Групповые политики в Windows2000 Server

Параметры безопасности

С помощью расширения Параметры безопасности в GPO можно определить параметры политики безопасности, определяющие различные аспекты работы системы безопасности Windows 2000. Созданная в объекте групповой политики конфигурация воздействует на все компьютеры, находящиеся в контейнере, к которому присоединен данный GPO.

Расширение Параметры безопасности позволяет настраивать следующие аспекты системы безопасности компьютера:

Политики учетных записей (Account Policies).

Можно настраивать политики безопасности как учетных записей в масштабах домена, так и локальных учетных записей. Здесь определяются политика паролей, политика блокировки паролей и новая политика Kerberos, распространяющаяся на весь домен.

- Локальные политики (Local Policies).

Можно настраивать политику аудита, назначать права пользователей и различные параметры безопасности, доступные для настройки в системе Windows 2000.

Журнал событий (Event Log).

Можно настраивать политики безопасности, определяющие работу журналов событий приложений, системы и безопасности.

- Группы с ограниченным доступом (Restricted Groups).

Можно регулировать членство пользователей в специфических группах. Сюда обычно включают встроенные группы, такие как Администраторы, Операторы архива и другие, имеющие по умолчанию права администратора. В эту категорию могут быть включены и другие группы, безопасность которых требует особого внимания и членство в которых должно регулироваться на уровне политики.

- Системные службы (System Services).

Можно настраивать безопасность и параметры загрузки для работающих на компьютере служб. В этом разделе могут быть использованы расширения, с помощью которых можно осуществлять настройку безопасности, специфическую для данной службы. Например, расширение File Sharing Service позволяет настраивать политику безопасности для службы создания общего доступа к файлу (активизация подписи 8MB, ограничение анонимного доступа к общим ресурсам, формирование безопасности различных сетевых общих ресурсов и т. д.).

- Реестр (Registry).

Можно настраивать безопасность различных разделов реестра.

- Файловая система (File System).

Можно настраивать безопасность определенных файлов.

- Политики открытого ключа (Public Key Policies).

Можно настраивать политики безопасности в отношении шифрования информации с помощью EFS, авторизации корневого сертификата в масштабах домена, авторизации доверенного сертификата и т. д. Политики безопасности IP (IPSEC). Позволяет настраивать политику безопасности IP для компьютеров, находящихся в определенной области действия.

Политики безопасности, определяемые расширением Параметры безопасности, действуют на компьютеры и частично на пользователей. Поскольку политика безопасности Windows 2000 значительно отличается от политик предыдущих версий Windows NT, при переходе к Windows 2000 низкоуровневые политики безопасности не переносятся. Если при переходе создается новое дерево доменов, одновременно создается и новая политика безопасности, назначаемая по умолчанию. Если при переходе домен присоединяется к уже существующему дереву, политика безопасности берется от родительского домена.

Чтобы изменить настройки безопасности достаточно щелкнуть на папке Параметры безопасности, затем щелчками на соответствующих узлах открыть весь путь, ведущий к интересующим настройкам. В правом подокне окна оснастки Групповая политика двойным щелчком выбрать настраиваемую политику и в открывшемся окне настроить ее.

Установка программ (Software Installation)

Оснастка Установка программ предназначена для организации централизованного управления установкой программного обеспечения на компьютеры сети Windows 2000.

Она позволяет настроить два режима установки ПО на группу компьютеров, или для группы пользователей назначение (assignment) и публикация (publishing).

Назначение ПО группе пользователей или компьютеров предполагает, что все пользователи, которым необходима данная программа, будут автоматически получать ее без привлечения администраторов или технического персонала. Если для приложения установлен принудительный режим, ярлык, соответствующий данной программе, появляется в меню Пуск, а в реестр заносится информация о данном приложении, включая местоположение пакета и других файлов, необходимых для установки данного ПО. При первом обращении пользователя к ярлыку соответствующее программное обеспечение устанавливается и запускается.

Публикация программного обеспечения предполагает, что пользователь сам сможет решить, устанавливать ему данное приложение или нет. В данном случае ярлык в меню Пуск не появляется, локальный реестр тоже не изменяется. Вся информация, необходимая для установки программы, находится в Active Directory.

Для того, чтобы установить программу используются средства утилиты Установка и удаление программ (Add/Remove Programs) из панели управления.

Необходимо в окне диалога Установка и удаление программ нажать кнопку Установка новой программы (Add New Programs). Система выполнит поиск, всех программных пакетов, для которых настроена публикация. Результат, поиска (список всех приложений, для установки которых настроена публикация) будут отображены в поле Установка программ из сети (Add programs from your network).

Чтобы настроить автоматическую установку программного обеспечения на компьютеры клиентов следует запустить оснастку Групповая политика, открыть узел Установка программ.

В правом подокне или на узле Установка программ нажать правую кнопку мыши и в открывшемся контекстном меню выбрать команду Создать|Пакет (New|Package).

Откроется окно диалога Открыть, в котором нужно перейти к местоположению настраиваемого программного пакета, выбрать его и нажать кнопку Открыть.

Откроется окно диалога Развертывание программ (Deploy Software) в котором необходимо указать, какой метод развертывания программного пакета необходим: публичный (Published) (этот режим может быть установлен только для пользователя), назначенный (Assigned) или публичный или назначенный с особыми свойствами (Advanced published or assigned).

В последнем случае откроется окно диалога Свойства для настройки необходимых свойств программного пакета. Если в дальнейшем понадобится изменить свойства программного пакета, настроенного для автоматической установки, достаточно щелкнуть на нем дважды в правом подокне.

Для удаления программного пакета из автоматической установки необходимо указать удаляемый пакет, нажать правую кнопку мыши и в контекстном меню выбрать команду Все задачи (All Tasks), а в появившемся подменю выберите команду Удалить.

Сценарии (Scripts)

С помощью этого расширения можно задать сценарии, которые должны выполняться на компьютере при загрузке и завершении работы операционной системы, а также при регистрации пользователя в системе и окончании сеанса работы.

Выполнять сценарии, написанные на Visual Basic Scripting Edition и JScript, можно с помощью сервера сценариев Windows Windows Scripting Host. Это независимый от языка сервер выполнения сценариев, предназначенный для 32-разрядных платформ Windows.

Если необходимо задать сценарий, выполняющийся при загрузке операционной системы или завершении ее/работы, необходимо открыть узел Конфигурация компьютера оснастки Групповая политика.

Чтобы задать сценарий, выполняющийся при регистрации пользователя в системе и выходе из системы, откройте узел Конфигурация пользователя.

Итак, открываем узел Сценарии.

В правом подокне окна оснастки Групповая политика появится пара образов сценариев: Автозагрузка/Завершение (Startup/Shutdown) для компьютера и Вход в систему/Выход из системы (Logon/Logoff) для пользователя. Для подключения сценария укажите соответствующий образ и нажмите правую кнопку мыши. В контекстном меню выберите команду Свойства. Откроется окно диалога свойств сценариев.

В этом окне нажмите кнопку Добавить. Откроется окно диалога Добавление сценария (Add a Script), в котором введите имя присоединяемого сценария и задайте необходимые значения параметров. Если имя сценария неизвестно, нажмите кнопку Обзор отобразится содержимое папки, где по умолчанию хранятся сценарии (каждый тип сценария находится в собственной папке на общем томе SYSVOL). Здесь можно выбрать необходимый сценарий. Для быстрого перехода к папке со сценариями служит кнопка Показать файлы (Show Files) в окне свойств сценариев.

Перенаправление папки (Folder Redirection)

Оснастка Перенаправление папки позволяет перенаправить некоторые папки профиля пользователя в другое место (как правило, на общий ресурс сети).

Перенаправление возможно для следующих папок:

- Application Data

- Мои рисунки (My Pictures)

- Рабочий стол (Desktop)

- Главное меню (Start Menu)

- Мои документы (My Documents)

Перенаправление папки на общий ресурс сети позволяет, например, обеспечить доступ к информации перечисленных папок для различных компьютеров сети (особенно важно для папки Мои документы), а также повысить отказоустойчивость и упростить создание резервных копий информации.

Для того, чтобы перенаправить специальную папку на общий ресурс сети необходимо в оснастке Групповая политика открыть узел Перенаправление папки.

Указать специальную папку и нажать правую кнопку мыши. В открывшемся контекстном меню выбрать команду Свойства.

В окне свойств папки в раскрывающемся списке Значение (Setting) выбрать пункт "Перенаправлять папки всех пользователей в одно место", если данная специальная папка переназначается в одно место для всех пользователей. Появится поле ввода Размещение конечной папки (Target Folder Location). Нажмите кнопку Обзор и укажите местоположение переназначаемой информации.

Если специальная папка для различных групп переназначается в разные места, в списке Значение выберите пункт "Указать различные места для разных груп пользователей". В этом случае в нижней части окна свойств папки появится поле Членство в группе безопасности (Security Group Membership).

Нажмите кнопку Добавить. В открывшемся окне диалога Выбор группы и размещения (Specify Group and Location) введите имя группы пользователей и соответствующее ей целевое местоположение переназначаемой информации

Итак, мы с вами рассмотрели основные расширения оснастки групповая политика на стороне контроллера домена, теперь рассмотрим как они "выглядят" на стороне клиента.

Некоторым расширениям оснастки Групповая политика, находящимся на сервере, соответствуют расширения, работающие у клиента. Они предназначены, для отработки настроек групповых политик на клиентских компьютерах. Расширения, работающие на стороне клиента, представляют собой модули DLL, загружаемые в операционной системе клиентского компьютера по требованию в процессе отработки настроек групповых политик.

При загрузке операционная система запрашивает список доступных объектов групповой политики. Затем последовательно просматриваются существующие расширения на стороне клиента и определяется, имеют ли они какие-либо данные в доступных GPO. Если расширение на стороне клиента имеет данные в каком-нибудь из доступных объектов групповой политики, оно вызывается с параметром списком объектов групповой политики, которые необходимо обработать.

Объекты GPO и Active Directory. Порядок применения групповых политик

GPO хранит информацию о настройках групповых политик в двух структурах контейнере групповых политик (Group Policy Container, GPC) и шаблоне групповых политик (Group Policy Template, GPT).

Контейнер групповых политик представляет собой объект Active Directory, в котором хранятся свойства GPO: версия, список расширений, которые хранят свои настройки в объекте групповой политики, состояние GPO и т. д.

Шаблон групповых политик это папка, где находится информация о настройках, модифицируемых с помощью оснастки Групповая политика: политики, настраиваемые с помощью административных шаблонов, настройки безопасности, приложения, управление которыми осуществляется посредством расширения, Установка программ, сценарии, заданные с помощью расширения Сценарии, и т. д.

Папка шаблона групповых политик находится на системном томе контроллеров доменов в папке Policies.

При работе с GPO имя папки его шаблона групповых политик выступает в качестве глобального уникального идентификатора (Global Unique Identifier, GUID), уникально характеризующего данный объект групповой политики.

Оснастку Групповая политика можно настроить так, что информация о групповых политиках будет храниться вне GPO.

Однако в этом случае в одном из стандартных мест хранения информации о групповых политиках необходимо сохранить ссылку (link) на местоположение данных GPO.

Локальные GPO

На каждом компьютере сети Windows 2000 существует локальный объект групповой политики, представляющий собой шаблон групповых политик. По умолчанию он содержит только информацию безопасности.

Внутри папки шаблона групповых политик имеются следующие подкаталоги

- Adm (если компьютер входит в домен).

Здесь находятся все файлы *.adm для данного шаблона групповых политик.

- Machine.

Здесь хранится файл Registry.pol со значениями параметров реестра, устанавливаемыми для компьютера. При загрузке операционной системы файл Registry.pol копируется с контроллера домена, и его данные записываются в реестр в раздел HKEY_LQCAL_MACHINE. Если компьютер входит в домен, в папке Machine появляется подкаталог Scripts (где находятся все сценарии и связанные с ним файлы), в котором находятся подкаталоги Shutdown и Startup для сценариев выключения и запуска системы (соответственно).

- User.

Здесь хранится (если компьютер входит в домен) файл Registry.pol со значениями параметров реестра, устанавливаемыми для пользователей. Когда пользователь регистрируется в системе, файл Registry.pol копируется с контроллера домена, и его данные записываются в реестр в раздел HKEY_CURRENT_USER. Если компьютер входит в домен, падка User содержит подкаталог Scripts, где находятся все сценарии и связанные с ними файлы, и подкаталоги Logoff и Logon (для сценариев выхода из системы и регистрации в системе

Как происходит применение групповых политик?

Групповые политик запускаются в последовательности, соответствующей иерархии GPO:

сначала объект групповой политики сайта, затем домена, затем GPO, связанные с подразделениями в соответствии с их вложенностью.

Порядок выполнения групповых политик можно изменить с помощью настроек, блокирующих определенные групповые политики или заставляющих их выполняться принудительно.

По умолчанию настройки групповой политики, применяемые к контейнеру определенного уровня, наследуются всеми контейнерами более низких уровней и находящимися внутри них пользователями и компьютерами.

Если с дочерней организационной единицей (контейнером) связан свой GPO, он может устанавливать для нее индивидуальные настройки групповых политик, отменяющие применение к ней наследуемых настроек.

Если некоторые настройки групповых политик родительского контейнера не заданы (not defined), то они не наследуются и дочерними контейнерами.

Если родительский контейнер обладает сконфигурированными настройками групповых политик, которые не заданы в GPO дочернего контейнера, то такие настройки наследуются.

Наследование настроек групповых политик родительского контейнера дочерним контейнером, с которым связан собственный объект групповой политики, может иметь место только в случае совместимости этих групповых политик. Например, если политика родительского контейнера задает определенную конфигурацию рабочего стола компьютера пользователя, а политика дочернего контейнера дополняет ее, пользователь увидит на своем рабочем столе все элементы, заданные обеими политиками.

Если же групповая политика родительского контейнера противоречит групповой политике дочернего контейнера, выполняются только настройки GPO, связанного с дочерним контейнером.

Подобное положение вещей может быть изменено. Если установить флажок Блокировать наследование политики (Block Policy inheritance), который находится на вкладке Групповая политика окна свойств некоторого контейнера, это запретит наследование каких-либо групповых политик, установленных для родительского контейнера.

Существует средство, позволяющее настроить принудительное применение групповой политики, настроенной для некоторого контейнера, всеми контейнерами более низкого уровня.

Для этого на вкладке Групповая политика окна свойств контейнера следует нажать кнопку Параметры (Options). В появившемся окне диалога Параметры имя_подразделения необходимо установить флажок Не перекрывать (No override).

В этом случае дочерние контейнеры будут наследовать (т. е. не смогут переопределить) все настройки родительского контейнера, даже в том случае, если для дочерних контейнеров установлен флажок Блокировать наследование политики.

По умолчанию групповая политика применяется синхронно, т. е. политики компьютера применяются до появления окна Вход в Windows (Log on to Windows), а политики пользователя до передачи операционной системой управления оболочке, интерактивно взаимодействующей с пользователем.

Подобный порядок можно изменить, однако делать это не рекомендуется, поскольку асинхронное применение групповых политик может привести к непредсказуемым и нежелательным результатам.

Применение групповых политик не ограничивается только, например, моментом загрузки операционной системы компьютера или регистрацией пользователя в системе. При работе компьютера в сети групповые политики могут измениться, поэтому они применяются периодически (по умолчанию каждые 90 минут).

Длительность периода применения политик можно изменять. Если задать его равным нулю, групповые политики применяются через каждые 7 секунд. Следует учитывать, что при уменьшении периода применения групповых политик значительно увеличивается нагрузка на систему. На контроллерах доменов период применения политик равен 5-ти минутам.

Настройки расширений Установка программ и Переназначение папки применяются только при загрузке операционной системы или регистрации пользователя в системе, поскольку периодическое применение этих групповых политик может вызвать нежелательные результаты.

Итак, для блокировки и настройки принудительного выполнения групповой политики следует запустить оснастку Active Directory пользователи и компьютеры, указать нужный контейнер, в окне свойств этого контейнера перейти на вкладку Групповая политик, нажать кнопку Параметры и в открывшемся окне установите флажок Не перекрывать (как было показано выше).

Теперь настройки дочерних объектов групповой политики не смогут изменять действие (переопределять) настроек данного объекта.

Если в окне свойств контейнера установите флажок Блокировать наследование политики, что запретит распространение групповой политики более высокого уровня на текущий контейнер и контейнеры нижних уровней.

Как происходит применение групповых политик на клиентской стороне?

Периодичность применения групповых политик на клиентской стороне во многом определяется пропускной способностью канала, по которому клиент обменивается информацией с серверами сети. При работе по медленному каналу администратор может увеличить период применения групповых политик.

Если система обнаружила, что клиент присоединен по низкоскоростной линии, устанавливаются соответствующие флаги, влияющие на применение групповых политик.

По умолчанию при наличии медленного канала загружаются только настройки узлов Административные шаблоны и Параметры безопасности.

Однако с помощью специальных настроек можно регулировать работу расширений оснастки Групповая политика на клиентской стороне. Среди таких настроек отметим следующие политики:

- Обнаружение медленных подключений для групповой политики (Group Policy slow link detection).

Данная политика позволяет указать пороговую скорость подключения: если реальная скорость передачи обновлений групповых политик на компьютер будет ниже заданного порога, система считает это подключение "медленным".

- Запретить фоновое обновление групповой политики (Disable background refresh of Group Policy).

Как уже говорилось, все групповые политики компьютера применяются при загрузке операционной системы, а политики пользователя при его регистрации в системе. Периодическое фоновое применение групповых политик происходит каждые 90 минут. В условиях работы по медленному каналу удобнее отключить фоновое применение групповых политик для сохранения определенного уровня производительности системы.

- Интервал обновления групповой политики для компьютеров (Group Policy refresh interval for computers).

Можно изменить заданную по умолчанию частоту обновлений в фоновом режиме. Помимо фонового обновления, политика для компьютера всегда применяется при запуске системы. Существует аналогичная политика для пользователей

Для настройки всех перечисленных выше и других параметров следует в оснастке Групповая политика, если требуется настроить параметр для группы компьютеров, то открыть узел Конфигурация компьютера. Если требуется настроить параметр для группы пользователей, открыть узел Конфигурация пользователя. Затем открыть узел Административные шаблоны|Система|Групповая политика.

Дважды щелкнув по нужной политике, можно установить необходимый параметр

Теперь рассмотрим особенности настройки групповых политик на автономном компьютере. В операционной системе Windows 2000 реализована новая концепция управления политиками безопасности компьютера.

Каждый компьютер обладает своим собственным локальным объектом групповой политики (Local Group Policy Object, LGPO), который можно редактировать.

Если компьютер Windows 2000 не присоединен к домену, то на нем активна только локальная групповая политика. После присоединения к домену групповые политики применяются в соответствии с их иерархией. Следует обратить внимание, что локальная групповая политика применяется даже при включенной блокировке наследования политики от контейнеров более высокого уровня.

Для редактирования локального объекта групповой политики загрузите его в оснастку Групповая политика (при присоединении оснастки в поле ввода Объект групповой политики нужно указать опцию Локальный компьютер). Ниже на примерах показано, как редактировать параметры локальных политик.

Блокирование локальных учетных записей

После нескольких неудачных попыток регистрации в системе учетная запись пользователя должна быть заблокирована. Вы можете установить допустимое максимальное количество неудачных попыток. Следует заметить, что разблокировать учетную запись может только администратор.

Для модификации локальной политики учетных записей в оснастке Групповая политика используется узел Конфигурация компьютера|Конфигурация Windows|Параметры безопасности|Политики учетных записей|Политика блокировки учетной записи.

Дважды щелкнув на соответствующей политике, можно задать ее параметры, например, необходимо установить Пороговое значение блокировки (Account lockout threshold).

В открывшемся окне Параметр локальной политики безопасности (Local Security Policy Setting) в поле при ошибках входа в систему (invalid logon attempts) можно ввести новое значение.

Настройка безопасности для раздела реестра

Рассмотрим, как можно настроить безопасность для раздела реестра HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NT.

Администраторы получат полный контроль, а все остальные аутентифицированные пользователи будут иметь доступ только на чтение. Последовательность настройки безопасности для раздела реестра следующая:

В оснастке Групповая политика открываем узел Конфигурация компьютера|Конфигурация Windows|Параметры безопасности, и выбираем папку Реестр.

По нажатию правой кнопкой мыши в появившемся контекстном меню выбираем команду Добавить раздел (Add Key). Запустится браузер реестра.

Переходим к узлу MacIuneSoftwareMicrosoftWindows NT. Откроется стандартное окно редактора списков управления доступом (ACL), в котором можно настроить разрешения для выбранного раздела.

Для изменения списка объектов, имеющих разрешение доступа к данному разделу, используйте кнопки Добавить и Удалить. Здесь можно задать полный доступ только для администраторов и доступ только на чтение для остальных пользователей. По завершении корректировки данных нажимаем ОК.

При настройке безопасности раздела реестра можно задать три типа действия безопасности:

- Распространить наследуемые разрешения на все подразделы (Propagate inheritable permissions to all subkeys)

разрешения, установленные для данного раздела реестра, будут автоматически наследоваться ниже по дереву. При этом все напрямую заданные разрешения на доступ к подразделам будут сохранены, и к ним будут добавлены унаследованные разрешения.

- Заменить текущие разрешения во всех подразделах наследуемыми (Replace existing permissions on all subkeys with inheritable permissions)

разрешения на доступ, установленные для данного раздела реестра, будут автоматически наследоваться ниже по дереву. Но в данном случае любые напрямую заданные права доступа к подразделам будут перезаписаны новыми установками. Действовать будут только вновь созданные разрешения.

Запретить замену разрешений в этом разделе (Do not allow permissions on this key to be replaced).

Если для родительского раздела установлены новые разрешения, то они наследуются всеми подразделами и перезаписывают все остальные прямые установки. Однако один из подразделов может быть сконфигурирован так, что настройки безопасности родительского раздела будут игнорироваться и не будут распространяться ниже по дереву

Все сделанные нами изменения в настройках будут сохранены и начнут работать в локальной политике безопасности