Оснастка Групповые политики (Group Policy)
Групповые политики позволяют разграничивать доступ к общим ресурсам сети, что позволяет осуществлять высокий уровень гибкости:
Пользователи и их рабочая среда Windows 2000 может контролироваться и управляться.
То, что вы можете сделать при помощи групповых политик, включает в себя распространение программного обеспечения, обновление настроек, таких, как настройки прокси-сервера в Internet Explorer, запрещение пользователю пользоваться панелью управления и т.д и т.п. Для этого следует просто необходимо ознакомиться с сотнями установок, которые могут быть выполнены в групповых политиках, но вовсе не обязательно помнить все (или даже большую часть) из них. Наша цель - научится понимать, зачем различные возможные установки групповых политик Windows 2000 существуют. Этому мы и посвящаем статью.
Групповые политики расширяют и используют преимущества службы Active Directory. Их настройки находятся в объектах групповых политик - Group Policy Object, GPO, которые в свою очередь ассоциируются с такими контейнерами Active Directory, как сайты, домены и подразделения (организационные единицы).
Политики безопасности Windows 2000 хранятся в двух типах объектов GPO:
локальном объекте групповой политики
и объекте групповой политики домена
Объекты групповой политики (GPO)
Оснастка Групповая политика (Group Policy)
При создании, настройке и хранении параметров групповых политик применяется подход, позволяющий работать с GPO как с документами.
После создания GPO ассоциируется с определенным контейнером Active Directory, и в результате групповые политики, хранящиеся в данном GPO, будут выполняться для всех компьютеров и пользователей, находящихся в этом контейнере. Дополнительными средствами настройки групповых политик в контейнере являются группы безопасности и дискреционные разрешения доступа.
GPO создается с помощью оснастки консоли управления Групповая политика, которая может вызываться как изолированный инструмент и в качестве расширения таких оснасток, как Active Directory пользователи и компьютеры (Active Directory Users and Computers) или Active Directory сайты и службы (Active Directory Site and Services).
Для вызова оснастки Групповая политика в качестве расширения в окне соответствующей оснастки укажите нужный контейнер и щелкните правой кнопкой мыши. В появившемся контекстном меню выберите команду Свойства (Properties). В открывшемся окне перейдите на вкладку Групповая политика (Group Policy). С ее помощью вы сможете просматривать контейнеры Active Directory и ассоциированные с ними GPO.
Запуск оснастки Групповая политика, как изолированной оснастки нужно выполнять с помощью меню Пуск (Start)-> Выполнить (Run). Следует запустить консоль управления Microsoft (MMC). Выбрать в меню Консоль команду Добавить/удалить оснастку, в следующем окне нажать кнопку Добавить. В окне Добавить изолированную оснастку выбрать элемент Групповая политика, затем нажать кнопку Добавить.
В следующем окне Выбор объекта групповой политики нажать кнопку Обзор. Запустится браузер GPO. Если создается новый GPO с именем, установленным по умолчанию, нажимаем кнопку Новый объект групповой политики (Create New Group Policy Object). Затем можно его переименовать.
Примечание
Операционная система не следит за уникальностью имен объектов групповых политик безопасности, поскольку каждый GPO обладает внутренним глобальным уникальным идентификатором (GUID). За уникальность имени отвечает его создатель.
Закрываем окно браузера GPO и окно диалога Поиск объекта групповой политики.
Теперь в оснастке Групповая политика загружен, только что созданный GPO.
Можно выбрать уже существующий GPO для отдельного компьютера, подразделения, сайта или домена. Затем такую оснастку можно сохранить в файле с любым именем.
Создать групповую политику для контейнера Active Directory можно только при наличии определенного набора условий:
Необходимо иметь работающий контроллер домена Windows 2000.
Пользователь, который создает групповую политику, должен обладать правами на чтение и запись в системный том контроллеров домена (папка Sysvol). Кроме того, он должен иметь право модификации выбранного контейнера Active Directory.
После запуска оснастки Групповая политика в окне структуры появляется набор узлов, которые являются расширениями этой оснастки, как вы видели на предыдущем рисунке.
По умолчанию все расширения загружаются в процессе запуска оснастки. Однако их состав можно изменить с помощью средств создания индивидуальной конфигурации консоли ММС и с помощью политик, определяющих работу самой консоли. Подход, предполагающий применение расширений, позволяет пользователям создавать свои собственные расширения оснастки Групповая политика, наделяя ее способностью устанавливать дополнительные групповые политики. Любое расширение может в свою очередь состоять из расширений, поэтому оснастка Групповая политика чрезвычайно гибкий инструмент, который можно сконфигурировать для конкретной компьютерной среды.
При запуске оснастка Групповая политика загружает корневой узел, представляющий собой GPO, присоединенный к определенному контейнеру. Имя этого GPO и имя контейнера, к которому он присоединен, отображаются в окне структуры в следующем формате:
Политика Имя_СРО[.Имя_домена.соm]
Затем пространство имен подразделяется на два узла более низкого уровня Конфигурация компьютера (Computer Configuration) и Конфигурация пользователя (User Configuration).
Используя их, можно создавать и настраивать групповые политики для компьютера и пользователей. Рассмотрим настройки каждого отдельно.
Узел Конфигурация компьютера (Computer Configuration)
Узел Конфигурация компьютера содержит параметры всех политик, определяющих работу компьютера. Они регулируют функционирование операционной системы вид рабочего стола, задают параметры выполняемых приложений определяют работу средств обеспечения безопасности и т. д. Групповая политика применяется к компьютеру на этапе загрузки системы и в дальнейшем при выполнении циклов обновления
Узел Конфигурация пользователя (User Configuration)
Узел Конфигурация пользователя содержит параметры всех политик, определяющих работу пользователя на компьютере. Они регулируют вид рабочего стола, задают параметры выполняющихся приложений, определяют работу средств обеспечения безопасности и пользовательских сценариев входа и выхода. Групповая политика применяется к пользователю при его регистрации на компьютере и в дальнейшем при выполнении циклов обновления.
Ниже родительских узлов Конфигурация компьютера и Конфигурация пользователя находятся дочерние узлы, каждый из которых является полноценным расширением оснастки Групповая политика. Они могут находиться в обоих родительских узлах, хотя и с различными параметрами, или индивидуально расширять узлы Конфигурация компьютера или Конфигурация пользователя.
Оснастка Групповая политика имеет следующие расширения:
- Административные шаблоны. (Administrative Templates).
Здесь находится групповая политика, определяющая параметры реестра, задающие работу и внешний вид рабочего стола, компонент операционной системы и приложений.
- Параметры безопасности (Security Settings).
Служит для настройки параметров системы безопасности компьютеров, на которые воздействует данный объект групповой политики. С помощью групповых политик можно настроить безопасность локального компьютера, домена и целой сети.
- Установка программ (Software Installation).
Служит для централизованного управления программным обеспечением организации. С его помощью можно задавать различные режимы установки новых программ на компьютеры пользователей.
- Сценарии (Scripts).
Сценарии используются для автоматического выполнения набора команд при загрузке операционной системы и в процессе завершения ее работы, а также при регистрации и отключении пользователя от сети. Для выполнения сценариев, написанных на Microsoft JScript и Microsoft Visual Basic Scripting Edition, можно применять сервер сценариев (Windows Scripting Host).
- Перенаправление папок (Folder Redirection).
Позволяет перенаправлять обращение к специальным папкам в сеть.
Рассмотрим основные настройки каждого из перечисленных расширений.
Административные шаблоны (Administrative Templates)
С помощью расширения Административные шаблоны администратор системы может настроить целый набор параметров реестра, задающих режим функционирования компонентов операционной системы и приложений.
Задать конкретные параметры, доступные для модификации с помощью интерфейса пользователя оснастки Групповая политика, можно с помощью специальных административных шаблонов. Модифицируемые значения параметров реестра, относящиеся к зарегистрированному в компьютере пользователю, записываются в раздел реестра HKEY_CURRENT_USER. Значения шаблонов, относящиеся к компьютеру, записываются в раздел HKEY_LOCAL_MACHINE.
Административный шаблон представляет собой текстовый файл в кодировке Unicode с расширением adm, информация которого определяет, как доступные для модификации параметры реестра должны отображаться в окне интерфейса пользователя оснастки Групповая политика. Кроме того, административные шаблоны задают разделы реестра, куда должны быть записаны модифицированные значения параметров, с их помощью проверяется допустимость вводимых значений параметров. В некоторых случаях с помощью шаблонов могут быть заданы значения параметров реестра, выбираемые по умолчанию.
Операционная система Windows 2000 содержит два файла административных шаблонов system.adm и inetres.adm, где описаны все параметры реестра, доступные для изменения и отображаемые в расширении Административные шаблоны по умолчанию.
Узел Административные шаблоны может быть расширен с помощью меню Добавление и удаление шаблонов (Add/Remove Template).
В окне Добавление и удаление шаблонов можно добавить нужный шаблон (или удалить ненужный). Если была необходимость добавить, то в окне Шаблоны политики (Policy Templates) следует выбрать добавляемый шаблон и нажать кнопку Открыть (Open).
Внутри узла Административные шаблоны появятся дополнительные папки, соответствующие добавленному шаблону. С их помощью администратор может редактировать параметры дополнительного набора разделов реестра.
Существует возможность создавать индивидуальные административные шаблоны.
При установке нового программного обеспечения, как вам известно, содержимое реестра изменяется. Как правило, в нем появляются новые параметры и даже ветви. Ими нельзя управлять с помощью оснастки Групповая политика, поскольку стандартные административные шаблоны не предоставляют доступ к вновь появившимся разделам реестра. В таких случаях необходимо создать индивидуальный административный шаблон.
Он может быть сгенерирован с помощью любого текстового редактора, позволяющего работать с файлами в кодировке Unicode, например, программы Блокнот (Notepad).
В административном шаблоне с помощью специального языка определяется иерархия категорий и подкатегорий, задающая взаимоотношения между доступными для модификации параметрами реестра. Каждая из категорий и подкатегорий может состоять из нескольких политик. Каждая политика, в свою очередь, может состоять из нескольких частей. Все политики и части политик описываются с помощью операторов языка создания административных шаблонов. Они позволяют описать название политики, параметр реестра, который регулирует политика, набор допустимых значений параметра, элементы управления пользовательского интерфейса оснастки Групповая политика, с помощью которых можно настроить данный параметр и т. д. Мы не будем рассматривать состав и синтаксис языка создания административных шаблонов.
Параметры безопасности
С помощью расширения Параметры безопасности в GPO можно определить параметры политики безопасности, определяющие различные аспекты работы системы безопасности Windows 2000. Созданная в объекте групповой политики конфигурация воздействует на все компьютеры, находящиеся в контейнере, к которому присоединен данный GPO.
Расширение Параметры безопасности позволяет настраивать следующие аспекты системы безопасности компьютера:
Политики учетных записей (Account Policies).
Можно настраивать политики безопасности как учетных записей в масштабах домена, так и локальных учетных записей. Здесь определяются политика паролей, политика блокировки паролей и новая политика Kerberos, распространяющаяся на весь домен.
- Локальные политики (Local Policies).
Можно настраивать политику аудита, назначать права пользователей и различные параметры безопасности, доступные для настройки в системе Windows 2000.
Журнал событий (Event Log).
Можно настраивать политики безопасности, определяющие работу журналов событий приложений, системы и безопасности.
- Группы с ограниченным доступом (Restricted Groups).
Можно регулировать членство пользователей в специфических группах. Сюда обычно включают встроенные группы, такие как Администраторы, Операторы архива и другие, имеющие по умолчанию права администратора. В эту категорию могут быть включены и другие группы, безопасность которых требует особого внимания и членство в которых должно регулироваться на уровне политики.
- Системные службы (System Services).
Можно настраивать безопасность и параметры загрузки для работающих на компьютере служб. В этом разделе могут быть использованы расширения, с помощью которых можно осуществлять настройку безопасности, специфическую для данной службы. Например, расширение File Sharing Service позволяет настраивать политику безопасности для службы создания общего доступа к файлу (активизация подписи 8MB, ограничение анонимного доступа к общим ресурсам, формирование безопасности различных сетевых общих ресурсов и т. д.).
- Реестр (Registry).
Можно настраивать безопасность различных разделов реестра.
- Файловая система (File System).
Можно настраивать безопасность определенных файлов.
- Политики открытого ключа (Public Key Policies).
Можно настраивать политики безопасности в отношении шифрования информации с помощью EFS, авторизации корневого сертификата в масштабах домена, авторизации доверенного сертификата и т. д. Политики безопасности IP (IPSEC). Позволяет настраивать политику безопасности IP для компьютеров, находящихся в определенной области действия.
Политики безопасности, определяемые расширением Параметры безопасности, действуют на компьютеры и частично на пользователей. Поскольку политика безопасности Windows 2000 значительно отличается от политик предыдущих версий Windows NT, при переходе к Windows 2000 низкоуровневые политики безопасности не переносятся. Если при переходе создается новое дерево доменов, одновременно создается и новая политика безопасности, назначаемая по умолчанию. Если при переходе домен присоединяется к уже существующему дереву, политика безопасности берется от родительского домена.
Чтобы изменить настройки безопасности достаточно щелкнуть на папке Параметры безопасности, затем щелчками на соответствующих узлах открыть весь путь, ведущий к интересующим настройкам. В правом подокне окна оснастки Групповая политика двойным щелчком выбрать настраиваемую политику и в открывшемся окне настроить ее.
Установка программ (Software Installation)
Оснастка Установка программ предназначена для организации централизованного управления установкой программного обеспечения на компьютеры сети Windows 2000.
Она позволяет настроить два режима установки ПО на группу компьютеров, или для группы пользователей назначение (assignment) и публикация (publishing).
Назначение ПО группе пользователей или компьютеров предполагает, что все пользователи, которым необходима данная программа, будут автоматически получать ее без привлечения администраторов или технического персонала. Если для приложения установлен принудительный режим, ярлык, соответствующий данной программе, появляется в меню Пуск, а в реестр заносится информация о данном приложении, включая местоположение пакета и других файлов, необходимых для установки данного ПО. При первом обращении пользователя к ярлыку соответствующее программное обеспечение устанавливается и запускается.
Публикация программного обеспечения предполагает, что пользователь сам сможет решить, устанавливать ему данное приложение или нет. В данном случае ярлык в меню Пуск не появляется, локальный реестр тоже не изменяется. Вся информация, необходимая для установки программы, находится в Active Directory.
Для того, чтобы установить программу используются средства утилиты Установка и удаление программ (Add/Remove Programs) из панели управления.
Необходимо в окне диалога Установка и удаление программ нажать кнопку Установка новой программы (Add New Programs). Система выполнит поиск, всех программных пакетов, для которых настроена публикация. Результат, поиска (список всех приложений, для установки которых настроена публикация) будут отображены в поле Установка программ из сети (Add programs from your network).
Чтобы настроить автоматическую установку программного обеспечения на компьютеры клиентов следует запустить оснастку Групповая политика, открыть узел Установка программ.
В правом подокне или на узле Установка программ нажать правую кнопку мыши и в открывшемся контекстном меню выбрать команду Создать|Пакет (New|Package).
Откроется окно диалога Открыть, в котором нужно перейти к местоположению настраиваемого программного пакета, выбрать его и нажать кнопку Открыть.
Откроется окно диалога Развертывание программ (Deploy Software) в котором необходимо указать, какой метод развертывания программного пакета необходим: публичный (Published) (этот режим может быть установлен только для пользователя), назначенный (Assigned) или публичный или назначенный с особыми свойствами (Advanced published or assigned).
В последнем случае откроется окно диалога Свойства для настройки необходимых свойств программного пакета. Если в дальнейшем понадобится изменить свойства программного пакета, настроенного для автоматической установки, достаточно щелкнуть на нем дважды в правом подокне.
Для удаления программного пакета из автоматической установки необходимо указать удаляемый пакет, нажать правую кнопку мыши и в контекстном меню выбрать команду Все задачи (All Tasks), а в появившемся подменю выберите команду Удалить.
Сценарии (Scripts)
С помощью этого расширения можно задать сценарии, которые должны выполняться на компьютере при загрузке и завершении работы операционной системы, а также при регистрации пользователя в системе и окончании сеанса работы.
Выполнять сценарии, написанные на Visual Basic Scripting Edition и JScript, можно с помощью сервера сценариев Windows Windows Scripting Host. Это независимый от языка сервер выполнения сценариев, предназначенный для 32-разрядных платформ Windows.
Если необходимо задать сценарий, выполняющийся при загрузке операционной системы или завершении ее/работы, необходимо открыть узел Конфигурация компьютера оснастки Групповая политика.
Чтобы задать сценарий, выполняющийся при регистрации пользователя в системе и выходе из системы, откройте узел Конфигурация пользователя.
Итак, открываем узел Сценарии.
В правом подокне окна оснастки Групповая политика появится пара образов сценариев: Автозагрузка/Завершение (Startup/Shutdown) для компьютера и Вход в систему/Выход из системы (Logon/Logoff) для пользователя. Для подключения сценария укажите соответствующий образ и нажмите правую кнопку мыши. В контекстном меню выберите команду Свойства. Откроется окно диалога свойств сценариев.
В этом окне нажмите кнопку Добавить. Откроется окно диалога Добавление сценария (Add a Script), в котором введите имя присоединяемого сценария и задайте необходимые значения параметров. Если имя сценария неизвестно, нажмите кнопку Обзор отобразится содержимое папки, где по умолчанию хранятся сценарии (каждый тип сценария находится в собственной папке на общем томе SYSVOL). Здесь можно выбрать необходимый сценарий. Для быстрого перехода к папке со сценариями служит кнопка Показать файлы (Show Files) в окне свойств сценариев.
Перенаправление папки (Folder Redirection)
Оснастка Перенаправление папки позволяет перенаправить некоторые папки профиля пользователя в другое место (как правило, на общий ресурс сети).
Перенаправление возможно для следующих папок:
- Application Data
- Мои рисунки (My Pictures)
- Рабочий стол (Desktop)
- Главное меню (Start Menu)
- Мои документы (My Documents)
Перенаправление папки на общий ресурс сети позволяет, например, обеспечить доступ к информации перечисленных папок для различных компьютеров сети (особенно важно для папки Мои документы), а также повысить отказоустойчивость и упростить создание резервных копий информации.
Для того, чтобы перенаправить специальную папку на общий ресурс сети необходимо в оснастке Групповая политика открыть узел Перенаправление папки.
Указать специальную папку и нажать правую кнопку мыши. В открывшемся контекстном меню выбрать команду Свойства.
В окне свойств папки в раскрывающемся списке Значение (Setting) выбрать пункт "Перенаправлять папки всех пользователей в одно место", если данная специальная папка переназначается в одно место для всех пользователей. Появится поле ввода Размещение конечной папки (Target Folder Location). Нажмите кнопку Обзор и укажите местоположение переназначаемой информации.
Если специальная папка для различных групп переназначается в разные места, в списке Значение выберите пункт "Указать различные места для разных груп пользователей". В этом случае в нижней части окна свойств папки появится поле Членство в группе безопасности (Security Group Membership).
Нажмите кнопку Добавить. В открывшемся окне диалога Выбор группы и размещения (Specify Group and Location) введите имя группы пользователей и соответствующее ей целевое местоположение переназначаемой информации
Итак, мы с вами рассмотрели основные расширения оснастки групповая политика на стороне контроллера домена, теперь рассмотрим как они "выглядят" на стороне клиента.
Некоторым расширениям оснастки Групповая политика, находящимся на сервере, соответствуют расширения, работающие у клиента. Они предназначены, для отработки настроек групповых политик на клиентских компьютерах. Расширения, работающие на стороне клиента, представляют собой модули DLL, загружаемые в операционной системе клиентского компьютера по требованию в процессе отработки настроек групповых политик.
При загрузке операционная система запрашивает список доступных объектов групповой политики. Затем последовательно просматриваются существующие расширения на стороне клиента и определяется, имеют ли они какие-либо данные в доступных GPO. Если расширение на стороне клиента имеет данные в каком-нибудь из доступных объектов групповой политики, оно вызывается с параметром списком объектов групповой политики, которые необходимо обработать.
Объекты GPO и Active Directory. Порядок применения групповых политик
GPO хранит информацию о настройках групповых политик в двух структурах контейнере групповых политик (Group Policy Container, GPC) и шаблоне групповых политик (Group Policy Template, GPT).
Контейнер групповых политик представляет собой объект Active Directory, в котором хранятся свойства GPO: версия, список расширений, которые хранят свои настройки в объекте групповой политики, состояние GPO и т. д.
Шаблон групповых политик это папка, где находится информация о настройках, модифицируемых с помощью оснастки Групповая политика: политики, настраиваемые с помощью административных шаблонов, настройки безопасности, приложения, управление которыми осуществляется посредством расширения, Установка программ, сценарии, заданные с помощью расширения Сценарии, и т. д.
Папка шаблона групповых политик находится на системном томе контроллеров доменов в папке Policies.
При работе с GPO имя папки его шаблона групповых политик выступает в качестве глобального уникального идентификатора (Global Unique Identifier, GUID), уникально характеризующего данный объект групповой политики.
Оснастку Групповая политика можно настроить так, что информация о групповых политиках будет храниться вне GPO.
Однако в этом случае в одном из стандартных мест хранения информации о групповых политиках необходимо сохранить ссылку (link) на местоположение данных GPO.
Локальные GPO
На каждом компьютере сети Windows 2000 существует локальный объект групповой политики, представляющий собой шаблон групповых политик. По умолчанию он содержит только информацию безопасности.
Внутри папки шаблона групповых политик имеются следующие подкаталоги
- Adm (если компьютер входит в домен).
Здесь находятся все файлы *.adm для данного шаблона групповых политик.
- Machine.
Здесь хранится файл Registry.pol со значениями параметров реестра, устанавливаемыми для компьютера. При загрузке операционной системы файл Registry.pol копируется с контроллера домена, и его данные записываются в реестр в раздел HKEY_LQCAL_MACHINE. Если компьютер входит в домен, в папке Machine появляется подкаталог Scripts (где находятся все сценарии и связанные с ним файлы), в котором находятся подкаталоги Shutdown и Startup для сценариев выключения и запуска системы (соответственно).
- User.
Здесь хранится (если компьютер входит в домен) файл Registry.pol со значениями параметров реестра, устанавливаемыми для пользователей. Когда пользователь регистрируется в системе, файл Registry.pol копируется с контроллера домена, и его данные записываются в реестр в раздел HKEY_CURRENT_USER. Если компьютер входит в домен, падка User содержит подкаталог Scripts, где находятся все сценарии и связанные с ними файлы, и подкаталоги Logoff и Logon (для сценариев выхода из системы и регистрации в системе
Как происходит применение групповых политик?
Групповые политик запускаются в последовательности, соответствующей иерархии GPO:
сначала объект групповой политики сайта, затем домена, затем GPO, связанные с подразделениями в соответствии с их вложенностью.
Порядок выполнения групповых политик можно изменить с помощью настроек, блокирующих определенные групповые политики или заставляющих их выполняться принудительно.
По умолчанию настройки групповой политики, применяемые к контейнеру определенного уровня, наследуются всеми контейнерами более низких уровней и находящимися внутри них пользователями и компьютерами.
Если с дочерней организационной единицей (контейнером) связан свой GPO, он может устанавливать для нее индивидуальные настройки групповых политик, отменяющие применение к ней наследуемых настроек.
Если некоторые настройки групповых политик родительского контейнера не заданы (not defined), то они не наследуются и дочерними контейнерами.
Если родительский контейнер обладает сконфигурированными настройками групповых политик, которые не заданы в GPO дочернего контейнера, то такие настройки наследуются.
Наследование настроек групповых политик родительского контейнера дочерним контейнером, с которым связан собственный объект групповой политики, может иметь место только в случае совместимости этих групповых политик. Например, если политика родительского контейнера задает определенную конфигурацию рабочего стола компьютера пользователя, а политика дочернего контейнера дополняет ее, пользователь увидит на своем рабочем столе все элементы, заданные обеими политиками.
Если же групповая политика родительского контейнера противоречит групповой политике дочернего контейнера, выполняются только настройки GPO, связанного с дочерним контейнером.
Подобное положение вещей может быть изменено. Если установить флажок Блокировать наследование политики (Block Policy inheritance), который находится на вкладке Групповая политика окна свойств некоторого контейнера, это запретит наследование каких-либо групповых политик, установленных для родительского контейнера.
Существует средство, позволяющее настроить принудительное применение групповой политики, настроенной для некоторого контейнера, всеми контейнерами более низкого уровня.
Для этого на вкладке Групповая политика окна свойств контейнера следует нажать кнопку Параметры (Options). В появившемся окне диалога Параметры имя_подразделения необходимо установить флажок Не перекрывать (No override).
В этом случае дочерние контейнеры будут наследовать (т. е. не смогут переопределить) все настройки родительского контейнера, даже в том случае, если для дочерних контейнеров установлен флажок Блокировать наследование политики.
По умолчанию групповая политика применяется синхронно, т. е. политики компьютера применяются до появления окна Вход в Windows (Log on to Windows), а политики пользователя до передачи операционной системой управления оболочке, интерактивно взаимодействующей с пользователем.
Подобный порядок можно изменить, однако делать это не рекомендуется, поскольку асинхронное применение групповых политик может привести к непредсказуемым и нежелательным результатам.
Применение групповых политик не ограничивается только, например, моментом загрузки операционной системы компьютера или регистрацией пользователя в системе. При работе компьютера в сети групповые политики могут измениться, поэтому они применяются периодически (по умолчанию каждые 90 минут).
Длительность периода применения политик можно изменять. Если задать его равным нулю, групповые политики применяются через каждые 7 секунд. Следует учитывать, что при уменьшении периода применения групповых политик значительно увеличивается нагрузка на систему. На контроллерах доменов период применения политик равен 5-ти минутам.
Настройки расширений Установка программ и Переназначение папки применяются только при загрузке операционной системы или регистрации пользователя в системе, поскольку периодическое применение этих групповых политик может вызвать нежелательные результаты.
Итак, для блокировки и настройки принудительного выполнения групповой политики следует запустить оснастку Active Directory пользователи и компьютеры, указать нужный контейнер, в окне свойств этого контейнера перейти на вкладку Групповая политик, нажать кнопку Параметры и в открывшемся окне установите флажок Не перекрывать (как было показано выше).
Теперь настройки дочерних объектов групповой политики не смогут изменять действие (переопределять) настроек данного объекта.
Если в окне свойств контейнера установите флажок Блокировать наследование политики, что запретит распространение групповой политики более высокого уровня на текущий контейнер и контейнеры нижних уровней.
Как происходит применение групповых политик на клиентской стороне?
Периодичность применения групповых политик на клиентской стороне во многом определяется пропускной способностью канала, по которому клиент обменивается информацией с серверами сети. При работе по медленному каналу администратор может увеличить период применения групповых политик.
Если система обнаружила, что клиент присоединен по низкоскоростной линии, устанавливаются соответствующие флаги, влияющие на применение групповых политик.
По умолчанию при наличии медленного канала загружаются только настройки узлов Административные шаблоны и Параметры безопасности.
Однако с помощью специальных настроек можно регулировать работу расширений оснастки Групповая политика на клиентской стороне. Среди таких настроек отметим следующие политики:
- Обнаружение медленных подключений для групповой политики (Group Policy slow link detection).
Данная политика позволяет указать пороговую скорость подключения: если реальная скорость передачи обновлений групповых политик на компьютер будет ниже заданного порога, система считает это подключение "медленным".
- Запретить фоновое обновление групповой политики (Disable background refresh of Group Policy).
Как уже говорилось, все групповые политики компьютера применяются при загрузке операционной системы, а политики пользователя при его регистрации в системе. Периодическое фоновое применение групповых политик происходит каждые 90 минут. В условиях работы по медленному каналу удобнее отключить фоновое применение групповых политик для сохранения определенного уровня производительности системы.
- Интервал обновления групповой политики для компьютеров (Group Policy refresh interval for computers).
Можно изменить заданную по умолчанию частоту обновлений в фоновом режиме. Помимо фонового обновления, политика для компьютера всегда применяется при запуске системы. Существует аналогичная политика для пользователей
Для настройки всех перечисленных выше и других параметров следует в оснастке Групповая политика, если требуется настроить параметр для группы компьютеров, то открыть узел Конфигурация компьютера. Если требуется настроить параметр для группы пользователей, открыть узел Конфигурация пользователя. Затем открыть узел Административные шаблоны|Система|Групповая политика.
Дважды щелкнув по нужной политике, можно установить необходимый параметр
Теперь рассмотрим особенности настройки групповых политик на автономном компьютере. В операционной системе Windows 2000 реализована новая концепция управления политиками безопасности компьютера.
Каждый компьютер обладает своим собственным локальным объектом групповой политики (Local Group Policy Object, LGPO), который можно редактировать.
Если компьютер Windows 2000 не присоединен к домену, то на нем активна только локальная групповая политика. После присоединения к домену групповые политики применяются в соответствии с их иерархией. Следует обратить внимание, что локальная групповая политика применяется даже при включенной блокировке наследования политики от контейнеров более высокого уровня.
Для редактирования локального объекта групповой политики загрузите его в оснастку Групповая политика (при присоединении оснастки в поле ввода Объект групповой политики нужно указать опцию Локальный компьютер). Ниже на примерах показано, как редактировать параметры локальных политик.
Блокирование локальных учетных записей
После нескольких неудачных попыток регистрации в системе учетная запись пользователя должна быть заблокирована. Вы можете установить допустимое максимальное количество неудачных попыток. Следует заметить, что разблокировать учетную запись может только администратор.
Для модификации локальной политики учетных записей в оснастке Групповая политика используется узел Конфигурация компьютера|Конфигурация Windows|Параметры безопасности|Политики учетных записей|Политика блокировки учетной записи.
Дважды щелкнув на соответствующей политике, можно задать ее параметры, например, необходимо установить Пороговое значение блокировки (Account lockout threshold).
В открывшемся окне Параметр локальной политики безопасности (Local Security Policy Setting) в поле при ошибках входа в систему (invalid logon attempts) можно ввести новое значение.
Настройка безопасности для раздела реестра
Рассмотрим, как можно настроить безопасность для раздела реестра HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NT.
Администраторы получат полный контроль, а все остальные аутентифицированные пользователи будут иметь доступ только на чтение. Последовательность настройки безопасности для раздела реестра следующая:
В оснастке Групповая политика открываем узел Конфигурация компьютера|Конфигурация Windows|Параметры безопасности, и выбираем папку Реестр.
По нажатию правой кнопкой мыши в появившемся контекстном меню выбираем команду Добавить раздел (Add Key). Запустится браузер реестра.
Переходим к узлу MacIuneSoftwareMicrosoftWindows NT. Откроется стандартное окно редактора списков управления доступом (ACL), в котором можно настроить разрешения для выбранного раздела.
Для изменения списка объектов, имеющих разрешение доступа к данному разделу, используйте кнопки Добавить и Удалить. Здесь можно задать полный доступ только для администраторов и доступ только на чтение для остальных пользователей. По завершении корректировки данных нажимаем ОК.
При настройке безопасности раздела реестра можно задать три типа действия безопасности:
- Распространить наследуемые разрешения на все подразделы (Propagate inheritable permissions to all subkeys)
разрешения, установленные для данного раздела реестра, будут автоматически наследоваться ниже по дереву. При этом все напрямую заданные разрешения на доступ к подразделам будут сохранены, и к ним будут добавлены унаследованные разрешения.
- Заменить текущие разрешения во всех подразделах наследуемыми (Replace existing permissions on all subkeys with inheritable permissions)
разрешения на доступ, установленные для данного раздела реестра, будут автоматически наследоваться ниже по дереву. Но в данном случае любые напрямую заданные права доступа к подразделам будут перезаписаны новыми установками. Действовать будут только вновь созданные разрешения.
Запретить замену разрешений в этом разделе (Do not allow permissions on this key to be replaced).
Если для родительского раздела установлены новые разрешения, то они наследуются всеми подразделами и перезаписывают все остальные прямые установки. Однако один из подразделов может быть сконфигурирован так, что настройки безопасности родительского раздела будут игнорироваться и не будут распространяться ниже по дереву
Все сделанные нами изменения в настройках будут сохранены и начнут работать в локальной политике безопасности
Настройка безопасности для всего диска С:
С помощью политик безопасности можно устанавливать различные права доступа к устройству для разных пользователей (например, полный контроль для администраторов и права на чтение и создание подкаталогов, а также полный контроль над создаваемыми файлами для пользователей)!
Такая настройка невозможна для обычных компьютеров.
Чтобы выполнить настройку безопасности устройства на контроллере домена в оснастке Групповая политика открываем узел Конфигурация компьютера|Конфигурация Windows|Параметры безопасности, выбираем папку Файловая система.
По правой кнопкой мыши и выбираем в меню команду Добавить файл (Add File). Запустится браузер файловой системы.
В окне диалога Добавление файла или папки (Add file or folder) выбираем диск С: По умолчанию группа Все (Everyone) имеет полный доступ к диску. В открывшемся окне диалога Безопасность базы данных (Database Security for) с помощью кнопки Удалить можно очистить список пользователей. Нажав кнопку Добавить, можно выбрать пользователей и группы, а затем определить соответствующие разрешения для диска С:. Чтобы настроить особые права доступа, можно использовать кнопку Дополнительно (Advanced).
После установки необходимых разрешений в открывающемся затем окне Параметр шаблона политики безопасности (Template Security Policy Setting) необходимо выбрать тип действия безопасности (распространить, заменить и игнорировать разрешения).
Здесь можно нажать кнопку Изменить безопасность (Edit Security) и вернуться к редактированию разрешений.
Настройка групповых политик компьютера в домене
Создание объектов политики безопасности в Active Directory
Каждый домен по умолчанию обладает ассоциированной с ним групповой политикой.
Объект групповой политики (Group Policy Object, GPO) автоматически создается при создании домена. Впоследствии этот объект можно отредактировать. Используя групповые политики, можно одновременно управлять поведением всех компьютеров в домене, а также контролировать делегирование прав администрирования.
При формировании сети предприятия очень важно правильно организовать групповые политики, что позволит минимизировать избыточность параметров и оптимизировать управление сетью. К сожалению, эти цели в определенном смысле противоречат друг другу.
GPO должны с максимальной точностью описывать каждую из политик, действующих на конкретные домены и подразделения (организационные единицы, OU), что приводит к увеличению числа GPO. Для улучшения управления сетью следует, наоборот, создавать небольшое число GPO. Поэтому в каждом конкретном случае нужно правильно сбалансировать количество объектов политик безопасности.
Для правильного планирования структуры групповых политик сети следует:
- Разделить политики на логические группы.
Например, политики учетных записей могут быть объединены в одну группу.
- Для каждой логической" группы создать один или несколько объектов GPO, имеющих различные настройки групповых политик.
- Распределить объекты-компьютеры по иерархическим древовидным структурам, состоящим из подразделений.
В качестве критерия при таком распределении следует выбрать функцию, которую выполняет данный компьютер
В основном, каждое подразделение должно иметь определенную групповую политику, действующую на все находящиеся в ней компьютеры. Зачастую это сделать непросто, поскольку подразделения могут отражать географическое расположение организации, а также иерархию управления сетью. В случаях, когда групповые политики должны распространяться на подмножество компьютеров организации, можно сделать следующее:
- Создать в различных подразделениях организации внутренние подразделения, переместить туда нужные объекты-компьютеры и назначить внутренним подразделениям собственные групповые политики.
- Если же вы не хотите создавать внутренние подразделения, можно использовать схему фильтрации GPO, основанную на разрешениях доступа. С ее помощью вы сможете задать соответствие компьютеров и действующих на них GPO
Итак, сейчас мы с вами рассмотрели примеры настройки разных расширений групповой политики. Следующий шаг - познакомится более подробно с практическим примером работы групповой политики домена.
Работа с групповыми политиками домена
Сейчас мы с вами приведем ряд примеров, демонстрирующих работу с групповыми политиками домена.
Первый шаг - создание объекта групповой политики. Мы с вами рассматривали, как создавать изолированный GPO. После его создания, можно заняться редактированием в соответствии с общей концепцией обеспечения безопасности и ассоциацией его с соответствующим доменом или OU.
Примечание
Можно создавать и редактировать GPO сразу для конкретного контейнера. Это делается на вкладке Групповая политика в окне свойств этого контейнера, как мы также рассматривали выше.
Чтобы отредактировать GPO, его нужно загрузить в оснастку Групповая политика. К примеру, мы создали GPO под именем MYCOPMANY.
После запуска оснастки можно перемещаясь по дереву узлов, открывать редактируемые параметры групповой политики и в правом подокне окна оснастки Групповая политика, выбирая редактируемый параметр, устанавливать нужное значение.
Чтобы затем привязать созданный GPO к сайту, домену или подразделению (создать ссылку на некоторый GPO) необходимо запустите оснастку Active Directory сайты и службы для работы с сайтами или Active Directory пользователи и компьютеры для доменов и подразделений. Указать тот контейнер, для которого устанавливается ассоциация с GPO, и "зайти" в его Свойства. В открывшемся окне перейти на вкладку Групповая политика и чтобы добавить новый GPO, нажать кнопку Добавить.
Запустится браузер GPO. Здесь можно найти объект групповой политики, с которым вы хотите ассоциировать выбранный контейнер, и выбрать его.
В итоге GPO будет добавлен к списку ассоциированных объектов. Для изменения приоритета политик (порядка следования элементов в списке) можно использовать кнопки Вверх (Up) и Вниз (Down).
Итак, рассмотрим примеры работы конкретных GPO.
Настройка политики паролей для локальных учетных записей.
Для настройки политики паролей в некотором домене или подразделении создадим GPO, предназначенный для формирования политики паролей, как было описано выше. Затем загрузим созданный GPO и откроем узел Конфигурация компьютера|Конфигурация Windows|Параметры безопасности|Политики учетных записей|Политика паролей.
Здесь следует установить необходимые значения параметров политики паролей. Например:
Теперь закроем окно оснастки Групповая политика. Все сделанные вами изменения будут записаны в GPO. Выполним процедуру привязки созданного GPO к домену или подразделению, описанную в предыдущем разделе.
После этих действий можно перемещать в этот домен или подразделение все компьютеры, на которые должна действовать созданная вами политика паролей.
Настройка привилегий пользователей и групп при работе в домене с Active Directory.
С помощью GPO можно определить набор привилегий, имеющихся у всех пользователей домена или подразделения.
Для настройки привилегий группы пользователей или индивидуального пользователя при работе с ресурсами компьютера необходимо создать GPO, хранящий необходимые значения параметров групповой политики, как мы описывали выше. Загрузить его в оснастку Групповая политика. Открыть узел Конфигурация компьютера|Конфигурация Windows|Политики безопасности|Локальные политики|Назначение прав пользователя (User Rights Assignments).
В правом подокне окна оснастки Групповая политика дважды щелкнуть на политике, которую следует редактировать, например, на строке Обход перекрестной проверки (Bypass traverse checking).
В открывшемся окне следует установить флажок Определить следующие параметры политики и добавить нужные пользователи или группы.
Все изменения будут записаны в GPO. Затем установить ассоциацию между созданным GPO и контейнером Active Directory, в котором будут осуществляться только что настроенные привилегии
Указание контроллера домена, выбираемого оснасткой Групповая политика по умолчанию
Определить, какой контроллер домена (Domain Controller, DC) выбирается по умолчанию оснасткой Групповая политика при работе с GPO, можно двумя способами:
Указать это в самой оснастке Групповая политика или установить политику выбора контроллера домена.
Рассмотрим первый вариант. Чтобы настроить контроллера домена, выбираемого по умолчанию, необходимо запустить оснастку Групповая политика для групповой политики контроллера домена. Выбрать корневой узел. В меню Вид выбрать команду Параметры контроллера домена (DC Options).
В окне диалога Параметры для выбора контроллера домена (Options for domain controller selection) можно выбрать один из трех возможных вариантов:
- Хозяин операций для эмулятора РОС (The one with the Operations Master token for the PDC emulator).
Это самый распространенный и предпочтительный принцип выбора DC. В данном случае существует полная гарантия, что объекты групповой политики будут редактироваться на одном и том же контроллере домена. Если по ошибке или каким-то другим причинам редактирование одного и того же GPO выполнялось на различных контроллерах домена, велика вероятность, что изменения, выполненные на одном из них, будут утеряны в результате репликации.
- Контроллер, используемый оснастками Active Directory (The one used by the Active Directory Snap-ins).
В данном случае оснастка Групповая политика выбирает тот же контроллер домена, что и оснастки управления Active Directory. Каждая из них обладает возможностью подключения к разным работающим DC. В данном случае оснастка Групповая политика будет следовать выбору контроллера домена, сделанному в оснастках управления Active Directory.
- Любой доступный контроллер домена (Use any available domain controller).
Данный вариант не рекомендуется для широкого использования. В этом случае с большой долей вероятности будет выбран контроллер домена локального сайта
Можно сконфигурировать групповую политику, определяющую, какой контроллер домена будет выбираться по умолчанию при запуске оснастки Групповая политика. Для этого В оснастке Групповая политика для групповой политики контроллера домена или для политики всего домена необходимо открыть узел Конфигурация пользователя|Административные шаблоны|Система|Групповая политика, выбрать в списке политику Выбор контроллера домена групповой политики (Group Policy domain controller selection). И в появившемся окне включить политику и установить нужный вариант выбора контроллера домена
- Использовать основной контроллер домена (Use the Primary Domain Controller)
- Унаследовать от оснасток Active Directory (Inherit from the Active Directory Snap-ins)
- Использовать любой доступный контроллер домена (Use any available domain controller)
После того, как политика установлена, команда Параметры контроллера домена в меню Вид окна оснастки Групповая политика уже будет недоступна.
Использование групп безопасности
Группы безопасности (security groups) предназначены для решения следующих двух задач:
ограничения влияния групповой политики и делегирования управления объектами групповой политики.
Ограничение влияния настроек групповой политики
Как уже говорилось, все компьютеры и пользователи, находящиеся в определенном контейнере, подпадают под влияние групповых политик, настройки которых находятся в GPO, связанном с данным контейнером. Для более тонкой настройки влияния определенного объекта груп повой политики на группы пользователей и компьютеров применяют группы безопасности.
Они не могут быть связаны с GPO, но с помощью вкладки Безопасность окна свойств объекта групповой политики можно задать, будет ли данный GPO влиять на членов определенной группы безопасности.
Чтобы ограничить влияние настроек групповой политики в оснастке Групповая политика следует указать корневой узел объекта групповой политики и по правой кнопке мыши в окне свойств объекта групповой политики открыть вкладку Безопасность.
Здесь можно добавлять нужную группу и устанавливать для нее надлежащие права доступа к объекту групповой политики. Можно разрешить или запретить доступ к GPO. На членов группы, для которой в строке Применение групповой политики флажок установлен в позиции Разрешить, влияют настройки данного объекта групповой политики. Чтобы запретить влияние групповой политики на определенную группу, в строке Применение групповой политики флажок необходимо установить в позиции Запретить (Deny). Если флажок не установлен ни в одной из позиций, это значит, что к данной группе не применяются настройки ни одной из установленных политик
Следует очень хорошо осмыслить факт влияния групповых политик на группы безопасности! Хотя, как указывается в любой документации от Microsoft, относящейся к групповым политикам, "групповые политики (различные GPO) могут распространять свое влияние на сайты, домены и подразделения" т. е. на контейнеры Active Directory, однако, используя механизмы безопасности, можно построить систему групповых политик, ориентированную на группы. Например, можно создать несколько политик на уровне домена и разрешить применение каждой из политик только к отдельным группам (при этом нужно в каждой политике удалить или запретить подключаемую по умолчанию группу Прошедшие проверку (Authenticated Users), в которую попадаются все пользователи). Иногда такой подход может оказаться весьма полезным и гибким
Делегирование управления объектами групповой политики
С помощью инструментов управления Active Directory администратор может делегировать другим пользователям и группам право управления частью каталога.
Это в полной мере относится и к объектам групповой политики, в отношении которых могут быть, в частности, делегированы следующие права:
- Управление связями GPO с сайтом, доменом или подразделением (OU).
Для этого с помощью инструмента управления Active Directory укажите сайт, домен или OU и щелкните правой кнопкой мыши. В появившемся контекстном меню выберите команду Делегирование управления (Delegate Control). Запустится Мастер делегирования управления (Delegation of Control Wizard). С его помощью можно выбрать объект групповой политики, группу или пользователя, которому должны быть делегированы права, а также и само право (в данном случае Управление ссылками групповой политики (Manage Group Policy links)).
- Создание и удаление всех дочерних объектов групповой политики.
По умолчанию правом создания объектов в GPO обладают администраторы домена (Domain Admins) и администраторы предприятия (Enterprise Admins), а также операционная система. Для делегирования пользователю права управления объектами групповой политики домена необходимо включить его в группу Создатели-владельцы групповой политики (Group Policy Creator Owners).
- Редактирование свойств объектов групповой политики.
По умолчанию правом редактирования GPO обладают администраторы домена, администраторы предприятия и операционная система. Для делегирования пользователю права редактирования объекта групповой политики необходимо включить его в одну из указанных групп безопасности.
Итак, мы с вами рассмотрели обширную и довольно сложную задачу администратора - управление групповыми политиками домена. Вы увидели, как намного проще, динамичнее, и, если так можно выразится, красивее происходит настройка политик в Windwos 2000, по сравнению c Windows NT 4.0. Мы рассмотрели много практических примеров. В заключение сказанному сегодня, можно сделать такой вывод:
Групповая политика в Windwos 2000 в целом предоставляет следующие преимущества:
- Позволяет как централизованно, так и децентрализовано управлять параметрами политики.
- Обладает гибкостью и масштабируемостью, поэтому может быть применена в широком наборе конфигураций системы, предназначенных как для малого бизнеса, так и для больших корпораций.
- Предоставляет интегрированный инструмент управления политикой с простым и хорошо понятным интерфейсом - оснастку консоли управления Групповая политика (Group Policy).
- Обладает высокой степенью надежности и безопасности