дпя домена Bigfirm.сот.
Рис. 9.1 О. Редактирование групповой политики в GPME
Как упоминалось ранее, существуют два основных типа настроек. Настройки
Computer Coпfiguration применяются к учетным записям компьютеров при их запуске и через интервалы фонового обновления. Настройки User Configuration применяются к учетным записям при их входе и также через интервалы фонового обновления.
После конфигурирования настроек групповой политики просто закройте окно
GPME. Никаких опций вроде Save (Сохранить) или Save Changes (Сохранить из
менения) не предусмотрено. Изменения записываются в объект G РО в результате
щелчка на кнопке ОК или Apply (Применить) дпя отдельной настройки, но поль
зователь или компьютер в действительности не увидит этих изменений до тех пор, пока политика будет обновлена.
Модификация стандартного поведения групповой политики
Сама по себе групповая политика превосходна, но есть аспекты поведения, ко
торые вы можете решить подкорректировать или изменить. Доступны настройки
GPO, позволяющие управлять поведением групповой политики рядом ее настроек.
Вы обнаружите, что многие из этих настроек в конфигурировании не нуждаются,
но в случаях, когда требуются какие-то небольшие корректировки, они становятся
полезными.
настройки для управления групповой политикой
Настройки G РО для управления групповой политикой находятся в узлах
Administrative Templates (Административные шаблоны) внутри узлов User Configuration и Computer Configuration (PoliciesAdministrative TemplatesSystemGroup
Policy). Узел Computer Configuration содержит большинство обсуждаемых политик.
На рис. 9.1 1 и 9.12 показаны опции конфигурирования Group Policy (Групповая политика) в узлах User Configuration и Computer Configuration.
Н иже приведен краткий обзор наиболее важных опций.
• Интервалы обновления групповой политики (Group Policy Refresh lntervals) для пользователей/компьютеров/контроллеров домена. Эти отдельные политики определяются, насколько часто объекты G PO обновляются в фоновом режиме,
пока пользователи и компьютеры работают. Эти параметры разрешают вносить изменения в стандартные интервалы фонового обновления и подстраивать время смещения.
• Turn Off Background Refresh of Group Policy (Отключить фоновое обновление
групповой политики). Если вы включите эту настройку, политики будут обновляться только при запуске систем и входе пользователей. Это оказывается полезным в офисах филиалов по причинам, связанным с производительностью,
т. к. обновление политик, например, на 1500 комп ьютерах может привести к
перегрузке канала WAN.
Применение групповой политики
Подобно большинству технологий, с групповой политикой ассоциирована ло
гика, которая обеспеч ивает ее применение в надежной манере. По большей части применение групповой политики будет прямолинейным. Эта логика становится более сложной, только когда появляются конфликтующие настройки во множестве объектов GPO, и вы начинаете изменять стандартное поведение. Невзирая на это,когда вы принимаетесь за проектирование и реализацию своих настроек политики, вы должны полностью понимать, какой конечный результат будет у всех компьютеров и пользователей.
В этом разделе мы раскроем стандартное применение групповой политики, кото
рое будет разрешать все вопросы, касающиеся конфликтов между настройками G РО.
Примером таких вопросов может быть » Что, если есть связанный с доменом объект GРО, который уда.1яет из меню Start (Пуск) пункт Run (Выполнить), а другой объект G PO, связанный с организационной единицей Des ktops, добавляет пункт Run в меню Start?» Мы также углубимся в области, которые помогут «нацеливать» настройки G РО, когда настройки политики получает слишком много (или наоборот, недостаточно) пользователей и компьютеров. Вам доступны на выбор фильтры WMI, принудительное применение, блокирование наследования и многие другие варианты.
каким образом применяется групповая политика
И мея в наличии один или два работающих объекта GPO, вы столкнетесь с наиболее хлопотливой частью группоюй политики: выяснением конечного результата для каждого компьютера и пользователя. Для примера представьте, что вам звонит пользователь и спрашивает «Почему у меня цвет фона фиолетовый?» Затем вы обнаружите, ‘ПО имеется много мест, откуда система получает политики, и они могут противоречить друг другу в том, что касается цвета фона. Итак, какая же политика выиграет?
Политики выполняются снизу вверх в графическом пользовательском интерфейсе
Давайте начнем с рассмотрен ия простой ситуации: всего лишь политики в домене. Предположим, что вы просматриваете узел домена 13 консоли G PMC и видите, что он имеет много связанных объектов GPO (рис. 9. 1 3).
Рис. 9.13. Узел домена и связанные объекты GPO
В этой (надо сказать, воображаемой) ситуации домен имеет пять групповых
политик, четыре из которых пытаются установить цвет фона на рабочей станции
в серый, зеленый, красный или синий. (Еще одной политикой является стандартная политика домена (Default Domain Policy), которая ничего не предпринимает в этом отношении.) Чтобы ознакомиться с порядком применения объектов GPO, вы
можете щелкнуть на узле домена и перейти на вкладку Liпked Group Policy Objects
(Связанные объекты групповой политики) в правой панели. Итак, глядя на рис. 9.13,
какой цвет одержит победу: серый, красный, зеленый или синий?
Ответ кроется в двух базовых правилах разрешения конфликтов для объектов
GPO.
Правило 1. Воспринимайте ту политику, которую вы слушали последней.
Правило 2. Выполняйте политики снизу вверх согласно тому, как они отобра
жаются в графическом пользовательском интерфейсе.
Просматривая диалоговое окно снизу вверх, вы заметите, что система сначала
видит политику, которая устанавливает цвет фона в серый, затем политику, устанавливающую его в зеленый, политику, которая устанавливает цвет фона в красный,и, наконец, политику, устанавливаюшую его в синий. Поскольку политика, которая устанавливает цвет фона в синий, оказалась последней примененной, она и выигрывает, а результаты действия предыдущих трех политик теряются.
Вы можете также перейти на вкладку Group Policy lпheritaпce (Наследование групповой политики), на которой отображается порядок применения объектов GPO, поступающих из всех местоположений внутри Active Directory. На рис. 9. 14 можно видеть,что политика, устанавливающая синий цвет фона, выигрывает у остальных политик.
Но что, если вы хотите, чтобы выиграла политика, устанавливающая красный
цвет фона? Заметили стрелки вверх и вниз в левой части вкладки Liпked Group Policy Objects? Вы можете смешивать их как вашей душе угодно.
Рис. 9.14. Наследование объектов GPO для узла домена
Фильтрация групповой политики с помощью списков управления доступом
Но мы еще не подошли близко к завершению. Ситуация может выглядеть так, что
к вашей системе применяется множество политик, но на самом деле политик совсем мало. Причина в том, что объекты GPO имеют списки управления доступом (access control list — ACL). Щелкните на любом объекте GPO в консоли GPMC (на Desktop Security в рассматриваемом примере) и взгляните на вкладку Scope в правой панели.
В разделе Security Filtering вы увидите список ACL для этого объекта GPO (рис. 9. 15).
Рис. 9.15. Список ACL для объекта GPO в консоли GPMC
Как отмечалось ранее, администраторы домена ( Domain Admins ) и администра
торы предприятия ( Enterprise Admins ) имеют разрешения Read (Чтение) и Modify
(Изменение), а аутентифиuированные пользователи ( Authenticated Users ) — разрешения Read и Apply Group Policy (Применение групповой политики). Тем не менее,обратите внимание, что в списке присутствует только группа Authenticated Users.
Почему так? Дело в том, что это список только пользователей, компьютеров и
групп, которые имеют разрешение применять настройки GPO. Для просмотра полного списка ACL вы должны сначала выбрать вкладку Delegatioп и затем щелкнуть на кнопке Advaпced (Дополнительно). Отобразится хорошо знакомое диалоговое окно настроек безопасности, показанное на рис. 9.1 6.
Может случиться так, что вы создаете объект G РО для ограничения рабочих столов и не хотите применять его к определенной группе пользователей. В состав группы Authenti cated Users входят все учетные записи (пользователей и компьютеров) кроме гостей, так что по умолчанию данный объект GPO будет применяться ко всем, исключая гостей; это означает, что настройки политики получат даже члены групп Domain Admins и Enterprise Admins. Чтобы предотвратить получение политики группами Domain Admins и Enterpri se Admins, вы должны отметить флажок Deny (Запретить) рядом с разрешением Apply Group Policy (Применить групповую политику), как показано на рис. 9.1 7. Членам обеих групп достаточно отмеченного флажка Dепу для одной из двух групп, но если члены групп Domain Admins и Enterprise Admins являются разными людьми, то придется отметить флажок Deny для обеих групп. Чтобы освободить остальных от получения политики, поместите их в отдельную группу доступа и добавьте ее в список. Недостаточно просто снять отметку с флажка Allow (Разрешить) для разрешений Read и Apply Group Policy; пользователи в этой спеuиальной группе доступа являются также членами группы Authenticated Users, поэтому в действительности для данной группы необходимо отметить флажки Deny для упомянутых разрешений. Опuия Deny имеет более высокий приоритет, чем Allow.
В качестве альтернативы установки всех списков ACL можно также удалить группу Authenticated Users из области Security Filteriпg вкладки Scope, поместить всех пользователей, которым нужны настройки, в новую группу доступа и затем добавить эту группу в область Security Filteriпg на вкладке Scope (рис. 9.18).
Рис. 9.18. Фильтрация безопасности для групповой политики
без группы Authenticated Users
Между прочим, ничего не препятствует добавлению отдельных пользователей
в список разрешений для объекта G РО. Однако это неудачный с точки зрения безопасности и управления прием, т.к. невозможно отслеживать индивидуальных
пользователей, помещенных в списки ACL, по всему предприятию. Мы еще раз
подчеркиваем, что фильтрация безопасности для групповой политики является
исключительно мощным средством — его можно назвать инструментом, который
позволяет «угнетать» отдельных лиц или группы. Тем не менее, в реальности добавление списков ACL в политику может стать настоящим кошмаром при попытках выяснения пару лет спустя причину, по которой политика присоединена к домену, но не применяется к большинству пользователей в домене.
Принудительное применение и блокирование наследования
Точно так же, как фильтрация безопасности может использоваться для предотвращения применения политики, специальная настройка Block lпheritaпce (Блокировать наследование) в узле AD (домена или организационной единицы) позволяет препятствовать продвижению вниз объектов GPO более высокого уровня. Когда настройка Block lпheritaпce включена, настройки находящихся выше политик не будут применяться к контейнерам, расположенным ниже.
Например, если вы создали объект GPO для определенной организационной
единицы, скажем, Brunswick, и сконфигурировали все необходимые настройки мя
Brunswick, а затем хотите предотвратить влияние объектов GPO домена Bigfirm
на организационную единицу Brunswick, то должны включить настройку Block
lnheritance мя организационной единицы Brunswick. После этого к Brunswick будут применяться только те объекты G РО, которые связаны непосредственно с этой организационной единицей.
Существует также противоположность блокированию наследования. Когда мя
объекта GPO включена настройка Enforce (Принудительно применять), то настройка Block lnheritance мя этого объекта нейтрализуется. Кроме того, настройки в последующих объектах GPO не будут изменять настройки из принудительно применяемого объекта GPO.
Например, если администраторы домена имеют набор весьма спорных настро
ек, включенных на уровне домена, а мятежные администраторы Brunswick скон
фигурировали собственные настройки политики на уровне своей организацион
ной единицы и включили настройку Block lnheritaпce, то организационная единица Brunswick благополучно минует эти спорные настройки, но только до тех пор,пока администраторы домена не поймут, в чем дело, и не включат настройку Enforce.
В результате администраторы домена выиграют, и пользователям организационной
единицы Brunswick придется мириться с теми же ограничениями, что все осталь
ные пользователи. Настройка Enforce побеждает настройку Block lпheritance (подобно тому, как бумага побеждает камень, накрывая его).
Как и все секретное оружие, настройки Enforce и Block lnheritance лучше использовать умеренно. Иначе при устранении неполадок станет довольно сложно определить, какие объекты GPO применяются в том или ином случае. Это может нанести вред психическому здоровью (и потенциально безопасности работы) сетевого администратора.
Ниже представлена сводка по факторам, которые позволяют принять решение о
том, какой объект групповой политики получает приоритет.
• Просматривайте политики в следующем порядке: локальные объекты GPO,
объекты GPO сайта, объекты GPO домена, объекты G PO организационной
единицы, объекты GPO дочерней организационной единицы и т.д.
• Внутри любого узла АО — сайта, домена или организационной единицы —
просматривайте политики в том порядке, в каком они отображаются в графи
ческом пользовательском интерфейсе, снизу вверх.
• Когда настройки политики конфликтуют друг с другом, уделите внимание
только настройке в последнем просмотренном объекте GPO при условии, что
вы уже не столкнулись с политикой, имеющей включенную настройку Enforce.
Это значит, что независимо от того, какая конфликтующая настройка посту
пит впоследствии, она должна игнорироваться, поскольку в этом объекте G РО
включена настройка Enforce.
• Леред тем, как действительно применить объект G РО, проверьте его список
ACL. Если целевой пользователь или компьютер не имеет разрешений Read и
Apply Group Policy (обычно через членство в группах), то этот объект GPO не
будет применен.
Возможности настроек групповой политики
С помощью настроек групповой политики можно делать по существу все то, что
есть возможность делать посредством реестра локальной системы и большей части
конфигурирования. Ниже приводится несколько примеров.
• Развертывание проrраммноrо обеспечения. Вы можете собрать все файлы, необ
ходимые для установки нужной порции ПО, в пакет, разместить его где-то на
сервере и затем воспользоваться групповыми политиками для указания поль
зовательскому рабочему столу на этот пакет. Пользователь увидит, что прило
жение досrупно, и вы достигаете своих целей по его установке из центрального
местоположения, не имея необходимости в визите к каждому рабочему столу
по отдельности. Когда пользователь попытается запустить это приложение в
первый раз, оно установится безо всякого вмешательства со стороны пользо
вателя.
• Ограничение набора приложений, которые пользователи могут запускать. Вы мо
жете управлять рабочим столом пользователя, разрешая ему запускать только
заданное множество приложений, например, Outlook, Woгd и lntemet Exploгer.
• Управление настройками системы. Объекты GPO обеспечивают простейший
способ управления дисковыми квотами. Многими системами Windows легче
всего управлять с помощью настроек политики, а n некоторых системах поли
тики являются единственным методом их контроля.
• Установка сценариев входа, выхода, заrрузки и завершения. Объекты G РО поз
воляют любому событию входа, выхода, загрузки и завершения либо им всем
запускать указанный сценарий.
• Упрощение и ограничение программ. Объекты GPO можно использовать для
удаления многих функциональных средств из lnternet E x plorer , проводника
Windows и друтих программ.
• Общее ограничение рабочего стола. Вы можете удалить большинство или все
элементы из меню Start (Пуск), запретить добавление принтеров или отклю
чить возможность выхода из системы либо изменения конфигурации рабочего
стола. С помощью настроек политики в действительности можно даже по,1но
стью блокировать рабочий стол пользователя. (Однако чрезмерная блокиров
ка может привести к появлению одного неэффективного сотрудника, так что
будьте осторожны.)
Политики позволяют выполнять также множество других работ, но это введение
дает вам базовое представление об их функциях.
настройки конфигурации пользователя и компьютера
Операционные системы Windows Server 2012 R2 и Windows 8 поступают с совер
шен но по-новому выглядящими настройками конфигурации пользователя и ком
пьютера 11 редакторе GPME. Тем самым разработчики из Microsoft оказали нам огромную услугу. Было введено свыше 3000 дополнительных настроек GPO. Чтобы
лучше справляться с таким объемом настроек, в Microsoft решили также изменить способ представления настроек в GPME.
На рис. 9.1 9 видно, что в интерфейсе GPME имеются два главных узла: User
Configuration (Конфигурация пользователя) и Computer Configuration (Конфигураuия компьютера). Оба узла содержат следующие подузлы: Policies (Политики) и Preferences (Предпочтения). Подузел Policies в дальнейшем разбит на следующие
подузлы: Software Settings (Настройки программного обеспечения), Windows Settings(Настройки Windows) и Administrative Templates (Административные шаблоны).
Подузел Preferences разделен на такие подузлы: Control Рапе! (Панель управления) и
Windows Settings (Настройки Windows).
Рис. 9.21 . Добавление сценария в групповую политику
Созданные и назначенные сценарии должны быть скопированы в следующую
папку: Windows SYSVOL SysVol имя_домена Pol icies { GfJID } Machine
Scripts Startup (or Shutdown). (Или же они могут быть скопированы в User
Script s Logon либо UserScriptsLogoff, в зависимости от того, где на
значаются сценарии — в узле Computer Configuration или в узле User Configuration.)
Идентификатор GU I D для объекта групповой политики представляет собой длинную строку, выглядящую как 1 FAOBAF4 1-38AB-11D3-BD1FC9B6902FAOOB } . Если вы хотите просмотреть сценарии, сохраненные в объекте G PO и , возможно, открыть их с целью редактирования, щелкните на кнопке Show Files (Показать файлы)
в нижней части диалогового окна свойств. Это приведет к открытию соответствующей папки в проводнике Windows.
Как вам должно быть известно, указать сценарий входа можно также в диалого
вом окне свойств учетной записи пользователя, открывающемся в результате запуска dsa . msc. В Microsoft называют это унаследованными сценариями входа и рекомендуют назначать сценарии для клиентов, осведомленных о Windows AD, с помощью групповой политики. Преимущество применения сценариев в групповой политике связано с тем, что они выполняются асинхронно в скрытом окне. Таким образом, если назначено множество сценариев или сценарии являются сложными, пользователю не придется ожидать их завершения. Унаследованные сценарии входа выполняются в окне на рабочем столе. С другой стороны, выполнять сценарии скрытым образом может быть нежелательно (а некоторые сценарии ожидают ввода пользователем определенной информации). На этот случай предусмотрено несколько настроек политики, которые помогают определять поведение сценариев для групповой
политики. Такие настройки находятся в узле SystemScriptsAdministrative Templates.
Здесь вы обнаружите настройки дnя указания того, каким образом выполнять сценарий — синхронно или асинхронно, и должен он быть видимым или невидимым.
Переадресация папок
Одна из наиболее полезных работ, которые можно проделывать с помощью на
строек User Configuration в групповой политике, связана с упорядочением папок
AppData, Desktop, Start Menu, Documents, Favori tes и Links для пользовате
ля, что сопровождать его от компьютера к компьютеру. Эти папки являются важ
ными элементами рабочей среды пользователя. В папке Appoata хранится инфор
мация, специфичная для приложений пользователя (она нужна, например, lntemet
Explorer), а папка Desktop может содержать важные папки и ярлыки для пользо
вателя. В папке Start Menu хранятся группы программ и ярлыки к программам, а
папка Documents является стандартным местом для сохранения и извлечения фай
лов, своего рода разновидностью локального домашнего каталога.
Для использования переадресации папок существует несколько веских причин.
Прежде всего, оно удобно для пользователей, которые входят в систему на разных компьютерах. Кроме того, если вы укажете сетевое местоположение для некоторых или всех таких папок, они будут регулярно копироваться и защишаться силами IТ-отдела. Если по-прежнему применяются блуждаюшие профили, то настройка переадресации папок ускоряет синхронизацию серверноrо профиля с локальным профилем при входе и выходе, поскольку переадресованные папки в обновлении не нуждаются. Переадресация папок Desktop и Start Menu в централизованное,совместно используемое местоположение упрощает стандартизацию рабочих сред пользователей и помогает устранять проблемы дистанционной поддержки, потому что персоналу технической поддержки будет известно, что все компьютеры сконфигурированы единообразно. Лучше всего то, что эти подходы можно смешивать и сочетать. Вполне допустимо указать общее местоположение лля папок Desktop и Start Мепu, в то время как разрешить пользователям иметь собственные папки
Documents и AppData. Давайте взглянем на это.
Чтобы установить сетевое местоположение дЛЯ папки Documents в групповой
политике, выполните перечисленные ниже шаги.
1 . Перейдите к папке User ConfigurationPoliciesWindows SettingsFolder
RedirectionDocumeпts.
2. Щелкните правой кнопкой мыши на выделенной папке Documents и выбери
те в контекстном меню пункт Properties (Свойства).
Откроется диалоговое окно свойств, в котором обнаруживается, что данная
настройка по умолчанию не сконфигурирована.
3. В раскрывающемся списке выберите вариант Basic (Базовая), чтобы указать
единственное местоположение дЛЯ папки Documents, совместно используемое
всеми пользователями, или вариант Advanced (Расширенная), чтобы устано
вить местоположения на основе членства в группах доступа.
Если вы хотите иметь единственное местоположение для общей папки
Documents, просто введите в поле Root Path (Корневой путь) сетевой путь или
проследуйте к нему, щелкнув на кнопке Browse (Обзор).
4. Для обозначения разных местоположений сначала выберите группу доступа и
затем укажите сетевой путь.
На рис. 9.22 демонстрируется переадресация папки Documents дЛЯ всех чле
нов группы Domain Engineering на общий ресурс CentralEng на сервере
Zooropa. Независимо от выбора варианта переадресации Basic или Advanced,
политика разрешает выбрать одну из четырех опций:
• Redirect the folder to the user’s home directory (Переадресовать папку на домашний каталог пользователя)
• Create а folder for each user under the root path (Создать папку лля каждого
пользователя в корневом пути)
• Redirect to the following location (which you specify) (Переадресовать на сле
дующее местоположение (которое вы укажете))
• Redirect to the local user profile location (Переадресовать на местоположение
локального профиля пользователя)
5. Для этого примера выберите вторую опцию; все члены группы Doma in
Engineering будут использовать один и тот же корневой путь, но иметь инди
видуальные папки Documents.
Когда выбрана данная опция, система создает подпапку, носяшую имя пользо
вателя, по указанному корневому пути.
6. Перейдите на вкладку Settings (Настройки), чтобы сконфигурировать настройки переадресации. Ради полноты настройки переадресации папки Documents
показаны на рис. 9.23.
Рис. 9.23. Дополнительные настройки в групповой политике, касающиеся переадресации папки Documents пользователя Опции, которые вы видите на рис. 9.23, отражают стандартный выбор дЛЯ папки Documents. Обратите внимание, что по умолчанию пользователь будет иметь эксклюзивные права доступа к этой папке. Также по умолчанию содержимое соответствующей папки будет перемещено в новое местоположение.
Даже после удаления политики папка останется переадресованной, если только вы явно не отключите ее переадресацию.
Настройки безопасности Настройки безопасности, наряду с административными шаблонами, формируют значительную часть групповой политики. Стандартные настройки безопасности специально открыты дЛЯ минимизации головной боли при администрировании и дЛЯ гарантии того, что пользователи и приложения работают ожидаемым образом. По мере усиления защиты пользователи и приложения имеют больше ограничений, и время их поддержки увеличивается.
Другими словами, безопасность обратно пропорциональна удобству. Как только вы начинаете блокировать системы, обязательно что-то перестает работать.
Эй, рядовые пользователи по умолчанию не могут даже устанавливать приложения в системе Windows Vista.
Когда вы начнете принудительно применять пароли с дЛиной восемь и более символов, которые содержат буквы и цифры, не могут включать какую-либо часть имени пользователя и не могут повторно использоваться до тех пор, пока не будут применены 1 5 других паролей, все станет значительно сложнее.
Для организаций, желающих усилить защиту, имеются инструменты и руководства. Например, если вам приходилось когда-либо защищать сервер Windows согласно установленным руководствам в военном или другом ведомстве с высокими требованиями к безопасности, то вы знаете, что приходится устанавливать отдельные разрешения на определенных папках, изменять стандартные разрешения дЛЯ доступа к некоторым ключам реестра, а также на изменение или создание других записей в реестре. В целом это отнимает несколько часов на одном сервере, даже у результативноrо ацминистратора.
А что если у вас есть 50 серверов и 500 рабочих станций? Для одних действий можно написать сценарии, но для других это не удастся.
Не существует каких-то инструментов от Microsoft или независимых разработчиков, которые сделали бы все автоматически на всех компьютерах. И менно здесь на помощь приходит групповая политика.
Предполагая, что вы собираетесь заняться стандартизацией путем группирования серверов или рабочих станций либо даже части организации, вы должны изменить эти опасные разреше ния в отношении реестра и настройки только однажды с применением групповой политики.
Вам придется только оди н раз установить разрешения NTFS.
Эти разрешения можно даже установить в одной политике и скопировать в другую. В любом случае, хотите вы высокую защиту или просто чуть большую, чем стандартная, велики шансы того, что вы пожелаете внести какие-то изменения, направленные на стандартизанию, и узел Security Settings (Настройки безопасности) определенно облегчит вам жизнь.
Масса настроек безопасности находится в узле Computer Configurat ionPolicies Windows Settings Security Settings, хотя политики открытых ключей и политики ограничения программного обеспечения доступны по тому же пути, но в узле User Configuration. Н иже перечислены важные категории настроек о Security Settings.
• Account Policies (Политики учетных записей). Указывает ограничения паролей, политики блокировка и политику KerЬeros Local Policies (Локальные политики).
Конфигурирует аудит и назначение прав пользователям, а также смешанные настройки безопасности. • Event Log (Журнал событий). Uентрализует опнии конфигурании дня журнала событий.
• Restricted Groups (Оrраничеиные rруппы). Принудительно применяет и управ ляет членством в определенных группах, таких как Administrators. • System Services (Системные службы). Стандартизирует службы и конфигура ции, а также защищает от изменений. • Registry (Реестр). Создает шаблоны безопасности для разрешений на ключах реестра, чтобы упрамять тем, кто и какие ключи может изменять, и управлять доступом по чтению к частям реестра.
• File System (Файловая система). Создает шаблоны безопасности для разреше ний на файлах и папках, чтобы обеспечить наличие и сохранение файлами и папками желаемых разрешений.
• PuЫic Кеу Policies (ПОJIИТИКИ открытых ключей). Управляет настройками для организаций, использующих инфраструктуру открытых ключей.
• Software Restrictions Policies (ПОJIИТИКИ оrраничений проrраммноrо обеспечения). Помещает ограничения на то, какое программное обеспечение может функционировать в системе. Это новое средство направлено на предотвращение запуска в системе вирусов и ненацежноrо ПО. Использование шаблонов безопасности Чтобы достичь «массового» внедрения мер зашиты из предьшушего примера, вам понацобится какой-нибудь способ «ввести» настройки и затем их «развернуть».
Развертывание осуществляется довольно просто, т.к. имеется AD и групповая поли тика. Далее возникает вопрос о том, как «ввести» информацию безопасности, чтобы ее можно было отслеживать, многократно использовать и быстро модифицировать’? Ответ: применить шаблоны безопасности.
Мы полагаем, что если вы упустили их и1 виду, то просто-таки обязаны начать ими пользоваться. В этом разделе вы узнаете причины. Предположим, вы решили, что группы Power Users (Опытные пользователи) на рабочих станциях гарантированно должны быть пустыми.
Вы крайне утомлены процедурой избавления от последнего червя, приникшего в веб-сервер на всех компьютерах, на которых установлены службы lIS, так что вы собрались отключить службу веб-публикации на всех серверах, где она не нужна. Однако это требует объемной работы.
Таким образом, примите другой план: документ требований к безопасности. В этом документе вы обрисовываете, что должно быть сделано на каждой рабочей станции или сервере, согласно корпоративным требованиям.
Вы распространяете готовый документ, но ни у кого нет времени, чтобы прочитать его.
Также не существует простого способа проверить, удовлетворяют ли системы описанным требованиям. Или это только кажется? Было бы замечательно щелкнуть на какой-то кнопке и внести нужные изменения в каждую систему. Это можно сделать с помощью нескольких инструментов: secedi t . е х е (оснастка консоли М МС под названием Security Coпfiguration and Analysis (Конфигурирование и анализ безопасности)) и шаблоны безопасности.
Возможности шаблонов безопасности В своей основе шаблон безопасности — это АSСll-файл, который вводится в программу по имени secedi t . ехе.
Данный шаблон является набором инструкций (по существу сценарием), который сообщает инструменту secedit . ехе онеобходимости внесения разнообразных изменений в систему. Шаблоны не позволяют изменять что-то, что вы не можете изменить другим способом; они просто предлагают удобный, сценарный и воспроизводимый метод внесения модификаций и затем легкого проведения аудита систем с целью проверки, удовлетворяют ли они требованиям этих шаблонов.
Любое такое изменение можно было бы внести вручную через графический пользовательский интерфейс, но это отняло бы много времени.
С помощью шаблонов можно модифицировать перечисленные ниже данные.
• Разрешения NTFS. Если необходимо выдать каталогу С : STUFF разрешение Full Control (Полный доступ) для системы и группы Administrators и запретить доступ остальным, это можно сделать посредством шаблона. Поскольку шаб лоны могут применяться не только к одному компьютеру, а также к их множеству (при условии, что вы пользуетесь групповыми политиками), вы применяете нужный набор разрешений NTFS ко всему домену.
• Членство в локальных rpyrmax. Возможно, у вас есть политика, настраивающая рабочие станции так, что членами локальной группы Administrators должны быть только учетная запись Administrator и доменная группа Domain Admins. Но кое-когда какой-то сотрудник службы поддержки «временно» повышает учетную запись пользователя до члена группы Administrators, простодушно намереваясь отменить это действие «как только в нем отпадет надобность».
И поскольку данный сотрудник службы поддержки постоянно занят, как и весь персонал этой службы, отмена никогда не будет сделана. За счет применения шаблона безопасности, который говорит «в локальной группе Administrators может быть только учетная запись Administrator и группа Domain Admins», любые другие учетные записи будут удалены из группы Administrators. ПРИНУДИТЕЛЬНОЕ ПРИМЕНЕНИЕ НАСТРОЕК БЕЗОПАСНОСТИ Шаблоны автоматизируют процесс установки определенной ин ф ормации, связанной с безопасностью, в точности как вы делаете это через графический пользовательский интерфейс. Не существует магического ангела-хранителя, который бы постоянно контролировал систему, обеспечивая постоянное применение желаемых настроек шаблона.
Единственный способ гарантии того, что настройки остаются в силе, пре дусматривает либо повторное применение шаблона на какой-то регулярной основе, либо создание объекта GPO для применения шаблона, т.к. настройки безопасности в объекте GPO обновляются каждые 16 часов независимо от изменений.
• Настройки локальной политики безопасности. Каждый компьютер имеет десят ки настроек локальной политики безопасности, такие как «Должно ли быть показано имя персоны, вошедшей в систему?», «Насколько часто должны ме няться пароли для локальных учетных записей?» и «Кому разрешено изменять время в данной системе?», а также многие другие. Ра б ота с ша блонами Продемонстрировать работу с шаблонами лучше всего на примере, поэтому да вайте создадим шаблон для выполнения перечисленных ниже действий.
• Мы обеспечим, чтобы в систему не могли войти члены локальной группы Power Users. + Мы установим такие разрешения NTFS, чтобы каталог с: SECRET был доступен только для локальной группы Administrators.
+ Наконец, мы завершим службы l ntemet Infomlation Services, этот надоедливый веб-сервер, который, похоже, устанавливает себя сам в каждой операционной системе производства Microsoft. Прежде всего, нам понадобятся некоторые инструменты.
Давайте построим единый инструмент, используя консоль М МС. Кроме того, нам будут необходимы две оснастки: Security Templates (Шаблоны безопасности) и Security Coпfiguration and Analysis (Конфигурирование и анализ безопасности).
Выполните следующие шаги по настройке такого инструмента. l. Откройте меню Start (Пуск), введите mmc /а в поле поиска и нажмите клавишу , чтобы запустить пустую консоль М МС. 2. В пустой консоли М МС выберите пункт Add/Remove Snap-in (Добавить или удалить оснастку) в меню File (Файл). 3. В диалоговом окне Add ог Remove Snap-ins (Добавление и удаление оснас ток) выберите оснастку Security Configuration and Analysis и щелкните на кноп ке Add (Добавить).
Затем выберите оснастку Security Templates и снова щелк ните на кнопке Add. Щелкните на кнопке ОК. 5. Сохраните новый специальный инструмент для будущего применения. Инструмент должен выглядеть так, как показано на рис. 9.24.
Рис. 9.24. Консоль ММС с оснастками Security Templates и
Разверните узел Security Templates и добавьте новый путь для поиска шаблонов —
С : Windows Secur i ty Templates. Вы увидите предварительно построенный
шаблон контроллера домена под названием securi ty. inf.
РАЗВЕРТЫВАНИЕ ШАБЛОНОВ БЕЗОПАСНОСТИ
Развернув шаблон безопасности контроллера домена security. inf, в панели спра
ва вы увидите папки, соответствующие всему тому, чем можно управлять.
• Account Policies (П олитики учетных записей). Установка политик паролей, бло
кировок учетных записей и Kerberos.
• Local Poticies (Л окальные п олитики). Управление настройками аудита, правами
доступа пользователей и параметрами безопасности.
• Event Log Settings (Настройки жур нала событий). Управление параметрами со
хранения событий.
• Restricted Groups (Огранич енны е группы). Управление членством в разнообраз
н ых локальных группах.
• System Services (Систем ные служб ы). Включение и отключение служб, а также
управление тем, кто имеет права на такие изменения.
• Registry Security (Безопасность реестра). Установка разрешений на изменение
или просмотр любого заданного ключа реестра (и для каких ключей будет вес
тись аудит изменений).
• File System (Файлов ая система). Управление разрешениями NTFS для папок и
файлов.
Но мы заинтересованы в построении нового шаблона с нуля. Чтобы сделать это,
щелкните правой кнопкой мыши на пути к шаблону и выберите в контекстном
меню пункт New Template (Создать шаблон). Введите имя шаблона и желаемое опи
сание. Новый шаблон появится в виде папки в панели слева, наряду с предвари
тельно построенным шаблоном. Новому шаблону назначено имя S imple. Первым
делом очистим группу Power Users.
1 . Откройте шаблон Simple.
2. Внутри вы увидите папку под названием Restricted Groups (Ограниченные
группы). Щелкните на ней, чтобы она появилась в панели слева.
З. Щелкните правой кнопкой мыши на папке Restricted Groups и выберите в
контекстном меню пункт Add Group (Добавить группу).
4. В открывшемся диалоговом окне Add Group (Добавление группы) введите
Power Users или воспользуйтесь кнопкой Browse (Обзор), чтобы выбрать
группу Power Users.
Обратите внимание, что если вы работаете на контроллере домена, то группа
Powe.:- Users, естественно, отсутствует.
По умолчанию включение группы в шаблон безопасности указывает этому шаб
лону на необходимость удаления из группы всех ее членов, так что дело сделано.
Если вы хотите применить шаблон безопасности для помещения кого-то в группу,
щелкните правой кнопкой мыши на имени группы и выберите в контекстном меню
пункт Properties (Свойства), что позволит указать членов группы.
А теперь давайте настроим шаблон безопасности так, чтобы любая система, в кото
рой имеется каталог с : SECRET, бьша доступна только локальным администраторам.
1 . В левой панели щелкните правой кнопкой мыши на папке File System
(Файловая система) и выберите в контекстном меню пункт Add File (Добавить
файл).
2. В открывшемся диалоговом окне вы можете либо перейти с помощью кнопки
Browse (Обзор) к конкретному каталогу, либо просто ввести имя нужного ка
талога.
Да, пункт контекстного меню назывался Add File, но допускается выбирать
также и каталоги.
З. Введите С : SECRET и щелкните на кнопке ОК.
Вы увидите стандартное диалоговое окно разрешений Windows NTFS.
4. Удалите разрешения для всех пользователей и групп кроме группы
Administrators. Выдайте группе Admin i strators разрешение Full Control
(Полный доступ).
Будет задан вопрос о том, хотите вы применить это разрешение только к дан
ной папке или также ко всем вложенным папкам.
5. Выберите предпочитаемый вами вариант и щелкните на кнопке ОК.
Наконеu, давайте завершим IIS.
1 . Щелкните на папке System Services (Системные службы).
2. В панели справа щелкните правой кнопкой мыши на элементе World Wide Web
PuЫishing Services (Службы веб-публикации) и выберите в контекстном меню
пункт Properties (Свойства).
3. Отметьте флажок Define This Policy Setting i n the Template (Определить
эту настройку политики в шаблоне) и выберите переключатель DisaЫed
(Отключена).
4. Щелкните на кнопке ОК.
Теперь сохраните шаблон — щелкните правой кнопкой мыши на Simple (или как
вы там назвали шаблон) и выберите в контекстном меню пункт Save (Сохранить).
Если только вы не предусмотрели для своих шаблонов отдельную папку, как
было описано ранее, вы получите файл по имени simple . inf в папке Windows
SecurityTemplates.
Чтобы увидеть, как этот шаблон будет модифицировать систему, или чтобы при
менить настройку шаблона, используя оснастку М МС, вы должны создать базу дан
ных безопасности. Для этого вам понадобится по существу скомпилировать ее из
простой формы ASCII в двоичную форму, которая и называется базой данных. Это
делается из другой оснастки, Secшity Configuration and Analysis.
l . Щелкните правой кнопкой мыши на оснастке Security Configuration апd
Analysis и выберите в контекстном меню пункт Open Database (Открыть базу
данных), чтобы открыть диалоговое окно Open Database (Открытие базы дан
ных), которое запрашивает базу данных для загрузки.
В диалоговом окне Open Database вы хотите создать новую базу данных, но
никаких опций для этого не предусмотрено; взамен просто введите имя нооой
базы данных.
2. Для целей рассматриваемого примера введите Simple и нажмите .
Ввод нового имени для базы данных приводит к тому, что оснастка определяет
необходимость в создании новой базы данных, поэтому выдается запрос шаб
лона, из которого она должна быть построена. (Возможно, это звучит немного
запутанно.) По умолчанию диалоговое окно отображает файлы с расширением
. inf в папке WindowsSecurityTemplates.
3. Если вы следовали предыдущему примеру, выберите simple . inf.
Однако прежде чем щелкать на кнопке Open (Открыть), обратите внимание на
флажок Clear This Database Before lmporting (Перед импортом очистить эту базу
данных).
4. Отметьте этот флажок.
В противном случае, когда вы экспериментируете с шаблоном, оснастка бу
дет накапливать производимые вами изменения (что может хорошо подходить
вам, но не всегда нам), а не переделываться сначала и начинать все с нуля.
5. Выберите шаблон и щелкните на кнопке Open.
Ничего заметного не произошло, но на самом деле оснастка «скомпилировала»
(это наш термин, а не Microsoft, и по нашему мнению он выглядит неплохим
сокращением для обозначения процесса преобразования шаблона ASCII в дво
ичную базу данных безопасности) шаблон в базу данных безопасности по име
ни simple . sdb в папке Му DocurnentsSecurityDatabase. В панели дета
лей вы увидите опuии Configure (Конфиrурировать) и Analyze (Анализировать).
6. Щелкните правой кнопкой мыши на оснастке Security Configuration and
Analysis, и вы заметите в контекстном меню пункты Analyze Computer
Now (Проанализировать компьютер сейчас) и Configure Computer Now
(Сконфигурировать компьютер сейчас).
Анализ не приводит к внесению изменений в компьютер. Вместо этого проис
ходит сравнение состояния компьютера с состоянием, которое вы хотите создать
с помощью шаблона. Затем анализ показывает (и сохраняет объяснения в фай
ле журнала), каким образом ваша система изменится в результате применения
шаблона. Файл журнала записывается в папку DocurnentsSecurityLogs.
7. Чтобы просмотреть, насколько ваш компьютер соответствует настройкам в
базе данных, выберите пункт Analyze Computer Now, и вы увидите, насколько
текущие настройки сравнимы с тем, к чему вы стремитесь.
8. Если вы хотите безрассудно прыгнуть вперед и применить настройки, то
вместо Analyze Computer Now выберите пункт Configure Computer Now, чтобы
модифицировать настройки системы, чтобы идти в ногу с шаблоном.
Все это очень хорошо, но как применить это к десяткам компьютеров? Придется
подходить к каждому из них? Да, придется, если вы хотите использовать этот инс
трумент. Другим вариантом может быть инструмент командной строки, который
называется secedi t . ехе. Он преобразует шаблоны в базы данных и применяет их.
Чтобы прочитать, применить и в процессе работы создать базу данных, воспользуй
тесь следующим синтаксисом:
secedi � /con figure /cfg имя_файла_ша блона /db имя_файла_базы_данных
/overwrite /log имя_файла_журнала
Чтобы применить существующую базу данных без первоначального чтения шаб
лона, оставьте только ключ /cfg и его аргумент. Для применения шаблона к своим
рабочим станциям вы могли бы поместить в сценарий входа (удостоверьтесь, что
указали имена с полными путями для файлов шаблона. базы данных и журнала),
чтобы это делалось при каждом входе. Также можно бьuю бы воспользоваться служ
бой планировщика задач (Task Scheduler), чтобы запускать пакетный файл и повтор
но применять шаблон через заданные интервалы. Или же можно было бы включить
сервер Telnet на компьютерах с сервером Windows и просто применять шаблон, ког
да вам заблагорассудится.
Автоматизация и написание сценариев хороши, но что, если вы хотите использо
вать в своих интересах «автоматические» фоновые обновления. которые предлагает
групповая политика, а также принудительное 16-часовое обновление настроек безо
пасности? Нет никаких проблем. Вы узнаете, как это делать, в следующем разделе.
И споль з ование доменных групповых политик дл я применения ша б лонов
Инструмент secedi t удобен, но его приходится вызывать вручную либо из па
кетного файла, а это означает беспорядочное редактирование сценариев входа или
возню с запланированными запачами во всех системах. В случае использования cue-
нариев входа шаблон безопасности применяется только во время входа в систему.
А как обеспечить более частое применение настроек безопасности’? С помощью
объекта GPO.
Доменные объекты GPO обладают рядом преимуществ.
• Легко управлять тем, к чему они применяются, что намного проще, чем иссле
дование содержимого пакетных файлов.
• Они применяются повторно не только при входе в систему, но и на протяже
нии дня — рабочая станuия обращается к ним с периодичностью от 60 до 120
минут.
• Настройки безопасности «применяются повторно» каждые 16 часов, на случай,
если какая-то настройка была изменена пользователем, приложением и т.д.
И мпорт ша б лонов б езопасности
В предыдущем разделе вы создали собственный шаблон безопасности
s imple . inf. Теперь вы хотите развернуть настройки безопасности из шаблона с
использованием объекта G РО.
Шаги по импортированию шаблона очень просты. Ниже перечислены шаги ш�я
импорта шаблона simple . inf в объект GPO.
1 . Запустите консоль GPMC.
2. Перейдите к орrанизаuионной единиuе, содержащей компьютеры, к которым
вы хотите применить настройки безопасности.
Например, шаблон simple . inf мог бы применяться ко всем рабочим столам
в организаuии.
3. Щелкните правой кнопкой мыши на организаuионной единиuе Desktops
(Рабочие столы) и выберите n контекстном меню пункт Сгеаtе а GPO in this
domain, and link it here (Создать объект GPO в этом домене и привязать его).
4. Введите имя нового объекта G РО, скажем, Desktop Enforcement Policy
(Политика применения к рабочим столам).
5. Щелкните правой кнопкой мыши на объекте Desktop Enforcement Policy и вы
берите в контекстном меню пункт Edit (Редактировать).
6. Внутри редактора GPME доберитесь до узла Security Settings (Настройки бе
зопасности), который находится в Computer ConfigurationPoliciesWindows
Settings (Конфигурация компьютера Политики Настройки Windows).
7. Щелкните правой кнопкой мыши на узле Security Settings и выберите n кон
текстном меню пункт lmport Policy (Импортировать политику).
8. Щелкните на шаблоне безопасности s imple . inf (можете воспользоваться
кнопкой Browse (Обзор), если он хранится в сетевом общем ресурсе или на
внешнем устройстве USB) и затем на кнопке Open (Открыть).
9. Удостоверьтесь в том, что настройки были импортированы, пройдя к узлу
Restricted Groups (Ограниченные группы) под узлом Security Settings.
1 О. Щелкните на узле Restricted Groups и убедитесь, что в нем присутствует ваша политика в отношении группы Power Users.
Основной вопрос в том, что вы собираетесь делать сейчас? Хорошо, если есть
возможность подождать 90 минут, то ничего делать не придется. nросто позвольте
выполниться стандартному фоновому обновлению политики — и все ваши настрой
ки будут применены ко всем компьютерам в организационной единице Desktops.
Новые административные шаблоны (ADMX/ ADMLJ
Административные шаблоны старого стиля были неплохи, но не лишены про
блем. Так, эти шаблоны ADM страдали проблемами с размером, сложностью на
писания сценариев и языковыми барьерами. Для решения всех этих проблем в
Microsoft разработали новый тип файла, который заменяет шаблон ADM, появив
шийся в версии Windows Server 2008. Новые шаблоны основаны на XML и встреча
ются парами. Новыми файловыми расширениями являются ADMX и ADML.
Файлы ADMX и ADM L теперь хранятся в С : Windows Pol icyDefinit ions.
Открыв эту папку, вы обнаружите в ней более 100 файлов ADMX, наряду со стан
дартной лапкой для английского языка, которая называется en-US. nапка en-US
содержит всю специфичную для языка информацию, используемую при отображе
нии настроек в редакторе GPM E.
Новые файлы ADMX/ADM L обладают несколькими преимуществами.
Эти файлы не хранятся внутри структуры папок объекта GPO.
• Эти файлы могут переноситься практически на любой язык при условии, что
для него подготовлен новый файл ADML и структура папок.
• Имеется возможность создания центрального хранилища, что позволяет про
водить централизованное администрирование файлов ADMX/ADML.
Создание uентрального хранилища для хранения и администрирования этих
файлов так же просто, как создание копии структуры папок! Да, именно так — мя
централизаuии управления данными файлами понадобится всего лишь скопировать
структуру папок на контроллеры домена. Чтобы создать центральное хранилище,
выполните следующие шаги.
1 . Откройте на компьютере Windows 8 или Windows Server 2012 R2 проводник и
отобразите в нем папку С : WindowsPolicyDefinitions.
2. Щелкните правой кнопкой мыши на папке PolicyDefinitions и выберите в
контекстном меню пункт Сору (Копировать).
3. Откройте папку С : Windows Sysvol sysvol Policies на
любом контроллере домена.
4. Щелкните правой кнопкой мыши на папке Policies и выберите в контекс
тном меню пункт Paste (Вставить).
В результате на контроллере домена появится дубликат структуры папок и фай
лов ADMX/ADML, как показано на рис. 9.25. Поскольку папка находится на конт
роллере домена, она будет автоматически реплицирована на все остальные контроллеры домена в этом домене.
Чтобы удостовериться в том, что теперь используются файлы ADMX из цент
рального хранилища, отредактируйте объект GPO и просмотрите текст после узла
Administrative Templates внутри редактора GPM E.
Рис. 9.26. Политика запуска только указанных приложений
ПРЕДОТВРАЩЕНИЕ РЕДАКТИРОВАНИЯ РЕЕСТРА
Вы можете создать политику для предотвращения доступа к инструментам редактирования реестра. Включение этой политики запрещает пользователям запускать утили
ты regedt32 . ехе и regedt . ехе, хотя рядовые пользователи в любом случае имеют
доступ только для чтения к подавляющему большинству содер жим ого реестра.
Аналогичный принцип применяется к меню Start и опции панели задач через по
литику Run from the Start menu (Запустить из меню «Пуск»). Опытные пользователи не потеряют возможность запуска несанкционированных программ только потому,
что пункт Run (Выполнить) устранен из меню Start, поэтому вы должны выяснить
все другие пути запуска программ и отключить их также (пользователи могут также запускать программы из диспетчера задач, если только вы не отключите опции, доступные по нажатию ).
СОЗДАНИЕ СОГЛАСОВАННОГО РАБОЧЕГО СТОЛА и МЕНЮ Start
Если вы хотите обеспечить в организации юти в отделе упрощенный и согласованный рабочий стол и меню Start, то вам, скорее всего, придется комбинировать переадресацию папок с ограничениями, которые доступны в административных шаблонах.
Использование групповой политики для установки политики паролей и блокировки учетных записей
Одним из самых недопонимаемых и сложных аспектов Windows AD является то,
каким образом и где конфигурируются и управляются политики паролей. В этом
разделе вы получите общие сведения о том, как все работает, чтобы устранить любые неопределенности в будущем. Ниже приведен список фактов и мифов о на
стройках политики учетных записей (Account Policy), которые должны ответить на любые часто возникающие вопросы.
Факты
• Единственным методом модификации настроек политики Account Policy для
доменных учетных записей является объект GPO, связанный с доменом.
• Детализированные политики паролей могут быть настроены, чтобы пользова
тели в одном домене имели отличающиеся настройки политики Account Policy.
Другими словами, сотрудники IТ-отдела могут иметь 20-символьные пароли, а
управленческий персонал — скажем, трехсимвольные.
• Объект G РО, связанный с организационной единицей, будет модифицировать
настройки политики локальных учетных записей SAM (SAM Account Policy)
для локальных пользователей в SAM всех учетных записей компьютеров вну
три данной организационной единицы.
Мифы
• Объект GPO может быть связан с органи.зационной единиuей Doma in
Controllers (Контроллеры домена), чтобы изменять настройки политики
Account Policy для доменных учетных записей пользователей.
• Объект GPO может быть связан с организационной единицей, чтобы модифи
цировать настройки политики Account Poicy для учетных записей пользовате
лей, содержащихся внутри этой организационной единицы.
+ Список ACL для стандартной политики домена (Default Domain Poicy) может
быть изменен с uелью включения только определенных групп доступа, таким
образом, разрешая применение разных политик паролей в одном домене.
По умолчанию в домене Windows Server 2012 R2 стандартная политика доме
на (Default Domain Policy) используется в целях установки настроек Account Policy
для всех учетных записей пользователей в домене. (Это относится как к доменным
учетным записям пользователей, так и ко всем локальным учетным записям SAM
пользователей для компьютеров, присоединенных к домену.) Настройки политики
паролей и блокировки учетных записей расположены в узле Computer Configuration/
Policies/Windows Settings/Security Settings (Конфигурация компьютера / Политики /
Настройки Windows / Настройки безопасности). Политики паролей включают пере
численные ниже опции.
+ Enforce Password History ( Принудительно применять хронолоrию паролей).
Включайте эту опцию, чтобы указать требуемое количество следующих друг
за другом уникальных паролей, прежде чем заданный пароль может использо
ваться снова.
• Maxlmum Password Age (Максимальный возраст пароля). Эта опция устанавли
вает период времени, в течение которого можно применять пароль, после чего
система потребует у пользователя выбрать новый пароль. Организации обычно
устанавливают этот промежуток rде-то между 30 и 90 днями.
• Minimum Password Age ( Минимальный возраст пароля). Эта опция устанавли
вает период времени, в течение которого пароль должен применяться, до того
как пользователю будет разрешено изменить его.
• Mlnimum Password Length (Минимальная длина пароля). Эта опция определяет
наименьшее количество символов, которые может содержать пароль пользователя. Хорошим значением минимальной длины для паролей может быть семь или
восемь символов. Установка этой политики также запрещает пустые пароли.
• Passwords Must Meet Complexity Requirements (Пароли д олжны удовлетворять
требованиям к сложн0С11t ). В случае если вы интересуетесь. что это за ·f1Jебования.
данная опция обычно называлась Passwords Must Meet Complexity Requirements of lлstalled Password Filter (Пароль должен удовлетворять требованиям к сложности, которые заданы установленным фильтром паролей). Библиотека DLL фильтров паролей бьша встроена в Windows 2000 Server и последующие версии ОС.
Фильтры паролей определяют такие требования, как разрешенное количество
символов, необходимость использования букв и цифр, возможность примене
ния в пароле любой части имени пользователя и тому подобное.
Если вы включите эту политику, то все новые и измененные пароли должны
удовлетворять следующим требованиям:
• они должны иметь длину, по крайней мере, шесть символов;
• они не могут содержать имя пользователя целиком или его часть;
• они должны использовать три из четырех типов символов: буквы верхнего
регистра (A-Z), буквы нижнего регистра (a-z), цифры (0-9) и специальные
символы (например, @, %, &, #).
• Store Passwords Using ReversiЫe Encryption (Хранить пароли с использо
ванием обратимого шифрования). Да, эта политика определенно снижает уро
вень защиты, сообщая контроллеру домена о возможности хранения паролей
с применением обратимого шифрования. Это не намного лучше сохранения в
виде простого текста; пароли обычно хранятся с использованием однонаправ
ленного шифрования с помощью хеширования. Если это необходимо для от
дельных учетных записей пользователей (вроде пользователей Мае), включите
дпя них данную политику. Тем не менее, обратимое шифрование является обя
зательным в случае применения аутентификации СНАР (Challenge Handshake
Authentication Protoco — протокол аутентификации по методу «вызов-при
ветствие») с удаленным доступом или службами Интернет-аутентификации
(lntemet Authentication Services).
Политика блокировки учетной записи (Account Lockout Policy) при включении
предотвращает вход в систему от имени данной учетной записи после определенно
го количества неудавшихся попыток. Ниже описаны доступные опции.
• Account Lockout Duration (Продолжительность блокировки учетной запж:и). Эта настройка определяет промежуток времени, на протяжении которого учетная
запись будет заблокирована. По истечении этого промежутка блокировка с
учетной записи снимается, и пользователь может пробовать входить в систему
снова. Если вы включите эту опцию, но оставите поле Minutes (Минуты) неза
полненным, то учетная запись будет оставаться заблокированной до тех пор,
пока ее не разблокирует администратор.
• Account Lockout Threshold (Пороrовое значение блокировки учетной записи).
Эта опция определяет, сколько раз пользователь может безуспешно пытаться
войти в систему, прежде чем его учетная запись будет заблокирована. При оп
ределении этой настройки укажите количество разрешенных попыток, иначе
учетная запись никогда не будет разблокирована.
• Reset Account Lockout Counter After (Сбрасывать счетчик блокировки учеmой заmtси через). Эта опция задает промежугок времени, по прошествии которого подсчет неудавшихся попыток входа будет начат заново. Например, предположим,
что вы сбрасываете данный счетчик через две минугы и разрешаете три попытки
входа. Тогда в случае если три раза не удается войти в систему, придется подождать две минугы, после чего снова предостав.. �яются три попытки входа.
Предпочтения групповой политики
Одним из наиболее впечатляющих аспектов Windows Server 2012 R2 (относящих
ся не только к групповой политике, но полностью к новой операционной систе
ме) являются предпочтения групповой политики (Group Policy preferences — GPP).
Предпочтения групповой политики — это расширения групповой политики, которые
по-другому можно назвать «новыми настройками в объекте GPO». Число таких но
вых настроек превышает 3000, и некоторые из них просто удивительны! Например, теперь вы можете изменять пароль локальной учетной записи Administrator на любом рабочем столе внутри среды в рамках интервала около 90 минуг. Вы также можете управлять членством в локальной группе Administrators на всех рабочих столах и серверах, не удаляя учетные записи ключевых служб и другие доменные группы, которые являются уникальными для каждого компьютера.
настройки GPP
Настройки GPP немного отличаются от других настроек групповой политики,
главным образом потому, что они дублируются в областях, относящихся к компьютеру и пользователю, объекта GPO. Появляется высокая гибкость и мощь в определении того, что требуется обеспечить для рабочих столов и пользователей в среде.
Настройки GPP описаны в табл. 9. 1 .
Таблица 9.1. Настройки предпочтений групповой политики
Наст ро йка предпочтений групповой политики
Applicalions (Приложения)
Drive Maps (Отображения устройств)
Environment {Среда)
Files {Файлы)
Folders (Папки)
lni Files (Файлы INI)
Network Shares (Общие сетевые ресурсы)
Registry (Реестр)
Shortcuts (Ярлыки)
Dala Sources {Источники данных)
Devices (Устройства)
Folder Options (Опции папок)
lnternet Settings (Настройки Интернета)
Доступна ли в узле
Computer Configuration?
Нет
Нет
Да
Да
Да
Да
Да
Да
Да
Да
Да
Да
Нет
Дост у пна ли в у зле
User Configuration?
Да
Да
Да
Да
Да
Да
Нет
Да
Да
Да
Да
Да
Да
Настройка предпочтений групповой политики
Local Users and Groups
(Локальные пользователи и группы)
Network Options (Опции сети)
Power Options (Опции электропитания)
Printers (Принтеры)
Regional Options (Региональные опции)
Scheduled Tasks (Запланированные задачи)
Services (Службы)
Start Menu (Меню «Пуск»)
Доступна ли в узле
Computer Coпfiguratioп?
Да
Да
Да
Да
Нет
Да
Да
Нет
549
Окончание табл. 9. 1
Доступна ли в узле
User Coпfiguratioп?
Да
Да
Да
Да
Да
Да
Нет
Да
Большинство настроек в табл. 9. 1 не требуют особых пояснений. Тем не менее,
мы предоставим краткую информацию о том, как можно использовать некоторые
из настроек. Например, вопросы безопасности всегда приходят на ум первыми у
персонала IТ-отдела, когда речь заходит о защите рабочих столов, но никогда нет достаточного времени, ведь правда? Возьмем проблему переустановки пароля для локальной учетной записи Administrator на каждом рабочем столе внутри компании. Да, мы знаем, что это болезненная тема! Но когда вы последний раз выполняли данную задачу на своих рабочих столах? Во время установки? Два года назад?
Какие только ответы не приходилось нам слышать, но теперь благодаря G РР вы можете изменять пароли для Administrator как угодно часто. Чтобы это произошло,выполните следующие шаги.
1 . Модифицируйте объект GPO, который нацелен на все ваши рабочие столы
(лучше всего будет связать этот объект GPO с организационной единицей, со
держащей все настольные компьютеры).
2. После открытия редактора GPME для объекта GPO перейдите к узлу Computer
ConfigurationPreferencesControl PanelLocal Users and Groups (Конфигурация
компьютера Предпочтения Панель управления Локальные пользователи
и группы).
3. Щелкните правой кнопкой мыши на этом узле и выберите в контекстном
меню пункт New�Local User (Создать�Локальный пользователь). Откроется
диалоговое окно New Local User Properties (Свойства нового локального поль
зователя), представленное на рис. 9.27.
Понятие НОВОЙ политики ПОЛЬЗОВАТЕЛЯ
Когда вы выбираете в контекстном меню пункт New�Local User для GPP, то насамом деле не создаете нового пользователя. Думайте об этом, как о создании новой политики пользователя! Вы можете создать нового пользователя, но здесь имеется намного большее число опций, чем доступно при одном лишь создании пользовате. Принятие точки зрения «новая политика XYZ» во время создания любой новой настройки GPP поможет понять то, что вы будете делать с этой настройкой.
Рис. 9.27. Диалоговое окно New Local User Properties для GPP
ГЛАВА 9
4. Введите имя пользователя, которым вы хотите управлять, в данном случае
Adm.inistrator.
5. Введите желаемый пароль и подтвердите его.
Вуаля! Это переустановит пароль локальной учетной записи Aclministrator на
каждом рабочем столе, который подпадает под область действия объекта GPO. По
прошествии примерно двух часов все рабочие столы, подключенные к домену и
сети, обновят указанную установку.
Все очень просто, не так ли? Остальные настройки столь же просты, и мощь G РР
поистине впечатляет. Чтобы дать вам представление о том, что еще можно делать с
помощью G РР, ниже приведен список идей по настройкам политик, с воплощения
которых вы можете начать.
• Applications (Приложения)
• Включите проверку правописания в Microsoft Word.
• Сконфиrурируйте средство автоматической архивации Outook.
• Сконфиrурируйте «утвержденную компанией и согласованную» подпись для
электронной почты Outlook.
• Drive maps (Отображения устройств)
• Замените все отображения устройств в сценарии входа с помощью настройки
предпочтений групповой политики.
• Отобразите устройства только для сеансов Teпninal Services.
• Environment (Среда)
• Создайте переменную среды ноутбуков, которая используется с другими на
стройками предпочтений групповой политики.
• Предусмотрите переменные среды для имени, фамилии, адреса и тому подоб
ного, которые затем могут применяться в подписи Outlook.
ГРУППОВАЯ ПОЛИТИКА: ИНСТРУМЕНТЫ И ДЕЛЕГИРОВАНИЕ ACTIVE DIRECTORY 551
• Files (Файлы)
• Передавайте базу определений вирусов из сервера на рабочий стол.
• Развертывайте файлы конфигураций приложений на рабочих столах.
Folders (Папки)
• Очищайте папку Ternporary Internet Files (Временные файлы Интернета).
• Создайте папку приложений для рабочих столов, на которых запускаются за-
щищенные приложения.
• Network shares (Общие сетевые ресурсы)
• Управляйте общими сетевыми ресурсами на сервере только в рабочее время.
• Включите для сервера перечисление, основанное на доступе.
• Registry (Реестр)
• Что бы вы ни назвали — все это можно делать с реестром.
• Data sources (Источники данных)
• Создайте централизованную конфигурацию источников данных ш1я специа
листов по продажам.
• Создайте специальную конфигурацию источников данных для персонала
службы поддержки.
• Folder options (Параметры папок)
• Позвольте всем сотрудникам IТ-отдела видеть все скрытые и суперскрытые
файлы на каждом администрируемом ими рабочем столе.
• Позвольте всем сотрудникам П-отдела видеть файловые расширения в про
воднике Windows на всех рабочих столах, которых они касаются.
• lnternet settings (Настройки Интернета)
• Сконфигурируйте настройку прокси Internet Explorer для всех пользователей
офиса филиала 1 .
• Сконфигурируйте специальные настройки lnternet Exploreг, которые стандар
тные настройки глобальной политики обрабатывать не могут, такие как все
настройки на вкладке Advanced (Дополнительно) диалогового окна конфигу
рации lnternet Explorer.
• Local users and groups (Локальные пользователи и группы)
• Переустанавливайте пароли локальных учетных записей Adrninistrator на
каждом рабочем столе.
• Управляйте членством в локальной группе Adrninistrators на каждом рабочем
столе и сервере (кстати, без предварительного удаления членов из группы!).
Power options (Параметры электропитания)
+ Создайте 24-часовую схему параметров электропитания, при которой пользо
ватели никогда не видят эту схему в рабочее время, но когда сотрудники поки
дают систему, компьютер переводится в режим сна после того, как в течение
пяти минут не наблюдается какой-либо активности. (Доказано, что такой поn
ход позволяет экономить около $50 на П К в год.)
552 ГЛАВА 9
+ Printers (Принтеры)
• Устраните принтеры из сценариев входа.
+ Сконфигурируйте принтеры для пользователей ноутбуков, которые перемеща
ются из одного удаленного офиса в другой, предоставив им только те принте
ры, которые им нужны, на основе их местонахождения.
+ Scheduled tasks (Запланированные задачи)
• Пробудите компьютер в полночь, чтобы разрешить проведение обслуживания
(великолепная комбинация с параметрами электропитания!).
• Services (Службы)
• Сконфигурируйте другую учетную запись службы для усиления общей защиты.
• Сконфигурируйте пароль дЛЯ учетной записи службы.
• Сконфигурируйте поведение службы на случай отказа функционирования,
чтобы обеспечить ее гладкий перезапуск.
Нацеливание на уровне элементов
Еше одним замечательным аспектом GPP являются возможность нацеливания на
уровне элементов. Теперь любую настройку G РР можно нацеливать и применять ее,
только предварительно удостоверившись, что в среде компьютера присутствует тот
или иной аспект. Для примера предположим, что в отделе кадров функционирует
приложение, которое существует в среде Terminal Services. Когда сотрудники этого
отдела запускают свое приложение, они нуждаются в отображенном устройстве для
него. Решение, применяемое многими компаниями в наши дни, предусматривает
отображение устройства для учетной записи пользователя, получая в итоге «неоп
равданное» отображенное устройство, которое существует, даже когда сотрудники
работают на своих рабочих столах. Нацеливание на уровне элементов GPP позволяет
предоставлять отображение устройства, толысо если они находятся в среде Terminal
Services. Получить контроль такого типа можно, воспользовавшись одной из мно
жества разнообразных опций, нацеливаемых на уровне элементов. Ниже приведен
ПОЛНЫЙ ИХ СПИСОК:
• Battery Present (Наличие батареи)
• Computer Name (Имя компьютера)
+ CPU Speed (Скорость ЦП)
• Date Match (Соответствие даты)
• Dial-up Connection (Коммутируемое подключение)
• Disk Space (Дисковое пространство)
• Domain (Домен)
+ Environment VariaЫe (Переменная среды)
• File Match (Соответствие файла)
• IP Address Range (Диапазон 1 Р-адресон)
• Language (Язык)
+ ШАР Query (Запрос LDAP)
ГРУППОВАЯ ПОЛИТИКА: ИНСТРУМЕНТЫ И ДЕЛЕГИРОВАНИЕ ACТIVE DIRECTORY
553
• МАС Address Range (Диапазон МАС-адресов)
• MSI Query (Запрос MSI)
• Operating System (Операционная система)
• Organizational Unit (Организационная единица)
• PCMCIA Present (Наличие PCMCIA)
• РогtаЫе Computer (Переносимый компьютер)
• Processing Mode (Режим обработки)
• RAM (ОЗУ)
• Registry Match (Соответствие реестра)
• Security Group (Группа доступа)
• Site (Сайт)
• Terminal Session (Терминальный сеанс)
• Time Range (Диапазон времени)
• User (Пользователь)
• WMI Query (Запрос WMI)
УСТРАНЕНИЕ СЦЕНАРИЕВ ВХОДА С ПРИМЕНЕНИЕМ ПРЕДПОЧТЕНИЙ ГРУППОВОЙ ПОЛИТИКИ
Многие компании по-прежнему используют унаследованные сценарии входа для
применения к рабочим столам таких настроек, как отображение устройств и принтеров. Использование сценариев входа является устаревшим приемом по сравнению с новыми и усовершенствованными возможностями GPP.
Многие другие компании переключились на применение GPP, где только возможно,
дЛя устранения некоторых, а то и всех настроек в своих сценариях входа. Вы можете использовать следУЮщие предпочтения вместо сценариев входа.
Drive Mappings (Отображения устройств ). Отображения устройств теперь может
быть нацелено на создание «своевременных» отображений, которые имеют больший
смысл для пользователей. Цели на уровне элементов могут применяться в сочетании с отображениями устройств дЛЯ предоставления доступа к данным только приусловии того, что у пользователя установлено корректное приложение, применены последние исправления, и это сеанс Termiпal Services.
Printers (Принтеры). Принтерами зачастую трудно управлять в средних и крупных организациях, в которых имеются мобильные пользователи. Когда пользователь прибывает в офис филиала компании, ему может быть нелегко найти и сконфиrурировать подходящий принтер. С помощью предпочтений GPP дЛЯ принтеров можно отобразить все принтеры в компании. В случае использования с целью уровня элемента (такой как диапазон IР-адресов или сайт AD) пользователи получат доступ к нужномупринтеру в офисе филиала всего лишь потому, что находятся в этом офисе.
Registry (Реестр).
Благодаря этому предпочтению, любые записи реестра теперь могут быть помещены в объект G PO без какого-либо специального шаблона ADM или файла АDМХ. Это касается также двоичных и многострочных значений, что было невозможно в шаблонах ADM.
Новая и усовершенствованная консоль GPMC
Консоль GPMC существует уже довольно долгое время. Первое поколение кон
соли GPMC было на тот момент кардинально новым и намного упрощало администрирование объектами GPO. Текущее поколение GPMC продолжает поддерживать простое, эффективное и надежное администрирование объектов G РО. Ушли
те времена, когда необходимо было запускать оснастку Active Directory Users and Computers, чтобы просматривать, создавать, связывать и управлять объектами G РО.
Мягко выражаясь, это стало архаичным. Теперь новую консоль GPMC можно за
пускать в среде Windows Server 2012 R2 и Windows 8.
Консоль GPMC потребуется установить, т.к. по умолчанию она не устанавливается. На компьютерах Windows Server 201 2 R2 ее можно установить из диспетчера серверов.
l . Откройте окно диспетчера серверов и выберите пункт меню Features
(Компоненты).
2. Здесь вам необходимо только выбрать переключатель Add Features (Добавить
компоненты), что приведет к отображению полного списка инструментов, ко
торые можно установить (рис. 9.28).
Рис. 9.28. Установка консоли GPMC через диспетчер серверов
3. Выберите элемент Group Policy Management (Управление групповой полити кой), что инициирует процесс получения установленного инструмента.
4. После перезагрузки вы будете иметь установленную консоль GPMC.
На компьютерах Windows 7 или Windows 8 для консоли G РМС понадобится установить инструменты дистанционного администрирования серверов (Remote Server Administration Tools).
Для этого выполните следующие действия.
1 . Установите актуальные пакеты обновлений (некоторые загружаемые файлы могут уже их включать).
2. Установите инструменты Remote Server Administrative Tools.
3. Откройте панель управления из меню Start (Пуск).
4. Щелкните на аплете Programs and Features (Программы и компоненты).
5. Щелкните на ссылке Turn Windows features оп ог off (Включение или отключение компонентов Windows).
Стартовые объекты GPO
В Microsoft прилагают большие усилия, чтобы сделать управление объектами GPO более простым и эффективным. Первая попытка в этом направлении — стартовые объекты GPO (Starter GPO).
Объект Starter GPO можно использовать для воссоздания набора настроек GPO, применяя только Starter GPO снова, снова и снова.
Предположим для примера, что вы отвечаете за обеспечение корректной конфигурации [nternet Explorer внутри организации. Вы можете создать объект Starter GPO, который включает все обязательные настройки Internet Explorer. Затем при создании любого нового объекта GPO будет использоваться этот объект Starter GPO, чтобы гарантировать включение настроек Internet Explorer. Для создания нового объекта Starter GPO выберите узел Starter GPO (Стартовый объект GPO) в консоли GPMC и выполните перечисленные ниже шаги. 1. Щелкните правой кнопкой мыши на узле Starter GPO и выберите в контекс тном меню пункт New (Создать).
2. Введите имя объекта Starter GPO, например, IE Starter GPO. 3. Чтобы сконфигурировать настройки I E, объект Starter GPO необходимо отредактировать, как это делалось бы с любым другим объектом GPO — щелкните на нем правой кнопкой мыши в консоли GPMC и выберите в контекстном меню пункт Edit (Редактировать).
Теперь, когда объект Starter GPO создан, любой, кто имеет полномочия создавать объект GPO в домене, может применять его в качестве «стартового набора настроек».
При создании любого нового объекта GPO с помощью консоли GPMC в диалоговом окне New GPO (Новый объект GPO) имеется раскрывающийся список Source Starter GPO (Исходный стартовый объект GPO), как показано на рис. 9.29. Однако имейте в виду, что значительное ограничение объектов Starter GРО состоит в том, что они могут включать только настройки административных шаблонов GPO. NewGPO х Neme 1 New Group Poicy 0Ьiect !
Рис. 9.29. При создании объектов GPO можно использовать раскрывающийся список Source Starter GPO
Резервное копирование и восстановление объектов GPO
Консоль GPMC является универсальным инструментом мя всех задач по управлению объектами G РО. Одним из наиболее важных аспектов защиты существующих ресурсов GPO является их резервное копирование.
(В мире компьютеров это относится к чему угодно; вы защищены настолько, насколько свежа резервная ко пия ваших данных!) Консоль GPMC предоставляет возможности резервного копирования и восстановления, позволяющие архивировать каждую версию объекта GPO, которую вы создали и внедрили.
Очень удобно то, что эти возможности премагаются прямо в графическом пользовательском интерфейсе консоли GPMC, не требуя запуска другого инструмента мя проведения такой работы.
Резервное копирование объекта G РО выполняется просто. . Щелкните правой кнопкой мыши на объекте GPO, помежащем резервному копированию.
2. Выберите в контекстном меню пункт Back up (Резервное копирование). Откроется диалоговое окно Back Up Group Policy Object (Резервное копирование объекта групповой политики).
3. Укажите местоположение, где хранятся резервные копии. Это может быть заранее определенное местоположение или же можно создать папку во время процесса резервного копирования.
4. Введите местоположение или щелкните на кнопке Browse (Обзор) в зависимости от того, что вам больше подходит.
5. Щелкните на кнопке Backup (Копировать). Отобразится индикатор хода работ по резервному копированию.
6. После успешного создания резервной копии закройте диалоговое окно Back Up Group Policy Object. РЕЗЕРВНОЕ КОПИРОВАНИЕ ДО И ПОСЛЕ ИЗМЕНЕНИЯ Подобно любым изменениям данных и других аспектов операционной системы, резервные копии должны создаваться непосредственно до внесения изменения, а также сразу после него, чтобы сохранить оба состояния объекта GPO. Наступит время, когда вы захотите просмотреть список объектов GPO, резервные копии которых были созданы. Для этого щелкните правой кнопкой мыши на узле Group Policy Objects (Объекты групповой политики) внутри консоли GPMC и выберите в контекстном меню пункт Manage Backups (Управлять резервными копиями).
Откроется диалоговое окно Manage Backups (Управление резервными копия ми), представленное на рис. 9.30. В этом диалоговом окне можно восстанавливать, удалять и просматривать настройки объекта GPO внутри резервной копии. • Restore (Восстановить).
Кнопка Restore позволяет восстановить «архивированный объект GPO» поверх «производственного объекта GPO». Вам должно быть понятно, насколько это может быть важно!
• Delete (Удалить). Кнопка Delete позволяет удалить архивированные объекты GPO, главным образом те, которые больше не используются или действительно устарели. Нет никаких причин захламлять свои серверы информацией, которая не понадобится в будущем. • View Settlngs (Просмотреть настройки).
Кнопка View Settings позволяет просмотреть содержимое объекта GPO, а также другие ключевые сведения, такие как делегирование, безопасность, связи и т.д. На рис. 9.3 l показана НТМL страница, которая отображается в результате щелчка на кнопке View Settings.
поиск и устранение неполадок в групповых политиках
На тот случай, если это еще не прояснилось к настоящему моменту: групповые
политики мощны, но вместе с тем и сложны. К тому же они моrут быть непрозрачными — иногда вы создаете для контршmера домена множество настроек политики, которые направлены на управление определенным рабочим столом, и затем перезапускаете рабочий стол, входите в систему, ждете результатов применения новой политики, но ничего не происходит.
Для поиска и устранения неполадок в групповых политиках предназначено не
сколько инструментов. Оснастка и инструмент консоли RSOP (Resultaпt Set of
Policy — результирующая политика) предоставляет графический интерфейс, а утилита gpresul t . ехе позволяет выполнять эквивалентные функции в командной строке.
Утилита gpotool . ехе входит в состав набора ресурсов Windows (Windows Resource Kit), и она ищет несоответствия между объектами GPO, которые хранятся на контроллерах домена. Эта небольшая утилита помогает идентифицировать проблемы с репликацией, которые вызывают проблему с применением групповой политики.
инструмент Resultant set of Pollcy
Поиск и устранение неполадок в групповых политиках были для администра
торов крупным препятствием к обретению полного контроля над сетевой средой.
Проблема заключалась в невозможности просмотра совокупных настроек полити
ки, которые в итоге воздействовали на пользователя или на компьютер. Небольшое средство отображения действительных настроек политики — инструмент ResultantSet of Policy (RSOP) — является встроенным в Windows Server. Используя RSOP, вы можете проверять версии «что, если» в целях диагностики проблем. Без RSOP придется просмотреть свойства каждого сайта, домена и организационной единицы, выясняя, каким образом связаны контейнеры и политики. Затем понадобится просмотреть списки ACL и информацию WMI, чтобы увидеть, проводится ли какая-нибудь фильтрация, и также проверить опции DisaЬled, Block lnheritance и Enforce. Не забывайте о нацеливании на уровне элементов, которое может быть очень детализированным и потому приводить к путанице при попытке оценки вручную. Наконец,необходимо просмотреть настройки интересующей политики, прежде чем станет ясным корень пробле1ы. Вам придется делать множество заметок. По этим причинам мы отдаем предпочтение инструменту RSOP.
Инструмент RSOP запускается простым вводом rsop . msc в командной строке.
Сразу после запуска вы заметите, что он определяет результирующую политику, которая была применена на основе компьютера, где инструмент выполняется, и учетной записи пользователя, под которой был совершен вход в систему. Результирующее окно похоже на то, что отображается в редакторе GPME (рис. 9.32).
Относительно инструмента rsop . msc следует сделать несколько замечаний.
• Этот инструмент предоставляет только примененные объекты GPO и настрой
ки из таких G РО.
• Этот инструмент выдает представление, в котором указано, из какого объекта GРО поступает каждая настройка.
Рис. 9.32. Инструмент rsop . msc генерирует представление реального
времени настроек политики, которые были применены
получение результатов групповой политики с использованием консоли GPMC
Консоль GPMC является инструментом, который похож на локализованную
версию RSOP, но для получения RSOP позволяет запрашивать любой компьютер и
любого пользователя в сети. Представьте, что пользователь звонит вам и сообщает о том, что не может получить доступ к веб-сайту, который необходим ему для выполнения своей работы. Вы могли бы подойти к пользователю физически, но это всего лишь отняло бы время, т.к. вы уверены, что пользователи получают настройки прокси Internet Explorer из объекта GPO. Таким образом, вместо этого выполните следующие шаги.
1. Запустите мастер результатов групповой политики (Group Policy Results Wtzard) в консоли GPMC.
Мастер Group Policy Results Wtzard находится ближе к нижней части консоли
GPMC. После запуска мастера вы должны лишь указать компьютер и пользо
вателя, для которого хотите получить результаты, а об остальном позаботится
сам мастер, как показано на рис. 9.33.
2. Выберите пользователя и рабочий стол, куда он вошел, после чего перейдите к настройке прокси IE.
Вы заметите, что к компьютеру применяется некорректный объект GPO, пос
кольку кто-то настроил принудительное применение объекта G РО, связанного
с вышестоящей организационной единицей, что сводит на нет нашу установку
прокси. Проблема обнаружена.
3. Исправьте проблему с опцией Enforce в объекте GPO и дело сделано!
Результаты из мастера будут отображаться на трех вкладках в панели справа —
Details (Подробности), Summary (Сводка) и Policy Eveпts (События политики).
• Details. На вкладке Details (рис. 9.34) приведены все настройки, включая объекты GPO, которые были применены, те, что отказали, группы доступа, филь
тры WMI и другие сведения.
• Summary. На вкладке Summary отображаются любые ошибки, которые возни
кали во время создания объектов GPO.
• Policy Events. Вкладка Policy Events уникальна тем, что на ней отображаютсянастройки из программы просмотра событий (Event Viewer), которые относятся к групповой политике.
Рис. 9.34. Мастер Group Policy Results Wizard отображает информацию
на трех вкладках в консоли GPMC
Если вы замечаете проблему с какой-то примененной настройкой, то можете
воспользоваться содержимым всех трех вкладок дЛЯ ее отслеживания.
моделирование групповой политики с использованием консоли GPMC
Мастер Gгoup Policy Results Wizaгd в консоли GPMC является мощным инс
трументом, который позволяет просматривать существующее состояние объектов
GPO и их настройки для любого компьютера и пользователя в сети. Однако что,
если возникла ситуация, когда нужно переместить компьютер в другую организа
ционную единицу или перенести в другую организационную единицу пользователя,
поскольку он получил повышение по службе? Вы не должны просто переместить
учетную запись и ожидать, что настройки будут корректными в новом местополо
жении внутри AD.
gpresult . exe
gpresul t . ехе — это инструмент, предназначенный для поиска и устранения
неполадок в групповой политике, а также для формирования отчетов, который до
полняет оснастку RSOP, добавляя в арсенал RSOP возможности командной строки
и пакетных файлов. При запуске без аргументов или опций утилита gpresul t . ехе
сгенерирует следующую информацию RSOP для текущего пользователя на локаль
ном компьютере:
• контроллер домена, из которого рабо’-!ая станция получила политики;
• когда политики были применены;
• какие политики бъuш применены;
• какие политики не были применены из-за фильтрации;
• членство в группах;
• сведения о правах доступа пользователей (если запускается в многословно1
режиме).
Чтобы сгенерировать информацию RSOP для удаленного пользователя на уда
ленном компьютере, применяйте аргументы /S имя_системы и /USER имя_пользо-
вателя. Например, чтобы получить информацию RSOP на удаленной рабочей стан
ции WINDOWS8CLIENT1 для пользователя drnelber, введите команду
gpresult /S WINDOWS8CLIENT1 /USER dmelber
Ниже описаны опции, позволяющие получить более детальные сведения.
• /V указывает на необходимость в выда’-!е более многословной информации:
gpresul t /V.
• !Z указывает на необходимость в выдаче даже еще более многословной ин
формации (Zupeг-verЬose): gpresult /Z.
• Для нацеливания только на политику компьютера добавьте опцию /SCOPE
MACHINE; если вы заинтересованы лишь в политиках пользователя, добавьте
ОПЦИЮ /SCOPE USER.
Таким образом, например, для получения максимальной информации о по
литиках пользователя, примененных к данной системе, добавьте опцию
gpresult /Z /SCOPE USER. Вывод этой команды легко перенаправить в текс
товый файл, чтобы сохранить отчет:
gpresult /S WINDOWS8CLIENTl /USER dmelber /Z > c : gpinfo . txt
использование программы Event Viewer
Прекратите посмеиваться прямо сейчас! Мы полностью серьезны! Временами
действительно нужно дружески похлопать Microsoft по спине, и это как раз тот случай. Программа Event Yieweг (Просмотр событий) была полностью модернизирована, и сейчас, к изумлению многих, в ней появился целый узел, выделенный для групповой политики!
Журнал операций групповой политики (Opeгational) является заменой файла
Userenv . log, который генерировался групповой политикой в прошлом. Теперь
нет необходимости в специальной установке настроек многословной информации
или аудита; это просто происходит. Чтобы просмотреть файлы журналов групповой политики в новой программе Event Vieweг, достаточно ее запустить. В открывшемся окне Event Viewer разверните узел Applications and Services LogsMicrosoftWindows
GroupPolicy (Журналы приложений и служб Microsoft Windows Групповая политика). Здесь вы найдете журнал Opeгational для групповой политики, щелкнув на котором, вы сможете просмотреть список событий в панели справа.
Ниже приведено несколько замечаний по возможностям новой среды.
• Журнал Operational заменяет файл Userenv . log из предшествующих версий
групповой политики Windows.
• Вкладки General (Общие) и Details (Подробности) предоставляют полезную
информацию для поиска и устранения проблем.
• Двойной щелчок на событии приводит к открытию собственного окна для со
бытия.
• Щелчок на знаке + во вкладке Details приводит к отображению дополнитель
ной информации о событии.
основы поиска и устранения неполадок:сохраняйте простоту
Мы прогнозируем, что даже имея в своем распоряжении инструмент RSOP, ра
бота с групповыми политиками в большинстве случаев не будет похожа на легкую
прогулку по парку. Ниже приведены соображения, которые помогают минимизиро
вать время поиска и устранения неполадок.
+ Сохраняйте простоту своей стратегии в отношении политик. По возможности
храните пользователей и компьютеры в организационных единицах и приме
няйте политики на как можно более высоком уровне.
• Избегайте наличия большого количества объектов GPO с конфликтующими
политиками, которые применяются к одним и тем же получателям.
• Минимизируйте использование опций Enforce и Block lnheritance.
+ Документируйте свою стратегию групповой политики. Структуру политик
можно изобразить визуально и вывесить рисунок на стенде подобно диаграм
ме топологии сети. Когда возникнет проблема, вы сможете свериться с диа
граммой, прежде чем приступать к ее поиску и разрешению.
+ Тестируйте настройки G РО до их развертывания! Абсолютно необходимо со
хранять ресурсы службы поддержки и гарантировать работоспособность ос
новных приложений и системных служб.
делегирование Active Directorv
Делегирование Active Directory является эффективным решением в часто встре
чающейся ранее ситуации с унаследованными доменами Windows, когда для обеспечения раздельного управления пользователями, группами и компьютерами создавалось множество доменов. За счет реализации делегирования внутри единственного домена Active Diгectory устраняется потребность в нескольких доменах, сохраняется бюджет, благодаря сокращению количества контроллеров доменов, упрощается управление предприятием из-за наличия всего лишь одного домена и т.д.
Это настолько захватывающая возможность Active Directory, что многие компании и предприятия перешли на Active Directory, чтобы получить в свое распоряжение все преимущества, предлагаемые делегированием Active Directory. Одно из наиболее интересных преимуществ применения делегирования связано с возможностью выдачи одной или нескольким группам привилегии на сброс паролей дл яучетных записей пользователей.
Это значит, что вы можете разрешить какой-то группе пользователей сбрасывать пароли только для подмножества пользователей в домене.
Например, вы можете позволить руководителю отдела кадров сбрасывать пароли для учетных записей сотрудников этого отдела.
делегирование прав администрирования ГРУППОВОЙ ПОЛИТИКОЙ
Возможность делегирования операций создания и конфигурирования объектов
G РО и их настроек административному персоналу (или другим, если уж на то пош ло) исключительно полезна, особенно в крупной организации. В этом разделе мы
объясним, как разрешить сотрудникам, не являющимся членами группы Doma in
Admins или Enterpri s e Admins, создавать и управлять объектами GPO для определенных сайтов, доменов или организационных единиц.
Консоль GPMC предоставляет простой, но распределенный массив опций для
гарантии того, что вы реализуете делегирование правильному множеству администраторов. Ниже перечислены пять главных делегирований, которые вы захотите с конфигурировать:
создание объектов GPO;
связывание объектов GPO;
управление объектами GPO;
+ редактирование объектов G РО;
• чтение объектов GPO.
Все это конфигурируется в консоли GPMC. Основная путаница при установке
делегирования для управления объектами GPO в консоли GPMC возникает с областями действия. Это означает необходимость знания мест, где устанавливается делегирование; вдобавок нужно знать, насколько далеко делегирование будет простираться.
Например, предположим, что вы являетесь администратором организационной единицы отдела кадров, т.е. вы управляете всеми аспектами, включая учетные записи пользователей, группы и даже объекты GPO, связанные с этой организационной единицей.
Как удостовериться в том, что вы — единственный администратор, который может
связать какой-то объект GPO с организационной единицей отдела кадров? Хорошо, это одна из задач делегирования, которыми можно управлять с помощью консоли РМС. Давайте рассмотрим каждый вид делегирования и его область действия.
По умолчанию объекты GPO могут создаваться членом группы Administrators
для домена или членами глобальной группы под названием Group Policy Creator
Owners (Владельцы создателей групповой политики). Однако хотя члены группы
Administrators имеют полный контроль над всеми объектами GPO, члены группы
Group Policy Creator Owners могут модифицировать только политики, которые
создали сами, если только им специально не было выдано разрешение на измене
ние других политик. Таким образом, если вы поместите выбранного администратора групповой политики в группу доступа Group Pol icy Creator Owners (которая почти так же неудобна, как и группа Acti ve Directory Users and Computers), то это лицо сможет создавать новые объекты политик и модифицировать их.
Чтобы делегировать возможность создания объекта G РО в домене, вы должны
добраться до узла Group Policy Objects (Объекты групповой политики) в консоли GPMC. После щелчка на этом узле перейдите на вкладку Delegation (Делегирование) в правой панели для просмотра списка пользователей и групп, которым была предоставлена возможность создания объектов GPO в домене (рис. 9.35).
Рис. 9.35. Делегирование возможности создания объектов GPO
с использованием консоли GPMC
Создание объекта G РО является лишь одним аспектом, а другим будет связыва
ние этого GPO с сайтом, доменом или организационной единицей.
Администраторы из группы Administrators способны делать это по умолчанию, но Д11Я предоставления такой возможности другим администраторам можно сконфигурировать специальное делегирование по каждому узлу AD.
Здесь очень важно следовать области действия. В отличие от возможности создания объекта GPO, которая распространяется на весь домен, возможность связывания GPO с узлом AD касается только этого узла AD, что вполне имеет смысл. А как насчет конфигурирования такого делегирования?
Чтобы сконфигурировать тех, кто может связывать объект GPO с каким-либо уз
лом АО, вам необходимо выбрать целевой узел AD в консоли GPMC. Затем в пане
ли справа перейдите на вкладку Delegatioп (Делегирование). Ее имеет каждый узел AD . Обратите внимание на то, что пользователи и группы в стандартном списке могут связывать объект GPO с этим узлом, как показано на рис. 9.36. Имейте в виду один ключевой момент: такое делегирование связывания с узлом AD не наследуется вглубь структуры АО. Следовательно, если вы делегируете возможность связывания объекта GPO узлу домена, это не приводит к предоставлению такой возможности всем организационным единицам в данном домене.
Финальные три вида делегирования обладают одной и той же областью действия — на каждый объект GPO. Опять-таки, в этом есть своя логика, но некоторым людям не всегда удается воспроизвести эту логику на клавиатуре. Если это логично, вы должны быть в состоянии выбрать объект GPO в консоли GPMC, а затем в панели справа перейти на вкладку Delegatioп, чтобы увидеть задачи делегирования Д11 Я GPO. Это в точности то, что представлено на рис. 9.37 — три уровня делегирования Д11 я GPO. Здесь для просмотра полного списка задач делегирования понадобится
щелкнуть правой кнопкой мыши на объекте GPO.
Рис. 9.36. Делегирование возможности связывания объекта GPO домену
Рис. 9.37. Делегирование задачи управления, редактирования и чтения объекта GPO
В интерфейсе указано не «упраалять объектом G РО», а Edit settings, delete, modify security (Редактировать настройки, удалять, изменять параметры безопасности) д;IЯ объекта GPO.
делегирование управления с использованием организационных единиц
Безусловно, одной из сильных сторон AD яаляется возможность выдачи частич
ных или полных прав администрирования группе пользователей, предполагая, что
это делается с целью разделения сети с одним доменом, скажем, на части Uptown
(спальный район) и Downtown (деловой район), Marketing (отдел маркетинга),
Engineering (конструкторский отдел) и Management (отдел управления), или еще
как-нибудь. Давайте рассмотрим простой пример, демонстрирующий, как это мож
но сделать.
Предположим, что в отделе маркетинга работают пять сотрудников: Адам (Adam),
Бетти (Betty), Чип (Chip), Дебби (DebЬie) и Элен (Elaine). Они хотят, чтобы у одного сотрудника, Элен, была возможность сброса паролей. Причина в том, что проблема
«Я забыл свой пароль — можете ли вы мне сбросить его?» чаще других озвучивается при звонках сотрудников отдела маркетинга в центральную службу поддержки.
В центральной службе поддержки были бы счастливы иметь кого-то внутри отдела
маркетинга, кто взял бы данную проблему в свои руки, освободив их для решения других насущных проблем.
Ниже описан процесс.
1. Создайте организационную единицу под названием Marketing.
Конечно, организационной единице можно назначить любое другое имя, но
Marketing впоследствии проще будет вспомнить.
2. Переместите существующие учетные записи Адама, Бетти, Чипа, Дебби и Э лен
в организаuионную единицу Marketing.
3. Создайте группу под названием MktPswAdm, где будут находиться учетные
записи тех пользователей, которые могут сбрасывать пароли для персонала в
организационной единиuе Marketing.
И снова вы можете выбрать для группы какое-то другое имя.
4. Сделайте учетную запись пользователя Elaine членом группы MktFswAdm.
5. Делегируйте управления сбросом паролей для организационной единиuы
Marketing группе MktPswAdm.
Если вы хотите воспроизвести этот пример, проведите подготовку, создав учетные записи Адама, Бетти, Ч ипа, Дебби и Элен, но не делая их администраторами.
Или сделайте это в командной строке; введите net user ння _ nоль.эоsа!l’еля /add и создайте в папке Users указанные учетные записи. Например, вот как создать учетную запись для Адама: net user Adam Pa$$word /add
Для выполнения такой работы вы должны находиться на контроллере домена.
Создавать пользователей домена в командной строке можно на любой другой системе, но тогда потребуется добавить опцию /domain:
net user adam /add /domain
создание новой организационной единицы
Создавать новые организационные единицы несложно. Откройте оснастку Active
Directory Users and Computers (ADUC), щелкните правой кнопкой мыши на и мени
домена в панели слева и выберите в контекстном меню пункт New�Organizational Unit (Создатьс::>Организационная единица). Откроется диалоговое окно с запросом имени для новой организаuионной единицы. Введите Мarketing и щелкните на кнопке ОК. Дело сделано.
Перемещение учетных записей пользователей в организационную единицу
Далее, для перемещения учетных записей пользователей Adam, B e t ty, Chip,
Debb i e и E l a ine в организационную единицу Ma r ke t ing откройте оснастку ADUC, разверните узел домена (в данном случае это Bigfirm. com; ваш домен может называться и наче) и откройте папку Users. (Если вы создали пять учетных записей пользователей в другой папке, откройте ее.)
Чтобы переместить все пять учетных записей пользователей, шелкните на учет
ной записи Adam и , удерживая нажатой клавишу , щелкните на оставших
ся четырех учетных записях. Затем щелкните правой кнопкой мыши на одной из
выделенных пяти учетных зап исей и выберите в контекстном меню пункт Move
( Переместить); откроется диалоговое окно с запросом, куда переместить «объ
ект». Изначально в нем будет видно и мя домена со знаком » плюс» рядом с ним.
Щелкните на этом знаке «плюс» и узел домена раскроется, отобразив имеющиеся
в нем организационные единиuы. Выберите организаuионную единицу Marketing
и щелкните на кнопке ОК; все пять учетных записей переместятся в Marketing.
Можете открыть организационную единицу Marketing в оснастке ADUC и удостовериться, что указанные учетные записи теперь находятся в ней.
В качестве альтернативы можно воспользоваться возможностью перетаскивания.
Внутри оснастки ADUC щелкните на папке Users внутри левой панели.
В правойпанели должно отобразиться содержимое папки Users. В левой панели вы будете иметь возможность видеть не только папку Users, но также и организационную единицу Marketing.
Выберите учетные записи пользователей и перетащите их из правой панели в организационную единицу Marketing. Мгновенное перемещение в организационную единицу! (Что-что вы говорите? Вы не впечатлены?
Хорошо, тогда поверьте нам, что когда вам доведется выполнять большой объем работ по управлению пользователей, вы сочтете этот прием настоящим спасательным поясом. Просто доверьтесь нам.)
Создание группы МktPswAdm
Следующим действием будет создание группы для пользователей, которые мо
гут сбрасывать пароли в организационной единице Marketing. Опять-таки, ра
бота производится в оснастке ADUC. Щелкните на организационной единице Marketing, чтобы выделить ее, и выберите пункт меню Actioп’*New’*Group
(Действие Создать Группа).
(Можно также щелкнуть правой кнопкой мыши
на организационной единице Marketing и выбрать в контекстном меню пункт
New’*Group (Создать Группа).)
Вы увидите диалоговое окно New Object — Group
(Новый объект — Группа), подобное показанному на рис. 9.38.
Диалоговое окно New Object — Group предлагает опцию для создания группы
любого из трех типов, доступных в Active Directory. Нашим целям соответствует глобальная группа, хотя в этом конкретном случае — группа в заданном домене, получающая контроль в организационной единице в том же домене, — подойдет локальная группа домена, глобальная или универсальная группа. Мы назначили группе имя MktPswAdrn.
Щелкните на кнопке ОК.
Поместите учетную запись пользователя Elaine в группу MktPswAdrn. Щелкните
правой кнопкой мыши на имени группы MktPswAdm и выберите в контекстном
меню пункт Properties (Свойства).
В открывшемся диалоговом окне свойств перейдите на вкладку Members (Члены), щелкните на кнопке Add (Добавить), выберите учетную запись Elaine, щелкните на кнопке Add и затем на кнопке ОК. Вы увидите, что пользователь Elaine теперь является членом группы MktPswAdm. Щелкните на кнопке ОК, чтобы закрыть диалоговое окно.
делегирование управления сбросом паролей в организационной единице Мarketing группе МktPswAdm
Теперь давайте соберем все вместе. В оснастке ADUC щелкните правой кнопкой
мыши на организационной единице Marketing и выберите в контекстном меню
пункт Delegate Control (Делегировать управление). Откроется начальный экран мастера делегирования управления (Delegation of Contro Wizard).
Этот мастер предлагает упрощенный способ установки делегирования и в рассматриваемом первом примере он работает хорошо. Щелкните на кнопке Next
(Далее) и отобразится следующий экран мастера (рис. 9.39).
Затем вы должны сообщить о том, что часть задач управления делегируете группе, и указать эту группу. Щелкните на кнопке Add (Добавить) и выберите группу MkPswAdm. После щелчка на кнопке ОК для закрытия диалогового окна Add (Добавление) экран мастера выглядит так, как показано на рис. 9.40.
Щелкнув на кнопке Next, вы получите меню задач, которые можно делегировать
(рИс. 9.41).
Здесь вы найдете очень много функций, которые могут быть делегированы.
Вместо того чтобы заставить преодолевать длинный список функций, которые вас
никогда не будут интересовать, в Microsoft решили выбрать из них десяток или около того функций, которые вероятнее всего захочется делегировать, и одной из них является возможность сброса паролей. На рис. 9.41 эта функция выбрана; щелкните на кнопке Next, в результате чего отобразится последний экран мастера (рис. 9.42).
Щелкните на кнопке Fiпish (Готово), чтобы завершить работу мастера.
Вспомните, что делегирование позволяет выбрать набор пользователей, которые
будут иметь контроль определенного вида над другим набором пользователей и/или компьютеров.
Это достигается путем помещения контролирующих пользователей в
отдельную группу, помещения контролируемых пользователей и/или компьютеров в
организационную единицу и делегирования группе необходимых задач управления
этой организационной единицей.
Рис. 9.39. Перед выбором группы Рис. 9.40. Выбор группы MkPswAdrn
«4 Дополнительные возможности). На экране отобразятся новые элементы (рис. 9.43).
Расширенное делегирование: ручная установка разрешений
Хотя предыдущий сценарий является удачным — и успешным — примером, он
только слегка приоткрывает мощь делегирования.
На самом деле для делегирования вы не обязаны использовать мастер; он всего лишь упрощает выполнение определенного диапазона распространенных задач.
РЕКОМЕНДУЕМЫЕ ПРИЕМЫ ДЕЛЕГИРОВАНИЯ
Делегиров ние — это удобный инструмент для администрирования сети. При аккуратном применении оно приносит немалую пользу. До этого момента упоминалось только несколько рекомендуемых приемов делегирования, а сейчас мы расширим их перечень дополнительными советами .
+ Создавайте группы и организационные единицы, к которым применяется де
легирование. Этот облегчает их защиту, а также выполнение задач администрирования.
+ Избегайте назначения разрешений непосредственно пользователю. Создайте
группу (как обсуждалось ранее) и поместите в нее пользователя. Создание группы, содержащей одного пользователя, не так уж обременительно, как может
показаться поначалу. В действительности это намного упрощает жизнь администратора, не заставляя выяснять, по какой причине тот или иной пользователь по-прежнему может выполнять действия, которые не должен выполнять.
+ Назначайте пользователям и группам наименьший объем разрешений. Это по
может сделать сеть более защищенной. Пользователи могут думать, что име
ют право на полный контроль абсолютно над всем, но им редко, если вообще
когда-либо, требуется такой контроль.
+ Используйте полный контроль продуманно. Полный контроль может нанести встречный удар по вам, когда пользователи или группы начнут извлекать
выгоду от вашего щедрого дара.
Полный контроль дает пользователю возможность работать с разрешениями объекта. Это означает, что пользователи могут
предоставить себе более высокие разрешения, чем планировал администратор.
Вдобавок, если кто-то получает контроль над учетной записью, то он сможет
внести намного больше беспорядка, нежели в противном случае.
• Для дальнейшего усиления защиты и расширения удачных приемов админис
трирования делегируйте задачу создания объектов и задачу управления объек
тами разным группам. Такой подход известен как двухсубъектная целостность
(two-person integrity — TPI). Если вы разделите ответственность между двумя
персонами или группами, снизится вероятность некорректного управления со
стороны любого из них.
Думайте об этом как о разделении разрешений на создание резервных копий и восстановление из этих копий между двумя группами.
Например, одной группе администраторов можно предоставить возможность создания групп в организационной единице, тогда как другой группе
администраторов позволить управлять членством в группах.
• Создавайте представления панелей задач. Представления панелей задач удоб
ны, когда вы хотите делегировать задачи персоналу службы поддержки или
другим группам, которым требуются определенные разрешения, но не желае
те, чтобы они имели доступ к полной консоли. Такой прием помогает обучать
новых администраторов, прежде чем им будут предоставлены бразды правления всем доменом.
• Вы можете выполнять делегирование на уровнях выше организационной единицы, но в качестве правила избегайте поступать подобным образом. Если вы
делегируете разрешения на уровне домена, то такой пользователь или груп
па могут потенциально получить возможность намного большего влияния на
сеть, чем вы ожидали.
ОСТАВАЙТЕСЬ С НАМИ
Даже если вы не очень интересуетесь делегированием, все равно проработайте данный пример. Он демонстрирует навигацию по трем уровням с нарастающей сложностью в диалоговых окнах безопасности Windows Server 201 2 R2.
Ниже показано, как можно напрямую манипулировать делегированием.
1 . Откройте оснастку ADUC и выберите пункт меню ViewqAdvanced Features
(Виде:> Дополнительные возможности). На экране отобразятся новые элементы
(рис. 9.43)
2. Щелкните правой кнопкой мыши на организационной единице Marketing и выберите в контекстном меню пункт Properties (Свойства). Откроется диалоговое окно свойств организационной единицы Marketing с вкладкой Security (Безопасность). (Между прочим, если дополнительные возможности не включены, вкладка Security не отображается.)
3. Перейдите на вкладку Security и вы увидите примерно то, что показано на рис. 9.44.
Рис. 9.43. Оснастка ADUC с включенными дололнительными возможностями
Список разрешений для группы MkPswAdm прокручен вниз, чтобы вы видели, что для нее предлагается. Здесь отмечен только флажок Special permissions (Специальные разрешения), что не особенно информативно. Это верхний уровень диалогового окна безопасности Windows Server 201 2 R2. Считайте его обзорным уровнем для информации, связанной с безопасностью. Откровенно говоря, мы находим такое высокоуровневое представление довольно ограниченным. Все, на что оно действительно указывает — что в этом диалоговом окне сушествует много записей (все они на рисунке не уместились), и вы можете вспомнить, что каждая из них называется записью управления доступом (access control entry — АСЕ). Список таких записей называется списком управления доступом (access control Iist — ACL).
Теоретически вы должны иметь возможность щелкнуть на любой записи АСЕ
в верхней части диалогового окна и получить в нижней части сведения о том,
что конкретно эта запись АСЕ позволяет делать указанным объектам.
Например, на рис. 9.44 видно, что группа MkPswAdm имеет «специальные» разрешения. Это одна из причин, почему нам не нравится данное диалоговое окно,поскольку понятие «специальные» дает не особенно много информации.
Другая причина связана с тем, что это диалоговое окно показывает только крайне
упрощенный список возможных разрешений, что иногда будет вводить в заблуждение. Вот почему хорошо, что есть возможность углубиться на следующий уровень, щелкнув на кнопке Advanced (Дополнительно).
4. Щелчок на кнопке Advanced приводит к отображению диалогового окна дополнительных настроек безопасности (рис. 9.45).
5. Прокрутите список Permission entries (Записи разрешений) до появления
группы MkPswAdrn, и вы увидите, что для нее есть две записи: в одной указано
«специальное» разрешение, а в другой разрешения вообще не указаны, что в
принципе не несет в себе сколько-нибудь полезной информации
Рис. 9.45. Дополнительные настройки безопасности
для организационной единицы Marketing
6. При выделенной первой из этих записей щелкните на кнопке Edit (Редакти
ровать). Откроется диалоговое окно, показанное на рис. 9.46.
Прокрутив содержимое окна, вы увидите, что группе MkPswAdm была предо
ставлена возможность чтения и записи свойств дочерних объектов пользовате
лей (Descendant User objects), но только одного свойства pwdLastSet — имен
но так на языке АО называется возможность отметки флажка User must change
password at next logon (Пользователь должен изменить пароль при следующем
входе), который доступен в диалоговом окне Reset Password (Сброс пароля).
Рис. 9.46. Специальные возможности группы MktPswAdm
7. Возвратитесь в диалоговое окно дополнительных настроек безопасности и
щелкните на кнопке Edit при выделенной второй записи для группы MkPswAdm.
Откроется диалоговое окно, представленное на рис. 9.47.
7. Возвратитесь в диалоговое окно дополнительных настроек безопасности и
щелкните на кнопке Edit при выделенной второй записи для группы MkPswAdm.
Откроется диалоговое окно, представленное на рис. 9.47.
Рис. 9.47. Выдача разрешения на сброс паролей
Как видно на рис. 9.47, доступно огромное количество разрешений, которые могут быть выданы отдельной группе для управления организационной единицей.
Верите или нет, но вы можете устанавливать более чем 1 О ООО отдельных разрешений всего лишь для одной организационной единицы. Причем подсчитаны только разрешения Allow (Разрешить) — если учесть также и Dепу (Запретить), то указанное число удвоится.
Где вы можете использовать это? Итак, вы предоставили группе MkPswAdm возможность изменять пароли, но не устранили ее из групп, которые первоначальноимели ее — члены Doma in Admins, Enterprise Admins и тому подобных групп по-прежнему могут сбрасывать пароли.
Это не является плохой идеей, но если вы действительно столкнетесь со сценарием, так сказать, «феодальных поместий » . где сотрудники отдела маркетинга желают иметь уверенность в том, что только они могут администрировать свои учетные записи, то должны будете сначала делегировать задачи управления организационной единицей Marketing определенной группе, а затем перейти на вкладку Security и отключить эту возможность для других администраторов.
Выяснение установленных делегирований,или отмена делегирования
Настало время для не очень хороших и совсем плохих новостей.
Предположим, что вы не являетесь администратором, который настраивал среду Active Directory. Наоборот, вы — второй по счету адми нистратор, и нас наняли на работу, чтобы почистить «авгиевы конюшни», оставшиеся после первого администратора. Вы знаете такой сорт администраторов; они сродни «сумасшедшим ученым » — парни, щелкающие на чем попало внутри инструментов администрирования до тех пор, пока проблема не будет решена». как они думают. А как на счет документирования’? Ха, настоящие администраторы никогда не документируют;
у них никогда нет времен и на документирование. В конце концов, эту сеть было трудно проектировать, так ее должно быть трудно и понимать!
Итак, вам интересно, что же этот парень натворил. Как он изменил среду AD
компании по сравнению со стандартной средой АО, которая получается сразу после запуска утилиты DCPromo’? Н а этот вопрос сложно ответить. Разумеется, созданные им организационные единицы вполне очевидны — просто загляните в Active Directory Users and Computers и увидите там новые папки. Но какие делегирования он создал ‘?
А теперь не очень хорошая новость. К сожалению, не существует программы, которую можно было бы запустить, и она бы сравнила стандартную структуру АО и делегирования с текущей структурой АО и делегированиями, выдав отчет в стиле «вот то, что было изменено». Учитывая это ограничение, мы совершенно искренне советуем: всегда документируйте делегирования.
Всегда.
Попытайтесь контролировать, кто может устанавливать делегирование, и проясните, что делегирование разрешено делать только умеренно. Почему же тогда мы называли эту новость о сравнении лишь не очень хорошей, а не плохой’? Причина в том, что есть небольшой инструмент, имеющий название dsacls . ехе. Этот инструмент, входящий в состав основных утилит командной строки Windows Server 201 2 R2, предоставляет детализированные листинги со списками ACL (порция a c l s названия) службы каталогов (порция ds названия).
Для запуска и нструмента dsa c l s . е х е вы должны перейти в окно командной строки.
1. Выберите в меню Start (Пуск) пункт Run (Выполнить).
2. В появившемся диалоговом окне введите cmd; откроется окно командной
строки.
3. В окне командной строки введите dsacls, чтобы получить полный спектр
помощи, предлагаемой этим инструментом.
Как указано в справке, инструмент требует ввода пути к организационной единице, которую вы хотите просмотреть, с применением официального синтаксиса LDAP. В данном примере путь будет выглядеть подобно ou=marketing,
dc=bigfirm, dc=com.
Вы можете просто ввести dsacls ou=marketing, dc=bigfirm, dc=com. Это
приведет к выводу информации в окне командной строки, что не очень удобно
для проведения анализа.
4. Таким образом, направьте вывод в файл, используя следующий синтаксис:
dsacls ou=marketing, dc=bigfirm, dc=com > c : marketing _ OU _ delegation . txt
Открыв файл marketing_ ou _ delegation . txt, вы увидите результат, похожий на показанный на рис. 9.48.
Рис. 9.48. Выдача разрешения на сброс паролей
Осталась по-настоящему плохая новость. Мастер Delegation of Control Wizard —
удобный небольшой инструмент, но он является мастером только делегирования, но не отмены делегирования. Если вы хотите отозвать у группы MkPswAdm возможность
изменения паролей учетных записей в отделе маркетинга, понадобится перейти на вкладку Security, найти ссылки на MkPswAdm и удалить их. Мы предупреждаем, что если вы хотите сохранить одни делегирования и удалить другие, вам придется вручную определить, какие из них соответствуют делегируемой задаче, которую вы конфигурируете.
Доменом в Windows Server называют отдельную область безопасности компьютерной сети.
В домене может быть один или несколько серверов выполняющих различные роли. Разрешения, применяемые администратором, распространяются на все компьютеры в домене.
Пользователь, имеющий учетную запись в домене, может войти в систему на любом компьютере, иметь учетную запись на локальном компьютере не требуется.
В домене могут работать несколько тысяч пользователей, при этом компьютеры могут принадлежать к разным локальным сетям.
Несколько доменов имеющих одну и ту же конфигурацию и глобальный каталог называют деревом доменов. Несколько деревьев могут быть объединены в лес.
В домене есть такое понятие как групповая политика. Под групповой политикой понимают настройки системы, которые применяются к группе пользователей. Изменения групповой политики затрагивают всех пользователей входящих в эту политику.
Параметры групповой политики хранятся в виде объектов групповой политики (Group Policy Object, GPO). Эти объекты хранятся в каталоге подобно другим объектам. Различают два вида объектов групповой политики – объекты групповой политики, создаваемые в контексте службы каталога, и локальные объекты групповой политики.
Не будем подробно вдаваться в теорию и перейдем к практике.
Запускаем Диспетчер серверов -> «Добавить роли и компоненты».
На первой странице мастер напоминает, что необходимо сделать перед началом добавления роли на сервер. Нажмите «Далее».
На втором шаге нужно выбрать «Установка ролей и компонентов» и нажать «Далее».
Выбираем сервер, на который нужно установить Active Directory (он у нас один), «Далее».
Теперь нужно выбрать роль, которую нужно добавить. Выбираем «Доменные службы Active Directory». После чего откроется окно, в котором будет предложено установить службы ролей или компоненты, необходимые для установки роли Active Directory, нажмите кнопку «Добавить компоненты», после чего кликните «Далее».
PЗатем нажимайте «Далее», «Далее» и «Установить».
Перезапустите компьютер.
После того, как роль была добавлена на сервер, необходимо настроить доменную службу, то есть установить и настроить контроллер домена.
Настройка контроллера домена Windows Server
Запустите «Мастер настройки доменных служб Active Directory», для чего нажмите на иконку «Уведомления» в диспетчере сервера, затем нажмите «Повысить роль этого сервера до уровня контроллера домена».
Выберите пункт «Добавить новый лес», затем введите имя домена в поле «Имя корневого домена». Домены в сети Windows имеют аналогичные названия с доменами в интернете. Я ввел имя домена buzov.com. Нажимаем «Далее».
На этом шаге можно изменить совместимость режима работы леса и корневого домена. Оставьте настройки по умолчанию. Задайте пароль для DSRM (Directory Service Restore Mode – режим восстановления службы каталога) и нажмите «Далее».
Затем нажимайте «Далее» несколько раз до процесса установки.
Когда контроллер домена установиться компьютер будет перезагружен.
Добавление и настройка групп и пользователей в домене Windows Server
Теперь нужно добавить пользователей домена, что бы присоединить к сети рабочие места сотрудников.
Отроем «Пользователи и компьютеры Active Directory». Для этого перейдите в Пуск –> Панель управления –> Система и безопасность –> Администрирование –> Пользователи и компьютеры Active Directory.
Создадим отдел «Бухгалтерия», для этого выделите название домена и вызовите контекстное меню, в котором выберите (Создать – Подразделение). Введите имя отдела (бухгалтерия) и нажмите «OK»
Подразделения служат для управления группами компьютеров пользователей. Как правило их именуют в соответствии с подразделениями организации.
Создайте учетную запись пользователя в новом подразделении. Для этого в контекстном меню нового подразделения выберите пункт Создать –> Пользователь. Пусть первым пользователем будет Бухгалтер.
После ввода имени пользователя и учетной записи нажмите «Далее». Теперь нужно ввести пароль. По умолчанию пароль должен соответствовать требованиям сложности, то есть содержать три из четырех групп символов: заглавные буквы, строчные буквы, цифры, специальные знаки ( . , + – = ? № $ и так далее). Установите параметр «Требовать смену пароля при следующем входе в систему».
Создайте учетную запись группы безопасности. Для этого в контекстном меню нового подразделения (бухгалтерия) выберите пункт (Создать – Группа). При создании новой группы безопасности необходимо ввести имя, область действия и тип группы. Область действия определяет видимость данной группы в службе каталога. Глобальная группа видна в любом домене службы каталога и ей могут назначаться привилегии доступа к ресурсам других доменов. Локальная группа видна только в своем домене, то есть ей будут доступны ресурсы только ее домена. Группы безопасности позволяют
объединять пользователей и другие группы для назначения им одинаковых привилегий на различные объекты. Группы распространения используются для рассылки сообщений, они не участвуют в разграничении прав доступа.
Теперь нужно ввести компьютер в домен и зайти под новым пользователем. Для этого на клиентском компьютере нужно указать DNS-адрес. Для этого откройте «Свойства сетевого подключения» (Пуск –> Панель управления –> Сеть и Интернет – >Центр управления сетями и общим доступом – Изменение параметров адаптера), вызовите контекстное меню подключения и выберите «Свойства».
Выделите «Протокол Интернета версии 4 (TCP/IPv4)», нажмите кнопку «Свойства», выберите «Использовать следующие адреса DNS-серверов» и в поле «Предпочитаемый DNS-сервер» укажите адрес вашего DNS-сервера. Проверьте, что задан IP-адрес и маска той же подсети, в которой находится сервер.
Присоединение компьютера к домену
Откройте свойства системы (Пуск –> Панель управления –> Система и безопасность –> Система –> Дополнительные параметры системы). Выберите вкладку «Имя компьютера» и нажмите «Изменить». Выберите «Компьютер является членом домена» и введите имя домена.
После этого необходимо ввести логин и пароль пользователя с правами присоединения к домену (обычно администратора домена). Если вы всё указали правильно, то появиться приветственное сообщение «Добро пожаловать в домен …».
Для того чтобы завершить присоединение, необходима перезагрузка.
После перезагрузки войдите в систему под доменной учётной записью пользователя, которая была создана ранее
После ввода пароля операционная система попросит вас сменить пароль.
Вернемся на сервер. Нажмите «Пуск» -> Администрирование и перейдите в окно Управления групповой политикой. Выбираем наш лес, домен, Объекты групповой политики, щелкаем правой кнопкой мыши -> создать. Называем его buh (это объект групповой политики для группы Бухгалтерия).
Теперь необходимо привязать данный объект групповой политики к созданной группе. Для этого нажмите правой кнопкой на созданное подразделение (Бухгалтерия) и выберите «Связать существующий объект групповой политики…», затем выберите созданный ранее объект в списке и нажмите «ОК».
Далее выбираем созданный объект.
Выбранный объект должен появиться в списке связанных объектов групповой политики. Для редактирования параметров, определяемых данным объектом, нажмите на него правой кнопкой и выберите «Изменить».
Установка параметров безопасности
Установка параметров безопасности — завершающий этап настройка домена и групповых политик в Windows Server.
Ограничения парольной защиты
Ограничение на параметры парольной системы защиты задаются в контексте «Конфигурация компьютера». Выберите Конфигурация Windows –> Параметры безопасности –> Политики учетных записей –> Политика паролей.
В данном разделе объекта групповой политики определяются следующие параметры:
- «Минимальный срок действия пароля» задает периодичность смены пароля.
- «Минимальная длина пароля» определяет минимальное количество знаков пароля.
- «Максимальный срок действия пароля» определяет интервал времени, через который разрешается менять пароль.
- «Пароль должен отвечать требованиям сложности» определяет требования к составу групп знаков, которые должен включать пароль.
- «Хранить пароли, используя обратимое шифрование» задает способ хранения пароля в базе данных учетных записей.
- «Вести журнал паролей» определяет количество хранимых устаревших паролей пользователя.
Тут нужно указать необходимые параметры (определите самостоятельно).
Политика ограниченного использования программ
Объекты групповой политики позволяют запретить запуск определенных программ на всех компьютерах, на которые распространяется действие политики. Для этого необходимо в объекте групповой политики создать политику ограниченного использования программ и создать необходимые правила. Как это сделать.
Выберите раздел Конфигурация пользователя –> Политики –> Конфигурация Windows –> Параметры безопасности –> Политики ограниченного использования программ. Нажмите правой кнопкой на «Политики ограниченного использования программ», далее заходим в «Дополнительные правила» и жмем правой кнопкой мыши, затем выбираем «Создать правило для пути».
После обновления объекта групповой политики на рабочей станции, политика ограниченного использования программ вступит в действие и запуск программ, соответствующих правилам, будет невозможен.
Давайте запретим использовать командную строку на клиентском компьютере.
Запрет запуска командной строки (cmd.exe).
На этом все. Если у вас остались вопросы, обязательно задайте их в комментариях.
При попытке запустить командную строку на клиентской машине вы получите сообщение.
Как добавить оснастку управление групповой политикой в Windows Server 2012R2
Обновлено 25.05.2019
Добрый день уважаемые читатели блога pyatilistnik.org, сегодня хочу рассказать о том, как добавить оснастку управление групповой политикой в Windows Server 2012R2. Групповая политика, это одна из удобных изюминок, которая есть в Active Directory, делая ее для системного администратора прекраснейшим механизмом по управлению его инфраструктурой. По умолчанию данная оснастка не установлена как и в любой редакции Windows Server, давайте же это исправим.
Открываем диспетчер сервера-Управление-Добавление роли и компонентов
Как добавить оснастку управление групповой политикой в Windows Server 2012R2-01
На приветственом окне жмем Далее.
Как добавить оснастку управление групповой политикой в Windows Server 2012R2-02
Оставляем Установка ролей и компонентов
Как добавить оснастку управление групповой политикой в Windows Server 2012R2-03
Выбираем сервер из пула серверов
Как добавить оснастку управление групповой политикой в Windows Server 2012R2-04
На вкладке Выбор ролей ничего не отмечаем
Как добавить оснастку управление групповой политикой в Windows Server 2012R2-05
В выборе компонентов ставим галку управление групповой политикой
Как добавить оснастку управление групповой политикой в Windows Server 2012R2-06
Установить
Как добавить оснастку управление групповой политикой в Windows Server 2012R2-07
После установки нажимаем закрыть и можно запускать оснастку. Вот так просто добавить оснастку управление групповой политикой в Windows Server 2012R2, так же советую почитать Как отключить ipv6 с помощью групповых политик в windows server 2008R2/2012R2
Май 25, 2019 23:12
Hi all,
Today I will show how to Implement Group Policy (GPO) in Windows Server 2012 R2…
For those who maintaining Server Infra you all know how challenging is the our task especially on the Group Policy, you as Administrators need a mechanism to configure and enforce user and computer settings and restrictions.
Group Policy can provide that consistency by enabling you as administrators to centrally manage and apply configuration settings.
For this demo, lets assume your IT Manager has asked you to create a central store for ADMX files to ensure that everyone can edit GPOs that have been created with customized ADMX files. You also need to create a starter GPO that includes Internet Explorer settings, and then configure a GPO that applies GPO settings for the Research department and the IT department.
For this demo also, I use my existing Domain Server which is DC01.comsys.local and my Windows 8 client which is Surface01.comsys.local.
1 – 1st, you need configure a Central Store on DC01 Server, but before that, go to your Group Policy Management on DC01.
2 – Next, on the Group Policy Management Console (GPMC), double cick Comsys.local, expand till you get Group Policy Objects folder. Right Click Default Domain Policy and click Edit…
3 – Next, on the Group Policy Management Editor, double click User Configuration, expand Policies, and then click Administrative Templates, if you check on that, you will see note saying Administrative Templates: Policy definitions (.admx files) retrieved from the local computer.
4 – Next, access to your Policies folder (c:windowsSYSVOLsysvolcomsys.local), here create a new folder name PolicyDefinitions.
5 – Next, access to your C:windowsPolicyDefinitions folder, what you need to do here is to copy all .adml & .admx files...
6 – then, paste the .adml & .admx files that you copied just now into c:windowsSYSVOLsysvolcomsys.localPolicyDefinitions folder.…
7 – Next, lets verify the administrative template location in GPMC.. open back your GPMC and then click on the Administrative Templates, you should see now it says Administrative Templates: Policy definitions (ADMX files) retrieved from the Central Store….
8 – Next step lets create Internet Explorer Restriction default starter GPO, on the GPMC, right click Starter GPOs and click New…
9 – In the New Starter GPO box, type ComSystem IE Restrictions, and in the Comment field, type This GPO created by Hamizi to disables the General page in IE Options, and then click OK…
10 – after you created the Started GPO, now we need to configure the IE Restriction starter GPO, to continue, right click ComSystem IE Restrictions and click Edit…
11 – Next, on the Group Policy Starter GPO Editor, go to User Configuration, Administrative Templates, and then right click All Settings, and then click Filter Options…
12 – then in the Filter Options box, click Enable Keyword Filters box and then in the Filter for word(s): field, type General page, then you choose Exact then click OK…
13 – Next, you need to double-click the Disable the General page setting, click Enabled, and then click OK..
14 – Our next step is to create an IE Restrictions GPO from the IE Restrictions starter GPO, to continue right click Comsys.local and click Create a GPO in this domain, and link it here…
15 – Next, in the New GPO box, type ComSystem IE Restrictions and then Under Source Starter GPO, select ComSystem IE Restrictions, and then click OK…
16 – so now lets test the GPO, see if it effected to our domain users or not…on the Windows 8 client, I log in as Alan.. Alan is from Research Department.
17 – once your user successfully log in, go to Control Panel and click Network and Internet, then click click Change your homepage..you should see a message box displays informing you that this feature has been disabled…
18 – you can click Internet Options and notice that in the Internet Properties dialog box the General tab does not display…
19 – so now for next step, lets use security filtering to exempt the IT Department from the Internet Explorer Restrictions policy.. on the GPMC, click ComSystem IE Restrictions GPO and click Delegation tab, then click Advanced button..
20 – Next, In the ComSystem IE Restrictions Security Settings box, click Add..
21 – then in the Select Users, Computers, Service Accounts, or Groups field, type IT Dept, and then click OK…
22 – next, In the ComSystem IE Restrictions Security Settings box, click the IT Dept (COMSYSIT Dept) group, next to the Apply group policy permission, select the Deny check box, and then click OK.. then click Yes to acknowledge..
23 – Now lets test the GPO for our IT Department.. on my Windows 8 I log in as Candy (Candy is a IT Engineer in IT Dept)…
24 – once Cindy successfully log in to Windows 8, go to Control Panel and click Network and Internet then click Change your homepage, The Internet Properties box opens to the General tab, and all settings are available..
that’s all for now folks.. c ya next time for more Windows Server 2012 R2 configuration…
Editor notes: This article came from a great opportunity I had to post on the MVP’s blog. Thanks to my MVP’s lead and Melissa Travers! (See link
there and there).
Today we will talk about setting up trusted sites via Group Policy Objects (GPOs) in Windows Server 2012 R2.
Seems like an easy topic, but if you have never done this before it is important to do so the correct way to avoid problems down the road.
The first method is fairly straightforward.
First Method: Internet Explorer Maintenance. Wait, where is it in Windows Server 2012 R2?
(Appendix B: Replacements for Internet Explorer Maintenance or see that link for further reading
Missing Internet Explorer Maintenance settings for Internet Explorer 11)
(Figure from there:
How Internet Explorer Maintenance Extension Works)
So, if you are migrating a Windows Server 2008 R2’s domain to Windows Server 2012 R2, be advised to replace those GPOs that use the Internet Maintenance Options.
The PRO of that Method:
— Easy to edit.
The CON of that Method:
— For adding only one trusted site, you will finish with all Internet Settings (including Zone Setting).
When deployed that way those settings get burned in the user profile, thus even if you remove the GPO, it will leave a lot of settings behind. That is the greatest drawback of these methods, as it’s hard to remove any error in the settings. Be advised that
method can bring problem if you edit it with a version of Internet Explorer not the same as the client computers. If you edit it when Internet Explorer is in Enhanced Security mode, then the target Internet Explorer will inherit those settings.
Second method: User Configuration->Preferences->Control Panel Settings->Internet Settings… Oh wait again, it’s unavailable.
The correct step is this way: User Configuration > Administrative Templates > Windows Components > Internet Explorer > Internet Control Panel > Security Page
“Site to Zone Assignment List”, click “Enable” and edit the list.
Add the site and the number two for Trusted Site. (1 = Intranet, 2 = trusted sites, 3 = Internet Zone and 4 = Restricted Site Zone.
To have a list like that (2 is for trusted site)
*.hotmail.com 2
*.outlook.com 2
*.bing.com 2
The PRO of that method:
— It standardizes all domain-joined computers as they will use the same list for everyone.
— It blocks users from entering new trusted sites. Though this can be a con for small offices or for Power Users wanting more autonomy.
The CON of this method:
— It blocks users for entering new trusted sites. This can be considered a PRO in big offices, as the list is standardized by the IT’s team.
After performing these steps, if your users receive this warning “The current webpage is trying to open a site on your intranet. Do you want to allow this?” when they navigate from the Internet Zone to the Trusted zone. You can tweak the
behaviour with a simple registry key with the Windows preference.
HKEY_LOCAL_MACHINE SOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones2
Value Name: 2101 Value Type: REG_DWORD Value: 0x0 (0)
Official description of the setting: This policy setting allows you to manage whether Web sites from less privileged zones, such as Restricted Sites, can navigate into this zone. If you enable this policy setting, Web sites from less privileged zones
can open new windows in, or navigate into, this zone. The security zone will run without the added layer of security that is provided by the Protection from Zone Elevation security feature. If you select Prompt in the drop-down box, a warning is issued to
the user that potentially risky navigation is about to occur. If you disable this policy setting, the possibly harmful navigations are prevented. The Internet Explorer security feature will be on in this zone as set by Protection from Zone Elevation feature
control. If you do not configure this policy setting, a warning is issued to the user that potentially risky navigation is about to occur.
For a complete list of registry key versus the GPO list please see that link:
Group Policy Settings Reference for Windows and Windows Server
Thanks everyone!